VPC ネットワークの ECS インスタンスを作成するとき、デフォルトのセキュリティグループを使用するか、VPC に既に設定されている他のセキュリティグループを使用できます。 セキュリティグループは、ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックの制御に使用される仮想ファイアウォールです。

このトピックでは、VPC ネットワークの ECS インスタンスの一般的なセキュリティグループ設定を記載しています。

ケース 1:イントラネット通信

VPC ネットワークの ECS インスタンス間の通信には、次の 2 種類があります。

  • デフォルトでは、同一 VPC 内の同一セキュリティグループにある ECS インスタンスは相互通信できます。
  • 異なる VPC の ECS インスタンスは相互通信できません。 異なる VPC 内の 2 つの ECS インスタンス間の通信を実現するには、Express Connect、VPN Gateway、または CEN を使用して接続します。 この場合、次の表に示すように、セキュリティグループルールでターゲット ECS インスタンス間のアクセスを許可するようにしてください。
    セキュリティグループルール ルールの方向 許可ポリシー プロトコルタイプとポート範囲 許可タイプ 許可オブジェクト
    VPC 1 の ECS インスタンスのセキュリティグループ設定 インバウンド 許可

    Windows:RDP

    3389/3389

    アドレスフィールドアクセス

    ECS インスタンスにアクセスするプライベート IP アドレスを入力します。

    すべての ECS インスタンスのアクセスを許可するには、0.0.0.0/0 を入力します。

    インバウンド 許可

    Linux:SSH

    22/22

    アドレスフィールドアクセス
    インバウンド 許可

    カスタム TCP

    カスタム

    アドレスフィールドアクセス
    VPC 2 の ECS インスタンスのセキュリティグループ設定 インバウンド 許可

    Windows:RDP

    3389/3389

    アドレスフィールドアクセス

    ECS インスタンスにアクセスするプライベート IP アドレスを入力します。

    すべての ECS インスタンスのアクセスを許可するには、0.0.0.0/0 を入力します。

    インバウンド 許可

    Linux:SSH

    22/22

    アドレスフィールドアクセス
    インバウンド 許可

    カスタム TCP

    カスタム

    アドレスフィールドアクセス

ケース 2:特定の IP アドレスまたはポートのアクセスを拒否

特定の IP アドレスまたはポートの ECS インスタンスへのアクセスを拒否するようにセキュリティグループを設定できます。

セキュリティグループルール ルールの方向 許可ポリシー プロトコルタイプとポート範囲 許可タイプ 許可オブジェクト
特定の IP アドレス範囲から ECS インスタンスのすべてのポートへのアクセスを拒否 インバウンド 拒否

すべて

-1

アドレスフィールドアクセス

ブロックする IP アドレス範囲を、10.0.0.1/32 などの CIDR ブロックの形式で入力します。

特定の IP アドレス範囲から ECS インスタンスのポート 22 へのアクセスを拒否 インバウンド 拒否

SSH (22)

22/22

アドレスフィールドアクセス

ブロックする IP アドレス範囲を、10.0.0.1/32 などの CIDR ブロックの形式で入力します。

ケース 3:特定の IP アドレスのリモートアクセスを許可

VPC の ECS インスタンスに NAT Gateway または EIP を設定している場合、次のセキュリティグループルールを追加して Windows リモートログインや Linux SSH ログインを許可できます。

セキュリティグループルール ルールの方向 許可ポリシー プロトコルタイプとポート範囲 許可タイプ 許可オブジェクト
Windows リモートログインを許可 インバウンド 許可

RDP

3389/3389

アドレスフィールドアクセス

すべてのパブリック IP アドレスのログインを許可するには、0.0.0.0/0 を入力します。

特定の IP アドレスのリモートログインのみを許可するには、IP アドレスを入力します。

Linux SSH ログインを許可 インバウンド 許可

SSH

22/22

アドレスフィールドアクセス

すべてのパブリック IP アドレスのログインを許可するには、0.0.0.0/0 を入力します。

特定の IP アドレスのリモートログインのみを許可するには、IP アドレスを入力します。

ケース 4:インターネットから、ECS インスタンスにデプロイされた HTTP/HTTPS サービスへのアクセスを許可

VPC の ECS インスタンスに Web サイトをデプロイし、EIP か NAT Gateway を設定してサービスを提供している場合、次のセキュリティグループルールを設定してインターネットからのアクセスを許可します。

セキュリティグループルール ルールの方向 許可ポリシー プロトコルタイプとポート範囲 許可タイプ 許可オブジェクト
ポート 80 へのアクセスを許可 インバウンド 許可

HTTP

80/80

アドレスフィールドアクセス 0.0.0.0/0
ポート 443 へのアクセスを許可 インバウンド 許可

HTTPS

443/443

アドレスフィールドアクセス 0.0.0.0/0
ポート 80 へのアクセスを許可 インバウンド 許可

TCP

80/80

アドレスフィールドアクセス 0.0.0.0