amazon-web-services - AWS 安全组：入站规则的来源与安全组名称相同吗？

我有一个运行网站并关联 ALB 的 ec2 实例。

通常作为 ec2 实例安全组内部的一种做法，会引用 alb 安全组，但这里客户端的配置方式是，在 ec2 实例内部，源是安全组本身的名称。

名称为的 ec2 实例的安全组

sg-0bc7e4b8b0fc62ec7 - default

根据我对 aws 安全组的理解，在入站规则下，当涉及到source时，我们可以提及 IP 地址、CIDR 块或reference another security group.

但这对于所有流量、所有端口都允许但 source =的入站规则意味着什么sg-0bc7e4b8b0fc62ec7 / default。

我对使用同名的安全组作为源感到困惑，这条规则意味着什么？

标签： amazon-web-servicesamazon-ec2aws-security-group

每个 VPC 都有一个默认安全组(SG)。在此 SG 中，入站规则允许来自“自身”的所有传入流量。这意味着

当您将安全组指定为规则的源时，允许来自与指定协议和端口的源安全组关联的网络接口的流量。

换句话说，如果您有两个使用默认 VPC SG 的实例，它们只能相互通信。任何一个实例都不允许其他入站流量。

使用 SG 作为源是一种很好的做法，如果经常在负载均衡器 (LB) 及其实例之间或实例与 RDS 数据库之间使用的话。在第一种情况下，实例只允许来自 LB 的 SG 的传入流量，而在第二种情况下，db instance 只允许来自实例的 SG 的传入连接。