安全性群組在ECS的使用中扮演了雲上虛擬防火牆的角色,通過管理安全性群組和規則,可提供精細化的網路安全隔離與存取控制。
下圖樣本通過配置兩條安全性群組規則,實現僅允許授權IP遠端管理執行個體,並阻止執行個體訪問公網風險網站的情境。
-
入方向規則:允許特定IP(
121.XX.XX.XX)通過SSH(22連接埠)訪問執行個體。 -
出方向規則:拒絕執行個體訪問某個已知的風險IP(
XX.XX.XX.XX)。

為建立執行個體配置安全性群組
-
前往購買執行個體:前往ECS控制台-自訂購買頁面,選擇執行個體配置。
-
建立安全性群組:在網絡和安全性群組內建立普通安全性群組或企業級安全性群組,並編輯安全性群組名稱。
-
快捷配置常用規則:購買執行個體時,控制台提供了常用的連接埠/協議,勾選後可以允許所有 IP 位址(
0.0.0.0/0)來源訪問目標連接埠,或允許遵循目標協議的流量訪問建立的執行個體。
購買執行個體時建立安全性群組不支援精細配置建立安全性群組的規則,可以在執行個體建立後配置。若在快速配置勾選了管理執行個體使用的連接埠(如遠端連線執行個體常用的SSH(22)、RDP(3389)等),建議建立執行個體後將安全性群組規則設定為僅允許從安全的IP地址進行訪問。
可以查看安全性群組應用指導和案例,瞭解如限制執行個體訪問、資料庫安全性原則等更多業務情況下的安全性群組規則配置案例方法。
建立安全性群組
購買 ECS 執行個體時可一併建立安全性群組,詳見為建立執行個體配置安全性群組。如需獨立於執行個體建立安全性群組並關聯至已有執行個體,按下方控制台或API步驟操作。
控制台
-
前往ECS控制台-安全性群組頁面,單擊建立安全性群組。
-
設定安全性群組名稱及Virtual Private Cloud。
-
選擇安全性群組類型為普通安全性群組或企業級安全性群組。
-
為安全性群組配置安全性群組規則。安全性群組規則為有狀態規則,只需配置入方向,系統自動允許存取對應出方向響應流量。常用連接埠與授權建議見下表,完整樣本見安全性群組應用指導和案例。
一鍵允許存取 Web 常見連接埠(22/80/443/8888)
連接埠
協議
用途
授權對象建議
延伸閱讀
22TCP
SSH 遠端連線(Linux)
辦公網或固定公網 IP;不建議長期使用
0.0.0.0/03389TCP
RDP 遠端桌面(Windows)
辦公網或固定公網 IP;不建議長期使用
0.0.0.0/080TCP
HTTP
公網建站可使用
0.0.0.0/0443TCP
HTTPS
公網建站可使用
0.0.0.0/08888TCP
寶塔等管理面板(以面板實際連接埠為準)
僅管理員 IP;按面板安裝提示允許存取對應連接埠
-
3306等TCP
應用訪問 VPC 內資料庫
在資料庫安全性群組入方向授權源安全性群組,不對公網開放
業務連接埠
TCP
跨安全性群組內網互訪(如 8080、3306)
在目標安全性群組入方向授權源安全性群組 ID
在安全性群組詳情頁,選擇規則方向後單擊增加規則添加規則;已有規則可在訪問規則地區編輯或刪除。
-
單擊確定建立。
API
調用CreateSecurityGroup,建立安全性群組。
建立安全性群組後,調用以下 API 管理安全性群組規則:
-
調用AuthorizeSecurityGroup,添加入方向規則。
-
調用AuthorizeSecurityGroupEgress,添加出方向規則。
-
調用ModifySecurityGroupRule,修改入方向規則。
-
調用ModifySecurityGroupEgressRule,修改出方向規則。
-
調用RevokeSecurityGroup,刪除入方向規則。
-
調用RevokeSecurityGroupEgress,刪除出方向規則。
建立的普通安全性群組若未配置規則時,入方向預設會允許同安全性群組內其他ECS的流量,拒絕其他所有入方向流量,出方向允許所有流量。
為執行個體關聯安全性群組
當您為ECS執行個體關聯安全性群組時,實際上是在為ECS執行個體的主網卡關聯安全性群組。
控制台
-
前往ECS控制台-執行個體單擊目標執行個體ID進入執行個體詳情頁。
-
在執行個體詳情頁切換至安全性群組頁簽,在安全性群組列表頁單擊更換安全性群組,按需將安全性群組加入執行個體或者移除執行個體。關聯多個安全性群組時,安全性群組規則會合并,且按照優先順序排序生效。
API
-
調用ModifyInstanceAttribute,為一台ECS執行個體設定多個安全性群組。
-
調用JoinSecurityGroup,將一台ECS執行個體加入到指定的安全性群組。
-
調用LeaveSecurityGroup,將一台ECS執行個體移出指定的安全性群組。
為輔助彈性網卡關聯安全性群組
安全性群組實際作用在ECS執行個體的彈性網卡上。執行個體有多張彈性網卡時,為彈性網卡關聯不同的安全性群組,並配置差異化的安全性群組規則,可以實現執行個體內部網路流量的分級管控與業務隔離。
控制台
-
前往ECS控制台-彈性網卡頁面,單擊目標輔助網卡的ID,進入輔助彈性網卡詳情頁。
-
單擊更換安全性群組,勾選要關聯的安全性群組,單擊確定。
API
-
調用JoinSecurityGroup將彈性網卡加入到指定的安全性群組。
-
調用LeaveSecurityGroup將彈性網卡移出指定的安全性群組。
-
使用ModifyNetworkInterfaceAttribute為彈性網卡指定多個安全性群組。
安全性群組內執行個體網路互連
預設情況下,同一普通安全性群組內的ECS執行個體間內網互連。為提高安全性,可以將組內連通策略調整為組內隔離,禁止執行個體間的內網互連。
企業級安全性群組不支援修改組內連通策略。
-
當執行個體關聯多個安全性群組時,只要其中任一安全性群組的組內連通原則設定為組內互連,執行個體間即可內網互連。
-
安全性群組的組內連通原則設定為組內隔離時,可通過配置安全性群組規則,允許執行個體間通訊。
控制台
-
前往ECS控制台-安全性群組,單擊目標安全性群組ID進入安全性群組詳情頁。
-
在安全性群組詳情頁面,頁簽基本資料地區,單擊修改組內網絡連通策略。
-
安全性群組的組內連通策略已更改為组内隔离。
API
調用ModifySecurityGroupPolicy,修改普通安全性群組的組內連通策略。
安全性群組間執行個體網路互連
將其他安全性群組設為規則的授權對象時,可允許其他安全性群組內執行個體,通過內網訪問本安全性群組內的執行個體。圖中為安全性群組A設定了入方向的授權對象安全性群組B後,安全性群組B內的執行個體可以通過內網訪問安全性群組A內的執行個體。
企業級安全性群組規則不支援添加授權對象為安全性群組的規則。

控制台
-
前往ECS控制台-安全性群組,單擊目標安全性群組ID進入安全性群組詳情頁。
-
在目標安全性群組詳情頁面,選擇規則需要控制方向,單擊增加規則。
-
在建立安全性群組規則頁面選擇訪問來源為安全性群組或跨帳號安全性群組。
API
-
調用AuthorizeSecurityGroup在安全性群組入方向規則中設定SourceGroupId授權已建立的安全性群組。
-
調用AuthorizeSecurityGroupEgress在安全性群組出方向規則中設定DestGroupId授權已建立的安全性群組。
更多操作
使用首碼列表
當需對多個IP位址區段進行統一授權時,可使用首碼列表集中管理,從而簡化安全性群組規則配置,提升批量維護效率。
控制台
-
建立首碼列表:
-
前往ECS控制台-首碼列表。
-
根據需求選擇到目標頁簽,單擊建立首碼列表。
引用首碼列表的安全性群組,規則數量會根據列表設定的最大條目數計算。
-
-
在目標安全性群組詳情頁訪問規則地區增加或修改規則:
-
設定訪問來源為首碼列表,選擇目標首碼列表。
-
API
-
調用CreatePrefixList,建立一個首碼列表。建立完成後,可以通過DescribePrefixListAttributes查詢首碼列表的詳細資料。
-
調用AuthorizeSecurityGroup在安全性群組入方向規則中,設定SourcePrefixListId授權已經建立的首碼列表。
-
調用AuthorizeSecurityGroupEgress在安全性群組出方向規則中,設定DestPrefixListId授權已經建立的首碼列表。
檢查是否存在冗餘規則
安全性群組健全狀態檢查功能可以識別冗餘規則。當規則A的條件被規則B完全包含,且規則A的優先順序不高於規則B時,規則A即為冗餘規則。冗餘規則會佔用安全性群組規則配額,建議定期清理,以避免因規則數量達到上限而無法添加新規則。
-
前往ECS控制台-安全性群組在目標安全性群組詳情頁面的訪問規則頁簽中,單擊健全狀態檢查。
-
在健全狀態檢查對話方塊中,選中待刪除的冗餘規則,單擊刪除上述規則。
複製安全性群組
當需要大量建立帶有相同配置的安全性群組,或進行跨地區、跨網路類型複製和備份時,可通過複製安全性群組功能快速實現。複製成功後,可在目標地區的安全性群組列表中看到新安全性群組。
-
前往ECS控制台-安全性群組,在目標安全性群組的操作欄單擊複製安全性群組。
-
設定目標安全性群組,複製後,新的安全性群組顯示在目標地區的安全性群組列表中。
-
專有網路ID:新安全性群組所屬的專用網路。
-
保留規則:勾選將保留原安全性群組中所有規則,優先順序大於100的規則將調整為100。
-
複製本安全性群組標籤到複製安全性群組:選擇是否需要將原安全性群組的標籤複製到新安全性群組。
-
匯入/匯出規則
如果需要備份、恢複和遷移規則,可以使用匯入匯出功能。
匯入規則
匯入的安全性群組規則需遵循以下要求:
-
檔案格式:JSON或CSV。
-
規則數量:單次匯入不超過200條。
-
規則優先順序:1到100之間。優先順序高於100的規則將被忽略。
在跨地區匯入規則時,不支援安全性群組規則中授權對象為安全性群組和首碼列表,不支援安全性群組規則中連接埠範圍為連接埠列表。
-
前往ECS控制台-安全性群組在目標安全性群組詳情頁面訪問規則地區,單擊匯入安全性群組規則。
-
在匯入安全性群組規則頁面,單擊選擇檔案並選中本地的JSON或CSV檔案,單擊確認。
匯入失敗時,將滑鼠移至上方在警告圖示上可查看原因。
匯出規則
前往ECS控制台-安全性群組,在目標安全性群組詳情頁訪問規則地區,單擊匯出。匯出的規則檔案的命名格式:
-
JSON格式:ecs_${region_id}_${groupID}.json。
樣本:如果Region ID為
cn-qingdao,安全性群組ID為sg-123,則匯出的檔案名稱為ecs_cn-qingdao_sg-123.json。 -
CSV格式:ecs_sgRule_${groupID}_${region_id}_${time}.csv。
樣本:如果Region ID為
cn-qingdao,安全性群組ID為sg-123,匯出日期為2020-01-20,則匯出的檔案名稱為ecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv。
安全性群組快照
安全性群組快照可自動備份安全性群組規則。當安全性群組規則發生變更時,系統會自動建立快照。通過快照可恢複指定時間點的安全性群組規則,防止因誤操作導致規則丟失。
-
安全性群組規則變更後,系統將在5分鐘後建立快照。若5分鐘內發生多次變更,系統僅會基於首次變更前的規則建立一次快照。
-
安全性群組快照使用Object Storage Service服務(OSS)儲存備份資料。OSS為隨用隨付服務,使用安全性群組快照會產生相應的OSS儲存和請求費用。
建立快照策略
-
前往ECS控制台-安全性群組快照,單擊建立安全性群組快照策略。
-
在建立快照策略對話方塊中,配置以下資訊:
-
策略名稱:輸入快照策略的名稱。
-
策略狀態:選擇啟用或禁用。僅當策略為啟用狀態時,才會為關聯的安全性群組建立快照。
-
快照保留時間:設定快照保留天數,範圍為1-30天,預設值為1天。超過保留時間的快照將被自動刪除。
-
OSS 存儲配置:配置用於儲存快照資料的OSS Bucket。若Bucket名稱留空,系統將使用預設Bucket。
-
-
單擊確定。
首次建立快照策略時,系統會提示授權服務關聯角色(SLR)
ALIYUNSECURITYGROUPSNAPSHOTROLE以訪問OSS儲存桶。若該角色已存在,則無需重複授權。
關聯安全性群組到快照策略
建立快照策略後,需將其與安全性群組關聯,才能開始備份安全性群組規則。
關聯安全性群組到快照策略時,系統會立即為該安全性群組建立一次快照。
-
前往ECS控制台-安全性群組快照,找到目標快照策略,在操作列單擊關聯安全性群組。
-
在關聯安全性群組對話方塊中,選擇要關聯的安全性群組。
一個快照策略最多可關聯10個安全性群組,一個安全性群組可關聯多個策略不同的快照策略。
-
單擊確定完成關聯。
從快照恢複規則
恢複操作會立即生效,當前所有規則將被快照中的規則完全覆蓋。恢複後無法撤銷。
-
前往ECS控制台-安全性群組頁面,單擊目標安全性群組ID進入安全性群組詳情頁。
-
在安全性群組詳情頁,切換至快照列表頁簽,找到目標快照,在操作列單擊復原快照。
-
在復原安全性群組快照對話方塊中,確認恢複資訊。
-
在入方向和出方向頁簽下,對比當前安全性群組規則和復原後安全性群組規則。
-
確認無誤後,單擊確定。
-
刪除安全性群組
刪除安全性群組是一個無法復原的操作,將永久刪除安全性群組下所有規則。在執行刪除操作前,請確保備份相關配置。
控制台
-
前往ECS控制台-安全性群組,在目標安全性群組的操作欄單擊刪除。
-
在刪除安全性群組對話方塊中,確認資訊後,單擊確定。
如果安全性群組沒有關聯的ECS執行個體和彈性網卡,在刪除安全性群組對話方塊中仍提示不可刪除時,可以單擊嘗試強制移除。
API
調用DeleteSecurityGroup,刪除安全性群組。
安全性群組在以下情境時無法刪除:
-
已關聯ECS執行個體或彈性網卡時無法刪除,需先將其移除。
-
被其他安全性群組規則授權,需先刪除授權規則。
-
託管安全性群組僅支援查看,不可刪除。
-
開啟了刪除保護,請先關閉刪除保護,然後再嘗試操作。如果無法關閉刪除保護則無法刪除安全性群組。
在使用DeleteSecurityGroup介面刪除安全性群組時返回錯誤碼
InvalidOperation.DeletionProtection,或使用控制台刪除安全性群組看到類似刪除保護的提示時,說明該安全性群組開啟了刪除保護功能。
生產應用建議
-
安全性群組規劃
-
職責單一:Web、資料庫、緩衝等各業務情境下安全性群組應各自獨立。
-
環境隔離:生產、測試環境的安全性群組須分離,避免混用。
-
命名規範:採用
環境-應用-用途-sg格式,如prod-mysql-db-sg。
-
-
規則配置
-
最小許可權:僅對必要的源開放必要的連接埠。避免對SSH(22)、RDP(3389)等管理連接埠開放
0.0.0.0/0應始終限定為可信的固定IP。 -
預設拒絕:預設拒絕所有入方向流量。僅在必要時,添加入方向規則,允許存取特定連接埠和來源的訪問。
-
規則優先順序衝突:當執行個體關聯多個安全性群組時,低優先順序的允許規則會被高優先順序的拒絕規則覆蓋。排查網路不通時,需檢查所有關聯的安全性群組。
-
-
變更管理
-
避免直接修改生產環境: 直接修改生產環境的安全性群組是高危操作。可以先複製安全性群組,在測試環境調試,確保修改後執行個體流量正常,再對線上環境的安全性群組規則進行修改。
-
計費規則
安全性群組免費使用。
使用限制
|
限制項 |
普通安全性群組限制 |
企業級安全性群組限制 |
|
單個阿里雲帳號在特定地區下的安全性群組總數量上限 |
請根據配額ID |
與普通安全性群組相同 |
|
單張彈性網卡可以關聯的安全性群組數量 |
10 |
與普通安全性群組相同 |
|
單張彈性網卡關聯的所有安全性群組的規則(包括入方向規則與出方向規則)數量之和的上限 |
1,000 |
與普通安全性群組相同 |
|
單個安全性群組中,授權對象為安全性群組的規則數量 |
20 |
0條,在企業級安全性群組中,您不能添加授權對象為安全性群組的規則,也不能將企業級安全性群組作為其他安全性群組規則中的授權對象。 |
|
單個Virtual Private Cloud類型的安全性群組能容納的VPC類型ECS執行個體數量 |
不固定,受安全性群組能容納的私網IP地址數量影響。 |
無限制 |
|
單個阿里雲帳號在特定地區下單個Virtual Private Cloud類型的安全性群組能容納的私網IP地址數量 |
6,000 說明
|
65,536 說明
IP佔用數按照安全性群組關聯的彈性網卡(包括執行個體主網卡、輔助網卡)的數量計數,即關聯的所有彈性網卡的數量總和。 |
|
公網訪問連接埠 |
基於安全考慮,ECS執行個體25連接埠預設受限,建議您使用SSL加密連接埠(通常是465連接埠)來對外發送郵件。 |
與普通安全性群組相同 |