すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:セキュリティグループルールの確認

    ドキュメントセンター

    Elastic Compute Service:セキュリティグループルールの確認

    最終更新日:Jun 12, 2025

    セキュリティグループルールを使用すると、Elastic Compute Service(ECS)インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを柔軟に制御できます。ただし、セキュリティグループルールが不適切に構成されていると、サービスへのアクセスが妨げられたり、セキュリティリスクが高まる可能性があります。このトピックでは、セキュリティグループルールのチェック機能を使用して、セキュリティルールが適切に構成されているかどうかを確認する方法について説明します。

    背景情報

    セキュリティグループルールのチェック機能を使用するには、チェック基準を指定する必要があります。システムはアルゴリズムを使用してルールマッチングをシミュレートし、セキュリティグループルールが適切に構成されているかどうかを判断します。この機能は、さまざまなシナリオに対して次のチェックモードを提供します。

    チェックモード

    シナリオ

    クイックチェック

    インバウンドの一般的なトラフィックが許可されているかどうかをすばやく確認します。一般的なトラフィックとは、次のポートまたは次のプロトコルのトラフィックを指します。

    • ポート 22:Linux インスタンスへの接続に使用されます。

    • ポート 3389:Windows インスタンスへの接続に使用されます。

    • ポート 80、443、および 8080:外部 Web サービスの提供に使用されます。

    • インターネット制御メッセージプロトコル(ICMP):クライアントで ping コマンドを実行してネットワーク接続をテストするなど、制御メッセージを送信するために使用されます。

    詳細については、「共通ポート」をご参照ください。

    カスタムチェック

    インバウンドまたはアウトバウンドアクセスが許可されているかどうかを確認します。アクセス方向に基づいて、次のパラメータセットのいずれかを構成します。

    • インバウンドアクセス:送信元アドレス、送信先ポート、およびプロトコルタイプ。

    • アウトバウンドアクセス:送信先アドレス、送信先ポート、およびプロトコルタイプ。

    手順

    1. ECS コンソール - トラブルシューティング に移動します。

    2. 上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。地域

    3. [トラブルシューティング] ページで、[セキュリティグループルールの確認] タブをクリックします。

    4. パラメータを設定し、セキュリティグループルールを確認します。

      1. セキュリティグループルールを確認するインスタンスを選択します。

        [インスタンス] ページのインスタンス、または [ENI] ページのインスタンスにアタッチされている ENI の [セキュリティグループルールの確認] を選択して [セキュリティグループルールの確認] タブにアクセスすると、インスタンスは自動的に選択されます。

      2. Elastic Network Interface(ENI)を選択します。

        デフォルトでは、選択したインスタンスのプライマリ ENI が選択されています。セカンダリ ENI がインスタンスにバインドされている場合は、セカンダリ ENI を選択できます。

      3. チェックモードを選択します。

        • [クイックチェック]:インバウンドの一般的なトラフィックが許可されているかどうかを確認します。

        • [カスタムチェック]:アクセス方向に基づいてパラメータを構成します。たとえば、IP アドレス 47.XX.XX.XX からのトラフィックが Linux インスタンスのポート 22 と Windows インスタンスのポート 3389 で許可されているかどうかを確認するには、次の図に示すようにパラメータを構成します。custom-detect

      4. [確認] をクリックします。

    5. チェック結果を表示します。

      説明

      ネットワーク接続は、トラフィックが許可されているポート、ENI のステータス、インスタンスのネットワーク構成、物理マシンのネットワーク環境など、さまざまな要因の影響を受けます。チェック結果の「有効」の値は、現在のポートのトラフィックがセキュリティグループルールで許可されていることを示しますが、必ずしも通常のネットワーク接続を示すとは限りません。たとえば、インスタンスへの接続を許可するためにセキュリティグループルールが追加されていても、インスタンスのパブリック帯域幅が有効になっていない場合、インスタンスはインターネット経由で接続できません。

      • 次の図は、クイックチェック結果の例を示しています。この例では、一般的なインバウンドトラフィックが許可されています。[詳細] をクリックすると、対応するセキュリティグループルールの詳細を表示できます。fast-detect

      • 次の図は、カスタムチェック結果の例を示しています。

        • IP アドレス 47.XX.XX.XX からのトラフィックは、Linux インスタンスのポート 22 で許可されています。[詳細] をクリックすると、対応するセキュリティグループルールの詳細を表示できます。

        • IP アドレス 47.XX.XX.XX からのトラフィックは、Windows インスタンスのポート 3389 で拒否されています。[ポートを有効にする] をクリックすると、ポート 3389 でトラフィックを許可するセキュリティグループルールを追加できます。

        重要

        IP アドレスが 0.0.0.0/0 に設定されている場合、すべての IP アドレスからのトラフィックが許可されます。セキュリティ上の理由から、最小権限の原則に従い、セキュリティグループルールを構成する際に特定の IP アドレスを権限付与オブジェクトとして指定することをお勧めします。

        custom-detect-result