与普通安全组相比,企业安全组能够容纳更多的ECS实例、弹性网卡和无限制的私网IP地址。企业安全组仅支持专有网络VPC,同时简化了安全组规则的配置策略,使用更方便,适用于对运维效率、ECS实例规格以及计算节点规模有更高需求的场景。

功能对比

普通安全组和企业安全组的功能对比如下表所示。普通安全组详情,请参见安全组概述

功能对比 普通安全组 企业安全组
支持所有实例规格 否,实例规格必须同时支持IPv6功能
支持专有网络VPC
支持经典网络
支持设置规则优先级
支持授权给其他安全组
支持手动设置允许访问的安全组规则
支持手动设置拒绝访问的安全组规则 否,企业安全组默认拒绝任何访问请求
支持绑定弹性网卡到任意实例规格 是,但实例网络类型必须是专有网络VPC 否,实例规格必须同时支持IPv6功能
能容纳的私网IP地址数量 2000 65536
默认支持同一个安全组内ECS实例互通 否,需要您单独添加安全组规则

使用限制

企业安全组的使用限制及配额,请参见使用限制安全组章节。

除上述限制外,使用企业安全组还需满足下列要求:

  • 2019年5月30日之前创建的ECS实例不可以加入企业安全组。
  • 支持IPv6功能的ECS实例规格,才能使用企业安全组。更多详情,请参见实例规格族
  • ECS实例和弹性网卡对所属的安全组类型有以下要求:
    • 一台ECS实例不能同时加入普通安全组和企业安全组。
    • 一张弹性网卡不能同时加入普通安全组和企业安全组。
    • 弹性网卡绑定到ECS实例时,两者的所属安全组类型必须相同。

控制台操作

在ECS管理控制台上,您可以按以下流程使用企业安全组。
  1. 创建一个企业安全组。

    创建时,安全组类型选择企业级安全组。详细步骤,请参见创建安全组

  2. 添加安全组规则。

    企业级安全组等同于通信白名单,只支持添加允许访问的规则,并且授权对象只能是IP地址段而不能是安全组。规则之间不存在优先级。详细步骤,请参见添加安全组规则

  3. 根据您的实际需求,将ECS实例或者弹性网卡加入到企业安全组。
    • 添加实例到安全组的详细步骤,请参见ECS实例加入安全组
      说明 一台ECS实例不能同时加入普通安全组和企业安全组。
    • 在企业安全组中使用弹性网卡的步骤如下:
      1. 如果弹性网卡在普通安全组中,通过修改弹性网卡加入到企业安全组中。

        详细步骤,请参见修改弹性网卡

      2. 将弹性网卡绑定到ECS实例。

        详细步骤,请参见绑定弹性网卡

  4. (可选)管理企业安全组,如添加标签、修改名称与描述、管理企业安全组内的ECS实例等。详细步骤请参见:

API操作

  1. 调用CreateSecurityGroup并将SecurityGroupType设置为enterprise

    在创建安全组之前,您需要确保有可用的专有网络VPC与虚拟交换机。

  2. 调用AuthorizeSecurityGroup添加一条入方向上允许访问的企业安全组规则,授权对象只能是IP地址段,不能是安全组。

    企业级安全组等同于白名单,策略(Policy)默认采用允许访问(accept)的规则,无需设置优先级(Priority)。您只需要指定通信协议(IpProtocol)、通信端口区间(PortRange)、(可选)源通信端口区间(SourcePortRange)、源IP地址段(SourceCidrIp)、(可选)目的端IP地址段(DestCiderIp)。

  3. 调用AuthorizeSecurityGroupEgress添加一条出方向上的企业安全组规则。
  4. 调用JoinSecurityGroup将专有网络VPC类型ECS实例入企业安全组。
  5. 在企业安全组中使用弹性网卡的步骤如下:
    1. 如果弹性网卡在普通安全组中,调用ModifyNetworkInterfaceAttribute将弹性网卡加入到企业安全组。
    2. 调用AttachNetworkInterface将已加入企业安全组的网卡挂载到ECS实例上。
  6. (可选)调用DescribeSecurityGroups查看您在当前地域下已创建的安全组列表。