すべてのプロダクト
Search
ドキュメントセンター

:異なるシナリオでのセキュリティグループの構成

最終更新日:Jan 02, 2024

仮想プライベートクラウド (VPC) にElastic Compute Service (ECS) インスタンスを作成する場合、ECSインスタンスをデフォルトのセキュリティグループまたはVPC内の既存のセキュリティグループに追加できます。 セキュリティグループは、ECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールとして機能します。

このトピックでは、さまざまなシナリオでVPCのECSインスタンスにセキュリティグループを設定する方法について説明します。

シナリオ1: ECSインスタンス間の通信を許可する

VPCのECSインスタンスが相互に通信する場合は、次の情報に注意してください。

  • デフォルトでは、VPCの同じセキュリティグループ内のECSインスタンスは相互に通信できます。
  • 異なるVPC内のECSインスタンスは互いに通信できません。 異なるVPCのECSインスタンスを接続するには、Express connect、VPN Gateway、またはCloud Enterprise Network (CEN) を使用してVPCを接続する必要があります。 次に、次の情報に基づいてセキュリティグループルールを設定し、ECSインスタンスが相互に通信できるようにします。
    セキュリティグループルール方向Actionプロトコルタイプとポート範囲権限付与タイプ承認済みオブジェクト
    VPC 1のECSインスタンスのセキュリティグループ設定インバウンド許可

    Windows: RDP

    3389/3389

    CIDRブロック
    VPC 2のECSインスタンスのプライベートIPアドレス。
    説明 VPC 2のすべてのECSインスタンスがVPC 1のECSインスタンスと通信できるようにする場合は、0.0.0.0/0を入力します。
    インバウンド許可

    Linux: SSH

    22/22

    CIDRブロック
    インバウンド許可

    カスタマイズTCP

    Custom

    CIDRブロック
    VPC 2のECSインスタンスのセキュリティグループ設定インバウンド許可

    Windows: RDP

    3389/3389

    CIDRブロック
    VPC 1のECSインスタンスのプライベートIPアドレス。
    説明 VPC 1のすべてのECSインスタンスがVPC 2のECSインスタンスと通信できるようにする場合は、0.0.0.0/0を入力します。
    インバウンド許可

    Linux: SSH

    22/22

    CIDRブロック
    インバウンド許可

    カスタマイズTCP

    Custom

    CIDRブロック

シナリオ2: 特定のIPアドレスまたは特定のポートからのアクセスを拒否する

VPC内のECSインスタンスへの特定のIPアドレスからのアクセスを拒否する場合、またはECSインスタンスの特定のポートへのアクセスを拒否する場合は、次の情報に基づいてセキュリティグループルールを設定できます。

セキュリティグループルール方向Actionプロトコルタイプとポート範囲権限付与タイプ承認済みオブジェクト
CIDRブロックからすべてのポートへのアクセスを拒否するインバウンド拒否

All

-1/-1

CIDRブロック

アクセスを拒否するCIDRブロック。 例: 10.0.0.1/32。

CIDRブロックからTCPポート22へのアクセスを拒否するインバウンド拒否

SSH(22)

22/22

CIDRブロック

アクセスを拒否するCIDRブロック。 例: 10.0.0.1/32。

シナリオ3: 特定のIPアドレスのみがECSインスタンスにリモートでログインできるようにする

VPC内のECSインスタンスがelastic IPアドレス (EIP) に関連付けられている場合、またはインターネットNATゲートウェイで設定されている場合、次のセキュリティグループルールを追加して、Windowsを実行するクライアントからのリモートログオン、またはLinuxを実行するクライアントからのSSHログオンを許可できます。

セキュリティグループルール方向Actionプロトコルタイプとポート範囲権限付与タイプ承認済みオブジェクト
Windowsクライアントからのリモートログインを許可するインバウンド許可

RDP

3389/3389

CIDRブロック
ログインを許可するIPアドレス。
説明 すべてのパブリックIPアドレスがECSインスタンスにログインできるようにする場合は、0.0.0.0/0を入力します。
LinuxクライアントからのSSHログインを許可するインバウンド許可

SSH

22/22

CIDRブロック
ログインを許可するIPアドレス。
説明 すべてのパブリックIPアドレスがECSインスタンスにログインできるようにする場合は、0.0.0.0/0を入力します。

シナリオ4: インターネット経由でECSインスタンスにデプロイされたHTTPまたはHTTPSサービスへのアクセスをユーザーに許可する

VPCのECSインスタンスにWebサイトをデプロイし、ECSインスタンスがEIPまたはインターネットNATゲートウェイを使用してインターネットに接続するサービスを提供する場合、次のセキュリティグループルールを設定して、ユーザーがインターネット経由でWebサイトにアクセスできるようにします。

セキュリティグループルール方向Actionプロトコルタイプとポート範囲権限付与タイプ承認済みオブジェクト
HTTPポート80へのアクセスを許可するインバウンド許可

HTTP

80/80

CIDRブロック0.0.0.0/0
HTTPSポート443へのアクセスを許可するインバウンド許可

HTTPS

443/443

CIDRブロック0.0.0.0/0
TCPポート80へのアクセスを許可するインバウンド許可

TCP

80/80

CIDRブロック0.0.0.0/0