Elastic Compute Service:シナリオ

シナリオ 1: イントラネット通信の有効化

セキュリティグループルールを使用して、次のように同じリージョンの異なるアカウント、または異なるセキュリティグループに属する ECS インスタンス間のイントラネット通信を有効にできます。

• ケース 1: 同じリージョンの同じアカウントに属するインスタンス
• ケース 2: 同じリージョンの異なるアカウントに属するインスタンス。

同じリージョンで同じアカウントに属している 2 つのインスタンスが 1 つのセキュリティグループに属しているとき、デフォルトでイントラネット通信が有効になっています。 異なるセキュリティグループに属している場合は、ネットワークタイプに応じてイントラネット通信を有効にするようにセキュリティグループルールを設定する必要があります。

• VPC

  インスタンスが 1 つの VPC にある場合は、それぞれのセキュリティグループにセキュリティグループ間の共有アクセスを許可するようにルールを追加します。 ルールは以下のとおりです。

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	優先度	権限付与タイプ	権限付与オブジェクト
  N/A	インバウンド	許可	必要なプロトコルの選択	必要なポート範囲の設定	1	セキュリティグループアクセス (このアカウントを許可)	インスタンスへのアクセスを許可するセキュリティグループ ID を選択

• クラシックネットワーク

  セキュリティグループ間で共有アクセスを許可するためのルールをそれぞれのセキュリティグループに追加します。 ルールは以下のとおりです。

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	優先度	権限付与タイプ	権限付与オブジェクト
  イントラネット	インバウンド	許可	必要なプロトコルの選択	必要なポート範囲の設定	1	セキュリティグループアクセス (このアカウントを許可)	インスタンスへのアクセスを許可するセキュリティグループIDを選択

以下の情報は、クラシックネットワーク接続 ECS インスタンスについてのみです。

セキュリティグループ間の共有アクセスを許可します。 例:

• ユーザー A は、プライベート IP アドレス A.A.A.A を持つ、インスタンス A という名前の、中国 (杭州) リージョンのクラシックネットワーク接続 ECS インスタンスを所有しています。セキュリティグループはグループAです。
• ユーザー B は、プライベート IP アドレス B.B.B.B を持つ、インスタンス B という名前の、中国 (杭州) リージョンのクラシックネットワーク接続 ECS インスタンスを所有しています。セキュリティグループはグループ B です。
• 次の表に示すように、インスタンス A からインスタンス B へのアクセスを許可するために、グループ A にルールを追加します。

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
  イントラネット	インバウンド	許可	必要なプロトコルの選択	必要なポート範囲の設定	セキュリティグループアクセス (他のアカウントを許可)	ユーザー B のアカウント ID とグループ B のセキュリティグループ ID を入力	1

• 次の表に示すように、インスタンス B からインスタンス A へのアクセスを許可するために、グループ B にルールを追加します。

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
  イントラネット	インバウンド	許可	必要なプロトコルの選択	必要なポート範囲の設定	セキュリティグループアクセス (他のアカウントを許可)	ユーザー A のアカウント ID とグループ A のセキュリティグループ ID を入力	1

  注 インスタンスのセキュリティを保証するために、クラシックネットワーク接続セキュリティグループのイントラネットインバウンドルールを設定している場合は、[セキュリティグループアクセス] が [権限付与タイプ] の最優先になります。 [アドレスフィールドアクセス] を選択した場合は、a.b.c.d/32フォーマットの /32 CIDR プレフィックスを持つ IP アドレスを入力する必要があります。 IPv4 のみがサポートされます。

シナリオ 2: 指定された IP アドレスのみリモート接続を許可

指定したパブリック IP アドレスからインスタンスへのリモート接続を許可する場合は、次のルールを追加します。 この例では、指定された IP アドレスから TCP ポート 22 のインスタンスへのリモート接続が許可されています。

シナリオ 3: 特定の IP アドレスのみにインスタンスがアクセスすることを許可

インスタンスから指定のIPアドレスにアクセスする場合は、次のルールをそのセキュリティグループに追加します。

1. 次のルールを追加して、すべてのパブリック IP アドレスへのアクセスをすべて削除します。 優先順位は、手順 2 のルールより低くなければなりません。

   ネットワークタイプ	NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
   VPC	N/A	インバウンド	不可	すべて	-1/-1	アドレスフィールドアクセス	0.0.0.0/0	2
   クラシックネットワーク	インターネット

2. 以下のルールを追加して、手順 1 よりも高い優先順位で、指定した IP アドレスへのアクセスを許可します。

   ネットワークタイプ	NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
   VPC	N/A	アウトバウンド	許可	必要なプロトコルの選択	必要なポート範囲の設定	アドレスフィールドアクセス	1.2.3.4 などの指定のIPアドレスを入力	1
   クラシックネットワーク	インターネット

ルールを加えた後で、インスタンスに接続して特定の IP アドレスからインスタンスへ ping または telnet を試行します。 指定した IP アドレスからインスタンスにアクセスできる場合、ルールは正常に適用されています。

シナリオ 4: ECS インスタンスへのリモート接続を許可

次のような場合には、インスタンスに接続します。

• ケース 1: インターネットからインスタンスへのリモート接続を許可
• ケース 2: イントラネットからインスタンスへのリモート接続を許可

インターネットからインスタンスへのリモート接続を許可するには、ネットワークタイプとインスタンスのオペレーティングシステムに応じて次のルールを追加します。

• VPC

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
  N/A	インバウンド	許可	Windows: RDP(3389)	3389/3389	アドレスフィールドアクセス	任意のパブリック IP アドレスからのインターネットアクセスを許可するには、「0.0.0.0/0」と入力します。 指定した IP アドレスからのインターネットアクセスを許可するには、「シナリオ 2」を参照	1
  			Linux: SSH(22)	22/22
  			カスタム TCP	カスタマイズ

• クラシックネットワーク

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
  インターネット	インバウンド	許可	Windows: RDP(3389)	3389/3389	アドレスフィールドアクセス	任意のパブリック IP アドレスからのインターネットアクセスを許可するには、「0.0.0.0/0」と入力します。 指定した IP アドレスからのインターネットアクセスを許可するには、 「シナリオ 2」を参照	1
  			Linux: SSH(22)	22/22
  			カスタム TCP	カスタマイズ

リモート接続用にポートをカスタマイズするには、 「デフォルトのリモートアクセスポートの変更」をご参照ください。

1 つのリージョンに属するが異なるアカウントに属するインスタンス間のイントラネット通信を有効にしていて、異なるセキュリティグループ内のインスタンスが互いに接続できるようにする場合は、必要に応じて次のルールを追加します。

• プライベート IP アドレスがインスタンスに接続できるようにします。
  • VPC

    イントラネット通信が Express Connect を使用して両方のアカウント間に構築されていることを確認し、 次のいずれかのルールを追加します。

    NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
    N/A	インバウンド	許可	Windows: RDP(3389)	3389/3389	アドレスフィールドアクセス	ピアインスタンスのプライベート IP アドレスを指定	1
    			Linux: SSH (22)	22/22
    			カスタム TCP	カスタマイズ

  • クラシックネットワーク

    次のいずれかのルールを追加します。

    NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
    イントラネット	インバウンド	許可	Windows: RDP (3389)	3389/3389	アドレスフィールドアクセス	ピアインスタンスのプライベート IP アドレスを指定 インスタンスを保護するために、a.b.c.d/32 形式の /32 CIDR プレフィックス を持つ IP アドレスのみが許可されます。	1
    			Linux: SSH (22)	22/22
    			カスタムTCP	カスタマイズ

• 1 つのアカウントのセキュリティグループ内のすべてのインスタンスが自分のインスタンスに接続できるようにするには、次の手順を実行します。
  • VPC

    イントラネット通信が Express Connect を使用して両方のアカウント間に構築されていることを確認し、次のいずれかのルールを追加します。

    NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
    N/A	インバウンド	許可	Windows: RDP (3389)	3389/3389	セキュリティグループアクセス (他のアカウントを許可)	ピアのアカウント ID とセキュリティグループ ID を入力	1
    			Linux: SSH(22)	22/22
    			カスタム TCP	カスタマイズ

  • クラシックネットワーク

    次のいずれかのルールを追加します。

    NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
    イントラネット	インバウンド	許可	Windows: RDP (3389)	3389/3389	セキュリティグループアクセス (他のアカウントを許可)	ピアのアカウント ID とセキュリティグループ ID を入力	1
    			Linux: SSH(22)	22/22
    			カスタム TCP	カスタマイズ

シナリオ 5: HTTP または HTTPS サービスを介した ECS インスタンスへのアクセスを許可

インスタンス上に Web サイトを構築し、ユーザーが HTTP または HTTPS でサイトにアクセスする場合、以下のいずれかのルールを追加します。

• VPC

  任意のパブリック IP アドレスからサイトのアクセスを許可するには、次のいずれかのルールを追加します。

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
  N/A	インバウンド	許可	HTTP(80)	80/80	アドレスフィールドアクセス	0.0.0.0/0	1
  			HTTPS(443)	443/443
  			カスタム TCP	カスタマイズ、8080/8080 など

• クラシックネットワーク

  すべてのパブリック IP アドレスが自分のサイトにアクセスできるようにするには、次のいずれかのルールを追加します。

  NIC	ルールの方向	権限付与ポリシー	プロトコルタイプ	ポート範囲	権限付与タイプ	権限付与オブジェクト	優先度
  インターネット	インバウンド	許可	HTTP(80)	80/80	アドレスフィールドアクセス	0.0.0.0/0	1
  			HTTPS (443)	443/443
  			カスタム TCP	カスタマイズ、8080/8080 など