セキュリティグループをElastic Compute Service (ECS) インスタンスに関連付ける場合、セキュリティグループをインスタンスのプライマリelastic network interface (ENI) に関連付けます。 セキュリティグループをECSインスタンスに関連付けると、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックはセキュリティグループのルールによって管理されます。 ビジネス要件に基づいて、ECSインスタンスとセキュリティグループの関連付けを変更できます。 このトピックでは、セキュリティグループにインスタンスを追加する方法、セキュリティグループからインスタンスを削除する方法、およびインスタンスのセキュリティグループを置き換える方法について説明します。
制限事項
ECSインスタンスは、少なくとも1つのセキュリティグループに関連付けられている必要があります。 ECSインスタンスに関連付けることができるセキュリティグループの数は限られています。 詳細については、「制限」トピックのセキュリティグループの制限セクションを参照してください。
ECSインスタンスとインスタンスを追加するセキュリティグループは、同じネットワークタイプを使用する必要があります。 ECSインスタンスとセキュリティグループがすべてVirtual Private Cloud (VPC) ネットワークタイプを使用している場合、それらは同じVPCに属している必要があります。
セキュリティグループは、基本セキュリティグループと高度セキュリティグループに分類されます。 各ECSインスタンスは、同じタイプの複数のセキュリティグループにのみ追加できます。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。
セキュリティグループへのECSインスタンスの追加、ECSインスタンスの削除、またはECSインスタンスのセキュリティグループの置き換え
ECSインスタンスのセキュリティグループがビジネス要件を満たしていない場合、インスタンスを特定のセキュリティグループに追加するか、特定のセキュリティグループからインスタンスを削除するか、インスタンスのセキュリティグループを置き換えることができます。
既存のECSインスタンスのセキュリティグループの管理
にログインします。ECSコンソール.
左側のナビゲーションペインで
を選択します。上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[インスタンス] ページで、ビジネス要件に基づいて、ECSインスタンスをセキュリティグループに追加するか、セキュリティグループからインスタンスを削除するか、ECSインスタンスのセキュリティグループを置き換えます。
ECSインスタンスが1つのセキュリティグループのみに関連付けられている場合、ECSインスタンスは少なくとも1つのセキュリティグループに関連付けられている必要があるため、削除操作は実行できません。
単一のECSインスタンス
管理するECSインスタンスを見つけ、[操作] 列で
> [ネットワークとセキュリティグループ] > [セキュリティグループの変更] を選択します。 [セキュリティグループの変更] ダイアログボックスで、ECSインスタンスのセキュリティグループを変更します。
ECSインスタンスをセキュリティグループに追加するには、[セキュリティグループ] ドロップダウンリストからインスタンスに関連付けられていないセキュリティグループを選択し、[確認] をクリックします。
セキュリティグループからECSインスタンスを削除するには、[セキュリティグループ] フィールドからセキュリティグループを削除し、[確認] をクリックします。
複数のECSインスタンス
複数のECSインスタンスのセキュリティグループを変更する前に、選択したインスタンスが同じネットワークタイプを使用していることを確認してください。 選択したインスタンスがVPCネットワークタイプの場合、同じVPC内にある必要があります。
管理するECSインスタンスを検索し、ページ下部の [詳細] > [ネットワークとセキュリティグループ] > [セキュリティグループに追加] 、[セキュリティグループから削除] 、または [セキュリティグループの置換] を選択します。
ECSインスタンスを1つ以上のセキュリティグループに追加します。 [セキュリティグループに追加] ダイアログボックスで、[置換セキュリティグループ] ドロップダウンリストから新しいセキュリティグループを選択し、[確認] をクリックします。
1つ以上のセキュリティグループからECSインスタンスを削除します。 [セキュリティグループからインスタンスを削除] ダイアログボックスで、[置換セキュリティグループ] ドロップダウンリストから既存のセキュリティグループを削除し、[確認] をクリックします。
ECSインスタンスのセキュリティグループを置き換えます。 [セキュリティグループの置換] ダイアログボックスで、[置換セキュリティグループ] ドロップダウンリストからセキュリティグループを選択し、[OK] をクリックします。
インスタンスの作成時にECSインスタンスをセキュリティグループに追加する
ECSコンソールでECSインスタンスを作成する場合、インスタンスを1つ以上のセキュリティグループに追加できます。 利用可能なセキュリティグループがない場合、システムはデフォルトのセキュリティグループを作成します。 この場合、ビジネス要件に基づいて、デフォルトのセキュリティグループで開くIPv4ポートとプロトコルを選択できます。 ECSインスタンスの作成方法については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
次のセクションでは、各デフォルトのセキュリティグループの属性について説明します。
セキュリティグループタイプ: 基本セキュリティグループ。
ネットワークタイプ: 作成されたECSインスタンスのネットワークタイプと同じです。
デフォルトのセキュリティグループルール:
セキュリティグループルールの優先度は100です。
説明5月27日より前に作成されたデフォルトのセキュリティグループルールの優先度は110 2020。
ルールの説明:
アウトバウンド: デフォルトでは、すべてのアウトバウンドアクセスが許可されています。 デフォルトセキュリティグループ内のECSインスタンスからのすべてのアウトバウンドトラフィックが許可されています。
インバウンド: デフォルトでは、ポート22とポート3389のインバウンドICMPアクセスとインバウンドアクセスのみが許可されます。 HTTPポート80およびHTTPSポート443でのインバウンドアクセスを許可するかどうかを指定できます。 ECSインスタンスを使用してWebサイトを構築する場合、HTTPポート80およびHTTPSポート443でのインバウンドアクセスを許可する必要があります。
ECSコンソールの [セキュリティグループ] ページにセキュリティグループが表示され、システムが作成したセキュリティグループに似た説明がある場合、そのセキュリティグループはデフォルトのセキュリティグループです。
デフォルトのセキュリティグループルールに加えてセキュリティグループルールを追加または変更して、インバウンドおよびアウトバウンドトラフィックを制御し、デフォルトのセキュリティグループとインスタンスおよびelastic network Interface (ENI) との関連付けをよりきめ細かく管理できます。
デフォルトのセキュリティグループルールがビジネス要件を満たしていない場合は、カスタムセキュリティグループを作成し、新しいセキュリティグループルールを設定してから、ルールをECSインスタンスまたはENIに関連付けることができます。 詳細については、「セキュリティグループの作成」をご参照ください。
セキュリティグループへのECSインスタンスの追加または削除
ビジネス要件に基づいて、特定のセキュリティグループにインスタンスを追加または削除することもできます。
にログインします。ECSコンソール.
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
管理するセキュリティグループを見つけ、[操作] 列で
/> [インスタンスの管理] を選択します。
[インスタンス] タブで、ビジネス要件に基づいてセキュリティグループにECSインスタンスを追加または削除します。
セキュリティグループにインスタンスを追加します。 [インスタンスをセキュリティグループに追加] をクリックします。 [インスタンスをセキュリティグループに追加] ダイアログボックスで、[インスタンス] フィールドにインスタンスのIDまたは名前を入力し、インスタンスを選択して [確認] をクリックします。
セキュリティグループからインスタンスを削除します。 1つ以上のインスタンスを選択し、[インスタンス] タブの下部にある [セキュリティグループから削除] をクリックします。 [セキュリティグループから削除] メッセージで、[OK] をクリックします。
セキュリティグループに関連付けられたインスタンスの照会
左側のナビゲーションウィンドウで、 を選択します。 [セキュリティグループ] ページで、照会するセキュリティグループを見つけ、[操作] 列の [
/> インスタンスの管理] を選択します。
[インスタンス] タブの [ECSインスタンス] および [Elastic Containerインスタンス] タブで、セキュリティグループに関連付けられているすべてのインスタンスを表示します。