Sikkerhetsgrupper
En sikkerhetsgruppe er en tilstandsbevisst brannmur koblet til instanser og lastbalansere. Regler tillater innkommende (og eventuelt utgående) trafikk; alt som ikke eksplisitt er tillatt, nektes.
Opprett regler
Under Nettverk → Sikkerhetsgrupper oppretter du en gruppe og legger til regler. Hver regel angir:
- Retning — inngående (innkommende) eller utgående.
- Protokoll — TCP, UDP eller ICMP.
- Portområde — f.eks.
22,80,443, eller et område. - Kilde / destinasjon — en CIDR (f.eks.
0.0.0.0/0for hvor som helst) eller en annen sikkerhetsgruppe.
Fordi grupper er tilstandsbevisste, tillates returtrafikk for en tillatt forbindelse automatisk — du trenger ingen tilsvarende omvendt regel.
bash
fm network security-group create --name web --vpc my-vpc
fm network security-group rule add web --direction ingress \
--protocol tcp --port 443 --cidr 0.0.0.0/0God praksis
- Åpne bare portene du trenger; foretrekk smale kilde-CIDR-er fremfor
0.0.0.0/0. - Begrens SSH (port 22) til kjente administrative adresser.
- Referer til én gruppe fra en annen for å modellere lag (f.eks. tillat
web-gruppen å nådb-gruppen på databaseporten).