本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 安全组 \| 授权出口规则 为指定的安全组 (SG) 授权多个出口规则。您必须指定要授权的出口规则的配置。请注意,向指定的 SG 添加出口规则不会修改任何现有的出口规则。 **完整分类:**管理 \| 高级堆栈组件 \| 安全组 \| 授权出口规则 ## 更改类型详情 **** | | | | --- |--- | | 更改类型 ID | ct-0lqruajvhwsbk | | 当前版本 | 2.0 | | 预期执行时长 | 60 分钟 | | AWS 批准 | 必需 | | 客户批准 | 非必需 | | 执行模式 | 自动 | ## 附加信息 ### 授权安全组出站规则 #### 使用控制台授权安全组出站规则 AMS 控制台中此更改类型的屏幕截图: ![](http://docs.aws.amazon.com/zh_cn/managedservices/latest/ctref/images/guiSecGroupEgressAuthorizeCT.png) 工作原理: 1. 导航到 “**创建 RFC**” 页面:在 AMS 控制台的左侧导航窗格中,单击**RFCs**打开 RFCs 列表页面,然后单击 “**创建 R** FC”。 1. 在默认的 “**浏览更改类型” 视图中选择常用更改类型** (CT),或者在 “**按类别选择” 视图中选择** CT。 + **按更改类型浏览**:您可以单击 “**快速创建**” 区域中的常用 CT,立即打开 “**运行 RFC**” 页面。请注意,您不能使用快速创建来选择较旧的 CT 版本。 要进行排序 CTs,请使用**卡片**视图或**表格**视图中的**所有更改类型**区域。在任一视图中,选择一个 CT,然后单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。如果适用,“**创建 RFC” 按钮旁边会出现 “使用旧版本****创建**” 选项。 + **按类别选择:选择类别**、子类别、项目和操作,CT 详细信息框将打开,并显示 “使用**旧版本创建**” 选项(如果适用)。单击 “**创建 RFC**” 打开 “**运行 RFC**” 页面。 1. 在 “**运行 RFC**” 页面上,打开 CT 名称区域以查看 CT 详细信息框。必须填写**主题**(如果您在 “**浏览更改类型**” 视图中选择 CT,则会为您填写此主题)。打开**其他配置**区域以添加有关 RFC 的信息。 在**执行配置**区域中,使用可用的下拉列表或输入所需参数的值。要配置可选的执行参数,请打开**其他配置**区域。 1. 完成后,单击 “**运行**”。如果没有错误,则会显示**成功创建的 RFC** 页面,其中包含已提交的 RFC 详细信息和初始**运行**输出。 1. 打开**运行参数**区域以查看您提交的配置。刷新页面以更新 RFC 的执行状态。(可选)取消 RFC 或使用页面顶部的选项创建一个 RFC 的副本。 #### 使用 CLI 授权安全组出站规则 工作原理: 1. 使用 Inline Create(您发出包含所有 RFC 和执行参数的`create-rfc`命令)或模板创建(创建两个 JSON 文件,一个用于 RFC 参数,一个用于执行参数),然后以这两个文件作为输入发出`create-rfc`命令。这里描述了这两种方法。 1. 提交带有返回的 RFC ID 的 RFC: `aws amscm submit-rfc --rfc-id {{ID}}` 命令。 监控 RFC: `aws amscm get-rfc --rfc-id {{ID}}` 命令。 要检查更改类型版本,请使用以下命令: ``` aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value={{CT_ID}} ``` **注意** 您可以将任何`CreateRfc`参数与任何 RFC 一起使用,无论它们是否属于变更类型的架构的一部分。例如,要在 RFC 状态更改时收到通知,请将此行添加到请求的 RFC 参数部分(不是执行参数)。`--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"`有关所有 CreateRfc 参数的列表,请参阅《[AMS 变更管理 API 参考](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html)》。 *内联创建*: 使用内联提供的执行参数(内联提供执行参数时使用转义引号)发出 create RFC 命令,然后提交返回的 RFC ID。例如,你可以用这样的东西替换内容: ``` aws amscm create-rfc --change-type-id "ct-0lqruajvhwsbk" --change-type-version "2.0" --title "{{AWSManagedServices-AuthorizeSecurityGroupEgressRulesV2}}" --execution-parameters "{\"DocumentName\": \"AWSManagedServices-AuthorizeSecurityGroupEgressRulesV2\",\"Region\": \"{{us-east-1}}\",\"Parameters\": {\"SecurityGroupId\": [ \"{{sg-03b5e3a1ad874bdd7}}\"],\"OutboundRules\": [{\"IpProtocol\": \"{{tcp}}\",\"FromPort\": \"{{80}}\",\"ToPort\": \"{{80}}\",\"Destination\": \"{{192.168.1.0/24}}\"},{\"IpProtocol\": \"{{tcp}}\",\"FromPort\": \"{{99}}\",\"ToPort\": \"{{99}}\",\"Destination\": \"{{172.16.0.0/24}}\", \"Description\": \"{{On-prem IP}}\"}]}}" ``` *模板创建*: 1. 将此更改类型的执行参数 JSON 架构输出到文件中;此示例将其命名为 Auth p SGEgress arams.json。 ``` aws amscm get-change-type-version --change-type-id "ct-0lqruajvhwsbk" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > AuthSGEgressParams.json ``` 1. 修改并保存身份验证SGEgress参数文件。例如,你可以用这样的东西替换内容: ``` { "DocumentName": "AWSManagedServices-AuthorizeSecurityGroupEgressRulesV2", "Region": "{{us-east-1}}", "Parameters": { { "SecurityGroupId": [ "sg-03b5e3a1ad874bdd7" ], "OutboundRules": [ { "IpProtocol": "{{tcp}}", "FromPort": "{{80}}", "ToPort": "{{80}}", "Destination": "{{192.168.1.0/24}}" }, { "IpProtocol": "{{tcp}}", "FromPort": "{{99}}", "ToPort": "{{99}}", "Destination": "{{172.16.0.0/24}}", "Description": "{{On-prem IP}}" } ] } } } ``` 1. 将 RFC 模板 JSON 文件输出到名为 Auth SGEgress rfc.json 的文件中: ``` aws amscm create-rfc --generate-cli-skeleton > AuthSGEgressRfc.json ``` 1. 修改并保存 Auth SGEgress rfc.json 文件。例如,你可以用这样的东西替换内容: ``` { "ChangeTypeVersion": "2.0", "ChangeTypeId": "ct-0lqruajvhwsbk", "Title": "Authorize Multiple Egress Rules" } ``` 1. 创建 RFC,指定 Auth SGEgress Rfc 文件和身份SGEgress验证参数文件: ``` aws amscm create-rfc --cli-input-json file://AuthSGEgressRfc.json --execution-parameters file://AuthSGEgressParams.json ``` 您在响应中收到新 RFC 的 ID,并可以使用它来提交和监控 RFC。在您提交之前,RFC 仍处于编辑状态且无法启动。 #### 提示 **注意** 有两种方法可以授权新的出口规则,一种是安全组:更新更改类型 (ct-3memthlcmvc1b),具有 ExecutionMode =Manual,为自定义规则提供了很大的自由度;但是,由于是手动的,因此需要更长的时间才能执行,因为AMS Operations必须对其进行安全审查,并且可能需要通信。另一种出口规则授权方式,即安全组:授权出口规则更改类型 (ct-3j2zstluz6dxq),具有 =Automated,并提供用于创建标准或 ICMP 出口规则的选项。 ExecutionMode TCP/UDP 它的范围更有限;但是,由于实现了自动化,它的执行速度更快。 本演练适用于 “安全组:授权出口规则” 更改类型。 要了解有关 AWS 安全组和安全组规则的更多信息,请参阅[安全组规则参考](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html);此页面可以帮助您确定所需的规则,更重要的是,如何命名您的安全组,以便在创建其他资源时选择安全组非常直观。另请参阅适用于 [Linux 实例的 Amazon EC2 and/or 安全组适用于](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)[您的 VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html) 的安全组。 创建安全组后,使用[将安全组与资源关联](management-advanced-security-group-associate.md#ex-sec-group-associate-col)将安全组与您的 AMS 资源关联。要删除安全组,该安全组必须具有关联的资源。 ## 执行输入参数 有关执行输入参数的详细信息,请参见[变更架构类型 ct-0lqruajvhwsbk](schemas.md#ct-0lqruajvhwsbk-schema-section)。 ## 示例:必填参数 ``` Example not available. ``` ## 示例:所有参数 ``` Example not available. ```