すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:VPC 内のグループ間通信

最終更新日:Jun 24, 2026

デフォルトでは、同じ VPC 内の異なるセキュリティグループに属する ECS インスタンスは分離されており、内部ネットワーク経由で相互に通信することはできません。セキュリティグループルールを設定することで、社内ウェブサイトの構築、アプリケーションサービスのデプロイ、データベースクラスターの管理などのビジネス要件に応じて、この通信を有効にできます。本トピックでは、これを実現するための 4 つの方法について説明します。

前提条件

  • 通信が必要な Elastic Compute Service (ECS) インスタンスは、同じ VPC 内に存在する必要があります。インスタンスが異なる VPC にある場合は、まず Cloud Enterprise Network (CEN) または VPC ピアリング接続を使用してネットワークを接続してから、セキュリティグループルールを設定する必要があります。

  • 方法 2 と方法 3 は、同じグループ内のインスタンスが相互に通信できるという、基本セキュリティグループのデフォルトの動作に依存しています。デフォルトでインスタンスを分離するエンタープライズセキュリティグループを使用している場合は、方法 1 または方法 4 を使用する必要があります。

方法 1:単一の IP アドレスによる承認

ユースケース

この方法は、同じ VPC 内の少数の ECS インスタンスが内部ネットワーク経由で通信する必要があるシナリオに最適です。

長所と短所

  • 長所: ルールが明確で理解しやすいです。

  • 短所: セキュリティグループごとに 200 のルール上限に達する可能性があります。メンテナンスの負荷が高いです。

操作手順

  1. 通信が必要なインスタンスを見つけ、そのインスタンス ID をクリックします。

  2. インスタンスの詳細 ページで、セキュリティグループ タブをクリックします。

  3. 設定するセキュリティグループを見つけ、操作 列で または ルール設定 をクリックします。

  4. 受信 タブをクリックします。

  5. 手动添加 をクリックし、以下の設定でセキュリティグループルールを追加します。

    • [許可ポリシー]: 許可。

    • [優先度]: 1。必要に応じて設定します。

    • [プロトコルタイプ]: 必要に応じて選択します。

    • [ポート範囲]: 必要に応じて設定します。

    • [アクセス元]: ソースインスタンスのプライベート IP アドレスを a.b.c.d/32 のフォーマットで入力します。ネットワークセグメント内のすべてのインスタンスを承認するには、192.168.1.0/24 のような CIDR 表記を使用します。

  6. 保存 をクリックします。

方法 2:インスタンスの同じセキュリティグループへの追加

ユースケース

すべてのインスタンスが 1 つの基本セキュリティグループを共有できる、シンプルなアプリケーションアーキテクチャ。

説明

基本セキュリティグループ内のインスタンスは、追加のルールを必要とせず、デフォルトで通信できます。この動作は、エンタープライズセキュリティグループには適用されません。エンタープライズセキュリティグループの場合は、方法 1 または方法 4 を使用してください。

長所と短所

  • 長所: ルールが明確で確認しやすいです。

  • 短所: シンプルなアーキテクチャにしか適用できません。ネットワークアーキテクチャが変更された場合は、承認方法を更新する必要があります。

操作手順

「インスタンス (プライマリネットワークインターフェース) へのセキュリティグループの関連付け」をご参照ください。

方法 3:通信専用セキュリティグループのアタッチ

ユースケース

内部通信のために専用のセキュリティグループを必要とする多層アプリケーションアーキテクチャ。

長所と短所

  • 長所: 複雑なネットワークアーキテクチャにも対応可能です。

  • 短所: インスタンスが複数のセキュリティグループに属するため、ルールが読みにくくなります。

操作手順

  1. 同じ VPC 内に、新しい基本セキュリティグループ (例:「shared-comm-sg」) を作成します。この新しいグループにルールは必要ありません。詳細については、「セキュリティグループの作成」をご参照ください。

  2. この新しい共有セキュリティグループを、内部通信が必要なすべてのインスタンスに関連付けます。これにより、同じ基本セキュリティグループ内のインスタンス間のトラフィックを許可するデフォルトルールが適用され、インスタンスが通信できるようになります。詳細については、「インスタンス (プライマリネットワークインターフェース) へのセキュリティグループの関連付け」をご参照ください。

方法 4:セキュリティグループ間の承認

ユースケース

インスタンスがセキュリティグループ ID によって相互に承認する、多層アプリケーションアーキテクチャ。

長所と短所

  • 長所: 複雑なネットワークアーキテクチャにも対応可能です。

  • 短所: インスタンスが複数のセキュリティグループに属するため、ルールが読みにくくなります。

操作手順

  1. 通信が必要なインスタンスを見つけ、そのインスタンス ID をクリックします。

  2. インスタンスの詳細 ページで、セキュリティグループ タブをクリックします。

  3. 設定するセキュリティグループを見つけ、操作 列で または ルール設定 をクリックします。

  4. 受信 タブをクリックします。

  5. 手动添加 をクリックし、以下の設定でセキュリティグループルールを追加します。

    • [許可ポリシー]: 許可。

    • [優先度]: 1。必要に応じて設定します。

    • [プロトコルタイプ]: 必要に応じて選択します。

    • [ポート範囲]: 必要に応じて設定します。

    • [権限付与オブジェクト]:

      • 自アカウント内: 送信元のセキュリティグループ ID を入力します。

      • クロスアカウント: 送信元のアカウント ID とセキュリティグループ ID を AccountID/SecurityGroupID のフォーマットで入力します。

  6. 保存 をクリックします。