リソースのデータセキュリティを確保するには、仮想プライベートクラウド (VPC) へのアクセスを規制して、信頼できるユーザーのみがリソースにアクセスまたは管理できるようにする必要があります。
概要
次のいずれかの機能を使用して、アクセス制御を有効にできます。
ネットワークアクセス制御リスト (ACL): VPC内のネットワークアクセスを管理できます。 VPCにネットワークACLを作成し、インバウンドルールとアウトバウンドルールをネットワークACLに追加できます。 ネットワークACLを作成したら、vSwitchに関連付けることができます。 これにより、ネットワークACLを使用して、vSwitchのElastic Compute Service (ECS) インスタンスを流れるトラフィックを制御できます。 ネットワークACLの詳細については、「ネットワークACLの概要」をご参照ください。
セキュリティグループ: セキュリティグループ内のECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御するために使用される仮想ファイアウォールとして機能します。 これにより、ECSインスタンスのセキュリティが向上します。 詳細については、「概要」をご参照ください。
ネットワークACLの使用
ネットワークACLを使用すると、VPC内のネットワークアクセスを管理できます。 VPCにネットワークACLを作成し、インバウンドルールとアウトバウンドルールをネットワークACLに追加できます。 ネットワークACLを作成したら、vSwitchに関連付けることができます。 これにより、ネットワークACLを使用して、vSwitchのECSインスタンスを流れるトラフィックを制御できます。
ネットワークACLの設定
次のいずれかの方法を使用して、ネットワークACLを設定できます。
VPCコンソールへのログイン: VPCコンソールでネットワークACLを設定する方法の詳細については、「ネットワークACLの操作」をご参照ください。
API操作の呼び出し: 次のAPI操作を呼び出して、ネットワークACLを管理できます。
CreateNetworkAcl: ネットワークACLを作成します。
AssociateNetworkAcl: ネットワークACLをvSwitchに関連付けます。
ModifyNetworkAclAttributes: ネットワークACLを変更します。
DescribeNetworkAcls: ネットワークACLを照会します。
UpdateNetworkAclEntries: ネットワークACLルールを更新します。
DescribeNetworkAclAttributes: ネットワークACLに関する詳細を照会します。
UnassociateNetworkAcl: vSwitchからネットワークACLの関連付けを解除します。
CopyNetworkAclEntries: ネットワークACLルールをコピーします。
DeleteNetworkAcl: ネットワークACLを削除します。
Alibaba Cloud SDKの使用: を使用してネットワークACLを設定できます。 Alibaba Cloud SDK Alibaba Cloud SDKは、Java、Python、PHPなどの複数のプログラミング言語をサポートしています。
CLIコマンドの実行: CLIコマンドを実行して、ネットワークACLを設定できます。 Alibaba Cloud CLIの詳細については、「Alibaba Cloud CLIの概要」をご参照ください。.
Work with network ACL
インバウンドルールとアウトバウンドルールをネットワークACLに追加できます。 次に、ネットワークACLをvSwitchに関連付けて、インバウンドトラフィックとアウトバウンドトラフィックを制御できます。 詳細については、「ネットワークACLの概要」および「一般的なシナリオ」をご参照ください。
ネットワークACLの使用シナリオ
ネットワークACLを使用して、異なるvSwitchのECSインスタンスのトラフィックを制御し、データセンターとクラウドリソース間の通信を規制できます。 詳細については、「異なるvSwitchに接続されたECSインスタンス間の相互通信の管理」および「データセンターとVPC間の通信の管理」をご参照ください。
セキュリティグループの操作
セキュリティグループは、セキュリティを向上させるためにECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールとして機能します。 セキュリティグループは、SPI (Stateful Packet Inspection) およびパケットフィルタリング機能を提供します。 セキュリティグループとセキュリティグループルールを使用して、クラウド内のセキュリティドメインを定義できます。
セキュリティグループとセキュリティグループルール
セキュリティグループは、基本セキュリティグループと高度セキュリティグループに分類されます。 高度なセキュリティグループは、エンタープライズレベルのシナリオに適しており、より多くのインスタンス、elastic network Interface (ENI) 、プライベートIPアドレスを含むことができ、基本的なセキュリティグループよりも厳格なレベルのアクセス制御を実装できます。
インスタンスは少なくとも1つのセキュリティグループに追加する必要があり、複数のセキュリティグループに追加できます。 インスタンスに関連付けられているセカンダリENIは、インスタンスとは異なるセキュリティグループに追加できます。 インスタンスは、基本セキュリティグループと高度セキュリティグループに同時に属することはできません。
セキュリティグループは、セキュリティグループにルールを追加する前であっても、インバウンドトラフィックとアウトバウンドトラフィックを制御できます。 セキュリティグループにルールを追加したり、セキュリティグループのルールを変更して、よりきめ細かい方法でインバウンドとアウトバウンドトラフィックを制御することができます。 ルールがセキュリティグループに追加された後、またはセキュリティグループ内のルールが変更された後、ルールはセキュリティグループ内のインスタンスに自動的に適用されます。 セキュリティグループルールを使用して、特定のIPアドレス、CIDRブロック、セキュリティグループ、またはプレフィックスリストへのアクセスを制御できます。 詳細については、「セキュリティグループルールの追加」をご参照ください。
ECSコンソールでセキュリティグループを作成すると、デフォルトのルールが自動的にセキュリティグループに追加されます。 ニーズに基づいてこれらのルールを維持できます。
セキュリティグループの操作
次の操作を実行して、セキュリティグループを使用してインスタンスのトラフィックを制御できます。
セキュリティグループを作成します。
セキュリティグループにルールを追加します。
セキュリティグループにインスタンスを追加します。
ニーズに応じて、既存のセキュリティグループとセキュリティグループルールを管理します。
次の操作を実行して、セキュリティグループを使用してセカンダリENIのトラフィックを制御できます。
セキュリティグループを作成します。
セキュリティグループにルールを追加します。
セカンダリENIをセキュリティグループに追加します。
セカンダリENIをインスタンスに関連付けます。
ニーズに応じて、既存のセキュリティグループとセキュリティグループルールを管理します。
詳細については、「セキュリティグループの作成」および「異なるユースケースのセキュリティグループ」をご参照ください。
セキュリティグループのユースケース
VPCにECSインスタンスを作成する場合、ECSインスタンスをデフォルトのセキュリティグループまたはVPC内の既存のセキュリティグループに追加できます。 詳細については、「異なるシナリオでのセキュリティグループの設定」をご参照ください。