セキュリティグループは、基本セキュリティグループと拡張セキュリティグループに分類されます。基本セキュリティグループと拡張セキュリティグループは無料で提供されます。基本セキュリティグループと拡張セキュリティグループは、さまざまなシナリオに適しており、セキュリティグループの容量、セキュリティグループを承認オブジェクトとして参照するセキュリティグループルールのサポート、内部相互接続ポリシーのサポート、デフォルトのアクセス制御ルールなどの項目が異なります。このトピックでは、基本セキュリティグループと拡張セキュリティグループの特性と違いについて説明します。
Elastic Compute Service(ECS)インスタンスまたはElastic Network Interface(ENI)を複数のセキュリティグループに関連付ける場合は、セキュリティグループのタイプが同じである必要があります。 ECS インスタンスまたは ENI を両方のタイプのセキュリティグループに関連付けることはできません。
セキュリティグループあたりのプライベート IP アドレスの数
セキュリティグループの容量は、プライベート IP アドレスの数に基づいて測定されます。 ECS インスタンス、ENI、Elastic Container Instance などのリソースをセキュリティグループに関連付けると、リソースのプライベート IP アドレスがセキュリティグループの容量を消費します。1 つのリソースに複数のプライベート IP アドレスが存在する場合があることに注意してください。
次の表に、基本セキュリティグループと拡張セキュリティグループの容量の違いを示します。
セキュリティグループの種類 | セキュリティグループあたりのプライベート IP アドレスの数 |
基本セキュリティグループ |
|
拡張セキュリティグループ | VPC の拡張セキュリティグループには、65,536 個のプライベート IP アドレスを含めることができます。 説明
|
VPC では、拡張セキュリティグループには基本セキュリティグループよりも多くのプライベート IP アドレスを含めることができます。クラスタ内のプライベート IP アドレスの数が基本セキュリティグループの容量を超える場合は、クラスタに拡張セキュリティグループを使用することをお勧めします。
ECS コンソールまたは API 操作の呼び出しを通じて使用済み IP アドレスの数を確認する方法については、「セキュリティグループを検索する」をご参照ください。
セキュリティグループを承認オブジェクトとしてのサポート
セキュリティグループルールは、セキュリティグループの ID を承認オブジェクト(送信元または宛先)として参照して、セキュリティグループに関連付けられているリソースのトラフィックを制御できます。
セキュリティグループの種類 | セキュリティグループを承認オブジェクトとしてのサポート | 説明 |
基本セキュリティグループ | はい | 基本セキュリティグループでは、セキュリティグループを承認オブジェクトとして参照するセキュリティグループルールを作成できます。各基本セキュリティグループには、セキュリティグループを承認オブジェクトとして参照するセキュリティグループルールを最大 20 個含めることができます。詳細については、「制限」トピックのセキュリティグループの制限セクションをご参照ください。 |
拡張セキュリティグループ | いいえ | 拡張セキュリティグループでは、セキュリティグループを承認オブジェクトとして参照するセキュリティグループルールを作成したり、セキュリティグループルールで拡張セキュリティグループを承認オブジェクトとして参照したりすることはできません。 |
内部相互接続ポリシーのサポート
セキュリティグループには、2 つの内部アクセス制御ポリシーを使用できます。1 つは、セキュリティグループ内の ECS インスタンス間の内部ネットワーク経由のアクセスを許可する内部相互接続ポリシー、もう 1 つは、セキュリティグループ内の ECS インスタンス間の内部ネットワーク経由のアクセスを拒否する内部隔離ポリシーです。基本セキュリティグループは内部相互接続ポリシーをサポートしています。基本セキュリティグループの内部相互接続ポリシーは、基本セキュリティグループを参照する特別な許可ルールと見なすことができます。内部相互接続ポリシーと内部隔離ポリシーを切り替えて、基本セキュリティグループ内の ECS インスタンス間の内部ネットワーク経由のアクセスを許可または拒否できます。デフォルトでは、拡張セキュリティグループは内部隔離ポリシーを使用します。拡張セキュリティグループの内部隔離ポリシーを内部相互接続ポリシーに変更することはできません。
セキュリティグループの種類 | 内部相互接続ポリシーへの変更のサポート |
基本セキュリティグループ | はい。デフォルトでは、基本セキュリティグループは [内部相互接続ポリシー] を使用します。 説明 ネットワークセキュリティを高めるために、セキュリティグループ内の ECS インスタンス間の内部ネットワーク経由の相互接続を制限するように、ECS コンソールで基本セキュリティグループの内部アクセス制御ポリシーを変更できます。詳細については、「基本セキュリティグループの内部アクセス制御ポリシーを変更する」をご参照ください。 |
拡張セキュリティグループ | いいえ。デフォルトでは、拡張セキュリティグループは [内部隔離ポリシー] を使用します。 |
デフォルトのアクセス制御ルール
基本セキュリティグループと拡張セキュリティグループでは、異なるデフォルトのアクセス制御ルールが使用されます。基本セキュリティグループの内部アクセス制御ポリシーは、セキュリティグループのデフォルトのアクセス制御ルールに影響します。セキュリティグループのデフォルトのアクセス制御ルールは非表示であり、カスタムセキュリティグループルールと連携して、関連付けられたリソースのトラフィックを制御します。
以下のセクションのシリアル番号は、ルールの順序を示しています。ルールはシリアル番号の昇順で処理されます。ルールが一致するまで処理が続行されます。
基本セキュリティグループ
内部相互接続ポリシーを使用する基本セキュリティグループ
受信
次の表に、内部相互接続ポリシーを使用する基本セキュリティグループのデフォルトのアクセス制御ルールとカスタムセキュリティグループルールが受信トラフィックの制御にどのように適用されるかを示します。基本セキュリティグループ内の ECS インスタンス間で内部ネットワーク経由で送信されるトラフィックは、デフォルトのアクセス制御ルール(ルール 1)と一致し、カスタムセキュリティグループルールに関係なく許可されます。受信トラフィックがルール 1 と一致せず、1 つ以上のカスタムセキュリティグループルール(ルール 2)と一致する場合、トラフィックはカスタムセキュリティグループルールの操作に基づいて許可または拒否されます。その他の受信トラフィックは、別のデフォルトのアクセス制御ルール(ルール 3)と一致し、拒否されます。
シリアル番号
ルールの種類
トラフィックの種類
操作
1
デフォルトのアクセス制御ルール
基本セキュリティグループ内の ECS インスタンス間で内部ネットワーク経由で送信されるトラフィック
許可
2
カスタムセキュリティグループルール
1 つ以上のカスタムセキュリティグループルールと一致するトラフィック
カスタムセキュリティグループルールの操作に基づいて許可または拒否
3
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
送信
次の表に、内部相互接続ポリシーを使用する基本セキュリティグループのデフォルトのアクセス制御ルールとカスタムセキュリティグループルールが送信トラフィックの制御にどのように適用されるかを示します。基本セキュリティグループの 1 つ以上のカスタムセキュリティグループルール(ルール 1)と一致する送信トラフィックは、カスタムセキュリティグループルールの操作に基づいて許可または拒否されます。その他の送信トラフィックは、デフォルトのアクセス制御ルール(ルール 2)と一致し、許可されます。
シリアル番号
ルールの種類
トラフィックの種類
操作
1
カスタムセキュリティグループルール
1 つ以上のカスタムセキュリティグループルールと一致するトラフィック
カスタムセキュリティグループルールの操作に基づいて許可または拒否
2
デフォルトのアクセス制御ルール
その他のトラフィック
許可
内部隔離ポリシーを使用する基本セキュリティグループ
受信
次の表に、内部隔離ポリシーを使用する基本セキュリティグループのデフォルトのアクセス制御ルールとカスタムセキュリティグループルールが受信トラフィックの制御にどのように適用されるかを示します。基本セキュリティグループ内の ECS インスタンス間で送信されるトラフィックは拒否されます。受信トラフィックが 1 つ以上のカスタムセキュリティグループルール(ルール 1)と一致する場合、トラフィックはカスタムセキュリティグループルールの操作に基づいて許可または拒否されます。その他の受信トラフィックは、デフォルトのアクセス制御ルール(ルール 2)と一致し、拒否されます。
シリアル番号
ルールの種類
トラフィックの種類
操作
1
カスタムセキュリティグループルール
1 つ以上のカスタムセキュリティグループルールと一致するトラフィック
カスタムセキュリティグループルールの操作に基づいて許可または拒否
2
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
送信
内部隔離ポリシーを使用する基本セキュリティグループのルールは、内部接続ポリシーを使用する基本セキュリティグループのルールが送信トラフィックの制御に適用されるのと同じ方法で適用されます。
シリアル番号
ルールの種類
トラフィックの種類
操作
1
カスタムセキュリティグループルール
1 つ以上のカスタムセキュリティグループルールと一致するトラフィック
カスタムセキュリティグループルールの操作に基づいて許可または拒否
2
デフォルトのアクセス制御ルール
その他のトラフィック
許可
上記の表で説明したように、基本セキュリティグループの内部アクセス制御ポリシーは、セキュリティグループのデフォルトのアクセス制御ルールに影響します。基本セキュリティグループが内部相互接続ポリシーを使用する場合、セキュリティグループ内の ECS インスタンス間で送信されるトラフィックは自動的に許可されます。基本セキュリティグループ内の ECS インスタンスが内部ネットワーク経由で相互にアクセスする必要がない場合は、最小権限の原則に基づいて、セキュリティグループの内部アクセス制御ポリシーとして内部隔離ポリシーを設定することをお勧めします。
拡張セキュリティグループ
受信
次の表に、拡張セキュリティグループのデフォルトのアクセス制御ルールとカスタムセキュリティグループルールが受信トラフィックの制御にどのように適用されるかを示します。拡張セキュリティグループの 1 つ以上のカスタムセキュリティグループルール(ルール 1)と一致する受信トラフィックは、カスタムセキュリティグループルールの操作に基づいて許可または拒否されます。その他の受信トラフィックは、デフォルトのアクセス制御ルール(ルール 2)と一致し、拒否されます。
シリアル番号
ルールの種類
トラフィックの種類
操作
1
カスタムセキュリティグループルール
1 つ以上のカスタムセキュリティグループルールと一致するトラフィック
カスタムセキュリティグループルールの操作に基づいて許可または拒否
2
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
送信
次の表に、拡張セキュリティグループのデフォルトのアクセス制御ルールとカスタムセキュリティグループルールが送信トラフィックの制御にどのように適用されるかを示します。拡張セキュリティグループの 1 つ以上のカスタムセキュリティグループルール(ルール 1)と一致する送信トラフィックは、カスタムセキュリティグループルールの操作に基づいて許可または拒否されます。その他の送信トラフィックは、デフォルトのアクセス制御ルール(ルール 2)と一致し、拒否されます。
シリアル番号
ルールの種類
トラフィックの種類
操作
1
カスタムセキュリティグループルール
1 つ以上のカスタムセキュリティグループルールと一致するトラフィック
カスタムセキュリティグループルールの操作に基づいて許可または拒否
2
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
その他の項目
項目 | 基本セキュリティグループ | 拡張セキュリティグループ |
サポートされているネットワークタイプ |
| VPC |
セキュリティグループへの許可ルールまたは拒否ルールの追加のサポート | はい | はい |
セキュリティグループルールの優先順位の指定のサポート | はい | はい |