セキュリティグループは、基本セキュリティグループと高度セキュリティグループに分類されます。 基本および高度なセキュリティグループは無料で提供されます。 基本セキュリティグループと高度なセキュリティグループは、さまざまなシナリオに適しており、セキュリティグループの容量、セキュリティグループを認証オブジェクトとして参照するセキュリティグループルールのサポート、内部相互接続ポリシーのサポート、およびデフォルトのアクセス制御ルールの項目が異なります。 このトピックでは、基本セキュリティグループと高度なセキュリティグループの特徴と違いについて説明します。
Elastic Compute Service (ECS) インスタンスまたはelastic network interface (ENI) を複数のセキュリティグループに関連付ける場合、セキュリティグループは同じタイプである必要があります。 ECSインスタンスまたはENIを両方のタイプのセキュリティグループに関連付けることはできません。
セキュリティグループごとのプライベートIPアドレス数
セキュリティグループの容量は、プライベートIPアドレスの数に基づいて測定されます。 ECSインスタンス、ENI、エラスティックコンテナインスタンスなどのリソースをセキュリティグループに関連付けると、リソースのプライベートIPアドレスがセキュリティグループの容量を消費します。 単一のリソースが1つ以上のプライベートIPアドレスを持つ可能性があることに注意してください。
次の表に、基本セキュリティグループと高度セキュリティグループの容量の違いを示します。
セキュリティグループタイプ | セキュリティグループごとのプライベートIPアドレス数 |
ベーシックセキュリティグループ |
|
アドバンストセキュリティグループ | VPC内の高度なセキュリティグループは、65,536のプライベートIPアドレスを持つことができます。 説明 アドバンストセキュリティグループはVPCをサポートしますが、クラシックネットワークはサポートしていません。 |
VPCでは、高度なセキュリティグループに、基本的なセキュリティグループよりも多くのプライベートIPアドレスを含めることができます。 クラスター内のプライベートIPアドレスの数が基本セキュリティグループの容量を超える場合は、クラスターに高度なセキュリティグループを使用することを推奨します。
認証オブジェクトとしてのセキュリティグループのサポート
セキュリティグループルールは、セキュリティグループのIDを許可オブジェクト (送信元または送信先) として参照して、セキュリティグループに関連付けられているリソースのトラフィックを制御できます。
セキュリティグループタイプ | 認証オブジェクトとしてのセキュリティグループのサポート | 説明 |
ベーシックセキュリティグループ | 対象 | セキュリティグループを基本セキュリティグループの承認オブジェクトとして参照するセキュリティグループルールを作成できます。 各基本セキュリティグループには、セキュリティグループを認証オブジェクトとして参照する最大20個のセキュリティグループルールを含めることができます。 詳細については、「制限」トピックのセキュリティグループの制限セクションを参照してください。 |
アドバンストセキュリティグループ | 非対象 | セキュリティグループを高度なセキュリティグループの承認オブジェクトとして参照するセキュリティグループルールを作成したり、高度なセキュリティグループをセキュリティグループルールの承認オブジェクトとして参照することはできません。 |
内部相互接続ポリシーのサポート
セキュリティグループでは、内部ネットワークを介したセキュリティグループ内のECSインスタンス間のアクセスを許可する内部相互接続ポリシーと、内部ネットワークを介したセキュリティグループ内のECSインスタンス間のアクセスを拒否する内部分離ポリシーの2つの内部アクセス制御ポリシーを使用できます。 基本的なセキュリティグループは、内部相互接続ポリシーをサポートします。 基本セキュリティグループの内部相互接続ポリシーは、基本セキュリティグループを参照する特別な許可ルールと見なすことができます。 内部相互接続ポリシーと内部分離ポリシーを切り替えて、内部ネットワークを介した基本セキュリティグループ内のECSインスタンス間のアクセスを許可または拒否できます。 デフォルトでは、高度なセキュリティグループは内部分離ポリシーを使用します。 高度なセキュリティグループの内部分離ポリシーを内部相互接続ポリシーに変更することはできません。
セキュリティグループタイプ | 内部相互接続ポリシーの変更のサポート |
ベーシックセキュリティグループ | はい。 デフォルトでは、基本セキュリティグループは内部相互接続ポリシーを使用します。 説明 ECSコンソールで基本セキュリティグループの内部アクセス制御ポリシーを変更して、内部ネットワークを介したセキュリティグループ内のECSインスタンス間の相互接続を制限し、ネットワークセキュリティを強化できます。 詳細については、「基本セキュリティグループの内部アクセス制御ポリシーの変更」をご参照ください。 |
アドバンストセキュリティグループ | いいえ。 デフォルトでは、高度なセキュリティグループは内部分離ポリシーを使用します。 |
デフォルトのアクセス制御ルール
基本セキュリティグループと高度セキュリティグループは、異なるデフォルトのアクセス制御ルールを使用します。 基本セキュリティグループの内部アクセス制御ポリシーは、セキュリティグループのデフォルトのアクセス制御ルールに影響します。 セキュリティグループの既定のアクセス制御ルールは表示されず、カスタムセキュリティグループのルールと連携して、関連するリソースのトラフィックを制御します。
以下のセクションのシリアル番号は、ルールの順序を示します。 ルールはシリアル番号の昇順で処理されます。 処理は、ルールが一致するまで続く。
基本的なセキュリティグループ
内部相互接続ポリシーを使用する基本的なセキュリティグループ
受信
次の表に、内部相互接続ポリシーを使用する基本セキュリティグループの既定のアクセス制御ルールとカスタムセキュリティグループルールを適用して、受信トラフィックを制御する方法を示します。 内部ネットワークを介して基本セキュリティグループ内のECSインスタンス間で送信されるトラフィックは、デフォルトのアクセス制御ルール (ルール1) と一致し、カスタムセキュリティグループルールに関係なく許可されます。 受信トラフィックがルール1と一致しないが、1つ以上のカスタムセキュリティグループルール (ルール2) と一致する場合、トラフィックは、カスタムセキュリティグループルールのアクションに基づいて許可または拒否されます。 他のインバウンドトラフィックは、別のデフォルトアクセス制御ルール (ルール3) と一致し、拒否されます。
シリアル番号
ルールタイプ
トラフィックタイプ
Action
1
デフォルトのアクセス制御ルール
内部ネットワークを介して基本セキュリティグループ内のECSインスタンス間で送信されるトラフィック
許可
2
カスタムセキュリティグループルール
1つ以上のカスタムセキュリティグループルールに一致するトラフィック
カスタムセキュリティグループルールのアクションに基づいて許可または拒否する
3
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
アウトバウンド
次の表に、内部相互接続ポリシーを使用する基本セキュリティグループの既定のアクセス制御ルールとカスタムセキュリティグループルールを適用して、アウトバウンドトラフィックを制御する方法を示します。 基本セキュリティグループ内の1つ以上のカスタムセキュリティグループルール (ルール1) に一致するアウトバウンドトラフィックは、カスタムセキュリティグループルール内のアクションに基づいて許可または拒否されます。 他のアウトバウンドトラフィックは、デフォルトのアクセス制御ルール (ルール2) と一致し、許可されます。
シリアル番号
ルールタイプ
トラフィックタイプ
Action
1
カスタムセキュリティグループルール
1つ以上のカスタムセキュリティグループルールに一致するトラフィック
カスタムセキュリティグループルールのアクションに基づいて許可または拒否する
2
デフォルトのアクセス制御ルール
その他のトラフィック
許可
内部分離ポリシーを使用する基本的なセキュリティグループ
受信
次の表に、内部分離ポリシーを使用する基本セキュリティグループの既定のアクセス制御ルールとカスタムセキュリティグループルールを適用して、受信トラフィックを制御する方法を示します。 基本セキュリティグループ内のECSインスタンス間で送信されるトラフィックは拒否されます。 受信トラフィックが1つ以上のカスタムセキュリティグループルールと一致する場合 (ルール1) 、トラフィックは、カスタムセキュリティグループルールのアクションに基づいて許可または拒否されます。 他のインバウンドトラフィックは、デフォルトのアクセス制御ルール (ルール2) と一致し、拒否されます。
シリアル番号
ルールタイプ
トラフィックタイプ
Action
1
カスタムセキュリティグループルール
1つ以上のカスタムセキュリティグループルールに一致するトラフィック
カスタムセキュリティグループルールのアクションに基づいて許可または拒否する
2
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
アウトバウンド
内部分離ポリシーを使用する基本セキュリティグループのルールは、内部接続ポリシーを使用する基本セキュリティグループのルールがアウトバウンドトラフィックを制御するために適用されるのと同じ方法で適用されます。
シリアル番号
ルールタイプ
トラフィックタイプ
Action
1
カスタムセキュリティグループルール
1つ以上のカスタムセキュリティグループルールに一致するトラフィック
カスタムセキュリティグループルールのアクションに基づいて許可または拒否する
2
デフォルトのアクセス制御ルール
その他のトラフィック
許可
基本セキュリティグループの内部アクセス制御ポリシーは、上記の表で説明したように、セキュリティグループの既定のアクセス制御ルールに影響します。 基本セキュリティグループが内部相互接続ポリシーを使用する場合、内部ネットワークを介してセキュリティグループ内のECSインスタンス間で送信されるトラフィックは自動的に許可されます。 基本セキュリティグループ内のECSインスタンスが内部ネットワークを介して相互にアクセスする必要がない場合、最小権限の原則に基づいて、内部分離ポリシーをセキュリティグループの内部アクセス制御ポリシーとして設定することを推奨します。
高度なセキュリティグループ
受信
次の表に、アドバンストセキュリティグループの既定のアクセス制御ルールとカスタムセキュリティグループルールを適用して受信トラフィックを制御する方法を示します。 高度なセキュリティグループ内の1つ以上のカスタムセキュリティグループルール (ルール1) に一致するインバウンドトラフィックは、カスタムセキュリティグループルール内のアクションに基づいて許可または拒否されます。 他のインバウンドトラフィックは、デフォルトのアクセス制御ルール (ルール2) と一致し、拒否されます。
シリアル番号
ルールタイプ
トラフィックタイプ
Action
1
カスタムセキュリティグループルール
1つ以上のカスタムセキュリティグループルールに一致するトラフィック
カスタムセキュリティグループルールのアクションに基づいて許可または拒否する
2
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
アウトバウンド
次の表に、アドバンストセキュリティグループの既定のアクセス制御ルールとカスタムセキュリティグループルールを適用して、アウトバウンドトラフィックを制御する方法を示します。 高度なセキュリティグループ内の1つ以上のカスタムセキュリティグループルール (ルール1) に一致するアウトバウンドトラフィックは、カスタムセキュリティグループルール内のアクションに基づいて許可または拒否されます。 他のアウトバウンドトラフィックは、デフォルトのアクセス制御ルール (ルール2) と一致し、拒否されます。
シリアル番号
ルールタイプ
トラフィックタイプ
Action
1
カスタムセキュリティグループルール
1つ以上のカスタムセキュリティグループルールに一致するトラフィック
カスタムセキュリティグループルールのアクションに基づいて許可または拒否する
2
デフォルトのアクセス制御ルール
その他のトラフィック
拒否
その他のアイテム
項目 | 基本的なセキュリティグループ | 高度なセキュリティグループ |
サポートされているネットワークタイプ |
| VPC |
セキュリティグループへの許可または拒否ルールの追加のサポート | 対象 | 対象 |
セキュリティグループルールの優先順位の指定のサポート | 対象 | 対象 |