インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合、インバウンドルールの「承認オブジェクト」パラメーターがパブリック IP アドレスまたはパブリック CIDR(Classless Inter-Domain Routing)ブロックに設定されているかどうかを確認します。 設定されていない場合、評価結果は「準拠」です。
シナリオ
パブリック CIDR ブロックを ECS インスタンスのホワイトリストに追加する場合は、注意して進めてください。 これは、ネットワークを分離し、クラウド環境のネットワーク セキュリティを確保するのに役立ちます。
リスク レベル
デフォルトのリスク レベル:高。
このルールを適用する場合は、ビジネス要件に基づいてリスク レベルを変更できます。
コンプライアンス評価ロジック
- インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合、各インバウンドルールの「承認オブジェクト」パラメーターがパブリック IP アドレスまたはパブリック CIDR ブロックに設定されていない場合、評価結果は「準拠」です。
- インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合、インバウンドルールの「承認オブジェクト」パラメーターがパブリック IP アドレスまたはパブリック CIDR ブロックに設定されている場合、評価結果は「非準拠」です。 非準拠の構成を修正する方法については、「非準拠の修正」をご参照ください。
- このルールは Elastic Compute Service(ECS)にのみ適用されます。 このルールは、Cloud Firewall(CFW)や NAT ゲートウェイなどの他の Alibaba Cloud サービス、または仮想ネットワーク オペレーター(VNO)が使用するセキュリティグループには適用されません。説明 マネージドモードで ECS 以外の Alibaba Cloud サービスを使用して作成されたセキュリティグループは、マネージド セキュリティグループと呼ばれます。 マネージド セキュリティグループの詳細については、「マネージド セキュリティグループ」をご参照ください。
ルールの詳細
| 項目 | 説明 |
| ルール名 | ecs-security-group-not-internet-cidr-access |
| ルール ID | ecs-security-group-not-internet-cidr-access |
| タグ | SecurityGroup |
| 自動修正 | サポートされていません |
| トリガー タイプ | 構成変更 |
| サポートされているリソース タイプ | ECS セキュリティグループ |
| 入力パラメーター | なし。 |
非準拠の修正
セキュリティグループルールを変更します。 詳細については、「セキュリティグループルールを変更する」をご参照ください。