デフォルトセキュリティグループでは、デフォルトのルールは着信 ICMP トラフィックと SSH ポート 22、RDP ポート 3389、HTTP ポート 80、および HTTPS ポート443 への着信アクセスにのみ適用されます。 さらに、デフォルトのルールはセキュリティグループのネットワークタイプによって異なります。 インスタンスをデフォルトのセキュリティグループに追加したくない場合は、カスタマイズセキュリティグループを作成できます。
背景
各 ECS インスタンスは少なくとも 1 つのセキュリティグループに参加する必要があります。 詳細は、「セキュリティグループ」をご参照ください。
インスタンスを作成する前にセキュリティグループを作成しなかった場合は、デフォルトのセキュリティグループを使用できます。 詳細については、「デフォルトセキュリティグループルール」をご参照ください。
前提条件
VPC 用のセキュリティグループを作成する場合は、まずVPC と vSwitch の作成をする必要があります。
注 VPC を使用してセキュリティグループを作成する場合は、その VPC 内のさまざまな vSwitch とともにそのセキュリティグループを使用できます。 ただし、そのセキュリティグループを他の
VPC で使用することはできません。
手順
- ECS コンソールにログインします。
- 左側のナビゲーションウィンドウで、 を選択します。
- リージョンを選択します。
- [セキュリティグループの作成] をクリックします。
- 表示された [セキュリティグループの作成] ダイアログボックスで、次の設定を行います。
- テンプレート: セキュリティグループ内のインスタンスにデプロイされているサービスに応じてテンプレートを選択します。 テンプレートは、セキュリティグループルールの設定を簡素化するように設計されています。
次の表は、テンプレートをさまざまなシナリオに適用する方法について説明しています。
シナリオ テンプレート 説明 Web サービスは、セキュリティグループ内の Linux インスタンスにデプロイする必要があります。 Web サーバー Linux デフォルトでは、TCP ポート 80/443/22 への着信アクセスと着信 ICMP トラフィックが許可されています。 Web サービスは、セキュリティグループ内の Windows インスタンスにデプロイする必要があります。 Web サーバー Windows デフォルトでは、TCP ポート 80/443/3389 への着信アクセスと着信 ICMP トラフィックが許可されています。 特別な要件はありません カスタム セキュリティグループを作成したら、ビジネスニーズに応じてセキュリティグループルールを追加できます。 セキュリティグループルールを追加 - セキュリティグループ名: セキュリティグループの名前を入力します。
- 説明: セキュリティグループの説明を入力します。
- ネットワークタイプ:
- VPC 用のセキュリティグループを作成するには、[VPC] を選択し、対象の VPC を選択します。
- クラシックネットワーク用のセキュリティグループを作成するには、[クラシック] を選択します。
- テンプレート: セキュリティグループ内のインスタンスにデプロイされているサービスに応じてテンプレートを選択します。 テンプレートは、セキュリティグループルールの設定を簡素化するように設計されています。
次の表は、テンプレートをさまざまなシナリオに適用する方法について説明しています。
- [OK] をクリックします。
ルールを追加せずに新しいセキュリティグループを作成した場合は、インターネットとイントラネットの両方にデフォルトのルールが適用されます。 具体的には、インバウンドアクセスが拒否されている間、アウトバウンドアクセスは許可されます。
API 操作
セキュリティグループを作成するためにCreateSecurityGroupを呼び出すことができます。
次のステップ
- インターネットまたはイントラネットに基づく ECS インスタンスへのアクセスを制御するために、セキュリティグループルールを追加できます。 セキュリティグループのルールに共通に関連するポートについては、「共通の ECS インスタンスポートの概要」をご参照ください。 代表的なユースケースの詳細については、「セキュリティグループルールの代表的な適用例」をご参照ください。