Amazon EC2 インスタンス用のセキュリティグループの作成
セキュリティグループは、関連付けられたインスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。SSH (Linux インスタンス) または RDP (Windows インスタンス) を使用してインスタンスに接続できるようにするルールをセキュリティグループに追加できます。また、ウェブサーバー宛ての HTTP および HTTPS トラフィックなど、クライアントトラフィックを許可するルールを追加することもできます。
インスタンスを起動する際に、インスタンスにセキュリティグループを関連付けることができます。関連付けられたセキュリティグループのルールを追加または削除すると、それらの変更は、そのセキュリティグループを関連付けたすべてのインスタンスに自動的に適用されます。
インスタンスを起動した後、追加のセキュリティグループを関連付けることができます。詳細については、「Amazon EC2 インスタンスのセキュリティグループの変更」を参照してください。
インバウンドおよびアウトバウンドのセキュリティグループルールは、セキュリティグループの作成時に追加することも、後で追加することもできます。詳細については、「セキュリティグループルールの設定」を参照してください。セキュリティグループに追加できるルールの例については、「さまざまなユースケースのセキュリティグループのルール」を参照してください。
考慮事項
-
デフォルトでは、新しいセキュリティグループにはすべてのトラフィックがリソースを離れることを許可するアウトバウンドルールのみが設定されています。任意のインバウンドトラフィックを許可するには、またはアウトバウンドトラフィックを制限するには、ルールを追加する必要があります。
-
送信元でインスタンスに対する SSH または RDP アクセスを許可するルールを設定する場合、任意の場所からのアクセスは許可しないでください。これを許可すると、インターネット上のすべての IP アドレスからのインスタンスに対するこのアクセスを許可することになります。この状態は、テスト環境での短時間の使用であれば許容できますが、実稼働環境においては安全ではありません。
-
特定のポートに複数のルールがある場合、Amazon EC2 が最も許容度の大きいルールを適用します。例えば、IP アドレス 203.0.113.1 からの TCP ポート 22 (SSH) に対するアクセスを許可するルールと、任意の場所からの TCP ポート 22 に対するアクセスを許可する別のルールがある場合、全員が TCP ポート 22 にアクセスできます。
-
1 つのインスタンスには複数のセキュリティグループを関連付けることができます。そのため、1 つのインスタンスに数百のルールが適用される場合があります。結果として、インスタンスにアクセスするときに問題が発生する可能性があります。そのため、ルールは可能な限り要約することをお勧めします。
-
ルールに送信元または送信先としてセキュリティグループを指定する場合、ルールはセキュリティグループに関連付けられているすべてのインスタンスに影響します。着信トラフィックは、ソースセキュリティグループに関連付けられたインスタンスのプライベート IP アドレスに基づいて許可されます (パブリック IP アドレスまたは Elastic IP アドレスは考慮されません)。IP アドレスについては、Amazon EC2 インスタンスの IP アドレス指定を参照してください。
-
デフォルトで、Amazon EC2 はポート 25 のトラフィックをブロックします。詳細については、「ポート 25 を使用した E メール送信の制限」を参照してください。
コンソールを使用してセキュリティグループを作成するには
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/
) を開きます。 -
ナビゲーションペインで、[Security Groups] を選択します。
-
[セキュリティグループの作成] を選択します。
-
セキュリティグループの分かりやすい名前と簡単な説明を入力します。セキュリティグループの作成後に名前と説明を変更することはできません。
-
[VPC] で、Amazon EC2 インスタンスを実行する VPC を選択します。
-
(オプション) インバウンドルールを追加するには、[インバウンドルール] を選択します。ルールごとに、[ルールの追加] を選択し、プロトコル、ポート、および送信元を指定します。例えば、SSH トラフィックを許可するには、[タイプ] に [SSH] を選択し、[送信元] にコンピュータまたはネットワークのパブリック IPv4 アドレスを指定します。
-
(オプション) アウトバウンドルールを追加するには、[アウトバウンドルール] を選択します。ルールごとに、[ルールの追加] を選択し、プロトコル、ポート、および送信先を指定します。追加しない場合は、デフォルトのルールをそのまま使用でき、すべてのアウトバウンドトラフィックを許可します。
-
(オプション) タグを追加するには、[Add new tag] (新しいタグを追加) を選択し、そのタグのキーと値を入力します。
-
[セキュリティグループの作成] を選択します。
コマンドラインを使用してセキュリティグループを作成するには
-
create-security-group (AWS CLI)
-
New-EC2SecurityGroup (AWS Tools for Windows PowerShell)