セキュリティグループのインバウンドルールの「プロトコルタイプ」パラメーターが、「アクション」パラメーターが「許可」に設定されている場合に「すべて」に設定されているかどうかを確認します。設定されていない場合、評価結果は「準拠」です。インバウンドルールの「プロトコルタイプ」パラメーターが「すべて」に設定されているが、優先順位の高いインバウンドルールによってすべてのプロトコルへのアクセスが拒否されている場合、評価結果も「準拠」です。
シナリオ
このルールは、最小権限の原則(PoLP)に基づいてセキュリティグループのルールを構成する必要がある場合に適用されます。ネットワークへの露出を減らし、クラウド環境のネットワークセキュリティを確保するのに役立ちます。
リスクレベル
デフォルトのリスクレベル:高。
このルールを適用する場合は、ビジネス要件に基づいてリスクレベルを変更できます。
コンプライアンス評価ロジック
- セキュリティグループのインバウンドルールの「プロトコルタイプ」パラメーターが、インバウンドルールの「アクション」パラメーターが「許可」に設定されている場合に「すべて」に設定されていない場合、評価結果は「準拠」です。インバウンドルールの「プロトコルタイプ」パラメーターが「すべて」に設定されているが、優先順位の高いインバウンドルールによってすべてのプロトコルへのアクセスが拒否されている場合、評価結果も「準拠」です。
- インバウンドルールの「プロトコルタイプ」パラメーターが「すべて」に設定されているが、優先順位の高いインバウンドルールによってすべてのプロトコルへのアクセスが拒否されていない場合、評価結果は「非準拠」です。非準拠の構成を修正する方法については、「非準拠の修正」をご参照ください。
- このルールは Elastic Compute Service (ECS)にのみ適用されます。 Cloud Firewall (CFW)や NAT Gateway などの他の Alibaba Cloud サービス、または仮想ネットワーク事業者(VNO)が使用するセキュリティグループには適用されません。説明 マネージドモードで ECS 以外の Alibaba Cloud サービスを使用して作成されたセキュリティグループは、マネージドセキュリティグループと呼ばれます。マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。
ルールの詳細
| 項目 | 説明 |
| ルール名 | ecs-security-group-not-open-all-protocol |
| ルール ID | ecs-security-group-not-open-all-protocol |
| タグ | SecurityGroup |
| 自動修復 | サポートされていません |
| トリガータイプ | 構成の変更 |
| サポートされているリソースタイプ | ECS セキュリティグループ |
| 入力パラメーター | なし。 |
非準拠の修正
セキュリティグループルールを変更します。詳細については、「セキュリティグループルールを変更する」をご参照ください。