操作前須知

• 安全組能力概述和使用建議。具體信息，請(qǐng)參見(jiàn)安全組。

• 安全組分為普通安全組和企業(yè)級(jí)安全組，在安全組容量、是否支持組內(nèi)互通、是否支持添加授權(quán)對(duì)象為安全組以及默認(rèn)的訪問(wèn)控制規(guī)則等方面有一定差異。具體信息，請(qǐng)參見(jiàn)普通安全組與企業(yè)級(jí)安全組。

• 關(guān)于安全組的使用限制，請(qǐng)參見(jiàn)安全組使用限制。

創(chuàng)建安全組

• 在您創(chuàng)建ECS實(shí)例時(shí)，如果您還未創(chuàng)建過(guò)安全組，阿里云會(huì)為您創(chuàng)建一個(gè)默認(rèn)安全組。如果您希望ECS實(shí)例加入自定義安全組，您可以手動(dòng)創(chuàng)建安全組。

• 普通安全組的默認(rèn)組內(nèi)聯(lián)通策略為組內(nèi)互通，您可修改組內(nèi)聯(lián)通策略。具體信息，請(qǐng)參見(jiàn)修改普通安全組的組內(nèi)連通策略。

克隆安全組

您可以通過(guò)克隆安全組快速創(chuàng)建一個(gè)或多個(gè)安全組，且支持跨地域、跨網(wǎng)絡(luò)類型克隆安全組。適用于在安全組規(guī)則較多時(shí)，進(jìn)行跨地域復(fù)制安全組規(guī)則、安全組規(guī)則備份等場(chǎng)景。

如果您需要將安全組的網(wǎng)絡(luò)類型更換為專有網(wǎng)絡(luò)，您需要在目標(biāo)地域創(chuàng)建至少一個(gè)可用的專有網(wǎng)絡(luò)。具體操作，請(qǐng)參見(jiàn)創(chuàng)建和管理專有網(wǎng)絡(luò)。

如下場(chǎng)景，您可能需要克隆安全組：

• 假設(shè)您已經(jīng)在地域A里創(chuàng)建了一個(gè)安全組SG1，此時(shí)您需要對(duì)地域B里的實(shí)例使用與SG1完全相同的規(guī)則，您可以直接將SG1克隆到地域B，而不需要在地域B從零開(kāi)始創(chuàng)建安全組。

• 假設(shè)您已經(jīng)創(chuàng)建了一個(gè)適用于經(jīng)典網(wǎng)絡(luò)的安全組SG2，此時(shí)您需要對(duì)一些處于VPC網(wǎng)絡(luò)里的實(shí)例使用與SG2完全相同的規(guī)則，您可以在克隆SG2時(shí)將網(wǎng)絡(luò)類型改為VPC，生成一個(gè)適用于VPC網(wǎng)絡(luò)的安全組。

• 如果您需要對(duì)一個(gè)線上業(yè)務(wù)執(zhí)行新的安全組規(guī)則，您可以克隆原來(lái)的安全組作為備份。

克隆安全組成功后，您可能需要進(jìn)行以下操作：

• 將云資源（ECS實(shí)例，彈性網(wǎng)卡）加入新的安全組中。具體操作，請(qǐng)參見(jiàn)安全組關(guān)聯(lián)資源管理。

• 根據(jù)實(shí)際需求，修改新安全組的規(guī)則或連通策略，以確保安全組適應(yīng)新的網(wǎng)絡(luò)環(huán)境和安全策略。具體操作，請(qǐng)參見(jiàn)修改安全組規(guī)則和修改普通安全組的組內(nèi)連通策略。

修改安全組

創(chuàng)建安全組后，您可以根據(jù)需要隨時(shí)修改安全組的名稱、描述信息和標(biāo)簽信息，以便更方便地識(shí)別特定的安全組。

查詢安全組

創(chuàng)建安全組后，您可以通過(guò)安全組名稱、安全組ID或者專有網(wǎng)絡(luò)ID查詢相關(guān)安全組。

刪除安全組

如果您的業(yè)務(wù)已經(jīng)不再需要某個(gè)安全組，您可以刪除這個(gè)安全組。安全組刪除后，組內(nèi)所有安全組規(guī)則將被刪除。

安全組存在以下情況時(shí)，會(huì)刪除失敗：

• 在安全組內(nèi)有ECS實(shí)例或彈性網(wǎng)卡時(shí)，不能刪除。您需要先將實(shí)例或者彈性網(wǎng)卡移出安全組，再刪除安全組。具體操作，請(qǐng)參見(jiàn)管理安全組與ECS實(shí)例和管理安全組與彈性網(wǎng)卡。

• 在安全組被其他安全組的規(guī)則作為授權(quán)對(duì)象時(shí)，不能刪除。您需要先刪除相應(yīng)的授權(quán)規(guī)則，再刪除安全組。具體操作，請(qǐng)參見(jiàn)刪除安全組規(guī)則。

• 安全組已開(kāi)啟刪除保護(hù)功能。

  在您使用DeleteSecurityGroup接口刪除安全組時(shí)返回錯(cuò)誤碼InvalidOperation.DeletionProtection，或使用控制臺(tái)刪除安全組看到類似刪除保護(hù)的提示時(shí)，說(shuō)明該安全組開(kāi)啟了刪除保護(hù)功能。在您創(chuàng)建ACK集群時(shí)，關(guān)聯(lián)的安全組會(huì)開(kāi)啟刪除保護(hù)功能，來(lái)防止誤刪除。刪除保護(hù)功能無(wú)法手動(dòng)關(guān)閉，只有在刪除了關(guān)聯(lián)的ACK集群后，才能夠自動(dòng)關(guān)閉。更多信息，請(qǐng)參見(jiàn)關(guān)閉安全組刪除保護(hù)。

安全組常見(jiàn)問(wèn)題與最佳實(shí)踐

• 關(guān)于安全組配置、安全組規(guī)則設(shè)定、無(wú)法訪問(wèn)ECS實(shí)例、主機(jī)處罰與解禁流程、資源限額管理等常見(jiàn)問(wèn)題，請(qǐng)參見(jiàn)安全FAQ。

• 關(guān)于協(xié)議類型和端口范圍的問(wèn)題，請(qǐng)參見(jiàn)常用端口、修改服務(wù)器默認(rèn)遠(yuǎn)程端口。

• 將云資源（ECS實(shí)例，彈性網(wǎng)卡）加入新的安全組，請(qǐng)參見(jiàn)安全組與ECS實(shí)例關(guān)聯(lián)的管理、安全組與彈性網(wǎng)卡關(guān)聯(lián)的管理。

• 根據(jù)業(yè)務(wù)需要，如果需要修改安全組的組內(nèi)連通策略，請(qǐng)參見(jiàn)修改普通安全組的組內(nèi)連通策略。

• 您可通過(guò)OOS管理控制臺(tái)批量修改云資源綁定標(biāo)簽的標(biāo)簽值，請(qǐng)參見(jiàn)使用OOS批量修改標(biāo)簽值。

• 安全組規(guī)則配置最佳實(shí)踐與應(yīng)用案例：

  • 安全組應(yīng)用案例

  • ECS安全組實(shí)踐（入方向規(guī)則）

  • ECS安全組實(shí)踐（安全組授權(quán)）

  • ECS安全組實(shí)踐（安全組設(shè)置）

• 如果服務(wù)器開(kāi)啟了防火墻，并設(shè)置了屏蔽外界訪問(wèn)的規(guī)則，那么在遠(yuǎn)程訪問(wèn)該服務(wù)器時(shí)，可能會(huì)導(dǎo)致訪問(wèn)失敗。開(kāi)啟和關(guān)閉系統(tǒng)防火墻的最佳實(shí)踐：

  • 開(kāi)啟或關(guān)閉Windows系統(tǒng)防火墻

  • 開(kāi)啟或關(guān)閉Linux系統(tǒng)防火墻

• 其他最佳實(shí)踐：

  • 開(kāi)啟或關(guān)閉SELinux

  • 禁止RAM用戶創(chuàng)建高危安全組規(guī)則

  • ECS實(shí)現(xiàn)內(nèi)網(wǎng)互通

  • 不同安全組的經(jīng)典網(wǎng)絡(luò)實(shí)例內(nèi)網(wǎng)互通