管理セキュリティグループは管理モードで作成されます。 セキュリティグループを必要とするクラウドサービスを使用する場合、クラウドサービスの可用性を確保するためにマネージドセキュリティグループが作成されます。 クラウドリソースが複数のユーザーとチーム間で共有されるシナリオでは、マネージドセキュリティグループは、ユーザーの誤操作による障害やセキュリティリスクを防ぐことができます。 これにより、クラウドサービスの全体的な安定性とセキュリティが向上します。 このトピックでは、マネージセキュリティグループとAPI操作に対する関連するアクセス許可について説明し、マネージセキュリティグループの学習と管理に役立ちます。
背景情報
管理モードで作成されるセキュリティグループは、管理セキュリティグループです。 管理モードは、cloud FirewallやNAT Gatewayなどの特定のクラウドサービスのセキュリティグループに対する操作権限を制御するために使用されます。 管理対象セキュリティグループは、クラウドサービスシステムによって管理されます。 管理対象のセキュリティグループは表示できますが、これらのセキュリティグループに対する操作は実行できません。 次のセクションでは、管理セキュリティグループの詳細について説明します。
Alibaba Cloudサービスは、Security Token Service (STS) を使用して、アカウントのRAMロールにアクセス許可を付与し、マネージドセキュリティグループを作成します。 STSの詳細については、「STSの概要」をご参照ください。
クラウドサービスコンソールでは、管理対象のセキュリティグループに対する操作は実行できませんが、これらのセキュリティグループに関する情報を表示できます。
OpenAPIを使用してマネージドセキュリティグループにアクセスする場合、クエリ操作のみを呼び出すことができます。 マネージドセキュリティグループのセキュリティグループを管理するために使用される操作を呼び出すと、
InvalidOperation.ResourceManagedByCloudProductエラーコードを含むエラーメッセージが返されます。 エラーメッセージは、セキュリティグループがクラウドサービスシステムによって管理されており、このセキュリティグループに対して操作を実行できないことを示しています。 詳細については、このトピックの「マネージセキュリティグループに関連するAPI操作に対する権限」をご参照ください。
DescribeSecurityGroups操作を呼び出し、レスポンスでServiceManagedパラメーターとServiceIDパラメーターを表示して、セキュリティグループが管理対象セキュリティグループであるかどうかを確認できます。
マネージドセキュリティグループに関連するAPI操作に対する権限
API | API操作 | Alibaba Cloudアカウントで実行できます | 管理セキュリティグループを作成したクラウドサービスシステムで実行できます |
| 任意 | 可 | |
| 任意 | 可 | |
セキュリティグループからインバウンドルールを削除します。 | 任意 | 可 | |
セキュリティグループからアウトバウンドルールを削除します。 | 任意 | 可 | |
セキュリティグループにリソースを追加します。 | 任意 | 可 | |
セキュリティグループからリソースを削除します。 | 任意 | 可 | |
セキュリティグループを削除します。 | 任意 | 可 | |
セキュリティグループを変更します。 | 任意 | 可 | |
インバウンドセキュリティグループルールの説明を変更します。 | 任意 | 可 | |
アウトバウンドセキュリティグループルールの説明を変更します。 | 任意 | 可 | |
セキュリティグループポリシーを変更します。 | 任意 | 可 | |
セキュリティグループルールを照会します。 | 可 | 可 | |
セキュリティグループを照会します。 | 可 | 可 | |
セキュリティグループが他のセキュリティグループによって参照されているかどうかを照会します。 | 可 | 可 | |
elastic network interface (ENI) を作成します。 | 任意 | 可 | |
ENIを変更します。 | 任意 | 可 | |
1つ以上のインスタンスを作成します。 | 任意 | 可 | |
インスタンスを作成します。 | 任意 | 可 | |
インスタンスが属するセキュリティグループを変更します。 | 任意 | 可 |
参考資料
Alibaba CloudのCloud Firewallは、パブリッククラウドにSaaS (software as a service) ファイアウォールを提供し、南北トラフィックと東西トラフィックを一元管理できます。 トラフィック監視、きめ細かいアクセス制御、リアルタイム侵入防止などの機能を使用して、ネットワーク境界を包括的に保護できます。 詳細については、「クラウドファイアウォールの概要」をご参照ください。
NAT Gatewayは、DNATおよびSNAT機能を提供するNATサービスです。 詳細については、「NAT Gatewayの概要」をご参照ください。