Elastic Compute Service (ECS) インスタンスをセキュリティグループに追加する場合、インスタンスにバインドされているプライマリelastic network interface (ENI) をセキュリティグループに追加します。 送信元IPアドレス、アプリケーションプロトコル、およびポートに基づいて、ENIごとに特定のセキュリティグループルールを設定して、きめ細かいアクセス制御を実現できます。
背景情報
プライマリENIをセキュリティグループに追加する前に、プライマリENIがセキュリティグループと同じ仮想プライベートクラウド (VPC) と同じゾーンに属していることを確認してください。
ENIは、同じタイプ (基本または高度) のセキュリティグループにのみ追加できます。
各 ECS インスタンスは、少なくとも 1 つのセキュリティグループに属している必要があります。 デフォルトでは、各インスタンスは最大5つのセキュリティグループに属することができます。 詳細については、「制限」の「セキュリティグループの制限」セクションをご参照ください。
[ネットワークインタフェース] ページでENIに関連付けられているセキュリティグループを管理する
[ネットワークインタフェース] ページでは、セカンダリENIのセキュリティグループのみを管理できます。 次の手順を実行して、セカンダリENIをセキュリティグループに追加またはセカンダリENIを削除します。
登録ECS管理。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
管理するENIを見つけます。 [アクション] 列で、[変更] をクリックします。
で[変更] ダイアログボックスで、次の操作を実行します。
ENIをセキュリティグループに追加するには、[セキュリティグループ] ドロップダウンリストからENIに関連付けられていないセキュリティグループを選択します。
セキュリティグループからENIを削除するには、 [セキュリティグループ] セクションのセキュリティグループに対応するID列の [削除] セクションをクリックします。
[OK] をクリックします。
[セキュリティグループ] ページでセキュリティグループに関連付けられているENIを管理する
セキュリティグループに関連付けられているプライマリENIの管理
ECSインスタンスがセキュリティグループに追加された場合、インスタンスにバインドされているプライマリENIもセキュリティグループに追加されます。 [セキュリティグループ] ページで、セキュリティグループにプライマリENIを追加または削除するには、次の手順を実行します。
登録ECS管理。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[セキュリティグループ] ページで、管理するセキュリティグループを見つけます。 [アクション] 列で、 [インスタンスの管理] をクリックします。
セキュリティグループの詳細ページの左側のナビゲーションウィンドウで、[セキュリティグループのインスタンス] をクリックします。
プライマリENIをセキュリティグループに追加する
ページの右上隅にある [インスタンスの追加] をクリックします。
[インスタンスの追加] ダイアログボックスで、プライマリENIがバインドされているインスタンスのIDを選択します。 OKをクリックします。
複数のECSインスタンスを同時に選択できます。 選択したECSインスタンスと、インスタンスにバインドされているプライマリENIが現在のセキュリティグループに追加されます。
セキュリティグループからプライマリENIを削除する
1つ以上のECSインスタンスを選択し、ページ下部の [セキュリティグループから削除] をクリックします。
[セキュリティグループからECSインスタンスを削除] メッセージで、[OK] をクリックします。
選択したECSインスタンスと、インスタンスにバインドされているプライマリENIが現在のセキュリティグループから削除されます。
セキュリティグループに関連付けられているセカンダリENIの管理
セキュリティグループの詳細ページで、セカンダリENIに関連付けられているセキュリティグループを変更するには、次の手順を実行します。
登録ECS管理。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[セキュリティグループ] ページで、管理するセキュリティグループを見つけます。 [アクション] 列で、 [ENIの管理] をクリックします。
セキュリティグループの詳細ページの左側のナビゲーションウィンドウで、[セキュリティグループのENI] をクリックします。
管理するセカンダリENIを見つけて、[操作] 列の [変更] をクリックします。
[変更] ダイアログボックスで、[セキュリティグループ] ドロップダウンリストの現在のセキュリティグループとは異なるセキュリティグループを選択します。
[OK] をクリックします。
参考資料
API操作を呼び出してセキュリティグループにENIを追加する方法については、「JoinSecurityGroup」をご参照ください。
API操作を呼び出してセキュリティグループからENIを削除する方法については、「LeaveSecurityGroup」をご参照ください。
APIを呼び出してENIに関連付けられているセキュリティグループを変更する方法については、「ModifyNetworkInterfaceAttribute」をご参照ください。