Группа безопасности (Security Group) — набор правил для управления доступом к облачным ресурсам. Правила группы безопасности позволяют контролировать входящий и исходящий трафик, разрешая или запрещая доступ на основе IP-адресов, протоколов и портов.
Группа безопасности обрабатывает трафик на основе входящих и исходящих правил. Для входящих правил необходимо указать источник, порт и протокол, а для исходящих — назначение, порт и протокол. Правила могут быть запрещающие и разрешающие. Если трафик разрешен в одну сторону, то автоматически разрешен и ответный трафик вне зависимости от остальных правил группы безопасности.
Правила группы безопасности распространяются на все ресурсы, добавленные в группу безопасности. При этом ресурсы в одной группе безопасности и одной виртуальной сети VPC могут взаимодействовать между собой без дополнительных правил.
При создании инстанса, например ECS, его нужно добавить в группу безопасности. Ее можно создать заранее самостоятельно или использовать автоматически созданную группу безопасности по умолчанию. Один облачный ресурс можно добавить в несколько групп безопасности. В таком случае входящий и исходящий трафик будет обрабатываться по приоритету в порядке убывания.
Группы безопасности управляют доступом на уровне инстансов. Защиту на уровне подсетей обеспечивает Network Access Control List (ACL). Подробнее о различиях групп безопасности и Network ACL.
В этом разделе: