すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:defaultセキュリティグループ

最終更新日:Aug 26, 2024

デフォルトのセキュリティグループはAlibaba Cloudによって作成され、デフォルトのセキュリティグループルールが含まれています。 このトピックでは、デフォルトのセキュリティグループの作成条件と機能、およびデフォルトのセキュリティグループの使用方法について説明します。

背景情報

  • Elastic Compute Service (ECS) インスタンスの作成時にセキュリティグループを指定しない場合、Alibaba CloudはECSインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループが存在しない場合、または既存のすべてのデフォルトのセキュリティグループに追加のインスタンスを含めることができない場合、Alibaba Cloudは別のデフォルトのセキュリティグループを作成し、そのインスタンスを新しいデフォルトのセキュリティグループに追加します。

  • 仮想プライベートクラウド (VPC) に存在するセキュリティグループは、VPCでのみ使用できます。 デフォルトのセキュリティグループを作成できるVPCに制限はありません。 ECSインスタンスの作成時にvSwitchを指定し、セキュリティグループを指定しない場合、Alibaba CloudはvSwitchと同じVPC内に存在するデフォルトのセキュリティグループにインスタンスを追加します。 VPCにデフォルトのセキュリティグループが存在しない場合、またはVPC内の既存のすべてのデフォルトのセキュリティグループに追加のインスタンスを含めることができない場合、Alibaba CloudはVPC内に別のデフォルトのセキュリティグループを作成し、そのインスタンスを新しいデフォルトのセキュリティグループに追加します。

重要

デフォルトのセキュリティグループは、ECSインスタンスの作成プロセスを簡素化するために提供されていることに注意してください。 デフォルトでは、各デフォルトのセキュリティグループには、すべてのIPアドレス (0.0.0.0/0) からポート22およびポート3389へのTCPアクセスと、すべてのIPアドレス (0.0.0.0/0) からすべてのポートへのインターネット制御メッセージプロトコル (ICMP) (IPv4) アクセスを許可するデフォルトのインバウンドルールが含まれています。 これらのルールは、最良のセキュリティ手法に準拠していません。 最良のセキュリティプラクティスに準拠するために、特定のIPアドレスからのアクセスのみを許可するようにセキュリティグループルールを構成することを推奨します。 また、デフォルトのセキュリティグループを使用する代わりに、カスタムセキュリティグループを作成することをお勧めします。

API操作を呼び出してECSインスタンスを作成するために使用されるデフォルトセキュリティグループ

CreateInstanceを呼び出してECSインスタンスを作成するときにセキュリティグループを指定しない場合、Alibaba Cloudはインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループは、デフォルトのセキュリティグループルールを含む基本的なセキュリティグループです。 次の表に、デフォルトのセキュリティグループルールを示します。

プロトコル

ポート範囲

権限付与オブジェクト

優先度

Action

TCP

22/22

0.0.0.0/0

100

許可

TCP

3389/3389

0.0.0.0/0

100

許可

ICMP(IPv4)

-1/-1

0.0.0.0/0

100

許可

  • デフォルトのセキュリティグループのルールでは、すべてのIPアドレスからSSHポート22およびリモートデスクトッププロトコル (RDP) ポート3389へのTCPアクセスが許可されます。

  • デフォルトのセキュリティグループのルールでは、すべてのIPアドレスからすべてのポートへのICMP (IPv4) アクセスが許可されます。

RunInstancesを呼び出してECSインスタンスを作成する場合、既存のセキュリティグループを少なくとも1つ指定する必要があります。

説明

5月27日より前に作成されたデフォルトのセキュリティグループルールの優先度は110 2020。

ECSコンソールでECSインスタンスを作成するために使用されるデフォルトセキュリティグループ

ECSコンソールでECSインスタンスを作成するときにセキュリティグループが存在しないVPCを選択した場合、アクセスを許可するIPv4プロトコルとポートを選択して、デフォルトのセキュリティグループを作成できます。 Alibaba Cloudは、デフォルトのセキュリティグループとECSインスタンスをVPCに作成し、インスタンスをデフォルトのセキュリティグループに追加します。

ECSコンソールでネットワークタイプがクラシックネットワークのECSインスタンスを作成する場合、アカウントにクラシックネットワークタイプのセキュリティグループが存在しない場合にのみ、デフォルトのセキュリティグループを使用できます。

詳細については、「セキュリティグループ内のECSインスタンスの管理」トピックの「ECSコンソールでECSインスタンスを作成するときにデフォルトのセキュリティグループを使用する」セクションをご参照ください。