安全组规则如何评估?

How are security group rules evaluated?

我目前正在学习 AWS Certified Solutions Architect - Associate (SAA-C02) Linkedin Learning 课程,我遇到了一些关于安全组的困惑。 在讲座中,讲师说使用安全组时:

We evaluate all rules before deciding whether to allow traffic

与 NACL 的工作方式相反,一旦规则匹配,您就停止处理。

但是在讲座结束时,总结如下:

It is important to get the order of rules correct or the desired permissions will not be accomplished

我不明白这个。如果所有规则都被评估,那么它们的顺序为什么重要?此外,安全组仅支持允许规则。不存在一种规则允许流量而另一种规则拒绝流量的情况。

一个资源上可以有多个安全组。评估安全组时,如果 任何 安全组规则允许访问 ,则允许​​ 访问。如果没有安全组规则允许访问,则访问被拒绝。

一个子网上只有一个网络访问控制列表 (NACL)。在评估 NACL 时,规则按顺序评估。有一个默认规则 最后评估,它决定默认是允许还是拒绝。

我同意你的看法,讲师的说法似乎不准确。