Elastic Compute Service (ECS) コンソールで、基本セキュリティグループの内部アクセス制御ポリシーを変更できます。
背景情報
基本セキュリティグループの [内部アクセス制御ポリシー] パラメーターが [許可] に設定されている場合、セキュリティグループは内部相互接続ポリシーを使用し、セキュリティグループ内のすべてのECSインスタンスは、セキュリティグループでカスタムルールが設定されているかどうかに関係なく、内部ネットワークを介して相互に通信できます。
基本セキュリティグループの [内部アクセス制御ポリシー] パラメーターが [拒否] に設定されており、セキュリティグループにカスタムルールが含まれていない場合、セキュリティグループは内部分離ポリシーを使用し、セキュリティグループ内のすべてのECSインスタンスは内部ネットワークを介して相互に通信できません。
デフォルトでは、高度なセキュリティグループは内部分離ポリシーをサポートしており、各高度なセキュリティグループのECSインスタンスは互いに分離されています。 設定は変更できません。
内部分離ポリシーは、ECSインスタンスではなく、elastic network Interface (ENI) を分離します。 複数のENIがECSインスタンスにバインドされている場合、各ENIが属するセキュリティグループの内部分離ポリシーを設定する必要があります。
同じセキュリティグループ内のインスタンスは、内部分離ポリシーに関係なく、次の場合でも相互に通信できます。
インスタンスは複数のセキュリティグループを共有しており、これらのセキュリティグループの少なくとも1つには内部分離ポリシーは設定されていません。
アクセス制御リスト (ACL) は、セキュリティグループ内のインスタンス間の相互アクセスを許可するように構成されています。
詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。
手順
登録ECS管理。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[セキュリティグループ] ページで、内部アクセス制御ポリシーを変更するセキュリティグループを見つけ、セキュリティグループIDをクリックします。
[基本情報] セクションで、[内部アクセス制御ポリシー] を [許可] または [拒否] に設定します。
[内部アクセス制御ポリシーの変更] メッセージで、[OK] をクリックします。
ケーススタディ
この例では、Group1とGroup2は基本的なセキュリティグループです。 ECS1、ECS2、およびECS3はECSインスタンスです。 次の図は、インスタンスとセキュリティグループの関係を示しています。
Group1にはECS1とECS2が含まれ、内部分離ポリシーが設定されています。
Group2にはECS2とECS3が含まれ、デフォルトの内部相互接続ポリシーが設定されています。
次の表は、インスタンスが相互に通信できるかどうかを示しています。
インスタンス | 隔離 | 説明 |
ECS1 と ECS2 | 必須 | ECS1とECS2はGroup1に属します。 Group1には内部分離ポリシーが設定されています。 ECS1およびECS2は互いに分離されている。 |
ECS2 と ECS3 | 任意 | ECS2とECS3はGroup2に属します。 Group2は、デフォルトの内部相互接続ポリシーを使用します。 ECS2とECS3は互いに通信することができる。 |
ECS1 と ECS3 | 必須 | ECS1 と ECS3 は異なるセキュリティグループに属します。 デフォルトでは、異なるセキュリティグループ内のインスタンスは互いに分離されています。 ECS1とECS3は互いに通信できません。 |
参考資料
API操作を呼び出して基本セキュリティグループの内部アクセス制御ポリシーを変更する方法については、「ModifySecurityGroupPolicy」をご参照ください。