本文介绍安全组的使用操作,您可以通过ECS控制台或API使用安全组。
使用流程
您可以通过ECS控制台或API使用安全组。安全组的使用流程如下图所示。
- 管理ECS实例
- 管理弹性网卡
注意 通过ECS控制台和API新建一个企业安全组时,出方向的安全组规则设置如下:
- ECS控制台自动添加了默认允许所有访问。建议您保留该设置,否则可能引起网络连通性问题。
- API没有添加任何安全组规则,默认拒绝所有访问,建议您自行添加。
控制台操作
在ECS控制台上使用安全组的相关操作如下表所示。
| 操作任务 | 说明 | 相关文档 |
|---|---|---|
| 创建安全组 | 您可以自行创建一个安全组。 | 创建安全组 |
| 添加安全组规则 | 创建安全组后,您可以自定义添加或修改安全组规则,控制出入方向的网络访问。 | 添加安全组规则 |
| ECS实例加入到安全组 | 您可以将实例加入到安全组中来统一管理网络访问策略。一台ECS实例不能同时加入普通安全组和企业安全组。 如果ECS实例已经在普通安全组中,可通过替换安全组加入到企业安全组中。 | |
| 弹性网卡加入到安全组 | 您可以将弹性网卡加入到安全组中来统一管理网络访问策略。如果弹性网卡在普通安全组中,可通过修改弹性网卡加入到企业安全组中。 | 修改弹性网卡 |
| 将弹性网卡绑定到ECS实例 | ECS实例绑定弹性网卡后,安全组规则即开始生效。 | 绑定弹性网卡 |
| 管理安全组 | 您可以对安全组执行查询、修改、克隆、移出实例、删除等管理操作。 | |
| 管理安全组规则 | 安全组规则支持查询、修改、还原、导出、导入和删除操作。 |
API操作
您可以调用以下API使用安全组。
| API | 说明 |
|---|---|
| CreateSecurityGroup | 自行创建一个安全组。
说明 在创建企业安全组之前,您需要确保有可用的专有网络VPC与虚拟交换机。
|
| AuthorizeSecurityGroup | 添加一条入方向上的安全组规则,指定安全组入方向的访问权限,允许或者拒绝其他设备发送入方向流量到安全组里的实例。 |
| AuthorizeSecurityGroupEgress | 添加一条出方向上的安全组规则, 指定安全组出方向的访问权限,允许或者拒绝安全组里的实例发送出方向流量到其他设备。 |
| JoinSecurityGroup | 将一台ECS实例加入到指定的安全组中。 |
| ModifyInstanceAttribute | 切换安全组类型。如果ECS实例处于普通安全组中,通过ModifyInstanceAttribute可以切换为企业安全组。
说明 切换安全组类型前,您需要充分了解两种安全组规则的配置区别,避免影响实例网络。
|
| ModifyNetworkInterfaceAttribute | 修改弹性网卡所属安全组。如果弹性网卡在普通安全组中,通过ModifyNetworkInterfaceAttribute可以将弹性网卡加入到企业安全组。 |
| AttachNetworkInterface | 将已加入安全组的弹性网卡挂载到专有网络VPC类型的ECS实例上。 |
| DescribeSecurityGroups | 查看您在当前地域下已创建的安全组信息。 |
