セキュリティグループは、1 つ以上の ECS インスタンスにネットワークアクセス制御を設定するために使用されます。 セキュリティの分離の重要な手段として、セキュリティグループを使用すると、クラウド上のセキュリティ領域を分割できます。 セキュリティグループの 5 つのルールを使用すると、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、トランスポート層プロトコルという 5 つのパラメーターを正確に制御できます。

背景情報

以前から、セキュリティグループのルールには、以下の特徴があります。
  • Ingress ルールは、送信元 IP アドレス、宛先ポート、およびトランスポート層プロトコルの設定のみをサポートします。
  • Egress ルールは、宛先 IP アドレス、宛先ポート、およびトランスポート層プロトコルの設定のみをサポートします。
ほとんどの場合、これらの種類のセキュリティグループのルールは設定プロセスを簡略化しますが、以下の欠点があります。
  • Ingress ルールの送信元ポート範囲が制限されません。 つまり、すべての送信元ポートがデフォルトで許可されます。
  • Ingress ルールの宛先 IP アドレスが制限されません。 つまり、セキュリティグループ内のすべての IP アドレスがデフォルトで許可されます。
  • Egress ルールの送信元ポート範囲が制限されません。 つまり、すべての送信元ポートがデフォルトで許可されます。
  • Egress ルールの送信元 IP アドレスが制限されません。 つまり、セキュリティグループ内のすべての IP アドレスがデフォルトで許可されます。

5 つのルールの定義

5 つのルールには、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、トランスポート層プロトコルというパラメーターが含まれます。

5 つのルールは、既存のセキュリティグループのルールと完全に互換性を保ちながら、前述の 5 つのパラメーターをよりきめ細かく制御できるように設計されています。

以下に、5 つのルールの例を示します。
Source IP address: 172.16.1.0/32
Source port: 22
Destination IP address: 10.0.0.1/32
Destination port: no restriction
Transport layer protocol: TCP
Action: Drop

Egress ルールの例では、TCP を介してポート 22 から 10.0.0.1/32 にアクセスする際に、172.16.1.0/32 が禁止されていることを示しています。

シナリオ

  • 一部のプラットフォームプロダクトは、サードパーティベンダーのソリューションに接続してネットワークサービスを提供しています。 これらのプロダクトがユーザーの ECS インスタンスに不正にアクセスしないようにするには、セキュリティグループに 5 つのルールを設定して、インバウンドおよびアウトバウンドのトラフィックをより正確に制御する必要があります。

  • インスタンスが設定によりセキュリティグループ内で分離されていて、グループ内の複数の ECS インスタンス間のアクセスを正確に制御する場合は、ニーズに合わせてセキュリティグループの 5 つのルールを設定できます。

5 つのルールを設定する方法

OpenAPI を使用して 5 つのルールを設定できます。
  • セキュリティグループの Ingress ルールを追加するには、「 AuthorizeSecurityGroup 」をご参照ください。
  • セキュリティグループの Egress ルールを追加するには、 「AuthorizeSecurityGroupEgress」をご参照ください
  • セキュリティグループの Ingress ルールを削除するには、「RevokeSecurityGroup 」をご参照ください。
  • セキュリティグループの Egress ルールを削除するには、「RevokeSecurityGroupEgress」をご参照ください。

パラメーター

以下の表でパラメーターについて説明します。
パラメーター Ingress ルールの意味 Egress ルールの意味
SecurityGroupId 現在の Ingress ルールが属するセキュリティグループの ID (つまり、宛先セキュリティグループの ID)。 現在の Egress ルールが属するセキュリティグループの ID (つまり、送信元セキュリティグループの ID)。
DestCidrIp 宛先 IP アドレス範囲 (任意)。
  • DestCidrIp が指定されている場合は、Ingress ルールの宛先 IP アドレス範囲をより正確に制御できます。
  • DestCidrIp が指定されていない場合、Ingress ルールの IP アドレス範囲には、SecurityGroupId で示されるセキュリティグループのすべての IP アドレスが含まれます。
宛先 IP アドレス。 DestGroupId と DestCidrIp のいずれかを指定する必要があります。 両方とも指定されている場合は、DestCidrIp が優先されます。
PortRange 宛先ポート範囲 (必須)。 宛先ポート範囲 (必須)。
DestGroupId 入力不可。 宛先セキュリティグループ ID は SecurityGroupId である必要があります。 宛先セキュリティグループ ID。 DestGroupId と DestCidrIp のいずれかを指定する必要があります。 両方とも指定されている場合は、DestCidrIp が優先されます。
SourceGroupId 送信元セキュリティグループ ID。 SourceGroupId と SourceCidrIp のどちらかを指定する必要があります。 両方とも指定した場合は、SourceCidrIp が優先されます。 入力不可。 Egress ルールの送信元セキュリティグループ ID は SecurityGroupId である必要があります。
SourceCidrIp 送信元 IP アドレス範囲。 SourceGroupId と SourceCidrIp のどちらかを指定する必要があります。 両方とも指定した場合は、SourceCidrIp がより優先されます。 送信元 IP アドレス範囲 (任意)。
  • SourceCidrIp が指定されている場合は、Egress ルールの送信元 IP アドレス範囲をより正確に制御できます。
  • SourceCidrIp が指定されていない場合、Egress ルールの送信元 IP アドレスには、SecurityGroupId で示されるセキュリティグループのすべての IP アドレスが含まれます。
SourcePortRange 送信元ポート範囲 (任意)。 指定しない場合、送信元ポートは制限されません。 送信元ポート範囲 (任意)。 指定しない場合、送信元ポートは制限されません。