AWS 上开了一个实例，需要的几个服务已经跑起来了。请教下，安全性方面，怎么配置比较合适？

先把最基本的处理了，ssh 默认端口修改、限制 root 用户登录、连接次数、同时登录用户数、超时时间
其他没必要开的端口全屏蔽了，数据库最好不要开启外网访问
管理后台别直接暴露链接
php 之类的注入检测防范一下

AWS 有安全相关的 best practice 白皮书。跟 vps 开台机器有很大不同。看你业务规模和学习意愿选吧

看看怎么配 security group

aws 默认不能 root 登录，默认只能用 key 登录，所以你在安全组打开你要的端口就可以了，其他都不需要配置

@knightdf 看了 AWS 的 Linux 实例用户指南，目前入站规则，开放了 http、https、ssh，来源无限制。出站规则，允许所有。

@elgae 只需要关心入站，出站一般都是全部开放

是免费那一款吗？

@eoo 免费的，有不同的系统可以选择。用来做 telegram bot 的服务器。

看看 aws 的官方文档，其实都有官方建议，从简到繁
https://docs.aws.amazon.com/zh_cn/AmazonVPC/latest/UserGuide/VPC_Scenarios.html

安全组，只开通需要的端口，另外就是远程管理这种端口改掉，不要用默认的。
这两步看似简单，实际很有效果。
剩下的就是让你的程序不要有漏洞了
再剩下的才是高难度的安全防护

waf

按 aws 官方教程流程来，就已经很安全了。

优先 VPC，再接着所用的实例还有其它资源的授权不要滥给高权限账户身份。

需求高点，可以花点小钱买官方支持服务，可以直接和 aws 专家商讨 /请教各种技术问题 /方案。

有兴趣，欢迎加入 telegram 的 aws chinese user 组 (两岸三地 都有)

除了楼上 V 友说的之外，还有 IAM 也是很关键的一环。

我们在生产环境中比较在乎的是 security group 和 IAM 的配置。
1). 保证不同人员只有自己的需要的权限，root 一般不用。
2). 生产环境里只开放需要的端口，其他的一律屏蔽。比如 RDS 只对 EBS，某个 EC2 或者办公室 IP 开放端口等等。

最后安利一个 Terraform for aws ( https://www.terraform.io/docs/providers/aws/index.html), 代码化管理 AWS 服务，也方便以后进行平台迁移。

谢谢各位提供的建议，就不一一 @了。

@likuku 拉我进组，telegram 账号 belgae

@fredcc 你贴的文档不对，不过还是谢谢。

@elgae 已发送入群链接