セキュリティグループの ECS インスタンスに対して、インターネットのアクセスまたはイントラネットのアクセスを有効あるいは無効にするセキュリティグループルールを追加できます。

  • VPC: インバウンドトラフィックルールとアウトバウンドトラフィックルールを設定するだけで、インターネットやイントラネットに対して異なるルールを作る必要はありません。 VPC インスタンスへのインターネットアクセスは、プライベート NIC マッピングにより実現されます。 そのためインスタンス内にインターネットNICは表示されず、セキュリティグループにはイントラネットルールしか設定できません。 このルールはインターネットおよびイントラネットへのアクセスに適用されます。
  • 従来のネットワーク: アウトバウンドとインバウンドのルールはインターネット、イントラネットそれぞれで設定しなければなりません。

ルールが設定されていない新しいセキュリティグループでは、インターネット経由であれイントラネット経由であれ、デフォルトでアウトバウンドトラフィックは許可され、インバウンドトラフィックは拒否されます。 従って、拒否するアウトバウンドトラフィックと許可するインバウンドトラフィックのルールのみ設定することを推奨します。

セキュリティグループルールの変更は、セキュリティグループのECSインスタンスに自動的に適用されます。

前提条件

セキュリティグループが作成されている必要があります。 詳細につきましては、「セキュリティグループを作成」 をご参照ください。

インスタンスに対し、どのインターネットあるいはイントラネットからの要求が、許可または拒否されるのかがわかります。

手順

  1. ECS コンソールにログインします。
  2. 左側のナビゲーションウィンドウで [ネットワークとセキュリティ] > [セキュリティグループ]の順で選択します。
  3. ターゲットリージョンを選択します。
  4. 承認規則を加えるセキュリティグループを見つけ、[操作] 列の [ルールを追加]をクリックします。
  5. [セキュリティグループルール]で、[セキュリティグループルールを追加] をクリックします。
    あらゆるプロトコル、ICMP、GREに対してポートを有効または無効にする必要がない場合は、[クイックルール作成] を選択できます。
    プロトコル SSH telnet HTTP HTTPS MS SQL
    ポート 22 23 80. 443 1433
    プロトコル Oracle MySQL RDP PostgreSQL Redis
    ポート 1521 3306 3389 5432 6379
    各パラメーター構成の説明については、手順 6 をご参照ください。
  6. ダイアログボックスで、以下のパラメーターを設定します。
    • NIC:
      • VPCに接続されたセキュリティグループに対しては、NIC を選択する必要はありません。
        • インスタンスがインターネットにアクセスできる場合、ルールはインターネットとイントラネットの両方に適用されます。
        • インスタンスがインターネットにアクセスできない場合、ルールはイントラネットでのみ適用されます。
      • 従来のネットワーク接続されたセキュリティグループに対しては、インターネットイントラネットを選択しなければなりません。
    • ルールディレクション:
      • アウトバウンド: ECS インスタンスは、イントラネットかインターネットを介して別の ECS インスタンスにアクセスします。
      • インバウンド: 別の ECS インスタンスは、イントラネットかインターネットを介してECSインスタンスにアクセスします。
    • 操作: 許可禁止を選択します。
      禁止ポリシーでは、データパケットが破棄され、応答も返されません。 承認ポリシー以外で 2 つのセキュリティグループルールが重複している場合、"禁止""許可" に優先します。
    • プロトコルタイプポート範囲: ポート範囲の設定は選択されたプロトコルタイプに左右されます。 次の表は、プロトコルタイプとポート範囲の関係を示しています。
      プロトコルタイプ ポート範囲 シナリオ
      すべて -1/-1 として表示された場合、すべてのポートを意味します。 それを変更することはできません。 両方のアプリケーションが完全に相互信頼されているシナリオで使用されます。
      すべての ICMP -1/-1 として表示された場合、ポート制限がないことを意味します。 それを変更することはできません。 ping を用いてインスタンスネットワークの接続状況を検出するのに用いられます。
      すべての GRE -1/-1 として表示された場合、ポート制限がないことを意味します。 それを修正することはできません。 VPN サービスに使用されます。
      カスタマイズ TCP カスタムポート範囲では、有効なポート値は 1〜65535 で、有効なポート範囲形式は "開始ポート/終了ポート" です。 1 つのポートに対して妥当なポート範囲フォーマットを使用する必要があります。 たとえば、ポート 80 を指定するには 80/80 を使用します。 1 つまたは複数の連続ポートを許可または禁止するために使用できます。
      カスタム UDP
      SSH 22/22 として示されます。

      ECS インスタンスに接続したら、ポート番号を変更できます。 詳細については、 「デフォルトのリモートアクセスポートの変更」をご参照ください。

      		SSH は Linux インスタンスにリモート接続させるために使用されます。
      TELNET 23/23 として表示されます。 Telnet を使用しリモートからインスタンスにログインするために使用されます。
      HTTP 80/80 として表示されます。 インスタンスは、Web サイトまたは Web アプリケーションのサーバーとして使用されます。
      HTTPS 443/443 として表示されます。 インスタンスは、HTTPS をサポートする Web サイトまたは Web アプリケーションのサーバーとして使用されます。
      MS SQL 1433/1433 として表示されます。 インスタンスは MS SQL サーバーとして使用されます。
      Oracle 1521/1521 として表示されます。 インスタンスは Oracle SQL サーバーとして使用されます。
      MySQL 3306/3306 として表示されます。 そのインスタンスは MySQL サーバーとして使用されます。
      RDP 3389/3389 として表示されます。

      ECS インスタンスに接続したら、ポート番号を変更できます。 詳細は、「デフォルトのリモートアクセスポートの変更」をご参照ください

      		Windows インスタンスにリモート接続するために使用されます。
      PostgreSQL 5432/5432 として表示されます。 インスタンスは PostgreSQL サーバーとして使用されます。
      Redis 6379/6379 として表示されます。 インスタンスは Redis サーバーとして使用されます。
      ポート 25 はデフォルトで制限されており、セキュリティグループルールでは開くことができません。 チケットを起票し[TCP ポート 25 を開く] を適用することが可能です。サポートセンターへお問い合わせください。 詳細については、「共通 ECS インスタンスポートの紹介」をご参照ください。
    • 承認タイプおよび承認オブジェクト:承認オブジェクトにより承認タイプの設定は影響されます。 次の表にそれらの関係を示します。
      承認タイプ 承認オブジェクト
      アドレスフィールドアクセス 10.0.0.0 または 192.168.0.0/24 などの IP または CIDR ブロック形式を使用します。 IPv4 アドレスのみがサポートされています。 0.0.0.0/0 はすべての IP アドレスを示しています。
      セキュリティグループアクセス イントラネットアクセス専用 自分のアカウントまたは別のアカウントにあるセキュリティグループのインスタンスに、このセキュリティグループ内のインスタンスへのアクセスを承認します。
      • このアカウントを承認する:自分のアカウントのセキュリティグループを選択します。 両方のセキュリティグループは同じVPCに属している必要があります。
      • 別のアカウントを承認する:ターゲットセキュリティグループ ID とアカウント ID を入力します。 アカウント管理 > セキュリティ設定に関して、アカウントIDを取得することができます。
      VPC 接続ネットワークインスタンスの場合、セキュリティグループアクセスはプライベート IP アドレスに対してのみ機能します。 インターネット IP アドレスへのアクセスを許可する場合、アドレスフィールドアクセスを使用します。
      従来のネットワークに接続しているセキュリティグループに対してイントラネットのインバウンドルールを構成している場合、インスタンスのセキュリティを保証するためには、セキュリティグループアクセス承認タイプにとって最優先事項となります。 [アドレスフィールドアクセス]を選択し、IP アドレスを CIDR 形式で入力する場合には、a.b.c.d/32 の形式で IP アドレスを入力します。 有効な CIDR プレフィックスは 32 のみです。
    • 優先度:値の範囲は 1〜100 です。 値が小さいほど、優先度が高くなります。 詳細は、ECS セキュリティグループルールの優先順位の説明をご参照ください。

  7. [OK] をクリックします。

セキュリティグループルールは、通常すぐに有効になります。

セキュリティグループルールを確認

ウェブサービスをインスタンス上にインストールし、セキュリティグループにルールを追加すると、全ての IP アドレスがインスタンスの TCP ポート 80 にインバウンドアクセスするようになります。 セキュリティルールを確認するには、インスタンス OS に応じて次の手順を実行します。

Linux インスタンス:

セキュリティグループ内の Linux インスタンスの場合は、次の手順に従ってセキュリティグループルールを

  1. パスワードを使用した Linux インスタンスへの接続確認します。
  2. 次のコマンドを実行して、TCP 80 がリッスンされているかどうかを確認します。 
    netstat -an | grep 80

    次の結果が返されると、TCP ポート 80 の Web サービスが有効になります。

    tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN
  3. 「http:// インスタンスのパブリック IP アドレス」を自分のブラウザに入力します。 アクセスが成功すると、ルールは有効になります。
Windows インスタンス:

セキュリティグループ内の Windows インスタンスの場合は、次の手順に従ってセキュリティグループルールを

  1. Windows インスタンスへの接続確認します。
  2. TCP ポート80 がインストールされているかどうかを確認するには、CMD を走らせ、以下のコマンドを使用します。 
    netstat -aon | findstr:80

    次の結果が返されると、TCP ポート 80 の Web サービスが有効になります。

    TCP 0.5.0.0: 80 0.5.0.0: 0 listening 1172
  3. 「http:// インスタンスのパブリック IP アドレス」を自分のブラウザに入力します。 アクセスが成功したら、ルールは有効になります。

ECS セキュリティグループルールの優先順位の説明

セキュリティグループルールの優先度の値は 1〜100 となります。 数字が小さいほど、優先度が高くなります。

ECS インスタンスは異なるセキュリティグループに属することができます。 その結果、インスタンスには、同じプロトコルタイプ、ポート範囲、承認タイプ、および承認オブジェクトを持つ複数のセキュリティグループルールが含まれることがあります。 優先度承認ポリシーによりルールは影響を受けます。

  • 複数のルールが同じ優先度を持つ場合、禁止ルールが許可ルールを上回ります。
  • 複数のルールが異なる優先度を持つ場合、承認ポリシーの設定にかかわらず高い優先度を持つルールが最初に有効になります。

関連トピック