セキュリティグループにルールを追加して、セキュリティグループ内のElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。
背景情報
Alibaba Cloudは、一般的なシナリオでセキュリティグループルールを設定する方法の例を提供します。 詳細については、「異なるユースケースのセキュリティグループ」をご参照ください。
このトピックは、次のシナリオに適しています。
- インスタンスにデプロイされたアプリケーションが、インスタンスのセキュリティグループの外部のネットワークへの要求を開始したが、要求が待機状態のままである場合、要求を許可するセキュリティグループルールを追加する必要があります。
- 実行中のアプリケーションが一部のリクエストソースから攻撃を受けた場合、セキュリティグループルールを追加して悪意のあるリクエストをブロックできます。
セキュリティグループルールを追加する前に、次の項目に注意してください。
- 基本または高度なセキュリティグループにルールを追加する前に、セキュリティグループにデフォルトのルールが含まれていることに注意してください。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。
- セキュリティグループには、限られた数のルールしか含めることができません。 最小数のルールを追加することを推奨します。 詳細については、「セキュリティグループルール」をご参照ください。
手順
- [セキュリティグループ] ページに移動します。
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーの左上隅で、リージョンを選択します。
- ルールを追加するセキュリティグループを見つけて、[操作] 列の [ルールの追加] をクリックします。
- セキュリティグループルールの方向を選択します。
- セキュリティグループのネットワークタイプがVirtual Private Cloud (VPC) の場合、[インバウンド] または [アウトバウンド] タブをクリックします。
- セキュリティグループのネットワークタイプがクラシックネットワークの場合、[インバウンド] 、[アウトバウンド] 、[インターネットイングレス] 、または [インターネットエグレス] タブをクリックします。
- セキュリティグループルールを追加します。
- 方法1: セキュリティグループルールをすばやく追加する
この方法は、共通TCPルールの設定に適しています。 [クイック追加] をクリックします。 [クイック追加] ダイアログボックスで、[操作] と [権限付与オブジェクト] を設定し、1つ以上のポートを選択します。
- 方法2: セキュリティグループルールを手動で追加するセキュリティグループルールを手動で追加するには、Action、Priority、Protocol Type、Port Range、Authorization Objectなどのパラメーターを設定する必要があります。
- [ルールの追加] をクリックします。
- ルールリストに追加するルールを設定します。 単一のセキュリティグループルールを設定する方法については、「セキュリティグループルール」をご参照ください。
- [操作] 列の [保存] をクリックします。
- 方法1: セキュリティグループルールをすばやく追加する
よくある質問
- プロトコルタイプおよびポート範囲パラメーターの詳細については、「共通ポート」および「セキュリティグループルールにおけるプロトコルタイプとポート範囲の関係について」をご参照ください。
- インスタンスがセキュリティグループに追加された後にインスタンスのサービスにアクセスできない理由については、セキュリティグループを設定した後にサービスにアクセスできない理由をご参照ください。
- TCPポート80とTCPポート25にアクセスできない理由については、「TCPポート80にアクセスできない理由」をご参照ください。 そして、TCPポート25にアクセスできないのはなぜですか?
- セキュリティグループルールの詳細については、「セキュリティに関するFAQ」をご参照ください。
参考資料
- API操作を呼び出してインバウンドセキュリティグループルールを追加する方法については、「AuthorizeSecurityGroup」をご参照ください。
- API操作を呼び出してアウトバウンドセキュリティグループルールを追加する方法については、「AuthorizeSecurityGroupEgress」をご参照ください。