小编SFu*_*n28的帖子

当我为一个实例分配多个安全组时会发生什么？如果任何一个安全组允许，就允许流量进入的意义上来说是宽容的。或者在每个安全组必须允许流量传入的意义上是限制性的？

例如，假设我有一类实例，它只会与同一帐户中的其他实例通信。我还有一类实例只接受通过 HTTP（端口 80）的流量。

是否可以通过创建和应用两个安全组来限制对内部实例的访问，并且只能通过 HTTP：

1. “内部”安全组。在所有传输（TCP、UDP、ICMP）的所有端口上允许来自该安全组其他成员的所有流量
2. 创建一个“http”安全组。允许所有流量从任何来源通过 TCP 进入端口 80。

或者我是否被迫创建一个安全组来允许来自源本身的端口 80 的流量？