セキュリティグループは SPI (Stateful Packet Inspection) を提供する仮想ファイアウォールであり、動的パケットフィルタリングとしても知られています。 セキュリティグループは、複数の ECS インスタンスへのネットワークアクセス制御の設定に使用されます。 特に、セキュリティグループは論理的にクラウド上のセキュリティドメインと分離しています。
セキュリティグループは、同じリージョン内で、同一のセキュリティ要件を持ち互いに信頼関係のあるインスタンスが組み合わされて作られています。 それぞれのインスタンスは、少なくとも 1 つのセキュリティグループに属する必要があります。これは、インスタンスの作成中に指定されます。 同じセキュリティグループにあるインスタンスはイントラネットを通じて通信できますが、異なるセキュリティグループにあるインスタンスは、デフォルトでは、他のインスタンスから分離されます。 しかし、2 つのセキュリティグループ間の相互アクセスは許可されます。
セキュリティグループの制限
-
デフォルトでは、リージョンごとに最大 100 個のセキュリティグループを作成できます。 この制限数は、ご利用のメンバーシップのレベルに応じて増やすことができます。 上限の引き上げには、チケットを起票し、サポートセンターへお問い合わせください。
-
それぞれのインスタンスの ENI (Elastic Network Interface) は デフォルトで 5 つまでセキュリティグループを結合できます。 ご利用のメンバーシップのレベルに応じて、上限を 10 個または 16 個に引き上げるために、チケットを起票し、サポートセンターへお問い合わせください。
-
セキュリティグループのネットワークタイプとして、クラシックネットワークまたは VPC (Virtual Private Cloud) のどちらかを選択できます。
-
クラシックネットワークインスタンスでは、同一リージョンでクラシックネットワークのセキュリティグループを結合できます。
クラシックネットワーク内のセキュリティグループは、最大で 1,000 個のインスタンスを含むことができます。 イントラネット間で 1,000 個以上のインスタンスにアクセスする必要がある場合、異なるセキュリティグループに割り当て、セキュリティグループ間で相互アクセスを許可します。
-
VPC インスタンスでは、同一の VPC 上でセキュリティグループを結合できます。
VPC 内のセキュリティグループは、最大 2,000 のプライベート IP アドレスを含むことができます (プライマリ ENI およびセカンダリ ENI により共有)。 イントラネット間で 2,000 以上のプライベート IP アドレスにアクセスする必要がある場合、異なるセキュリティグループに割り当て、セキュリティグループ間で相互アクセスを許可します。
-
-
セキュリティグループの設定の変更は、サービスの継続性に影響しません。
-
アウトバウンドパケットが許可されている場合、この通信間でのインバウンドパケットも許可されます。
詳しくは、「セキュリティグループの制限に関する FAQ」をご参照ください。
セキュリティグループルールの概要
セキュリティグループ内の ECS インスタンスでは、イントラネット間またはインターネット間の、インバウンドおよびアウトバウンドのアクセスの許可または禁止をするセキュリティグループルールを設定できます。
いつでもセキュリティグループルールを作成または削除できます。 変更した場合、更新されたセキュリティグループルールは自動的にセキュリティグループ上の ECS インスタンスに適用されます。
セキュリティグループルールの設定の際に、簡素なものであることの確認を推奨します。 たとえば、複数のセキュリィグループに対して ECS インスタンスを追加した場合、たくさんのルールがすぐにインスタンスに適用されます。これは、インスタンにアクセスした際の接続エラーの原因になります。
セキュリティグループルールの制限
ENI ごとのセキュリティグループルールの最大数 = 対象のインスタンスが結合できるセキュリィグループ数 × セキュリィグループごとのルールの最大数。
1 つのインスタンスのそれぞれの ENI は最大で 500 のセキュリィグループルールを持つことができます。 ここで、
-
デフォルトでは、それぞれのインスタンスを 5 つまでセキュリィグループを結合できます。
ご利用のメンバーシップのレベルに応じて、制限を 10 または 16 に引き上げるために、チケットを起票し、サポートセンターへお問い合わせください。 ただし、セキュリィグループ数が増えると、1 つのセキュリィグループで許可されたルールの数が減ります。
-
それぞれのセキュリィグループは、100 個のセキュリィグループルールを持つことができ、これにはインバウンドルールとアウトバウンドルールの両方を含みます。
セキュリィグループごとのルール数は、セキュリィグループのクォータに応じて 30、50、100 となります。
セキュリィグループ数に応じて、ルール数がどのように異なるかは、以下の表のようになります。
セキュリィグループ数 | ルールの最大数 |
---|---|
5 (デフォルト値) | 100 |
10 (チケットを起票します) | 50 |
16 (チケットを起票します) | 30 |
デフォルトでは、ENI は 5 つのセキュリティグループまで結合でき、それぞれが最大で 100 個のルールを持つことができます。
ただし、ご利用のメンバーシップレベルで、それぞれの ENI が 10 個のセキュリィグループまで結合可能な場合、それぞれのセキュリィグループは最大で 50 個のルールを持つことができます。 これは、それぞれのインスタンスに関して、合計で 500 を超えるセキュリティグループルールを持つことができないためです。
さらに多くのセキュリティグループおよび、1 つのインスタンスに対するグループあたりのルール数が少なくても良い場合、上限を調整するため、チケットを起票し、サポートセンターへお問い合わせください。