セキュリティグループは、1 つ以上の ECS インスタンスにネットワークアクセス制御を設定するために使用されます。 セキュリティの分離の重要な手段として、セキュリティグループを使用すると、クラウド上のセキュリティ領域を分割できます。 セキュリティグループの 5 つのルールを使用すると、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、トランスポート層プロトコルという 5 つのパラメーターを正確に制御できます。
背景情報
- Ingress ルールは、送信元 IP アドレス、宛先ポート、およびトランスポート層プロトコルの設定のみをサポートします。
- Egress ルールは、宛先 IP アドレス、宛先ポート、およびトランスポート層プロトコルの設定のみをサポートします。
- Ingress ルールの送信元ポート範囲が制限されません。 つまり、すべての送信元ポートがデフォルトで許可されます。
- Ingress ルールの宛先 IP アドレスが制限されません。 つまり、セキュリティグループ内のすべての IP アドレスがデフォルトで許可されます。
- Egress ルールの送信元ポート範囲が制限されません。 つまり、すべての送信元ポートがデフォルトで許可されます。
- Egress ルールの送信元 IP アドレスが制限されません。 つまり、セキュリティグループ内のすべての IP アドレスがデフォルトで許可されます。
5 つのルールの定義
5 つのルールには、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、トランスポート層プロトコルというパラメーターが含まれます。
5 つのルールは、既存のセキュリティグループのルールと完全に互換性を保ちながら、前述の 5 つのパラメーターをよりきめ細かく制御できるように設計されています。
Source IP address: 172.16.1.0/32
Source port: 22
Destination IP address: 10.0.0.1/32
Destination port: no restriction
Transport layer protocol: TCP
Action: Drop
Egress ルールの例では、TCP を介してポート 22 から 10.0.0.1/32 にアクセスする際に、172.16.1.0/32 が禁止されていることを示しています。
シナリオ
-
一部のプラットフォームプロダクトは、サードパーティベンダーのソリューションに接続してネットワークサービスを提供しています。 これらのプロダクトがユーザーの ECS インスタンスに不正にアクセスしないようにするには、セキュリティグループに 5 つのルールを設定して、インバウンドおよびアウトバウンドのトラフィックをより正確に制御する必要があります。
-
インスタンスが設定によりセキュリティグループ内で分離されていて、グループ内の複数の ECS インスタンス間のアクセスを正確に制御する場合は、ニーズに合わせてセキュリティグループの 5 つのルールを設定できます。
5 つのルールを設定する方法
- セキュリティグループの Ingress ルールを追加するには、「 AuthorizeSecurityGroup 」をご参照ください。
- セキュリティグループの Egress ルールを追加するには、 「AuthorizeSecurityGroupEgress」をご参照ください
- セキュリティグループの Ingress ルールを削除するには、「RevokeSecurityGroup 」をご参照ください。
- セキュリティグループの Egress ルールを削除するには、「RevokeSecurityGroupEgress」をご参照ください。
パラメーター
パラメーター | Ingress ルールの意味 | Egress ルールの意味 |
---|---|---|
SecurityGroupId | 現在の Ingress ルールが属するセキュリティグループの ID (つまり、宛先セキュリティグループの ID)。 | 現在の Egress ルールが属するセキュリティグループの ID (つまり、送信元セキュリティグループの ID)。 |
DestCidrIp | 宛先 IP アドレス範囲 (任意)。
|
宛先 IP アドレス。 DestGroupId と DestCidrIp のいずれかを指定する必要があります。 両方とも指定されている場合は、DestCidrIp が優先されます。 |
PortRange | 宛先ポート範囲 (必須)。 | 宛先ポート範囲 (必須)。 |
DestGroupId | 入力不可。 宛先セキュリティグループ ID は SecurityGroupId である必要があります。 | 宛先セキュリティグループ ID。 DestGroupId と DestCidrIp のいずれかを指定する必要があります。 両方とも指定されている場合は、DestCidrIp が優先されます。 |
SourceGroupId | 送信元セキュリティグループ ID。 SourceGroupId と SourceCidrIp のどちらかを指定する必要があります。 両方とも指定した場合は、SourceCidrIp が優先されます。 | 入力不可。 Egress ルールの送信元セキュリティグループ ID は SecurityGroupId である必要があります。 |
SourceCidrIp | 送信元 IP アドレス範囲。 SourceGroupId と SourceCidrIp のどちらかを指定する必要があります。 両方とも指定した場合は、SourceCidrIp がより優先されます。 | 送信元 IP アドレス範囲 (任意)。
|
SourcePortRange | 送信元ポート範囲 (任意)。 指定しない場合、送信元ポートは制限されません。 | 送信元ポート範囲 (任意)。 指定しない場合、送信元ポートは制限されません。 |