セキュリティグループのルール - Amazon Elastic Compute Cloud

セキュリティグループのルール

セキュリティグループルールは、セキュリティグループに関連付けられたインスタンスに到達することを許可するインバウンドトラフィックを制御します。また、このルールによって、インスタンスから送信されるアウトバウンドトラフィックも制御されます。

セキュリティグループのルールの特徴を次に示します。

  • デフォルトでは、セキュリティグループには、すべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。これらのルールは削除できます。デフォルトで、Amazon EC2 はポート 25 のトラフィックをブロックすることに注意してください。詳細については、「ポート 25 を使用した E メール送信の制限」を参照してください。

  • セキュリティグループのルールは常にパーミッシブです。アクセスを拒否するルールを作成することはできません。

  • セキュリティグループルールを使用すると、プロトコルとポート番号に基づいてトラフィックをフィルタリングできます。

  • セキュリティグループはステートフルです。インスタンスからリクエストを送信すると、そのリクエストに対するレスポンストラフィックは、セキュリティグループのインバウンドルールにかかわらず、流入できます。つまり、VPC セキュリティグループの場合、アウトバウンドルールにかかわらず、許可されたインバウンドトラフィックは流れることができます。詳細については、「セキュリティグループの接続の追跡」を参照してください。

  • ルールの追加と削除は随時行うことができます。変更は、セキュリティグループに関連付けられたインスタンスに自動的に適用されます。

    一部のルール変更の影響は、トラフィックの追跡方法によって異なる場合があります。詳細については、「セキュリティグループの接続の追跡」を参照してください。

  • 複数のセキュリティグループをインスタンスに関連付けると、各セキュリティグループのルールが効率的に集約され、1 つのルールセットが作成されます。Amazon EC2 はこのルールセットを使用して、アクセスを許可するかを判断します。

    セキュリティグループは、1 つのインスタンスに複数割り当てることができます。そのため、1 つのインスタンスに数百のルールが適用される場合があります。結果として、インスタンスにアクセスするときに問題が発生する可能性があります。そのため、ルールは可能な限り要約することをお勧めします。

注記

セキュリティグループは、「VPC +2 IP アドレス」(「Amazon Route 53 デベロッパーガイド」の「Amazon Route 53 Resolver とは」を参照)、または「AmazonProvidedDNS」(「Amazon Virtual Private Cloud ユーザーガイド」の「DHCP オプションセットの使用」を参照) と呼ばれることもある Route 53 Resolver から送受信される DNS リクエストをブロックできません。Route 53 Resolver で DNS リクエストをフィルタリングしたい場合は、Route 53 Resolver DNS ファイアウォールを有効にできます (「Amazon Route 53 デベロッパーガイド」の「Route 53 Resolver DNS ファイアウォール」を参照)。

ルールごとに、以下の点について指定します。

  • 名前: セキュリティグループの名前 (「my-security-group」など)。

    名前の最大長は 255 文字です。使用できる文字は、a ~ z、A ~ Z、0 ~ 9、スペース、._-:/()#,@[]+=;{}!$* です。名前の末尾にスペースが含まれている場合は、名前を保存するときにスペースが切り捨てられます。例えば、名前に「セキュリティグループのテスト」と入力すると、「セキュリティグループのテスト」として保存されます。

  • プロトコル: 許可するプロトコル。最も一般的なプロトコルは、6 (TCP)、17 (UDP)、1 (ICMP) です。

  • ポートの範囲: TCP、UDP、カスタムプロトコルの場合、許可するポートの範囲。1 つのポート番号 (22 など)、または一定範囲のポート番号 (7000-8000 など) を指定できます。

  • ICMP タイプおよびコード: ICMP の場合、ICMP タイプおよびコードです。例えば、ICMP エコー要求にはタイプ 8、ICMPv6 エコー要求にはタイプ 128 を使用します。

  • Source or destination (送信元または送信先): 許可するトラフィックの送信元 (インバウンドルール) または送信先 (アウトバウンドルール)。次のいずれかを指定します。

    • 単一の IPv4 アドレス。/32 プレフィクス長を使用する必要があります。例えば、203.0.113.1/32

    • 単一の IPv6 アドレス。/128 プレフィクス長を使用する必要があります。例えば、2001:db8:1234:1a00::123/128

    • CIDR ブロック表記の IPv4 アドレスの範囲。例えば、203.0.113.0/24

    • CIDR ブロック表記の IPv6 アドレスの範囲。例えば、2001:db8:1234:1a00::/64

    • プレフィクスリストの ID。例えば、pl-1234abc1234abc123。詳細については、「Amazon VPC ユーザーガイド」の「プレフィクスリスト」を参照してください。

    • セキュリティグループの ID (ここでは、指定されたセキュリティグループと呼ばれます)。例えば、現在のセキュリティグループ、同じ VPC のセキュリティグループ、またはピア接続された VPC のセキュリティグループなどがあります。これにより、指定されたセキュリティグループに関連付けられたリソースのプライベート IP アドレスに基づくトラフィックが許可されます。その際、指定されたセキュリティグループから現在のセキュリティグループにルールが追加されることはありません。

  • (オプション) 説明: 後で分かりやすいように、このルールの説明を追加できます。説明の長さは最大 255 文字とすることができます。使用できる文字は、a~z、A~Z、0~9、スペース、._-:/()#,@[]+=;{}!$* です。

セキュリティグループルールを作成する際、AWS により、一意の ID がそのルールに割り当てられます。このルールの ID は、API または CLI を使用してルールを変更または削除する際に使用します。

ルールに送信元または送信先としてセキュリティグループを指定する場合、ルールはセキュリティグループに関連付けられているすべてのインスタンスに影響します。着信トラフィックは、ソースセキュリティグループに関連付けられたインスタンスのプライベート IP アドレスに基づいて許可されます (パブリック IP アドレスまたは Elastic IP アドレスは考慮されません)。IP アドレスについては、Amazon EC2 インスタンスの IP アドレス指定を参照してください。セキュリティグループルールが、同じ VPC またはピア VPC 内の削除されたセキュリティグループを参照している場合、または VPC ピアリング接続が削除されたピア VPC のセキュリティグループを参照している場合は、古いルールとしてマークされます。詳細については、「Amazon VPC Peering ガイド」の「古いセキュリティグループルールの操作」を参照してください。

特定のポートに複数のルールがある場合、Amazon EC2 が最も許容度の大きいルールを適用します。例えば、IP アドレス 203.0.113.1 からの TCP ポート 22 (SSH) に対するアクセスを許可するルールと、全員からの TCP ポート 22 に対するアクセスを許可する別のルールがある場合、全員が TCP ポート 22 にアクセスできます。

ルールを追加、更新、または削除すると、セキュリティグループに関連付けられたすべてのインスタンスにこの変更が自動的に適用されます。