ECS安全组实践（安全组设置）

背景介绍

为云服务器设置安全组可提升云服务器的安全性。合理规划和区分不同的安全组将使您的云服务器访问控制策略更加便于调整。本文将对安全组的概念以及不同的安全组规则的设置方法进行介绍。

安全组概述以及安全组实践建议

安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。

使用过程中您可以创建自定义的安全组，或使用默认安全组，系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。默认安全组您可以直接使用，详情请参见默认安全组和规则。

同样的安全组也有使用限制，详情请参见安全组的使用限制，安全组应该是白名单性质的，所以需尽量开放和暴露最少的端口，满足最小化规则，同时尽可能少地分配公网IP。更多设置安全组注意事项请参见实践建议。

安全组配置操作流程

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 单击“”，选择“网络 > 虚拟私有云 VPC”。
4. 在左侧导航栏，选择“访问控制 > 安全组”，创建安全组或对单击安全组配置规则进行安全组规则管理，配置规则请参见配置安全组规则，对安全组规则进行配置，ECS常用端口号及其说明请参考ECS常用端口号，根据场景设置安全组开放端口，可参考安全组配置示例。

安全组配置相关操作指引

1. 创建安全组时对安全组进行初始化规则配置，填写完成后，单击立即创建，等待片刻后将会在安全组列表中显示，详情请参见创建安全组。
2. 支持克隆安全组以及修改安全组基本信息，支持用户对指定安全组的删除。
3. 若您配置的安全组不符合预期，可以对已有安全组进行出规则和入规则的修改，来满足业务需求，详情请参见配置安全组规则，安全组规则配置完成后可以检查安全组规则是否生效。配置规则填写完成后，单击确定即可。
4. 安全组控制台侧可以将云服务器关联进安全组中，详情可参考在安全组中添加或移出实例。

安全组配置提示

添加安全组规则时，请遵循最小授权原则。例如，放通22端口用于远程登录云服务器时，建议仅允许指定的IP地址登录，谨慎使用0.0.0.0/0（所有IP地址）。

相关文档

安全组更多文档参考: 安全组和安全组规则概述。