すべてのプロダクト
Search
ドキュメントセンター

:管理セキュリティグループ

最終更新日:Aug 28, 2024

管理セキュリティグループは管理モードで作成されます。 セキュリティグループを必要とするクラウドサービスを使用する場合、クラウドサービスの可用性を確保するためにマネージドセキュリティグループが作成されます。 クラウドリソースが複数のユーザーとチーム間で共有されるシナリオでは、マネージドセキュリティグループは、ユーザーの誤操作による障害やセキュリティリスクを防ぐことができます。 これにより、クラウドサービスの全体的な安定性とセキュリティが向上します。 このトピックでは、マネージセキュリティグループとAPI操作に対する関連するアクセス許可について説明し、マネージセキュリティグループの学習と管理に役立ちます。

背景情報

管理モードで作成されるセキュリティグループは、管理セキュリティグループです。 管理モードは、cloud FirewallやNAT Gatewayなどの特定のクラウドサービスのセキュリティグループに対する操作権限を制御するために使用されます。 管理対象セキュリティグループは、クラウドサービスシステムによって管理されます。 管理対象のセキュリティグループは表示できますが、これらのセキュリティグループに対する操作は実行できません。 次のセクションでは、管理セキュリティグループの詳細について説明します。

説明

Alibaba Cloudサービスは、Security Token Service (STS) を使用して、アカウントのRAMロールにアクセス許可を付与し、マネージドセキュリティグループを作成します。 STSの詳細については、「STSの概要」をご参照ください。

  • クラウドサービスコンソールでは、管理対象のセキュリティグループに対する操作は実行できませんが、これらのセキュリティグループに関する情報を表示できます。

  • OpenAPIを使用してマネージドセキュリティグループにアクセスする場合、クエリ操作のみを呼び出すことができます。 マネージドセキュリティグループのセキュリティグループを管理するために使用される操作を呼び出すと、InvalidOperation.ResourceManagedByCloudProductエラーコードを含むエラーメッセージが返されます。 エラーメッセージは、セキュリティグループがクラウドサービスシステムによって管理されており、このセキュリティグループに対して操作を実行できないことを示しています。 詳細については、このトピックの「マネージセキュリティグループに関連するAPI操作に対する権限」をご参照ください。

DescribeSecurityGroups操作を呼び出し、レスポンスでServiceManagedパラメーターとServiceIDパラメーターを表示して、セキュリティグループが管理対象セキュリティグループであるかどうかを確認できます。

マネージドセキュリティグループに関連するAPI操作に対する権限

API

API操作

Alibaba Cloudアカウントで実行できます

管理セキュリティグループを作成したクラウドサービスシステムで実行できます

AuthorizeSecurityGroup

  • セキュリティグループにインバウンドルールを追加します。

  • 管理対象セキュリティグループへのインバウンドアクセスを制御します。

任意

AuthorizeSecurityGroupEgress

  • セキュリティグループにアウトバウンドルールを追加します。

  • 管理セキュリティグループからのアウトバウンドアクセスを制御します。

任意

RevokeSecurityGroup

セキュリティグループからインバウンドルールを削除します。

任意

RevokeSecurityGroupEgress

セキュリティグループからアウトバウンドルールを削除します。

任意

JoinSecurityGroup

セキュリティグループにリソースを追加します。

任意

LeaveSecurityGroup

セキュリティグループからリソースを削除します。

任意

DeleteSecurityGroup

セキュリティグループを削除します。

任意

ModifySecurityGroupAttribute

セキュリティグループを変更します。

任意

ModifySecurityGroupRule

インバウンドセキュリティグループルールの説明を変更します。

任意

ModifySecurityGroupEgressRule

アウトバウンドセキュリティグループルールの説明を変更します。

任意

ModifySecurityGroupPolicy

セキュリティグループポリシーを変更します。

任意

DescribeSecurityGroupAttribute

セキュリティグループルールを照会します。

DescribeSecurityGroups

セキュリティグループを照会します。

DescribeSecurityGroupReferences

セキュリティグループが他のセキュリティグループによって参照されているかどうかを照会します。

CreateNetworkInterface

elastic network interface (ENI) を作成します。

任意

ModifyNetworkInterfaceAttribute

ENIを変更します。

任意

RunInstances

1つ以上のインスタンスを作成します。

任意

CreateInstance

インスタンスを作成します。

任意

ModifyInstanceAttribute

インスタンスが属するセキュリティグループを変更します。

任意

参考資料

  • Alibaba CloudのCloud Firewallは、パブリッククラウドにSaaS (software as a service) ファイアウォールを提供し、南北トラフィックと東西トラフィックを一元管理できます。 トラフィック監視、きめ細かいアクセス制御、リアルタイム侵入防止などの機能を使用して、ネットワーク境界を包括的に保護できます。 詳細については、「クラウドファイアウォールの概要」をご参照ください。

  • NAT Gatewayは、DNATおよびSNAT機能を提供するNATサービスです。 詳細については、「NAT Gatewayの概要」をご参照ください。