すべてのプロダクト
Search
ドキュメントセンター

:デフォルトのセキュリティグループ

最終更新日:Nov 26, 2024

Elastic Compute Service (ECS) インスタンスの作成を簡素化するため、ECSインスタンスの作成時にセキュリティグループを指定しない場合、Alibaba Cloudはデフォルトのセキュリティグループルールを含むデフォルトのセキュリティグループを作成します。 このトピックでは、デフォルトのセキュリティグループの作成条件と機能、およびデフォルトのセキュリティグループの使用方法について説明します。

デフォルトのセキュリティグループ

  • ECSインスタンスの作成時にセキュリティグループを指定しない場合、Alibaba Cloudはインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループが存在しない場合、または既存のデフォルトのセキュリティグループが追加のECSインスタンスに対応できない場合、Alibaba Cloudはデフォルトのセキュリティグループを作成し、作成したセキュリティグループにインスタンスを追加します。 仮想プライベートクラウド (VPC) に存在するセキュリティグループは、VPCでのみ使用できます。 デフォルトのセキュリティグループがVPCに存在せず、セキュリティグループを指定せずにVPCにECSインスタンスを作成した場合、Alibaba CloudはVPCにデフォルトのセキュリティグループを作成します。

  • デフォルトセキュリティグループは基本セキュリティグループです。 基本的なセキュリティグループの詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。 デフォルトのセキュリティグループでセキュリティグループルールを作成および変更できます。 デフォルトのセキュリティグループには、デフォルトのインバウンドセキュリティグループルールが含まれます。 次の表に、セキュリティグループルールを示します。

    プロトコルタイプ

    ポート範囲

    権限付与オブジェクト

    優先度

    Action

    SSH

    22/22

    0.0.0.0/0

    100

    許可

    RDP

    3389/3389

    0.0.0.0/0

    100

    許可

    ICMP(IPv4)

    -1/-1

    0.0.0.0/0

    100

    許可

    • デフォルトのセキュリティグループには、SSHポート22およびリモートデスクトッププロトコル (RDP) ポート3389のすべてのIPアドレスからのTCPアクセスを許可するデフォルトのインバウンドセキュリティグループルールが含まれています。

    • デフォルトのセキュリティグループには、すべてのポートのすべてのIPアドレスからのICMP (IPv4) アクセスを許可するデフォルトのインバウンドセキュリティグループルールが含まれています。

    重要

    ECSインスタンスの初回作成を簡素化するために、デフォルトセキュリティグループが提供されています。 デフォルトのセキュリティグループのデフォルトのセキュリティグループルールは、SSHポート22とRDPポート3389のすべてのIPアドレス (0.0.0.0/0) からのTCPアクセスを許可し、すべてのポートのすべてのIPアドレスからのICMP (IPv4) アクセスを許可します。 これにより、セキュリティリスクが発生し、ECSインスタンスがブルートフォース攻撃にさらされます。 セキュリティ上の理由から、特定のIPアドレスからのアクセスのみを許可するようにセキュリティグループルールを設定することを推奨します。 また、デフォルトのセキュリティグループルールを使用する代わりに、ビジネス要件に基づいてカスタムセキュリティグループを作成するか、デフォルトのセキュリティグループのデフォルトのセキュリティグループルールを変更することをお勧めします。

デフォルトのセキュリティグループの作成

APIを呼び出してECSインスタンスを作成するときにデフォルトのセキュリティグループを使用する

  • CreateInstance操作を呼び出してECSインスタンスを作成するときにセキュリティグループを指定しない場合、Alibaba Cloudは作成されたインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループが存在しない場合、または既存のデフォルトのセキュリティグループが追加のECSインスタンスに対応できない場合、Alibaba Cloudはデフォルトのセキュリティグループを作成し、作成したセキュリティグループにインスタンスを追加します。

  • RunInstancesを呼び出してECSインスタンスを作成する場合は、既存のセキュリティグループを指定する必要があります。

説明

5月27日より前に作成されたデフォルトのセキュリティグループルールの優先度は110 2020。

ECSコンソールでECSインスタンスを作成するときにデフォルトのセキュリティグループを使用する

  • ECSコンソールのインスタンス購入ページの [カスタム起動] タブでECSインスタンスを作成するときにセキュリティグループが存在しないVPCを選択した場合、HTTP (TCP:80) 、HTTPS (TCP:443) 、SSH (TCP:22) 、およびRDP (TCP:3389) を使用して、デフォルトのセキュリティグループを作成します。 Alibaba CloudはECSインスタンスを作成し、選択したIPv4プロトコルとポートの許可ルールを含むデフォルトのセキュリティグループを作成し、作成したセキュリティグループにECSインスタンスを追加します。

  • ECSコンソールのインスタンス購入ページの [クイック起動] タブでECSインスタンスを作成すると、Alibaba Cloudはインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループが存在しない場合、または既存のデフォルトのセキュリティグループが追加のECSインスタンスに対応できない場合、Alibaba Cloudはデフォルトグループを作成し、作成したセキュリティグループにインスタンスを追加します。