本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# vpc-sg-port-restriction-检查
<a name="vpc-sg-port-restriction-check"></a>

检查安全组是否限制从 0.0.0.0/0 或 ::/0 明确传入受限端口的流量。如果安全组允许通过端口 22/3389 或参数中指定的来自 0.0.0.0/0 或:: /0 TCP/UDP 的传入流量，则该规则不合规。



**标识符：**VPC\$1SG\$1PORT\$1RESTRICTION\$1CHECK

**资源类型：** AWS::EC2::SecurityGroup

**触发器类型：** 定期

**AWS 区域：**除亚太 AWS 地区（新西兰）、中国（北京）、亚太地区（泰国）、亚太地区（马来西亚）、墨西哥（中部）、亚太地区（台北）、加拿大西部（卡尔加里）地区以外的所有支持区域

**参数：**

restrictPorts（可选）类型：CSV  
以逗号分隔的端口列表，这些端口不应对整个 IP 范围内的传入流量开放。有效端口号范围为 0 到 65535。如果未指定，则此规则默认为检查 22 和 3389。

protocolType（可选）类型：字符串  
规则要检查的传输协议类型。有效值包括“TCP”、“UDP”和“ALL”（不区分大小写）。如果设置为“ALL”，则此规则将检查是否有使用“TCP”、“UDP”或“ALL”（-1）协议的规则。默认值为“ALL”。

excludeExternalSecurity群组（可选）类型：布尔值  
布尔标志，用于排除对外部安全组的评估。如果设置为“true”，则此规则将不会在评估中包含外部安全组。否则，如果值设置为“false”，则会评估所有安全组。默认值为“true”。

ipType（可选）类型：字符串  
规则要检查的互联网协议（IP）版本。有效值包括 ''、IPv4 '' 和 IPv6 'ALL'（不区分大小写）。如果未指定，则此规则默认为检查“ALL”。

## AWS CloudFormation 模板
<a name="w2aac20c16c17b7e1573c19"></a>

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅[使用 AWS CloudFormation 模板创建 AWS Config 托管规则](aws-config-managed-rules-cloudformation-templates.md)。