ここでは、VPC 接続およびクラシックネットワーク接続のいくつかのセキュリティグループのシナリオの詳細について説明します。

セキュリティグループの作成方法と対応するルールの詳細については、 「セキュリティグループの作成」および 「セキュリティグループルールの追加」をご参照ください。

シナリオ 1: イントラネット通信の有効化

セキュリティグループルールを使用して、次のように同じリージョンの異なるアカウント、または異なるセキュリティグループに属する ECS インスタンス間のイントラネット通信を有効にできます。

  • ケース 1: 同じリージョンの同じアカウントに属するインスタンス
  • ケース 2: 同じリージョンの異なるアカウントに属するインスタンス。
VPC 接続 ECS インスタンスの場合
  • インスタンスが 1 つの VPC 内にある場合は、イントラネット通信を有効にするようにそれらのセキュリティグループルールを設定できます。
  • インスタンスが異なる VPC 内にある場合、または同じリージョンの異なるアカウントに属している場合は、イントラネット通信を確立するために Express Connect を使用する必要があります。 詳細については、「異なるアカウントでの VPC 間のイントラネット接続の確立」をご参照ください。
ケース 1: 1 つのリージョンの 1 つのアカウントに属するインスタンス

同じリージョンで同じアカウントに属している 2 つのインスタンスが 1 つのセキュリティグループに属しているとき、デフォルトでイントラネット通信が有効になっています。 異なるセキュリティグループに属している場合は、ネットワークタイプに応じてイントラネット通信を有効にするようにセキュリティグループルールを設定する必要があります。

  • VPC

    インスタンスが 1 つの VPC にある場合は、それぞれのセキュリティグループにセキュリティグループ間の共有アクセスを許可するようにルールを追加します。 ルールは以下のとおりです。

    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 優先度 権限付与タイプ 権限付与オブジェクト
    N/A インバウンド 許可 必要なプロトコルの選択 必要なポート範囲の設定 1 セキュリティグループアクセス (このアカウントを許可) インスタンスへのアクセスを許可するセキュリティグループ ID を選択
  • クラシックネットワーク

    セキュリティグループ間で共有アクセスを許可するためのルールをそれぞれのセキュリティグループに追加します。 ルールは以下のとおりです。

    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 優先度 権限付与タイプ 権限付与オブジェクト
    イントラネット インバウンド 許可 必要なプロトコルの選択 必要なポート範囲の設定 1 セキュリティグループアクセス (このアカウントを許可) インスタンスへのアクセスを許可するセキュリティグループIDを選択
ケース 2: 同じリージョンの異なるアカウントに属するインスタンス

以下の情報は、クラシックネットワーク接続 ECS インスタンスについてのみです。

セキュリティグループ間の共有アクセスを許可します。 例:

  • ユーザー A は、プライベート IP アドレス A.A.A.A を持つ、インスタンス A という名前の、中国 (杭州) リージョンのクラシックネットワーク接続 ECS インスタンスを所有しています。セキュリティグループはグループAです。
  • ユーザー B は、プライベート IP アドレス B.B.B.B を持つ、インスタンス B という名前の、中国 (杭州) リージョンのクラシックネットワーク接続 ECS インスタンスを所有しています。セキュリティグループはグループ B です。
  • 次の表に示すように、インスタンス A からインスタンス B へのアクセスを許可するために、グループ A にルールを追加します。
    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    イントラネット インバウンド 許可 必要なプロトコルの選択 必要なポート範囲の設定 セキュリティグループアクセス (他のアカウントを許可) ユーザー B のアカウント ID とグループ B のセキュリティグループ ID を入力 1
  • 次の表に示すように、インスタンス B からインスタンス A へのアクセスを許可するために、グループ B にルールを追加します。
    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    イントラネット インバウンド 許可 必要なプロトコルの選択 必要なポート範囲の設定 セキュリティグループアクセス (他のアカウントを許可) ユーザー A のアカウント ID とグループ A のセキュリティグループ ID を入力 1
    インスタンスのセキュリティを保証するために、クラシックネットワーク接続セキュリティグループのイントラネットインバウンドルールを設定している場合は、 [セキュリティグループアクセス][権限付与タイプ] の最優先になります。 [アドレスフィールドアクセス] を選択した場合は、a.b.c.d/32フォーマットの /32 CIDR プレフィックスを持つ IP アドレスを入力する必要があります。 IPv4 のみがサポートされます。

シナリオ 2: 指定された IP アドレスのみリモート接続を許可

指定したパブリック IP アドレスからインスタンスへのリモート接続を許可する場合は、次のルールを追加します。 この例では、指定された IP アドレスから TCP ポート 22 のインスタンスへのリモート接続が許可されています。

ネットワークタイプ NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
VPC N/A インバウンド 許可 SSH(22) 22/22 アドレスフィールドアクセス 1.2.3.4 など、アクセスを許可する IP アドレス 1
クラシックネットワーク インターネット

シナリオ 3: 特定の IP アドレスのみにインスタンスがアクセスすることを許可

インスタンスから指定のIPアドレスにアクセスする場合は、次のルールをそのセキュリティグループに追加します。

  1. 次のルールを追加して、すべてのパブリック IP アドレスへのアクセスをすべて削除します。 優先順位は、手順 2 のルールより低くなければなりません。
    ネットワークタイプ NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    VPC N/A インバウンド 不可 すべて -1/-1 アドレスフィールドアクセス 0.0.0.0/0 2
    クラシックネットワーク インターネット
  2. 以下のルールを追加して、手順 1 よりも高い優先順位で、指定した IP アドレスへのアクセスを許可します。
    ネットワークタイプ NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    VPC N/A アウトバウンド 許可 必要なプロトコルの選択 必要なポート範囲の設定 アドレスフィールドアクセス 1.2.3.4 などの指定のIPアドレスを入力 1
    クラシックネットワーク インターネット

ルールを加えた後で、インスタンスに接続して特定の IP アドレスからインスタンスへ ping または telnet を試行します。 指定した IP アドレスからインスタンスにアクセスできる場合、ルールは正常に適用されています。

シナリオ 4: ECS インスタンスへのリモート接続を許可

次のような場合には、インスタンスに接続します。

  • ケース 1: インターネットからインスタンスへのリモート接続を許可
  • ケース 2: イントラネットからインスタンスへのリモート接続を許可
ケース 1: インターネットからインスタンスへのリモート接続を許可

インターネットからインスタンスへのリモート接続を許可するには、ネットワークタイプとインスタンスのオペレーティングシステムに応じて次のルールを追加します。

  • VPC
    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    N/A インバウンド 許可 Windows: RDP(3389) 3389/3389 アドレスフィールドアクセス 任意のパブリック IP アドレスからのインターネットアクセスを許可するには、「0.0.0.0/0」と入力します。 指定した IP アドレスからのインターネットアクセスを許可するには、「シナリオ 2」を参照 1
    Linux: SSH(22) 22/22
    カスタム TCP カスタマイズ
  • クラシックネットワーク
    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    インターネット インバウンド 許可 Windows: RDP(3389) 3389/3389 アドレスフィールドアクセス 任意のパブリック IP アドレスからのインターネットアクセスを許可するには、「0.0.0.0/0」と入力します。 指定した IP アドレスからのインターネットアクセスを許可するには、 「シナリオ 2」を参照 1
    Linux: SSH(22) 22/22
    カスタム TCP カスタマイズ

リモート接続用にポートをカスタマイズするには、 「デフォルトのリモートアクセスポートの変更」をご参照ください。

ケース 2: イントラネットからインスタンスへのリモート接続を許可

1 つのリージョンに属するが異なるアカウントに属するインスタンス間のイントラネット通信を有効にしていて、異なるセキュリティグループ内のインスタンスが互いに接続できるようにする場合は、必要に応じて次のルールを追加します。

  • プライベート IP アドレスがインスタンスに接続できるようにします。
    • VPC

      イントラネット通信が Express Connect を使用して両方のアカウント間に構築されていることを確認し、 次のいずれかのルールを追加します。

      NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
      N/A インバウンド 許可 Windows: RDP(3389) 3389/3389 アドレスフィールドアクセス ピアインスタンスのプライベート IP アドレスを指定 1
      Linux: SSH (22) 22/22
      カスタム TCP カスタマイズ
    • クラシックネットワーク

      次のいずれかのルールを追加します。

      NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
      イントラネット インバウンド 許可 Windows: RDP (3389) 3389/3389 アドレスフィールドアクセス ピアインスタンスのプライベート IP アドレスを指定 インスタンスを保護するために、a.b.c.d/32 形式の /32 CIDR プレフィックス を持つ IP アドレスのみが許可されます。 1
      Linux: SSH (22) 22/22
      カスタムTCP カスタマイズ
  • 1 つのアカウントのセキュリティグループ内のすべてのインスタンスが自分のインスタンスに接続できるようにするには、次の手順を実行します。
    • VPC

      イントラネット通信が Express Connect を使用して両方のアカウント間に構築されていることを確認し、次のいずれかのルールを追加します。

      NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
      N/A インバウンド 許可 Windows: RDP (3389) 3389/3389 セキュリティグループアクセス (他のアカウントを許可) ピアのアカウント ID とセキュリティグループ ID を入力 1
      Linux: SSH(22) 22/22
      カスタム TCP カスタマイズ
    • クラシックネットワーク

      次のいずれかのルールを追加します。

      NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
      イントラネット インバウンド 許可 Windows: RDP (3389) 3389/3389 セキュリティグループアクセス (他のアカウントを許可) ピアのアカウント ID とセキュリティグループ ID を入力 1
      Linux: SSH(22) 22/22
      カスタム TCP カスタマイズ

シナリオ 5: HTTP または HTTPS サービスを介した ECS インスタンスへのアクセスを許可

インスタンス上に Web サイトを構築し、ユーザーが HTTP または HTTPS でサイトにアクセスする場合、以下のいずれかのルールを追加します。

  • VPC

    任意のパブリック IP アドレスからサイトのアクセスを許可するには、次のいずれかのルールを追加します。

    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    N/A インバウンド 許可 HTTP(80) 80/80 アドレスフィールドアクセス 0.0.0.0/0 1
    HTTPS(443) 443/443
    カスタム TCP カスタマイズ、8080/8080 など
  • クラシックネットワーク

    すべてのパブリック IP アドレスが自分のサイトにアクセスできるようにするには、次のいずれかのルールを追加します。

    NIC ルールの方向 権限付与ポリシー プロトコルタイプ ポート範囲 権限付与タイプ 権限付与オブジェクト 優先度
    インターネット インバウンド 許可 HTTP(80) 80/80 アドレスフィールドアクセス 0.0.0.0/0 1
    HTTPS (443) 443/443
    カスタム TCP カスタマイズ、8080/8080 など
  • http://Public IP address を使用してユーザーがインスタンスにアクセスできない場合、TCP ポート 80 が正しく動作するかどうかをご確認ください
  • TCP ポート 80 は、HTTP サービスのデフォルトポートです。 他のポートを使用したい場合は、Web サーバーの設定ファイル内のポートを変更します。