すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:プレフィックスリストおよびポートリストを活用したセキュリティグループルールの効率的な管理

    ドキュメントセンター

    Elastic Compute Service:プレフィックスリストおよびポートリストを活用したセキュリティグループルールの効率的な管理

    最終更新日:Mar 27, 2026

    プレフィックスリストは CIDR ブロックのコレクションであり、ポートリストはポートのコレクションです。セキュリティグループルールの構成時に、これらのリストをリファレンスとして指定できます。この手法により、ソース IP アドレスまたは宛先ポートのみが異なる複数のルールを統合できます。プレフィックスリストまたはポートリストのエントリを更新すると、変更内容は関連付けられたすべてのセキュリティグループに自動的に適用されるため、管理が簡素化され、運用オーバーヘッドが削減されます。

    適用範囲/利用シーン

    複数のアプリケーションをそれぞれ個別のセキュリティグループで保護しながら管理しているシナリオを想定します。これらのアプリケーションは、オンプレミスのオフィスネットワークなど、共通のソースからアクセス可能である必要があります。ただし、そのソースには大規模かつ頻繁に変更される IP アドレスの集合が含まれます。

    ソース IP アドレスが変更されるたびに、各セキュリティグループのインバウンドルールを手動で更新する必要があります。セキュリティグループおよび IP アドレスの数が増加するにつれ、この作業は複雑かつ時間のかかるプロセスになります。

    この課題を解決するため、ソース IP アドレスをプレフィックスリストに、サービスポートをポートリストにまとめて管理し、それらをセキュリティグループルール内でリファレンスします。IP アドレスやポートが変更された場合、対応するリストのみを更新すればよく、変更内容はすべての参照先セキュリティグループに自動的に反映されるため、ルール管理が大幅に簡素化され、運用効率が向上します。

    たとえば、50 個の個別のセキュリティグループに新しい IP アドレスを手動で追加する代わりに、その IP アドレスを 50 個すべてのセキュリティグループが参照するプレフィックスリストに 1 回だけ追加すれば済みます。

    クラウドリソースが複数の Alibaba Cloud リージョンに分散している場合、既存のプレフィックスリストまたはポートリストを他のリージョンへクローン機能でレプリケートできます。

    操作手順

    本操作手順では、ECS インスタンス上で実行中のサービスへのアクセス許可を、プレフィックスリストおよびポートリストを用いて指定する方法、およびアクセス権限の変更方法について説明します。本例では、2 つの CIDR ブロックおよび 2 つのポートを使用します。

    1. プレフィックスリストの作成

      2. 上部のナビゲーションバーで、管理対象のリソースのリージョンおよびリソースグループを選択します。Region

      3. プレフィックスリスト タブで、プレフィックスリストの作成 をクリックします。

      4. プレフィックスリストの作成 ダイアログボックスでパラメーターを設定し、OK をクリックします。

        本例では、以下のパラメーターを使用します:

        • プレフィックスリスト名:RemoteAccess-IP

        • 説明:このプレフィックスリストに含まれる IP アドレスからのアクセスを、関連付けられたセキュリティグループ内の ECS インスタンスに対して許可します。

        • アドレスファミリー:IPv4

        • 最大エントリ数:2

          説明

          プレフィックスリストがセキュリティグループなどのリソースによって参照されている場合、ルールのクォータ算出には実際のエントリ数ではなく、この「最大エントリ数」の値が使用されます。設定には十分ご注意ください。

        • エントリ: エントリの追加 をクリックし、192.168.1.0/24 および 192.168.2.0/24 を追加します。

    2. ポートリストの作成

      1. ポートリスト タブで、ポートリストの作成 をクリックします。

      2. ポートリストの作成 ダイアログボックスでパラメーターを設定し、OK をクリックします。

        本例では、以下のパラメーターを使用します:

        • ポートリスト名:RemoteAccess-Port

        • 説明:このポートリストに含まれるポートを、関連付けられたセキュリティグループ内の ECS インスタンス上で実行中のサービスに対して開放します。

        • 最大エントリ数:2

          説明

          ポートリストがセキュリティグループなどのリソースによって参照されている場合、ルールのクォータ算出には実際のエントリ数ではなく、この「最大エントリ数」の値が使用されます。設定には十分ご注意ください。

        • エントリ: エントリの追加 をクリックし、20000/20000 および 20008/20008 を追加します。本例では、ECS インスタンス上のサービスがポート 20000 および 20008 を使用していると仮定しています。

    3. セキュリティグループルールへのリストの適用

      以下の手順を繰り返して、複数のセキュリティグループにセキュリティグループルールを追加します。ソースとして RemoteAccess-IP プレフィックスリスト、宛先として RemoteAccess-Port ポートリストを指定します。

      1. ECS コンソール - セキュリティグループ に移動します。

      2. 対象のセキュリティグループを見つけ、ルールの構成操作 列でクリックします。

      3. インバウンド タブで、ルールの追加 をクリックします。

      4. セキュリティグループルールのパラメーターを設定し、保存 をクリックします。

        以下の設定により、セキュリティグループ内のインスタンス上で実行中のサービスへのアクセスを許可するルールが作成されます:

        • 権限付与ポリシー:許可

        • 優先度:1

        • プロトコルタイプ:カスタム TCP

        • ソース:プレフィックスリスト RemoteAccess-IP を選択します。

        • 宛先:ポートリスト RemoteAccess-Port を選択します。

        ルールを追加後、当該セキュリティグループでは、プレフィックスリストに含まれる IP アドレスから、ポートリストに含まれるポートへのトラフィックが許可されます。

    4. リストエントリの変更

      アクセス要件が変更された場合、各セキュリティグループのルールを個別に変更する必要はありません。代わりに、RemoteAccess-IP プレフィックスリストおよび RemoteAccess-Port ポートリストを更新してください。たとえば、許可するソース IP を 192.168.3.0/24 および 192.168.4.0/24 に、サービスポートを 30000 および 30008 に変更する場合は、以下の手順に従います:

      2. プレフィックスリスト タブで、プレフィックスリスト RemoteAccess-IP を見つけ、詳細操作 列でクリックします。

      3. プレフィックスリストエントリ タブをクリックします。

      4. 更新するエントリを見つけ、変更操作 列でクリックします。

      5. CIDR ブロックを変更し、保存 をクリックします。

        既存の 2 つのエントリを 192.168.3.0/24 および 192.168.4.0/24 に更新します。

      6. ポートリスト タブで、ポートリスト RemoteAccess-Port を見つけ、詳細操作 列でクリックします。

      7. ポートリストエントリ タブをクリックします。

      8. 更新するエントリを見つけ、変更操作 列でクリックします。

      9. ポート範囲を変更し、保存 をクリックします。

        既存の 2 つのエントリを 30000/30000 および 30008/30008 に更新します。

    プレフィックスリストまたはポートリストを変更すると、変更内容はそれらを参照するすべてのセキュリティグループルールに自動的に適用されます。