セキュリティグループの作成、セキュリティグループの複製、セキュリティグループの変更、セキュリティグループのクエリ、およびセキュリティグループの削除 - Elastic Compute Service

セキュリティグループは、Elastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理する仮想ファイアウォールです。これは、ネットワークの隔離と接続を容易にします。このトピックでは、セキュリティグループの作成、クエリ、変更、または削除を行う方法について説明します。

使用上の注意

セキュリティグループの機能と使用上の推奨事項について理解している必要があります。詳細については、「概要」をご参照ください。
セキュリティグループは、ベーシックセキュリティグループとアドバンストセキュリティグループに分類されます。これら 2 つのタイプのセキュリティグループは、容量、セキュリティグループの内部アクセス制御ポリシー、セキュリティグループを権限付与オブジェクトとして追加できるかどうか、およびアクセス制御ルールが異なります。詳細については、「ベーシックセキュリティグループとアドバンストセキュリティグループ」をご参照ください。
セキュリティグループとプレフィックスリストの制限については、「制限」トピックの「セキュリティグループ」セクションをご参照ください。

セキュリティグループの作成

ECS インスタンスの作成時に、選択したリージョンでカスタムセキュリティグループを作成しなかった場合は、デフォルトセキュリティグループが自動的に作成されます。カスタムセキュリティグループに ECS インスタンスを追加する場合は、セキュリティグループを手動で作成する必要があります。
デフォルトでは、ベーシックセキュリティグループの内部接続ポリシーは、グループ内相互接続です。内部接続ポリシーは変更できます。詳細については、「ベーシックセキュリティグループの内部アクセス制御ポリシーを変更する」をご参照ください。

ECS コンソールの使用

[セキュリティグループ] ページに移動します。
1. ECS console - Security Groups に移動します。
2. 上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[セキュリティグループの作成] をクリックします。
[基本情報] セクションで、セキュリティグループの基本情報を構成します。
1. 作成するセキュリティグループを識別しやすいように、セキュリティグループのパラメータを構成します。パラメータには、セキュリティグループ名、説明、リソースグループ、およびタグが含まれます。
2. ネットワークを指定します。クラシックネットワークまたは仮想プライベートクラウド (VPC) を選択できます。詳細については、「ネットワークタイプ」をご参照ください。
3. セキュリティグループのタイプを指定します。ベーシックまたはアドバンストのセキュリティグループタイプを選択できます。詳細については、「ベーシックセキュリティグループとアドバンストセキュリティグループ」をご参照ください。
[アクセスルール] セクションで、セキュリティグループルールを構成します。
デフォルトでは、ベーシックセキュリティグループルールがセキュリティグループに構成されています。カスタムセキュリティグループルールを追加するには、次の手順を実行します。詳細については、「セキュリティグループルールの追加」をご参照ください。
1. 作成するセキュリティグループルールの方向に基づいて、[インバウンド] タブまたは [アウトバウンド] タブをクリックします。
2. [ルールの追加] をクリックします。
3. カスタムセキュリティグループルールを構成します。セキュリティグループルールの詳細については、「セキュリティグループルール」をご参照ください。
[セキュリティグループの作成] をクリックします。
セキュリティグループを作成した後、セキュリティグループリストページでセキュリティグループを表示できます。詳細については、「セキュリティグループの検索」をご参照ください。

API オペレーションの呼び出し

CreateSecurityGroup オペレーションを呼び出して、セキュリティグループを作成できます。詳細については、「CreateSecurityGroup」をご参照ください。

セキュリティグループのクローン作成

セキュリティグループをクローン作成することで、リージョンとネットワークタイプをまたいで同一のセキュリティグループを迅速に作成できます。クローン作成操作は、多数のセキュリティグループルールをリージョン間でコピーする必要がある場合や、多数のセキュリティグループルールをバックアップする必要がある場合などのシナリオに適しています。

クラシックネットワークから VPC にセキュリティグループをクローン作成する前に、ターゲットリージョンに少なくとも 1 つの VPC が存在することを確認してください。詳細については、「VPC の作成と管理」をご参照ください。

以下のシナリオでは、セキュリティグループのクローン作成が必要になる場合があります。

リージョン A に SG1 という名前のセキュリティグループを作成し、SG1 と同じルールをリージョン B のインスタンスに適用する場合。新しいセキュリティグループを作成することなく、SG1 をリージョン B にクローン作成できます。
クラシックネットワークに SG2 という名前のセキュリティグループを作成し、SG2 と同じルールを VPC 内にあるインスタンスに適用する場合。SG2 をクローン作成し、[クローン作成] ダイアログボックスでクローン作成するセキュリティグループのネットワークタイプとして VPC を選択できます。
アプリケーションが実行されている ECS インスタンスに新しいセキュリティグループルールを適用する前に、インスタンスの現在のセキュリティグループをクローン作成して、セキュリティグループルールをバックアップできます。

重要

デフォルトでは、クローン作成されたセキュリティグループには、元のセキュリティグループのセキュリティグループルールのみが含まれます。元のセキュリティグループに関連付けられている ECS インスタンスと Elastic Network Interface（ENI）はクローン作成されません。

ECS コンソールの使用

ECS コンソール - セキュリティグループに移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[セキュリティグループ] ページで、クローンを作成するセキュリティグループを見つけ、[操作] 列の [セキュリティグループのクローン作成] をクリックします。
[セキュリティグループのクローン作成] ダイアログボックスで、クローン作成するセキュリティグループを設定します。
- [宛先リージョン]: クローン作成するセキュリティグループのリージョンを選択します。
- [セキュリティグループ名]: クローン作成するセキュリティグループの名前を指定します。
- [VPC ID]: クローン作成するセキュリティグループのネットワークタイプを選択します。クラシックネットワークまたは VPC ID を選択できます。VPC が使用できない場合は、[VPC の作成] をクリックして VPC コンソールに移動し、VPC を作成します。
- [保持ルール]: 元のセキュリティグループのすべてのルールを保持するかどうかを選択します。チェックボックスをオンにすると、元のセキュリティグループのすべてのルールがクローン作成され、100 より大きいルールの優先度は 100 にリセットされます。チェックボックスをオフにすると、ルールは破棄され、クローン作成されたセキュリティグループから削除されます。
- [説明]: クローン作成するセキュリティグループの説明を指定します。
- [現在のセキュリティグループのタグをコピー]: 元のセキュリティグループのタグをクローン作成するセキュリティグループにコピーするかどうかを指定します。
[確認] をクリックします。
説明
セキュリティグループのクローン作成後、[セキュリティグループのクローン作成] ダイアログボックスが閉じます。セキュリティグループページの宛先リージョンで、クローン作成されたセキュリティグループを表示できます。

セキュリティグループのクローン作成後、以下の操作を実行できます。

ECS インスタンスや ENI などのクラウドリソースをクローン作成されたセキュリティグループに追加します。詳細については、「セキュリティグループに関連付けられたリソースの管理」をご参照ください。
ビジネス要件に基づいて、クローン作成されたセキュリティグループのルールまたはアクセス制御ポリシーを変更し、セキュリティグループが新しいネットワーク環境とセキュリティポリシーに適合するようにします。詳細については、「セキュリティグループルールの変更」および「基本セキュリティグループの内部アクセス制御ポリシーの変更」をご参照ください。

セキュリティグループの変更

セキュリティグループを作成した後、ビジネス要件に基づいてセキュリティグループの名前、説明、およびタグを変更できます。

ECS コンソールの使用

ECS コンソール - セキュリティグループに移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[セキュリティグループ] ページで、変更するセキュリティグループを見つけます。
- セキュリティグループの名前と説明を変更する
  1. [セキュリティグループ ID/名前] 列のセキュリティグループ名、または [説明] 列の説明にポインターを移動し、アイコンをクリックします。
  2. 表示されたダイアログボックスで、新しい名前または説明を入力し、[確認] をクリックします。
    説明
    セキュリティグループ名：新しい名前は 2 ～ 128 文字で、特殊文字または数字で始めることはできません。名前に使用できるのは、文字、数字、ピリオド(.)、アンダースコア(_)、ハイフン(-)、コロン(:) です。
    説明：新しい説明は 2 ～ 256 文字で、http:// または https:// で始めることはできません。
- セキュリティグループのタグを変更する
  タグを使用すると、同じ組織に属するセキュリティグループや同じ目的を果たすセキュリティグループなど、同じ特性を持つリソースを簡単に検索および管理するために識別できます。タグの詳細については、「タグ」をご参照ください。
  1. ビジネス要件に基づいて、セキュリティグループのタグを変更します。
    - セキュリティグループにタグが追加されていない場合は、[タグ] 列の [編集] アイコンにポインターを移動し、をクリックします。
    - セキュリティグループにタグが追加されている場合は、[タグ] 列の [編集] アイコンにポインターを移動し、をクリックします。
  2. [タグの設定] ダイアログボックスで、タグを選択または作成します。次に、[OK] をクリックします。
    説明
    セキュリティグループにタグが追加された後、タグでセキュリティグループをフィルタリングして、さまざまな操作を実行できます。たとえば、特定のタグセットを持つセキュリティグループに ECS インスタンスを追加したり、別のタグセットを持つセキュリティグループにルールを追加したりできます。

API 操作の呼び出し

DeleteSecurityGroup 操作を呼び出して、セキュリティグループの名前または説明を変更できます。

セキュリティグループを検索する

セキュリティグループを作成した後、セキュリティグループ名、セキュリティグループ ID、または VPC ID でセキュリティグループをクエリできます。

ECS コンソールを使用する

ECS コンソール - セキュリティグループに移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
セキュリティグループ[セキュリティグループ名]、[セキュリティグループ ID]、または [VPC ID] を [インテリジェントマッチ] フィールドに入力し、アイコンをクリックしてセキュリティグループを検索します。

説明

[セキュリティグループ名] または [セキュリティグループ ID] を選択し、セキュリティグループ名または ID を指定して完全一致検索を実行できます。また、[VPC ID] を選択し、VPC ID を入力して、特定の VPC 内のすべてのセキュリティグループをクエリすることもできます。

API オペレーションを呼び出す

DeleteSecurityGroup オペレーションを呼び出して、1 つ以上のセキュリティグループをクエリできます。

セキュリティグループを削除する

不要になったセキュリティグループを削除できます。セキュリティグループを削除すると、セキュリティグループ内のルールも削除されます。

以下のシナリオでは、セキュリティグループを削除できません。

削除するセキュリティグループに ECS インスタンスまたは ENI が含まれていない。セキュリティグループに ECS インスタンスまたは ENI が含まれている場合、セキュリティグループを削除することはできません。セキュリティグループを削除する前に、ECS インスタンスまたは ENI をセキュリティグループから移動してください。詳細については、「セキュリティグループの ECS インスタンスを管理する」または「セキュリティグループの ENI を管理する」をご参照ください。
削除するセキュリティグループが、他のセキュリティグループのセキュリティグループルールによって権限付与オブジェクトとして参照されていない。セキュリティグループが他のセキュリティグループのセキュリティグループルールによって権限付与オブジェクトとして参照されている場合、セキュリティグループを削除することはできません。セキュリティグループを削除する前に、セキュリティグループルールを削除してください。詳細については、「セキュリティグループルールを削除する」をご参照ください。
セキュリティグループに対して削除保護が有効になっている場合、セキュリティグループを削除することはできません。
次のいずれかの条件が満たされている場合、セキュリティグループで削除保護機能が有効になります。InvalidOperation.DeletionProtection が DeleteSecurityGroup 操作を呼び出してセキュリティグループを削除しようとしたときに返されるか、ECS コンソールでセキュリティグループを削除しようとしたときに [削除保護] のようなメッセージが表示されます。Container Service for Kubernetes (ACK) クラスタを作成すると、誤って削除されないように、関連付けられているセキュリティグループに対して削除保護機能が有効になります。セキュリティグループの削除保護機能を手動で無効にすることはできません。削除保護機能は、ACK クラスタが削除された後にのみ自動的に無効になります。詳細については、「セキュリティグループの削除保護を無効にする」をご参照ください。

ECS コンソールを使用する

ECS コンソール - セキュリティグループに移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[セキュリティグループ] ページで、削除する 1 つ以上のセキュリティグループを見つけます。次のいずれかの方法を使用して、セキュリティグループを削除します。
- 1 つのセキュリティグループを削除するには、セキュリティグループを見つけて、[操作] 列の [削除] をクリックします。
- 一度に 1 つ以上のセキュリティグループを削除するには、セキュリティグループを選択し、ページの下部にある [一括削除] をクリックします。
[セキュリティグループの削除] メッセージで、情報を確認し、[確認] をクリックします。
セキュリティグループが ECS インスタンスまたは ENI に関連付けられていないのに、[セキュリティグループの削除] ダイアログボックスでセキュリティグループが [削除できない] と表示される場合は、[強制削除] をクリックできます。

API 操作を呼び出す

DeleteSecurityGroup 操作を呼び出して、セキュリティグループを削除できます。

セキュリティグループに関する FAQ とベストプラクティス

セキュリティグループの構成、セキュリティグループルール、アクセスできない ECS インスタンス、ホストペナルティとブロック解除手順、リソースクォータ管理については、「セキュリティに関する FAQ」をご参照ください。
[プロトコルタイプ] パラメーターと [ポート範囲] パラメーターを構成する方法については、「共通ポート」と「インスタンスが接続を受け入れるために使用するデフォルトポートを変更する」をご参照ください。
ECS インスタンスや ENI などのクラウドリソースを新しいセキュリティグループに追加できます。詳細については、「インスタンス（プライマリ ENI）にセキュリティグループを関連付ける」と「セカンダリ ENI をセキュリティグループに関連付ける」をご参照ください。
セキュリティグループの内部アクセス制御ポリシーを変更する方法については、「ベーシックセキュリティグループの内部アクセス制御ポリシーを変更する」をご参照ください。
セキュリティグループルールの構成に関するベストプラクティスとユースケース:
ECS インスタンスのファイアウォールを有効にし、セキュリティグループルールを構成して外部アクセスをブロックすると、インスタンスに接続できなくなる場合があります。システムファイアウォールの有効化と無効化に関するベストプラクティス:
- Windows インスタンスのシステムファイアウォールを管理する
- Linux ECS インスタンスでシステムファイアウォールを有効または無効にする
その他のベストプラクティス: