セキュリティグループには、基本セキュリティグループと高度セキュリティグループの 2 種類があります。どちらのタイプも無料です。これらは、キャパシティ、ルールで他のセキュリティグループに権限を付与できるかどうか、デフォルトのアクセス制御ルールなどの点で異なります。これらの違いにより、それぞれ異なるユースケースに適しています。このトピックでは、それぞれの特徴と違いについて説明します。
Elastic Compute Service (ECS) インスタンスまたは Elastic Network Interface (ENI) を複数のセキュリティグループに関連付ける場合、それらのセキュリティグループはすべて同じタイプである必要があります。1 つのリソースを基本セキュリティグループと高度セキュリティグループの両方に関連付けることはできません。
セキュリティグループごとのプライベート IP アドレスのキャパシティ
ECS インスタンス、ENI、ECI インスタンスなどのリソースをセキュリティグループに関連付けると、それらのプライベート IP アドレスがグループのキャパシティとしてカウントされます。1 つのリソースには、1 つ以上のプライベート IP アドレスを含めることができます。
次の表は、両者のキャパシティを比較したものです。
セキュリティグループのタイプ | プライベート IP のキャパシティ |
基本セキュリティグループ | VPC: 6,000 説明
|
高度セキュリティグループ | VPC: 65,536 説明 キャパシティ使用量は、セキュリティグループに関連付けられた ENI (プライマリおよびセカンダリ ENI を含む) の総数に基づきます。 |
VPC 内では、高度セキュリティグループは基本セキュリティグループよりも多くのリソースを保持できます。基本セキュリティグループの IP アドレスキャパシティでは不十分な大規模クラスターの場合は、高度セキュリティグループを使用してください。
セキュリティグループの IP アドレス使用率は、コンソールまたは API オペレーションの呼び出しによって確認できます。
権限付与オブジェクトとしてのセキュリティグループ
セキュリティグループルールを追加して、別のセキュリティグループの ID を参照することで、そのセキュリティグループとの間のアクセスを許可できます。
セキュリティグループのタイプ | グループによる権限付与 | 説明 |
基本セキュリティグループ | はい | 他の基本セキュリティグループに権限を付与するルールを追加できます。このようなルールは最大 20 個まで追加できます。詳細については、「セキュリティグループの制限」をご参照ください。 |
高度セキュリティグループ | いいえ | セキュリティグループを権限付与オブジェクトとして使用するルールを追加することはできません。また、高度セキュリティグループを他のセキュリティグループのルールで権限付与オブジェクトとして使用することもできません。 |
内部相互接続
基本セキュリティグループの内部相互接続機能により、同じグループ内の ECS インスタンス間のネットワークアクセスが許可されます。この機能は、グループの内部アクセスポリシーを変更することで有効または無効にできます。高度セキュリティグループでは、インスタンスはデフォルトで隔離されており、このポリシーは変更できません。
セキュリティグループのタイプ | 内部アクセスポリシー |
基本セキュリティグループ | はい。デフォルトでは、ポリシーは [内部相互接続] です。 説明 セキュリティ上の理由で ECS インスタンス間のネットワーク通信を制限する必要がある場合は、ECS コンソールで基本セキュリティグループの内部アクセスポリシーを変更できます。詳細については、「基本セキュリティグループの内部アクセスポリシーの変更」をご参照ください。 |
高度セキュリティグループ | いいえ。デフォルトでは、ポリシーは [内部隔離] です。 |
デフォルトのアクセス制御ルール
基本セキュリティグループと高度セキュリティグループでは、デフォルトのアクセス制御ルールが異なります。基本セキュリティグループの場合、内部アクセスポリシーがデフォルトのアクセス制御ルールに影響します。これらの非表示のデフォルトルールは、カスタムのセキュリティグループルールと連携してトラフィックを制御します。
以下の表では、ルールは優先度の高い順 (1、2、3...) に評価されます。
基本セキュリティグループ
内部相互接続
インバウンド
基本セキュリティグループのポリシーが内部相互接続に設定されている場合、同じセキュリティグループ内の他の ECS インスタンスからのトラフィックはデフォルトで許可されます (優先度 1)。これはカスタムルールを上書きします。カスタムルールに一致する他のトラフィックは、ルールのアクションに応じて許可または拒否されます (優先度 2)。その他すべてのトラフィックは拒否されます (優先度 3)。
優先度
ルールのタイプ
トラフィックのタイプ
アクション
1
デフォルトのアクセス制御ルール (非表示)
同じセキュリティグループ内の他の ECS インスタンスからのトラフィック
許可
2
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否 (ルールのアクションによる)
3
デフォルトのアクセス制御ルール (非表示)
その他すべてのトラフィック
拒否
アウトバウンド
基本セキュリティグループからのアウトバウンドトラフィックの場合、カスタムルールに一致するトラフィックは、ルールのアクションに応じて許可または拒否されます (優先度 1)。その他すべてのアウトバウンドトラフィックはデフォルトで許可されます (優先度 2)。
優先度
ルールのタイプ
トラフィックのタイプ
アクション
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否 (ルールのアクションによる)
2
デフォルトのアクセス制御ルール (非表示)
その他すべてのトラフィック
許可
内部隔離
インバウンド
基本セキュリティグループのポリシーが内部隔離に設定されている場合、同じグループ内の他の ECS インスタンスからのトラフィックはデフォルトでは許可されなくなります。カスタムルールに一致するインバウンドトラフィックは、ルールのアクションに応じて許可または拒否されます (優先度 1)。その他すべてのインバウンドトラフィックは拒否されます (優先度 2)。
優先度
ルールのタイプ
トラフィックのタイプ
アクション
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否 (ルールのアクションによる)
2
デフォルトのアクセス制御ルール (非表示)
その他すべてのトラフィック
拒否
アウトバウンド:
動作は、ポリシーが内部相互接続に設定されている場合と同じです。
優先度
ルールのタイプ
トラフィックのタイプ
アクション
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否 (ルールのアクションによる)
2
デフォルトのアクセス制御ルール (非表示)
その他すべてのトラフィック
許可
内部アクセスポリシーは、基本セキュリティグループのデフォルトのインバウンドルールに影響します。ポリシーが内部相互接続に設定されている場合、同じグループ内の他の ECS インスタンスからのトラフィックはデフォルトで許可されます。ベストプラクティスとして、最小権限の原則に従ってください。基本セキュリティグループ内のインスタンスが相互に通信する必要がない場合は、ポリシーを内部隔離に設定してください。
高度セキュリティグループ
インバウンド:
高度セキュリティグループの場合、カスタムルールに一致するインバウンドトラフィックは、そのルールのアクションに応じて許可または拒否されます (優先度 1)。その他すべてのインバウンドトラフィックはデフォルトで拒否されます (優先度 2)。
優先度
ルールのタイプ
トラフィックのタイプ
アクション
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否 (ルールのアクションによる)
2
デフォルトのアクセス制御ルール (非表示)
その他すべてのトラフィック
拒否
アウトバウンド:
高度セキュリティグループの場合、カスタムルールに一致するアウトバウンドトラフィックは、そのルールのアクションに応じて許可または拒否されます (優先度 1)。その他すべてのアウトバウンドトラフィックはデフォルトで拒否されます (優先度 2)。
優先度
ルールのタイプ
トラフィックのタイプ
アクション
1
カスタムルール
カスタムルールに一致するトラフィック
許可または拒否 (ルールのアクションによる)
2
デフォルトのアクセス制御ルール (非表示)
その他すべてのトラフィック
拒否