-
Security Group(SG):
- 所有设定默认是拒绝,只可以设定许可规则,拒否ルールは指定できません。
- 特征是不单可以指定CIDR等IP,还可以指定SG
- 安全组是有状态的 — 如果您从实例发送一个请求,则无论入站安全组规则如何,都将允许该请求的响应流量流入。如果是为响应已允许的入站流量,则该响应可以出站,此时可忽略出站规则。セキュリティグループはステートフルです。
-
Access Control List(ACL):
- VPC 自动带有可修改的默认网络 ACL。默认情况下,它允许所有入站和出站 IPv4 流量以及 IPv6 流量 (如果适用)。
- 可以创建自定义网络 ACL 并将其与子网相关联。默认情况下,每个自定义网络 ACL 都拒绝所有入站和出站流量,直至您添加规则。
- VPC 中的每个子网都必须与一个网络 ACL 相关联。如果您没有明确地将子网与网络 ACL 相关联,则子网将自动与默认网络 ACL 关联。
- 可以将网络 ACL 与多个子网关联。但是,一个子网一次只能与一个网络 ACL 关联。当您将一个网络 ACL 与一个子网关联时,将删除之前的关联。
- 网络 ACL 包含规则的编号列表。我们按顺序评估(从编号最小的规则开始)规则,以判断是否允许流量进入或离开任何与网络 ACL 关联的子网。您可以使用的最高规则编号为 32766。我们建议您开始先以增量方式创建规则(例如,以 10 或 100 的增量增加),这样您可以在稍后需要时插入新的规则。
- 网络 ACL 有单独的入站和出站规则,每项规则都或是允许或是拒绝数据流。
- 网络 ACL 没有任何状态,这意味着对允许入站数据流的响应会随着出站数据流规则的变化而改变(反之亦然)。(ネットワーク ACL はステートレスです。許可されているインバウンドトラフィックに対する応答は、アウトバウンドトラフィックのルールに従います(その逆の場合も同様です)。)
- ルール番号。ルールは、最も低い番号のルールから評価されます。ルールがトラフィックに一致すると、それと相反するより高い数値のルールの有無にかかわらず、すぐに適用されます。
- タイプ。トラフィックのタイプ(SSH など)。また、すべてのトラフィックまたはカスタム範囲を指定することもできます。
セキュリティグループはステートフルです。(レスポンスでも明示する必要なしで許可。)
ACLはステートレスです。(レスポンスでも明示する必要ある。)
