先规划对于分布式应用来说，不同的应用类型应放到不同组中。
使用白名单方式管理安全组，不建议用户使用先加一条低优先级全通，再逐条拒绝的方式。
要慎用0.0.0.0/0全通策略。遵守规则最小化配置原则。
尽量使用CIDR段，因为单组容量有限，而且CIDR地址段更容易扩展和维护。
不限制协议使用all，不是每个协议都配一遍。

安全组规则变更非常高危，要认真写好备注以便于后续的维护。