セキュリティグループは、Elastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理する仮想ファイアウォールです。 これにより、ネットワークの分離と接続が容易になります。 このトピックでは、セキュリティグループを作成、クエリ、変更、または削除する方法について説明します。
使用上の注意
セキュリティグループの機能と使用に関する推奨事項に精通しています。 詳細については、「概要」をご参照ください。
セキュリティグループは、基本セキュリティグループと高度セキュリティグループに分類されます。 2つのタイプのセキュリティグループは、容量、セキュリティグループの内部アクセス制御ポリシー、セキュリティグループを承認オブジェクトとして追加できるかどうか、およびアクセス制御ルールの点で異なります。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。
セキュリティグループとプレフィックスリストの制限については、「制限」トピックのセキュリティグループの制限セクションを参照してください。
セキュリティグループの作成
ECSインスタンスの作成時に、選択したリージョンにカスタムセキュリティグループを作成しなかった場合、デフォルトセキュリティグループが自動的に作成されます。 ECSインスタンスをカスタムセキュリティグループに追加する場合は、手動でセキュリティグループを作成する必要があります。
デフォルトでは、基本セキュリティグループの内部接続ポリシーはグループ内インターワーキングです。 内部接続ポリシーを変更できます。 詳細については、「基本セキュリティグループの内部アクセス制御ポリシーの変更」をご参照ください。
ECSコンソールの使用
[セキュリティグループ] ページに移動します。
にログインします。ECSコンソール.
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[セキュリティグループの作成] をクリックします。
[基本情報] セクションで、セキュリティグループに関する基本情報を設定します。
作成するセキュリティグループの識別を容易にするために、セキュリティグループのパラメーターを設定します。 パラメーターには、セキュリティグループ名、説明、リソースグループ、およびタグが含まれます。
ネットワークを指定します。 クラシックネットワークまたは仮想プライベートクラウド (VPC) を選択できます。 詳細については、「ネットワークタイプ」をご参照ください。
セキュリティグループのタイプを指定します。 基本または高度なセキュリティグループタイプを選択できます。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。
[アクセスルール] セクションで、セキュリティグループルールを設定します。
デフォルトでは、基本的なセキュリティグループルールがセキュリティグループに設定されます。 カスタムセキュリティグループルールを追加するには、次の手順を実行します。 詳細については、「セキュリティグループルールの追加」をご参照ください。
作成するセキュリティグループルールの方向に基づいて、[インバウンド] または [アウトバウンド] タブをクリックします。
[ルールの追加] をクリックします。
カスタムセキュリティグループのルールを設定します。 セキュリティグループルールの詳細については、「セキュリティグループルール」をご参照ください。
[セキュリティグループの作成] をクリックします。
セキュリティグループを作成した後、[セキュリティグループリスト] ページでセキュリティグループを表示できます。 詳細については、「セキュリティグループの検索」をご参照ください。
API の呼び出し
CreateSecurityGroup操作を呼び出して、セキュリティグループを作成できます。 詳細については、「CreateSecurityGroup」をご参照ください。
セキュリティグループの複製
セキュリティグループを複製して、リージョンおよびネットワークタイプ間で同一のセキュリティグループをすばやく作成できます。 クローン操作は、多数のセキュリティグループルールをリージョン間でコピーし、多数のセキュリティグループルールをバックアップする必要がある場合などのシナリオに適しています。
クラシックネットワークからVPCにセキュリティグループをクローンする前に、移行先リージョンで少なくとも1つのVPCが使用可能であることを確認してください。 詳細については、「VPC の作成と管理」をご参照ください。
次のシナリオでは、セキュリティグループのクローンを作成する必要があります。
リージョンaにSG1という名前のセキュリティグループを作成し、リージョンBのインスタンスにSG1と同じルールを適用する必要があります。新しいセキュリティグループを作成しなくても、SG1をリージョンBにクローンできます。
クラシックネットワークにSG2という名前のセキュリティグループを作成し、VPCに存在するインスタンスにSG2と同じルールを適用します。 SG2のクローンを作成し、クローンダイアログボックスでクローンセキュリティグループのネットワークタイプとしてVPCを選択できます。
アプリケーションが実行されているECSインスタンスに新しいセキュリティグループルールを適用する前に、インスタンスの現在のセキュリティグループを複製してセキュリティグループルールをバックアップできます。
既定では、クローンセキュリティグループには元のセキュリティグループのセキュリティグループルールのみが含まれます。 元のセキュリティグループに関連付けられているECSインスタンスとelastic network Interface (ENI) は複製されません。
ECSコンソールの使用
左側のナビゲーションウィンドウで、
を選択します。 [セキュリティグループリスト] ページで、複製するセキュリティグループを見つけ、[操作] 列の [セキュリティグループの複製] をクリックします。[セキュリティグループの複製] ダイアログボックスで、セキュリティグループの複製を設定します。
宛先リージョン: クローンセキュリティグループのリージョンを選択します。
セキュリティグループ名: クローンセキュリティグループの名前を指定します。
VPC ID: クローンセキュリティグループのネットワークタイプを選択します。 クラシックネットワークまたはVPC IDを選択できます。 利用可能なVPCがない場合は、[VPCの作成] をクリックしてVPCコンソールに移動し、VPCを作成します。
保持ルール: 元のセキュリティグループのすべてのルールを保持するかどうかを選択します。 チェックボックスをオンにすると、元のセキュリティグループのすべてのルールが複製され、100より高いルールの優先順位が100にリセットされます。 それ以外の場合、ルールは破棄され、クローンセキュリティグループから削除されます。
説明: クローンセキュリティグループの説明を指定します。
現在のセキュリティグループのタグのコピー: 元のセキュリティグループのタグをクローンセキュリティグループにコピーするかどうかを指定します。
[確認]をクリックします。
説明セキュリティグループが複製されると、[セキュリティグループの複製] ダイアログボックスが閉じます。 [セキュリティグループページ] で、コピー先リージョンのクローンセキュリティグループを表示できます。
セキュリティグループのクローンを作成した後、次の操作を実行できます。
ECSインスタンスやENIなどのクラウドリソースをクローンセキュリティグループに追加します。 詳細については、「セキュリティグループに関連付けられたリソースの管理」をご参照ください。
セキュリティグループが新しいネットワーク環境とセキュリティポリシーに確実に適応するように、ビジネス要件に基づいてクローンセキュリティグループのルールまたはアクセス制御ポリシーを変更します。 詳細については、「セキュリティグループルールの変更」および「基本的なセキュリティグループの内部アクセス制御ポリシーの変更」をご参照ください。
セキュリティグループの変更
セキュリティグループを作成した後、ビジネス要件に基づいてセキュリティグループの名前、説明、およびタグを変更できます。
ECSコンソールの使用
左側のナビゲーションウィンドウで、
を選択します。 [セキュリティグループリスト] ページで、変更するセキュリティグループを見つけます。セキュリティグループの名前と説明を変更する
[セキュリティグループID /名前] 列のセキュリティグループ名または [説明] 列の説明の上にポインタを移動し、アイコンをクリックします。
表示されるダイアログボックスで、新しい名前または説明を入力し、[確認] をクリックします。
説明セキュリティグループ名: 新しい名前の長さは2 ~ 128文字である必要があります。 名前には、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) 、およびコロン (:) を使用できます。
説明: 新しい説明は2〜256文字である必要があり、http:// またはhttps:// で始めることはできません。
セキュリティグループのタグの変更
タグを使用して、同じ組織に属するセキュリティグループや同じ目的を果たすセキュリティグループなど、検索と管理を容易にするために同じ特性を持つリソースを識別できます。 タグの詳細については、「タグ」をご参照ください。
ビジネス要件に基づいてセキュリティグループのタグを変更します。
セキュリティグループにタグが追加されていない場合は、[タグ] 列のアイコンの上にポインターを移動し、[編集] をクリックします。
タグがセキュリティグループに追加されている場合は、[タグ] 列のアイコンの上にポインターを移動し、[編集] をクリックします。
[タグの設定] ダイアログボックスで、タグを選択または作成します。 [OK] をクリックします。
説明タグをセキュリティグループに追加した後、タグでセキュリティグループをフィルタリングして、さまざまな操作を実行できます。 たとえば、特定のタグセットを持つセキュリティグループにECSインスタンスを追加したり、異なるタグセットを持つセキュリティグループにルールを追加したりできます。
API の呼び出し
ModifySecurityGroupAttributeを呼び出して、セキュリティグループの名前または説明を変更できます。 詳細については、「ModifySecurityGroupAttribute」をご参照ください。
セキュリティグループの検索
セキュリティグループを作成した後、セキュリティグループ名、セキュリティグループID、またはVPC IDでセキュリティグループを照会できます。
ECSコンソールの使用
左側のナビゲーションウィンドウで、
を選択します。 セキュリティグループリストページで、照会するセキュリティグループのセキュリティグループ名、セキュリティグループID、またはVPC IDを [インテリジェントマッチ] フィールドに入力し、アイコンをクリックしてセキュリティグループを検索します。[セキュリティグループ名] または [セキュリティグループID] を選択し、セキュリティグループ名またはIDを指定して、正確な検索を実行できます。 VPC IDを選択してVPC IDを入力し、特定のVPC内のすべてのセキュリティグループを照会することもできます。
API の呼び出し
DescribeSecurityGroups操作を呼び出して、1つ以上のセキュリティグループを照会できます。 詳細については、「DescribeSecurityGroups」をご参照ください。
セキュリティグループの削除
不要になったセキュリティグループを削除できます。 セキュリティグループが削除されると、セキュリティグループ内のルールも削除されます。
次のシナリオでは、セキュリティグループを削除できません。
削除するセキュリティグループには、ECSインスタンスまたはENIが含まれていません。 セキュリティグループにECSインスタンスまたはENIが含まれている場合、セキュリティグループを削除することはできません。 セキュリティグループを削除する前に、ECSインスタンスまたはENIをセキュリティグループから移動します。 詳細については、「セキュリティグループ内のECSインスタンスの管理」または「セキュリティグループ内のENIの管理」をご参照ください。
削除するセキュリティグループは、他のセキュリティグループのセキュリティグループルールによって承認オブジェクトとして参照されません。 セキュリティグループが他のセキュリティグループのセキュリティグループルールによって承認オブジェクトとして参照されている場合、セキュリティグループを削除することはできません。 セキュリティグループを削除する前に、セキュリティグループルールを削除します。 詳細については、「セキュリティグループルールの削除」をご参照ください。
セキュリティグループの削除保護が有効になっている場合、セキュリティグループは削除できません。
DeleteSecurityGroupを呼び出してセキュリティグループを削除すると
InvalidOperation.DeletionProtection
が返されるか、ECSコンソールでセキュリティグループを削除するとDeletionProtectionのようなメッセージが表示されます。 Container Service for Kubernetes (ACK) クラスターを作成すると、関連付けられたセキュリティグループの削除保護機能が有効になり、誤って削除されないようになります。 セキュリティグループの削除保護機能を手動で無効にすることはできません。 削除保護機能は、ACKクラスターが削除された後にのみ自動的に無効にできます。 詳細については、「セキュリティグループの削除保護を無効にする」をご参照ください。
ECSコンソールの使用
左側のナビゲーションウィンドウで、
を選択します。 [セキュリティグループリスト] ページで、削除する1つ以上のセキュリティグループを見つけます。 次のいずれかの方法でセキュリティグループを削除します。1つのセキュリティグループを削除するには、セキュリティグループを見つけて、[操作] 列の [削除] をクリックします。
一度に1つ以上のセキュリティグループを削除するには、セキュリティグループを選択し、ページ下部の [一括削除] をクリックします。
[セキュリティグループの削除] メッセージで、情報を確認し、[確認] をクリックします。
セキュリティグループがECSインスタンスまたはENIに関連付けられておらず、[セキュリティグループの削除] ダイアログボックスでセキュリティグループが削除できないと表示されている場合は、[強制削除] をクリックします。
API の呼び出し
DeleteSecurityGroup操作を呼び出して、セキュリティグループを削除できます。 詳細については、「DeleteSecurityGroup」をご参照ください。
セキュリティグループのFAQとベストプラクティス
セキュリティグループの設定、セキュリティグループルール、アクセスできないECSインスタンス、ホストのペナルティとブロック解除手順、およびリソースクォータ管理については、「セキュリティに関するFAQ」をご参照ください。
[プロトコルタイプ] および [ポート範囲] パラメーターの設定方法については、「 [共通ポート] 」および「インスタンスが接続を受け入れるために使用するデフォルトポートの変更」をご参照ください。
ECSインスタンスやENIなどのクラウドリソースを新しいセキュリティグループに追加できます。 詳細については、「セキュリティグループでのECSインスタンスの管理」および「セキュリティグループでのENIの管理」をご参照ください。
セキュリティグループの内部アクセス制御ポリシーを変更する方法については、「基本セキュリティグループの内部アクセス制御ポリシーの変更」をご参照ください。
OOSコンソールで、一度に複数のクラウドリソースのタグ値を変更できます。 詳細については、「CloudOps Orchestration Service (OOS) 」をご参照ください。
セキュリティグループルールを設定するためのベストプラクティスとユースケース:
ECSインスタンスのファイアウォールを有効にし、外部アクセスをブロックするようにセキュリティグループルールを設定した場合、インスタンスに接続できない可能性があります。 システムファイアウォールを有効および無効にするためのベストプラクティス:
その他のベストプラクティス: