什么是安全组.安全组能力介绍,普通安全组,企业级安全组,默认安全组,托管安全组,安全组使用建议

2026-01-06 12:44:16

功能介绍创建ECS实例时，您需要指定一个或多个安全组。ECS 实例关联的多个安全组的规则将按固定的策略排序，共同决定是否放行实例出入站的流量。

您可以为安全组新增规则，修改或删除已有规则，这些规则变动会自动作用于安全组中的所有ECS实例。安全组规则由授权对象、目的端口、协议类型、授权策略（允许或拒绝）和优先级组成。安全组的入方向规则控制ECS实例入站的流量，出方向规则控制ECS实例出站的流量，详情请参见安全组规则。

ECS实例关联的安全组，其规则作用于主网卡。专有网络ECS实例的其他弹性网卡，可以指定与主网卡不同的安全组。

配置安全组时，您还需要了解如下信息：

在专有网络VPC下，安全组仅能在所属的VPC下使用，在创建专有网络VPC的ECS实例时，您指定的虚拟交换机和安全组，必须属于同一个VPC。

ECS实例或者弹性网卡可以关联一个或者多个安全组，但必须至少关联一个安全组。ECS实例和弹性网卡关联安全组的数量限制，请参见安全组使用限制。

在创建ECS实例时，如果您未指定安全组，系统会将该ECS实例的主网卡关联到默认安全组，详情请参见默认安全组。

例如下图所示，专有网络VPC包含ECS 1和 ECS 2，两个ECS的主网卡都关联安全组1。假设安全组1是普通安全组，组内连通策略默认为组内互通，那么ECS 1和 ECS 2的内网是互通的，这种互通策略不受您配置的自定义规则的影响。ECS 1和 ECS 2的其他出入方向流量受到安全组1的自定义规则控制。根据安全组1的入方向规则，使用任意IP都可以ping通安全组1内ECS 1和 ECS 2，安全组1未配置出方向规则，默认允许所有出方向的流量。

安全组分类普通安全组和企业级安全组根据特性不同，安全组分为普通安全组和企业级安全组，两者均免费，适用于不同的使用场景。

普通安全组：支持组内互通功能，支持添加授权安全组访问的规则，但可容纳的私网IP数量小于企业级安全组。

企业级安全组：可以容纳更多的私网IP地址数量，但不支持组内互通功能，也不支持添加授权安全组访问的规则。

在ECS实例关联到多个安全组时，同一块弹性网卡只能使用一种类型的安全组。建议您根据自己的使用需求来选择安全组类型，详情请参见普通安全组与企业级安全组。

自定义安全组和托管安全组根据操作权限归属不同，安全组分为自定义安全组和托管安全组。自定义安全组和托管安全组都可以是普通安全组或者企业级安全组。

自定义安全组：由阿里云账号直接在ECS控制台上创建的安全组为自定义安全组，您拥有自定义安全组的操作权限。默认安全组也属于自定义安全组，详情请参见创建安全组。

托管安全组：云产品可以为您创建托管安全组，操作权限属于云产品，您仅能查看不能操作，详情请参见托管安全组。

在您使用DescribeSecurityGroups接口查询到安全组的ServiceManaged属性为True，或使用控制台看到安全组有类似云产品托管的安全组不支持修改操作的提示时，表示该安全组为托管安全组。