基本セキュリティグループと高度セキュリティグループは、IP アドレス容量、グループベースの権限付与、デフォルトのアクセス制御ルールにおいて異なります。
ECS インスタンスまたはエラスティックネットワークインターフェースを複数のセキュリティグループに関連付ける場合、すべてのグループは同じタイプである必要があります。単一のリソースに基本セキュリティグループと高度セキュリティグループを混在させることはできません。
プライベート IP アドレス容量
ECS インスタンス、エラスティックネットワークインターフェース、ECI インスタンスなどのリソースをセキュリティグループに関連付けると、それらのプライベート IP アドレスがグループの容量にカウントされます。
次の表は、2つのタイプを比較しています。
|
セキュリティグループタイプ |
プライベート IP 容量 |
|
基本セキュリティグループ |
VPC:6,000 説明
|
|
高度セキュリティグループ |
VPC:65,536 説明
容量使用量は、セキュリティグループに関連付けられた ENI (プライマリおよびセカンダリ) の総数に基づきます。 |
高度セキュリティグループは、VPC 内で基本セキュリティグループよりも多くのリソースをサポートします。基本グループの IP 容量を超える大規模クラスターには、高度セキュリティグループをご利用ください。
ECS コンソールまたは API オペレーションを呼び出して、セキュリティグループの IP アドレス使用率を確認できます。
グループベースの権限付与
セキュリティグループルールは、他のセキュリティグループの ID を参照することで、そのグループへのアクセスを許可できます。
|
セキュリティグループタイプ |
グループによる権限付与 |
説明 |
|
基本セキュリティグループ |
はい |
他の基本セキュリティグループを権限付与オブジェクトとして指定できるルールを、最大 20 個まで設定できます。「セキュリティグループの制限事項」をご参照ください。 |
|
高度セキュリティグループ |
いいえ |
ルールではセキュリティグループを権限付与オブジェクトとして使用できません。また、高度セキュリティグループ自体も他のグループのルールにおける権限付与オブジェクトとして機能しません。 |
内部相互接続性
基本セキュリティグループでは、同一グループ内のインスタンスがデフォルトで内部ネットワーク経由で相互にアクセスできます。この設定は、内部アクセスポリシーを変更することで変更可能です。一方、高度セキュリティグループではインスタンスがデフォルトで隔離されており、このポリシーは変更できません。
|
セキュリティグループタイプ |
内部アクセスポリシー |
|
基本セキュリティグループ |
設定可能。デフォルト:内部相互接続性。 説明
インスタンス間の通信を制限するには、ECS コンソールで内部アクセスポリシーを変更してください。「基本セキュリティグループの内部アクセスポリシーの変更」をご参照ください。 |
|
高度セキュリティグループ |
設定不可。固定:内部隔離。 |
デフォルトのアクセス制御ルール
基本セキュリティグループと高度セキュリティグループでは、異なるデフォルトのアクセス制御ルールが適用されます。基本セキュリティグループの場合、内部アクセスポリシーがデフォルトのインバウンドルールを決定します。これらの非表示のデフォルトルールは、ユーザーが定義したカスタムルールと組み合わさってトラフィックを制御します。
以下の表では、ルールは優先度の高い順(1、2、3…)で評価されます。
基本セキュリティグループ
内部相互接続性
-
インバウンド
内部相互接続性が有効な場合、同一グループ内の他のインスタンスからのトラフィックはデフォルトで許可されます(優先度 1)。このルールはカスタムルールより優先されます。カスタムルールに一致するトラフィックは、そのルールの操作に従って許可または拒否されます(優先度 2)。その他のすべてのトラフィックは拒否されます(優先度 3)。
優先度
ルールタイプ
トラフィックタイプ
操作
1
デフォルトのアクセス制御ルール(非表示)
同一セキュリティグループ内の他の ECS インスタンスからのトラフィック
許可
2
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否(ルールの操作による)
3
デフォルトのアクセス制御ルール(非表示)
その他のすべてのトラフィック
拒否
-
アウトバウンド
カスタムルールに一致するトラフィックは、そのルールの操作に従って許可または拒否されます(優先度 1)。その他のすべてのアウトバウンドトラフィックはデフォルトで許可されます(優先度 2)。
優先度
ルールタイプ
トラフィックタイプ
操作
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否(ルールの操作による)
2
デフォルトのアクセス制御ルール(非表示)
その他のすべてのトラフィック
許可
内部隔離
-
インバウンド
内部隔離が有効な場合、インバウンドトラフィックのうちカスタムルールに一致するものは、そのルールの操作に従って許可または拒否されます(優先度 1)。その他のすべてのインバウンドトラフィックは拒否されます(優先度 2)。
優先度
ルールタイプ
トラフィックタイプ
操作
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否(ルールの操作による)
2
デフォルトのアクセス制御ルール(非表示)
その他のすべてのトラフィック
拒否
-
アウトバウンド:
アウトバウンドルールは、内部相互接続性時と同じです。
優先度
ルールタイプ
トラフィックタイプ
操作
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否(ルールの操作による)
2
デフォルトのアクセス制御ルール(非表示)
その他のすべてのトラフィック
許可
内部アクセスポリシーは、基本セキュリティグループのデフォルトのインバウンドルールに影響します。内部相互接続性が有効な場合、同一グループ内の他のインスタンスからのトラフィックがデフォルトで許可されます。ベストプラクティスとして、インスタンス間で通信が不要な場合は、ポリシーを内部隔離に設定することを推奨します。
高度セキュリティグループ
-
インバウンド:
インバウンドトラフィックのうちカスタムルールに一致するものは、そのルールの操作に従って許可または拒否されます(優先度 1)。その他のすべてのインバウンドトラフィックはデフォルトで拒否されます(優先度 2)。
優先度
ルールタイプ
トラフィックタイプ
操作
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否(ルールの操作による)
2
デフォルトのアクセス制御ルール(非表示)
その他のすべてのトラフィック
拒否
-
アウトバウンド:
アウトバウンドトラフィックのうちカスタムルールに一致するものは、そのルールの操作に従って許可または拒否されます(優先度 1)。その他のすべてのアウトバウンドトラフィックはデフォルトで拒否されます(優先度 2)。
優先度
ルールタイプ
トラフィックタイプ
操作
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否(ルールの操作による)
2
デフォルトのアクセス制御ルール(非表示)
その他のすべてのトラフィック
拒否