ACL VS 安全组

安全组

安全组面向实例，如果有入站流量，那么相应的出站流量也会放行。

ACL

ACL面向子网，对于所有流量一视同仁。

最佳实践

由于安全组和网络 ACL 都能提供流量控制功能，理论上只用二者之一就可以保护 VPC 的安全。但是最佳实践还是二者结合使用，为 VPC 提供更全面的防护。

• 同时使用安全组和网络 ACL 相当于加了双重保险，如果你不小心误设了其中之一，另外一层保护依然能确保 VPC 的安全。
• 安全组作用于实例，因此安全组适合针对不同实例的精细化配置；网络 ACL 作用于子网，适合针对子网内所有实例的通用配置。
• 如果组织内有专门管理网络的团队，则该团队适合使用网络 ACL；研发或运维团队则负责实例级的安全组配置。