Os grupos de segurança são definidos quando você inicia cada instância, geralmente com uma "padrão". O grupo padrão permite acesso total a / de todas as instâncias no mesmo grupo de segurança padrão e nada mais (negação padrão), de modo semelhante a como um firewall normalmente pode ser configurado.
O grupo de segurança pode ser configurado com regras de firewall que permitem o acesso aos membros do grupo a partir de um local definido pelo endereço IP / intervalo de origem (CIDR) e pelo protocolo de destino ou porta TCP. Além de definir o acesso por intervalo de IP, você pode defini-lo por um grupo de segurança de origem: por exemplo, em seu grupo "db" você pode permitir que todos os membros do grupo "web" acessem a porta XYZ.
As regras se aplicam a todas as instâncias que são membros do grupo de segurança (as regras são combinadas se forem membros de dois ou mais) sem regras individuais por instância.
Por padrão, os grupos de segurança negam acesso, para que você não precise se preocupar com outros clientes, servidores em outros grupos ou hosts na Internet que acessam suas instâncias.