Elastic Compute Service (ECS) インスタンスとセキュリティグループを関連付ける場合、セキュリティグループをインスタンスのプライマリ ENI (Elastic Network Interface) に関連付けます。 ECS インスタンスとセキュリティグループを関連付けた後、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックは、セキュリティグループのルールによって管理されます。ビジネス要件に基づいて、ECS インスタンスとセキュリティグループ間の関連付けを変更できます。このトピックでは、セキュリティグループへのインスタンスの追加、セキュリティグループからのインスタンスの削除、インスタンスのセキュリティグループの置き換え方法について説明します。
制限
ECS インスタンスは、少なくとも 1 つのセキュリティグループに関連付けられている必要があります。 ECS インスタンスに関連付けることができるセキュリティグループの数は制限されています。詳細については、「制限」トピックのセキュリティグループセクションをご参照ください。
ECS インスタンスと、インスタンスを追加するセキュリティグループは、同じネットワークタイプを使用する必要があります。 ECS インスタンスとセキュリティグループのすべてが Virtual Private Cloud (VPC) ネットワークタイプを使用している場合、それらは同じ VPC に属している必要があります。
セキュリティグループは、基本セキュリティグループと高度なセキュリティグループに分類されます。各 ECS インスタンスは、同じタイプの複数のセキュリティグループにのみ追加できます。詳細については、基本セキュリティグループと高度なセキュリティグループをご参照ください。
セキュリティグループへの ECS インスタンスの追加、セキュリティグループからの ECS インスタンスの削除、または ECS インスタンスのセキュリティグループの置き換え
ECS インスタンスのセキュリティグループがビジネス要件を満たしていない場合は、特定のセキュリティグループにインスタンスを追加または削除したり、インスタンスのセキュリティグループを置き換えたりできます。
既存の ECS インスタンスのセキュリティグループの管理
ECS console - Instance に移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[インスタンス] ページで、ビジネス要件に基づいて、セキュリティグループに ECS インスタンスを追加するか、セキュリティグループからインスタンスを削除するか、ECS インスタンスのセキュリティグループを置き換えます。
ECS インスタンスが 1 つのセキュリティグループのみに関連付けられている場合、ECS インスタンスは少なくとも 1 つのセキュリティグループに関連付けられている必要があるため、削除操作を実行できません。
ECS インスタンスのセキュリティグループを変更するには、セキュリティグループを管理する ECS インスタンスを見つけ、インスタンス ID をクリックします。インスタンスの詳細ページで、右上隅にある [すべてのアクション] をクリックし、[セキュリティグループの変更] を検索してクリックします。 [セキュリティグループの変更] ダイアログボックスで、ECS インスタンスのセキュリティグループを変更します。
セキュリティグループに ECS インスタンスを追加するには、[セキュリティグループ] ドロップダウンリストからインスタンスに関連付けられていないセキュリティグループを選択し、[確認] をクリックします。
セキュリティグループから ECS インスタンスを削除するには、[セキュリティグループ] フィールドからセキュリティグループを削除し、[確認] をクリックします。
インスタンスの作成時にセキュリティグループに ECS インスタンスを追加する
ECS コンソールで ECS インスタンスを作成するときに、1 つ以上のセキュリティグループにインスタンスを追加できます。使用可能なセキュリティグループがない場合、システムはデフォルトのセキュリティグループを作成します。この場合、ビジネス要件に基づいて、デフォルトのセキュリティグループで開く IPv4 ポートとプロトコルを選択できます。 ECS インスタンスの作成方法については、カスタム起動タブでインスタンスを作成するをご参照ください。
次のセクションでは、各デフォルトセキュリティグループの属性について説明します。
セキュリティグループタイプ: 基本セキュリティグループ。
ネットワークタイプ: 作成された ECS インスタンスのネットワークタイプと同じ。
デフォルトのセキュリティグルールのルール:
セキュリティグルールのルールは、優先度 100 です。
説明2020 年 5 月 27 日より前に作成されたデフォルトのセキュリティグルールのルールは、優先度 110 です。
ルールの説明:
アウトバウンド: デフォルトでは、すべてのアウトバウンドアクセスが許可されます。デフォルトのセキュリティグループの ECS インスタンスからのすべてのアウトバウンドトラフィックが許可されます。
インバウンド: デフォルトでは、インバウンド [ICMP] アクセスと [ポート 22] および [ポート 3389] でのインバウンドアクセスのみが許可されます。 [HTTP ポート 80] および [HTTPS ポート 443] でのインバウンドアクセスを許可するかどうかを指定できます。 ECS インスタンスを使用して Web サイトを構築する場合は、HTTP ポート 80 および HTTPS ポート 443 でのインバウンドアクセスを許可する必要があります。
ECS コンソールの [セキュリティグループ] ページにセキュリティグループが表示され、[システム作成セキュリティグループ] のような説明がある場合、そのセキュリティグループはデフォルトのセキュリティグループです。
デフォルトのセキュリティグルールのルールに加えて、セキュリティグルールのルールを追加または変更して、インバウンドトラフィックとアウトバウンドトラフィックを制御し、デフォルトのセキュリティグループとインスタンスおよび ENI (Elastic Network Interface) 間の関連付けをより詳細に管理できます。
デフォルトのセキュリティグルールのルールがビジネス要件を満たしていない場合は、カスタムセキュリティグループを作成し、新しいセキュリティグルールのルールを設定してから、ルールを ECS インスタンスまたは ENI に関連付けることができます。詳細については、セキュリティグループを作成するをご参照ください。
セキュリティグループへの ECS インスタンスの追加またはセキュリティグループからの ECS インスタンスの削除セキュリティ グループ
ビジネス要件に基づいて、特定のセキュリティグループにインスタンスを追加または削除できます。
ECS console - Security Groups に移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
管理するセキュリティグループを見つけて、
> [インスタンスの管理] を [操作] 列で選択します。[インスタンス] タブの [ECS インスタンス] タブで、ビジネス要件に基づいて、セキュリティグループに ECS インスタンスを追加または削除します。
セキュリティグループにインスタンスを追加します。 [セキュリティグループにインスタンスを追加] をクリックします。 [セキュリティグループにインスタンスを追加] ダイアログボックスで、[インスタンス] フィールドに 1 つ以上のインスタンスの ID または名前を入力し、インスタンスを選択して、[確認] をクリックします。
セキュリティグループからインスタンスを削除します。 1 つ以上のインスタンスを選択し、[インスタンス] タブの下部にある [セキュリティグループから削除] をクリックします。 [セキュリティグループから削除] メッセージで、[OK] をクリックします。
セキュリティグループに関連付けられているインスタンスのクエリ
ECS console - Security Groups に移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[セキュリティグループ] ページで、クエリするセキュリティグループを見つけ、
[インスタンスの管理][操作] 列で > を選択します。[インスタンス] タブの [ECS インスタンス] タブと [Elastic Container インスタンス] タブで、セキュリティグループに関連付けられているすべてのインスタンスを表示します。