デフォルトセキュリティグループでは、デフォルトのルールは着信 ICMP トラフィックと SSH ポート 22、RDP ポート 3389、HTTP ポート 80、および HTTPS ポート443 への着信アクセスにのみ適用されます。 さらに、デフォルトのルールはセキュリティグループのネットワークタイプによって異なります。 インスタンスをデフォルトのセキュリティグループに追加したくない場合は、カスタマイズセキュリティグループを作成できます。

背景

各 ECS インスタンスは少なくとも 1 つのセキュリティグループに参加する必要があります。 詳細は、「セキュリティグループ」をご参照ください。

インスタンスを作成する前にセキュリティグループを作成しなかった場合は、デフォルトのセキュリティグループを使用できます。 詳細については、「デフォルトセキュリティグループルール」をご参照ください。

前提条件

VPC 用のセキュリティグループを作成する場合は、まずVPC と vSwitch の作成をする必要があります。

VPC を使用してセキュリティグループを作成する場合は、その VPC 内のさまざまな vSwitch とともにそのセキュリティグループを使用できます。 ただし、そのセキュリティグループを他の VPC で使用することはできません。

手順

  1. ECS コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、 [ネットワークとセキュリティ] > [セキュリティグループ]を選択します。
  3. リージョンを選択します。
  4. [セキュリティグループの作成] をクリックします。
  5. 表示された [セキュリティグループの作成] ダイアログボックスで、次の設定を行います。
    • テンプレート: セキュリティグループ内のインスタンスにデプロイされているサービスに応じてテンプレートを選択します。 テンプレートは、セキュリティグループルールの設定を簡素化するように設計されています。 次の表は、テンプレートをさまざまなシナリオに適用する方法について説明しています。
      シナリオ テンプレート 説明
      Web サービスは、セキュリティグループ内の Linux インスタンスにデプロイする必要があります。 Web サーバー Linux デフォルトでは、TCP ポート 80/443/22 への着信アクセスと着信 ICMP トラフィックが許可されています。
      Web サービスは、セキュリティグループ内の Windows インスタンスにデプロイする必要があります。 Web サーバー Windows デフォルトでは、TCP ポート 80/443/3389 への着信アクセスと着信 ICMP トラフィックが許可されています。
      特別な要件はありません カスタム セキュリティグループを作成したら、ビジネスニーズに応じてセキュリティグループルールを追加できます。 セキュリティグループルールを追加
    • セキュリティグループ名: セキュリティグループの名前を入力します。
    • 説明: セキュリティグループの説明を入力します。
    • ネットワークタイプ:
      • VPC 用のセキュリティグループを作成するには、[VPC] を選択し、対象の VPC を選択します。
      • クラシックネットワーク用のセキュリティグループを作成するには、[クラシック] を選択します。
        セキュリティグループを作成します。
  6. [OK] をクリックします。

ルールを追加せずに新しいセキュリティグループを作成した場合は、インターネットとイントラネットの両方にデフォルトのルールが適用されます。 具体的には、インバウンドアクセスが拒否されている間、アウトバウンドアクセスは許可されます。

API 操作

セキュリティグループを作成するためにCreateSecurityGroupを呼び出すことができます。

次のステップ