Elastic Compute Service (ECS) コンソールで基本セキュリティグループの内部アクセス制御ポリシーを変更して、セキュリティグループ内の内部ネットワーク経由での ECS インスタンス間の相互接続を許可または制限し、ネットワーク セキュリティを強化できます。
背景情報
基本セキュリティグループの [内部アクセス制御ポリシー] パラメーターが [グループ内連携] に設定されている場合、セキュリティグループは内部相互接続ポリシーを使用し、セキュリティグループ内のすべての ECS インスタンスは、セキュリティグループにカスタムルールが存在するかどうかに関係なく、内部ネットワーク経由で相互に通信できます。
基本セキュリティグループの [内部アクセス制御ポリシー] パラメーターが [グループ分離] に設定されており、セキュリティグループにカスタムルールが含まれていない場合、セキュリティグループは内部分離ポリシーを使用し、セキュリティグループ内のすべての ECS インスタンスは内部ネットワーク経由で相互に通信できません。
デフォルトでは、高度なセキュリティグループは内部分離ポリシーを使用し、各高度なセキュリティグループ内の ECS インスタンスは相互に通信できません。高度なセキュリティグループの内部アクセス制御ポリシーは変更できません。
内部分離ポリシーは、ECS インスタンスではなく、Elastic Network Interface (ENI) を分離します。複数の ENI が 1 つの ECS インスタンスにバインドされている場合は、各 ENI が属するセキュリティグループに対して内部分離ポリシーを設定する必要があります。詳細については、「セカンダリ ENI をセキュリティグループに関連付ける」をご参照ください。
以下のシナリオでは、内部分離ポリシーに関係なく、同じセキュリティグループ内のインスタンスが相互に通信できます。
インスタンスが複数のセキュリティグループを共有し、1 つ以上のセキュリティグループに対して内部分離ポリシーが設定されていない。
セキュリティグループルールが設定されており、セキュリティグループ内のインスタンス間の相互アクセスが許可されている。
詳細については、「基本セキュリティグループと高度なセキュリティグループ」をご参照ください。
手順
ECS コンソール - セキュリティグループ に移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
内部アクセス制御ポリシーを変更するセキュリティグループを見つけ、セキュリティグループ ID をクリックします。
[基本情報] セクションで、[内部アクセス制御ポリシーの変更] をクリックして、[内部アクセス制御ポリシー] を [グループ内連携] または [グループ分離] に設定します。
[内部アクセス制御ポリシーの変更] メッセージで、[OK] をクリックします。
例
この例では、Group1 と Group2 は基本セキュリティグループです。 ECS1、ECS2、および ECS3 は ECS インスタンスです。次の図は、インスタンスとセキュリティグループの関係を示しています。
Group1 には ECS1 と ECS2 が含まれており、内部分離ポリシーを使用します。
Group2 には ECS2 と ECS3 が含まれており、デフォルトの内部相互接続ポリシーを使用します。
次の表は、インスタンスが相互に通信できるかどうかを示しています。
インスタンス | 分離 | 説明 |
ECS1 と ECS2 | はい | ECS1 と ECS2 は Group1 に属しています。 Group1 は内部分離ポリシーを使用します。 ECS1 と ECS2 は互いに分離されています。 |
ECS2 と ECS3 | いいえ | ECS2 と ECS3 は Group2 に属しています。 Group2 はデフォルトの内部相互接続ポリシーを使用します。 ECS2 と ECS3 は相互に通信できます。 |
ECS1 と ECS3 | はい | ECS1 と ECS3 は異なるセキュリティグループに属しています。デフォルトでは、異なるセキュリティグループのインスタンスは互いに分離されています。 ECS1 と ECS3 は相互に通信できません。 |
関連情報
次の API 操作を呼び出して、基本セキュリティグループの内部アクセス制御ポリシーを変更できます: ModifySecurityGroupPolicy。