Säkerhetsgrupper
En säkerhetsgrupp är en tillståndskännande brandvägg som ansluts till instanser och lastbalanserare. Regler tillåter inkommande (och eventuellt utgående) trafik; allt som inte uttryckligen tillåts nekas.
Skapa regler
Under Nätverk → Säkerhetsgrupper skapar du en grupp och lägger till regler. Varje regel anger:
- Riktning — ingress (inkommande) eller egress (utgående).
- Protokoll — TCP, UDP eller ICMP.
- Portintervall — t.ex.
22,80,443eller ett intervall. - Källa / destination — ett CIDR (t.ex.
0.0.0.0/0för var som helst) eller en annan säkerhetsgrupp.
Eftersom grupper är tillståndskännande tillåts returtrafik för en tillåten anslutning automatiskt — du behöver ingen matchande omvänd regel.
bash
fm network security-group create --name web --vpc my-vpc
fm network security-group rule add web --direction ingress \
--protocol tcp --port 443 --cidr 0.0.0.0/0God praxis
- Öppna endast de portar du behöver; föredra smala käll-CIDR:er framför
0.0.0.0/0. - Begränsa SSH (port 22) till kända administrativa adresser.
- Referera en grupp från en annan för att modellera nivåer (t.ex. tillåt
web-gruppen att nådb-gruppen på databasporten).