好问题！咱们把你的疑问拆解开来逐一说明：

能不能通过AWS CLI将现有安全组关联至新创建的VPC？ #

答案是不行。AWS的安全组是与特定VPC绑定的专属资源，一旦创建就无法转移到另一个VPC，也不能直接关联到其他VPC。每个安全组的生命周期完全依附于它被创建时所属的VPC，这是AWS网络资源的核心设计规则之一。

那正确的做法是什么？ #

既然你想复用现有安全组的规则到新集群的VPC中，最佳实践是复制现有安全组的规则，在新VPC中创建一个新的安全组并导入这些规则。这样既保留了你需要的安全策略，又符合AWS的资源模型。

具体的AWS CLI操作步骤如下：

1. 导出现有安全组的入站规则

   aws ec2 describe-security-groups --group-ids sg-你的现有安全组ID --query 'SecurityGroups[0].IpPermissions' > sg-ingress-rules.json
   

2. 在新VPC中创建一个新的安全组
   这一步就是你提到的命令，替换成你的新VPC ID和自定义名称：

   aws ec2 create-security-group --group-name my-reused-sg --description "复用现有安全组规则的新安全组" --vpc-id vpc-你的新VPCID
   

   执行后会返回新安全组的ID（比如sg-新安全组ID），记下来备用。

3. 将导出的入站规则导入新安全组

   aws ec2 authorize-security-group-ingress --group-id sg-新安全组ID --ip-permissions file://sg-ingress-rules.json
   

4. （可选）导出并导入出站规则
   如果你的现有安全组自定义了出站规则（默认是允许所有出站流量），也可以用类似方法迁移：

   # 导出出站规则
   aws ec2 describe-security-groups --group-ids sg-你的现有安全组ID --query 'SecurityGroups[0].IpPermissionsEgress' > sg-egress-rules.json
   # 导入出站规则到新安全组
   aws ec2 authorize-security-group-egress --group-id sg-新安全组ID --ip-permissions file://sg-egress-rules.json
   

这样操作后，新VPC里的安全组就和你原来的安全组拥有完全一致的规则了，后续创建集群时直接指定这个新安全组即可。

内容的提问来源于stack exchange，提问作者Shahar Hamuzim Rajuan