すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:セキュリティグループルール

    ドキュメントセンター

    Elastic Compute Service:セキュリティグループルール

    最終更新日:Apr 19, 2025

    セキュリティグループにカスタムセキュリティグループルールを作成して、セキュリティグループ内の Elastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。セキュリティグループルールは、クラウドリソースへのアクセスを制御し、ネットワークセキュリティを向上させるのに役立ちます。

    セキュリティグループルールを使用する前に、以下の点に注意してください。

    • 仮想プライベートクラウド (VPC) タイプのセキュリティグループのセキュリティグループルールは、インバウンドルールとアウトバウンドルールに分類されます。ルールは、インターネットと内部ネットワークの両方でトラフィックを制御します。クラシックネットワークタイプのセキュリティグループのセキュリティグループルールは、インターネットイングレス (またはパブリックインバウンド)、インターネットエグレス (またはパブリックアウトバウンド)、内部インバウンド、および内部アウトバウンドルールに分類されます。インターネットイングレスルールとインターネットエグレスルールは、インターネット経由のトラフィックを制御します。内部インバウンドルールと内部アウトバウンドルールは、内部ネットワーク経由のトラフィックを制御します。

    • セキュリティグループはステートフルです。セキュリティグループのセッションは、最大 910 秒間持続できます。同じセキュリティグループ内の ECS インスタンスにアクセスでき、インスタンスでセッションが確立されている場合、セキュリティグループはセッション中に双方向のトラフィックを許可します。たとえば、セッション中のリクエストトラフィックが流入することが許可されている場合、対応するレスポンストラフィックも流出することが許可されます。

    • Elastic Network Interface (ENI) に関連付けられているセキュリティグループルールを変更したり、ENI のセキュリティグループを変更して新しいセキュリティグループルールを ENI に関連付けたりできます。新しいセキュリティグループルールと元のセキュリティグループルールに同じアクションが含まれている場合、ENI で既に確立されているセッションは影響を受けません。ベーシックセキュリティグループの内部接続ポリシーを使用してトラフィックを許可し、ENI のベーシックセキュリティグループを変更したときに既存のセッションに影響を与えたくない場合は、ENI または関連付けられた ECS インスタンスを新しいベーシックセキュリティグループに追加し、約 10 秒待ってから、元のベーシックセキュリティグループから ENI または ECS インスタンスを削除します。

    • デフォルトのメールサービスポートは TCP ポート 25 です。デフォルトでは、セキュリティを確保するために、ECS インスタンスの TCP ポート 25 はブロックされています。メールを送信するには、ポート 465 を使用することをお勧めします。

    • セキュリティグループにセキュリティグループルールを作成する前に、セキュリティグループには非表示のデフォルトのアクセス制御ルールが含まれていることに注意してください。デフォルトのアクセス制御ルールと作成したカスタムセキュリティグループルールは連携して、セキュリティグループ内の ECS インスタンスのトラフィックを制御します。ベーシックセキュリティグループとアドバンストセキュリティグループには、異なるデフォルトのアクセス制御ルールセットがあります。ベーシックセキュリティグループの場合、デフォルトのインバウンドアクセス制御ルールは、ベーシックセキュリティグループ内の ECS インスタンスからの内部ネットワーク経由のトラフィックのみを許可し、デフォルトのアウトバウンドアクセス制御ルールはすべてのトラフィックを許可します。アドバンストセキュリティグループの場合、デフォルトのアクセス制御ルールはトラフィックを許可しません。詳細については、「ベーシックセキュリティグループとアドバンストセキュリティグループ」をご参照ください。

    • ベーシックセキュリティグループの内部アクセス制御ポリシーは、セキュリティグループのデフォルトのアクセス制御ルールに影響します。デフォルトでは、ベーシックセキュリティグループは内部相互接続ポリシーを使用します。このポリシーは、ベーシックセキュリティグループ内の ECS インスタンス間の内部ネットワーク経由のインバウンドトラフィックとアウトバウンドトラフィックを許可します。ベーシックセキュリティグループ内の ECS インスタンスが相互にアクセスする必要がない場合は、最小権限の原則に従って、セキュリティグループの内部隔離ポリシーを設定することをお勧めします。詳細については、「ベーシックセキュリティグループの内部アクセス制御ポリシーを変更する」をご参照ください。

    • 複数のセキュリティグループに関連付けられている ECS インスタンスの場合、セキュリティグループのすべてのセキュリティグループルールが自動的にソートされ、セキュリティグループのデフォルトのアクセス制御ルールと連携して、ECS インスタンスのトラフィックを制御します。セキュリティグループルールは特定の順序で処理されます。処理は、ルールが一致するまで続行されます。詳細については、このトピックの「カスタムセキュリティグループルールの一致ポリシー」セクションをご参照ください。

    • デフォルトでは、各セキュリティグループには最大 200 のセキュリティグループルールを含めることができます。各セキュリティグループに含めることができるセキュリティグループルールの最大数と、ECS インスタンスを関連付けることができるセキュリティグループの最大数を変更できます。詳細については、「制限」トピックの「セキュリティグループ」セクションをご参照ください。管理を容易にするために、各セキュリティグループのセキュリティグループルールを簡潔にすることをお勧めします。セキュリティグループのヘルスチェックを実行して、冗長なセキュリティグループルールを特定できます。詳細については、「セキュリティグループルールの表示」トピックの「セキュリティグループ内の冗長なルールを特定する」セクションをご参照ください。

    各セキュリティグループルールの構成

    カスタムセキュリティグループルールは、以下の情報で構成されます。

    • プロトコルタイプ: プロトコルタイプ。TCP、ユーザーデータグラムプロトコル (UDP)、インターネット制御メッセージプロトコルバージョン 4 (ICMPv4)、ICMP バージョン 6 (ICMPv6)、および汎用ルーティングカプセル化 (GRE) がサポートされています。

    • ポート範囲: 宛先ポート。ポート範囲とポートリストがサポートされています。

      • ポート範囲: TCP プロトコルと UDP プロトコルの場合、ポート範囲を指定するときに、スラッシュ (/) を使用して開始ポート番号と終了ポート番号を区切ります。例: 8000/9000 および 22/22。他のプロトコルの場合、[ポート範囲] パラメーターは -1/-1 に設定されます。詳細については、「共通ポート」をご参照ください。

      • ポートリスト: ポートリストはポートのセットです。セキュリティグループのルールでポートリストを参照する場合、ポートリストの実際のエントリ数に関係なく、ポートリストの最大エントリ数がセキュリティグループのルールクォータにカウントされます。プロトコルタイプが TCP または UDP の場合にのみ、セキュリティグループルールでポートリストを参照できます。詳細については、「概要」をご参照ください。

    • 権限付与オブジェクト: インバウンドルールのトラフィックの送信元、またはアウトバウンドルールのトラフィックの宛先。以下の要素を権限付与オブジェクトとして指定できます。

      • IPv4 アドレス。例: 192.168.0.100。

      • IPv4 CIDR ブロック。例: 192.168.0.0/24。

      • IPv6 アドレス。例: 2408:4321:180:1701:94c7:bc38:3bfa:9。指定する IPv6 アドレスは標準化されています。たとえば、2408:180:0000::1 は 2408:180::1 に変換されます。

      • IPv6 CIDR ブロック。例: 2408:4321:180:1701::/64。指定する IPv6 CIDR ブロックは標準化されています。たとえば、2408:4321:180:0000::/64 は 2408:4321:180::/64 に変換されます。

      • セキュリティグループ ID。現在のアカウントまたは他のアカウントのセキュリティグループを指定できます。セキュリティグループルールでセキュリティグループ ID を権限付与オブジェクトとして指定すると、ルールは指定されたセキュリティグループ内の ECS インスタンスの内部 IP アドレスを使用して、内部ネットワーク経由のトラフィックを制御します。たとえば、ECS インスタンス B を含むセキュリティグループ A をセキュリティグループルールで権限付与オブジェクトとして指定すると、ルールは内部ネットワーク経由の ECS インスタンス B の内部 IP アドレスへのアクセスまたはアクセス元を制御します。

      • プレフィックスリスト ID。プレフィックスリストは、1 つ以上のネットワークプレフィックス (CIDR ブロック) のセットです。セキュリティグループルールでプレフィックスリストを権限付与オブジェクトとして指定すると、プレフィックスリストの最大エントリ数がセキュリティグループのルールクォータにカウントされます。詳細については、「概要」をご参照ください。

    • アクション: トラフィックに対して実行するアクション。有効な値: 許可と拒否。リクエストがセキュリティグループルールのプロトコル、ポート範囲、および権限付与オブジェクトの条件に一致する場合、ルールで指定したアクションが実行され、リクエストが許可または拒否されます。

    • 優先度: ルールの優先度。有効な値: 1 ~ 100。値が小さいほど、優先度が高くなります。セキュリティグループルールは、優先度、次にアクションでソートされます。詳細については、このトピックの「カスタムセキュリティグループルールの一致ポリシー」セクションをご参照ください。

    • 方向: インバウンドトラフィックとアウトバウンドトラフィックを制御するために、インバウンドルールとアウトバウンドルールがサポートされています。

    • NIC タイプ: ネットワークインターフェースコントローラー (NIC) タイプは、クラシックネットワークタイプのセキュリティグループのセキュリティグループルールでのみサポートされています。NIC タイプを指定して、パブリックまたは内部セキュリティグループルールを設定できます。パブリックセキュリティグループルールは、インターネット経由のトラフィックを制御し、クラシックネットワークにデプロイされている ECS インスタンスのパブリック NIC に対して有効になります。内部セキュリティグループルールは、内部ネットワーク経由のトラフィックを制御し、クラシックネットワークにデプロイされている ECS インスタンスの内部 NIC に対して有効になります。VPC タイプのセキュリティグループのセキュリティグループルールは、インターネットと内部ネットワークの両方でトラフィックを制御します。

    • ルール ID: セキュリティグループルールを作成すると、システムによってルールの一意の ID が生成されます。セキュリティグループルールを変更または削除するには、ルール ID を使用してルールを検索できます。

    リクエストがセキュリティグループルールのプロトコル、ポート範囲、および権限付与オブジェクトの条件に一致する場合、ルールで指定したアクションが実行され、リクエストが許可または拒否されます。一般的なインバウンドルールが処理されると、トラフィックの送信元 IP アドレスが権限付与オブジェクトと照合され、トラフィックの宛先ポート番号がポート範囲と照合されます。一般的なアウトバウンドルールが処理されると、トラフィックの宛先 IP アドレスが権限付与オブジェクトと照合され、トラフィックの宛先ポート番号がポート範囲と照合されます。よりきめ細かいアクセス制御を実装するには、セキュリティグループクインテットルールを使用することをお勧めします。詳細については、「セキュリティグループクインテットルール」をご参照ください。

    カスタムセキュリティグループルールの一致ポリシー

    1 つ以上のセキュリティグループに ECS インスタンスを関連付けることができます。システムは、インスタンスに関連付けられているセキュリティグループルールに基づいて、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御します。たとえば、システムは次の手順を実行して、ECS インスタンスに関連付けられているインバウンドセキュリティグループルールを処理し、インスタンスへのインバウンドトラフィックを許可または拒否します。

    1. すべてのインバウンドセキュリティグループルールを収集し、ルールを優先度、次にアクションでソートします。

      1. セキュリティグループルールを優先度の降順でソートします。優先度の値が小さいルールほど、優先度が高くなります。

      2. [アクション] パラメーターが [拒否] に設定されているセキュリティグループルールを、[アクション] パラメーターが [許可] に設定されているセキュリティグループルールの前にランク付けします。

    2. システムは、ルールがソートされた順序、プロトコルタイプ、ポート範囲、および権限付与オブジェクトに基づいて、ECS インスタンスに関連付けられているカスタムセキュリティグループルールとリクエストを照合します。リクエストがルールに一致する場合、ルールで指定されたアクションが実行され、リクエストが許可または拒否されます。

    カスタムセキュリティグループルールに加えて、セキュリティグループには、有効であるが非表示のデフォルトのアクセス制御ルールが含まれています。詳細については、「ベーシックセキュリティグループとアドバンストセキュリティグループ」トピックの「デフォルトのアクセス制御ルール」セクションをご参照ください。

    セキュリティグループの特別なルール

    ECS インスタンスの安定性と特定のクラウド機能の可用性を確保するために、セキュリティグループは特定のシナリオで生成されたトラフィックを自動的に許可します。トラフィックを拒否するようにセキュリティグループルールを設定することはできません。セキュリティグループは、以下のトラフィックを自動的に許可します。

    • 特別な状況下でのネットワーク接続チェックのトラフィック:

      ECS インスタンスの基盤となるコンポーネントが変更されると、Alibaba Cloud はオンデマンドの ping テストを実行して、インスタンスのネットワーク接続をチェックする場合があります。テストの精度を確保するために、セキュリティグループは ping トラフィックを自動的に認識して許可します。

    • ICMP パス最大転送単位検出 (PMTUD) エラーパケット:

      ECS インスタンスから送信されたパケットがパス最大転送単位 (MTU) を超え、フラグメント化しない (DF) フラグが設定されている場合、ECS インスタンスはパス MTU を含む ICMP エラーパケットを受信します。エラーパケットは、ECS インスタンスにパケットサイズを縮小するように指示します。セキュリティグループは、このようなエラーパケットを自動的に認識して許可します。詳細については、「ジャンボフレーム」をご参照ください。

    • Server Load Balancer (SLB) トラフィック:

      セキュリティグループは、Application Load Balancer (ALB)、Network Load Balancer (NLB)、または Classic Load Balancer (CLB) インスタンスなどの SLB インスタンスを介してバックエンド ECS インスタンスに転送されるトラフィックを自動的に認識して許可します。この場合、ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックは、SLB インスタンスのセキュリティグループまたはアクセス制御リスト (ACL) によって制御されます。

    • MetaServer アクセストラフィック:

      MetaServer は、ECS インスタンスに必要なメタデータサービスを提供します。メタデータサービスは、ECS インスタンスが期待どおりに実行されるようにするための基本的なサービスです。デフォルトでは、セキュリティグループは追加のルールを必要とせずに、100.100.100.200 の MetaServer へのアウトバウンドトラフィックを許可します。

    セキュリティグループクインテットルール

    デフォルトでは、[ECS コンソール] でセキュリティグループを設定する場合、以下の制限が適用されます。

    • インバウンドセキュリティグループルールを設定する場合、送信元 IP アドレス、宛先ポート、およびプロトコルタイプを指定する必要があります。

    • アウトバウンドセキュリティグループルールを設定する場合、宛先 IP アドレス、宛先ポート、およびプロトコルタイプを指定する必要があります。

    セキュリティグループでクインテットルールを設定して、ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックをよりきめ細かく制御できます。クインテットルールには、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、およびプロトコルタイプの要素が含まれます。クインテットルールは、既存のセキュリティグループルールと完全に互換性があります。

    インバウンドセキュリティグループルールでは ECS インスタンスの IP アドレスを宛先 IP アドレスとして指定し、アウトバウンドセキュリティグループルールでは送信元 IP アドレスとして指定して、インスタンスのトラフィックを制御できます。この場合、インスタンスの静的パブリック IP アドレス (インスタンスに自動的に割り当てられるパブリック IP アドレス) または Elastic IP アドレス (EIP) ではなく、インスタンスのプライベート IP アドレスを指定する必要があります。静的パブリック IP アドレスと EIP は NAT IP アドレスであり、Alibaba Cloud のインターネットゲートウェイにあります。セキュリティグループは、ECS インスタンスの Elastic Network Interface (ENI) に対して有効になり、NAT IP アドレスに対応する関連付けられたプライベート IP アドレスとの間のトラフィックを制御します。

    次のクインテットルールの例では、ポート 22 経由の 172.16.1.0/32 から 10.0.0.1/32 への TCP アクセスを制御します。

    Source IP address: 172.16.1.0/32  // 送信元 IP アドレス: 172.16.1.0/32
Source port: 22 // 送信元ポート: 22
Destination IP address: 10.0.0.1/32 // 宛先 IP アドレス: 10.0.0.1/32
Destination port: not specified // 宛先ポート: 指定なし
Protocol type: TCP // プロトコルタイプ: TCP
    説明

    [ECS コンソール] でセキュリティグループクインテットルールを設定するには、チケットを送信 してください。

    セキュリティグループのユースケース

    Alibaba Cloud は、Web サイトへの Web サービスの提供やインスタンスへの接続など、一般的なシナリオでセキュリティグループルールを設定する方法の例を提供しています。