ECS インスタンスのセキュリティグループルールが正しく設定されていない場合、リモート接続の失敗やサービスへのアクセス不能が発生する可能性があります。また、過度に寛容なルールはセキュリティリスクを引き起こすこともあります。セキュリティグループルールのチェック機能を使用すると、ポートアクセスポリシーが期待どおりに機能しているかを迅速に診断できます。
操作手順
ECS コンソール - セルフサービス診断ページに移動します。ページの上部で、対象リソースが配置されているリソースグループとリージョンを選択します。
セルフサービス診断ページのセキュリティグループルール診断タブで、[診断を開始] をクリックします。
[チェックするインスタンス] と[チェックする NIC] のドロップダウンリストから、診断対象のリソースを選択します。
[チェック方法] を選択し、チェックを実行します。
[ワンクリックチェック]:セキュリティグループルールが一般的な ECS ポートでのトラフィックを許可しているかどうかをチェックします。
[チェックを開始] をクリックします。システムは、以下の一般的なポートとプロトコルに対するインバウンドルールを自動的にチェックします。
22:Secure Shell (SSH) サービスを使用した Linux インスタンスへのリモート接続用。
3389:RDP (Remote Desktop Protocol) サービスを使用した Windows インスタンスへのリモート接続用。
80、443、8080:外部 Web サービスの提供用。
ICMP:インターネット制御通知プロトコル (ICMP) を使用してネットワークの到達可能性をテストする
pingコマンドのサポート用。
[カスタムチェック]:セキュリティグループルールが、特定の IP アドレスから ECS の NIC (ネットワークインターフェイスコントローラー) への一方向アクセスを許可しているかどうかをチェックします。
要件に基づいてパラメーターを設定します。以下の例は、インターネットからのインバウンドルールをチェックする方法を示しています。
ルール方向: インターネットからのインバウンドを選択します。
ソースアドレス: ソースのパブリック IP アドレスを入力します。
宛先ポート: チェックするポート番号を入力します。
プロトコルタイプ: プロトコルを選択します。
[チェックを開始] をクリックします。
チェック結果を確認し、必要に応じて操作を実行します。
チェックが完了すると、各チェック項目の結果が表示されます。
結果が [許可] の場合:セキュリティグループルールは指定されたトラフィックを許可しています。それでもサービスが利用できない場合は、インスタンスの内部ファイアウォールやサービスリスナーのステータスなど、他の要因を確認してください。
結果が ブロック の場合、セキュリティグループルールによって指定されたトラフィックがブロックされます。[ポートを開く] をクリックすると、許可ルールをすばやく追加できます。
重要[ポートを開く] 機能を使用して自動的に追加されたルールでは、送信元アドレスがデフォルトで
0.0.0.0/0に設定される場合があります。この設定は、任意の IP アドレスからのアクセスを許可します。サーバーのセキュリティを確保するため、最小権限の原則 (PoLP) に従ってください。22 や 3389 などのリモート管理ポートについては、手動でセキュリティグループルールを変更してください。送信元を特定の IP アドレスまたはアドレス範囲に設定して、ポートがインターネットに公開されるのを防ぎます。これにより、ブルートフォース攻撃や不正アクセスを防止できます。結果が許可できませんの場合、セキュリティグループルールが指定されたトラフィックを許可していないことを示します。[詳細] をクリックして詳細情報を確認し、ルールを手動で調整してください。