安全组规则是一组控制入站和出站流量的规则。当网络流量到达实例时，安全组将会根据其规则来评估该流量是被允许通过还是被拒绝。

在 AWS 中，安全组规则的评估遵循以下顺序：

1. 当请求进入实例时，会检查安全组中所有入站规则，如果请求的源 IP 地址与任一规则匹配，则该请求会被允许或拒绝，取决于规则中指定的操作。
2. 如果实例允许流量通过，则检查所有出站规则，如果目标 IP 地址和端口与任一规则匹配，则流量会被允许或拒绝，取决于规则中指定的操作。
3. 如果流量通过了所有的入站和出站规则，它就能够到达实例。

下面是一个使用 Python Boto3 SDK 创建安全组、添加规则和描述规则的示例代码：

导入 Boto3 SDK

import boto3

创建 EC2 client

ec2 = boto3.client('ec2')

创建安全组

response = ec2.create_security_group(GroupName='my-security-group',Description='My security group')

获取安全组 ID

sg_id = response['GroupId']

添加入站规则

ec2.authorize_security_group_ingress( GroupId=sg_id, IpPermissions=[ {'IpProtocol': 'tcp', 'FromPort': port, 'ToPort': port, 'IpRanges': [{'CidrIp': '0.0.0.0/0'}]} ])

添加出站规则

ec2.authorize_security_group_egress( GroupId=sg_id, IpPermissions=[ {'IpProtocol': 'tcp', 'FromPort': port, 'ToPort': port, 'IpRanges': [{'CidrIp': '0.0.0.0/0'}]} ])

描述安全组规则

response = ec2.describe_security_groups(GroupIds=[sg_id]) print(response)