Day3:Security Group 简介与布建

在AWS SA间流传着一句俗谚:「SG/NACL锁的好，资安没烦恼」。很多在用AWS的用户常常分不清楚Security Group跟Network Access Control List(NACL)的差异在哪，今天让我们来好好研究一下什麽是AWS SG。

什麽是Security Group?
Security Group(SG)就是EC2外面一层的流量防火墙，你可以透过设定SG规则来限制流入到Instance的流量(Inbound Traffic/Ingress)以及从Instance的流出的流量(Outbound Traffic/Engress)，若您在启用EC2时，不想要手动设定，也可以使用预设规则。

SG规则
预设的SG规则是限制流入的流量，但流出不限制，若您的公司对於流量控管有严格的要求，SG也可以设定限制流出的流量只能到某些您设定的目标位置，以下是一些比较常见设定SG规则的条件：

SG规则是透过允许来设定，您无法建立拒绝存取的规则。
SG规则可让您选择协定(TCP、HTTP、HTTPS、SSH)以及port 号
SG是stateful，也就是说今天当您的Instance发出request，当response流量进来的时候不会管SG规则
您可以随时新增或移除SG规则
您可以套用超过一组的SG规则

如何建立SG
1.找到EC2，在侧边选单找到Network&Security选Security Group

2.按Create Security Group

3.输入名称、叙述以及选择一个已经建好的VPC

4.设定Inbound 规则，选择port种类、设定来源IP。Outbound 基本上不限制

5.最後按下Create Security Group，就完成了，在你建立EC2 Instance时你就可以选择将此SG附上，如果有发现无法连线的问题也可以来检查SG的设定是否正确