セキュリティグループの使用 - AWS OpsWorks
セキュリティグループ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループの使用

重要

この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 AWS re:Post または AWS Premium Support を通じて AWS Support チームにお問い合わせください。

セキュリティグループ

重要

この AWS OpsWorks Stacks サービスは 2024 年 5 月 26 日にサポート終了となり、新規および既存のお客様の両方で無効になっています。できるだけ早くワークロードを他のソリューションに移行することを強くお勧めします。移行についてご質問がある場合は、 AWS re:Post または AWS Premium Support を通じて AWS Support チームにお問い合わせください。

各 Amazon EC2 インスタンスには、むしろファイアウォールに近い、インスタンスのネットワークトラフィックを管理する 1 つ以上の関連付けられたセキュリティグループがあります。セキュリティグループには 1 つ以上のルールがあり、各ルールでは許可するトラフィックの特定のカテゴリが指定されます。ルールでは、以下を指定します。

  • 許可するトラフィックのタイプ (SSH、HTTP など)

  • トラフィックのプロトコル (TCP、UDP など)

  • トラフィックの発信元の IP アドレスの範囲

  • トラフィックの許可するポート範囲

セキュリティグループには、次の 2 種類のルールがあります。

  • 着信ネットワークトラフィックを規定するインバウンドルール。

    たとえば一般的に、アプリケーションサーバーのインスタンスには、IP アドレスからポート 80 へのインバウンド HTTP トラフィックを許可するインバウンドルールと、特定の一連の IP アドレスからのポート 22 へのインバウンド SSH トラフィックを許可する別のインバウンドルールがあります。

  • アウトバウンドルールは、アウトバウンドネットワークトラフィックを規定します。

    一般的な方法としては、アウトバウンドトラフィックを許可するデフォルト設定を使用します。

セキュリティグループの詳細については、「Amazon EC2 Security Groups (Amazon EC2 セキュリティグループ)」を参照してください。

リージョンで初めてスタックを作成すると、 AWS OpsWorks Stacks は適切なルールセットを持つ各レイヤーの組み込みセキュリティグループを作成します。すべてのグループには、すべてのアウトバウンドトラフィックを許可するデフォルトのアウトバウンドルールが設定されます。一般的に、インバウンドルールは以下を許可します。

  • 適切な AWS OpsWorks スタックレイヤーからのインバウンド TCP、UDP、ICMP トラフィック

  • ポート 22 のインバウンド TCP トラフィック (SSH ログイン)

    警告

    デフォルトのセキュリティグループの設定では、任意のネットワークの場所 (0.0.0.0/0) に対して SSH (ポート 22) が開かれます。これにより、すべての IP アドレスからの SSH によるインスタンスへのアクセスが許可されます。実稼働環境では、特定の IP アドレスまたはアドレス範囲からの SSH によるアクセスのみを許可する設定を使用する必要があります。デフォルトのセキュリティグループを作成直後に更新するか、カスタムセキュリティグループを使用します。

  • ウェブサーバーレイヤーの場合、ポート 80 (HTTP) および 443 (HTTPS) へのすべてのインバウンド TCP および UDP トラフィック

注記

組み込みの AWS-OpsWorks-RDP-Server セキュリティグループは、RDP アクセスを許可するため、すべての Windows インスタンスに割り当てられます。ただし、デフォルトではルールが何もありません。Windows スタックを実行しており、RDP を使用してインスタンスにアクセスする場合、RDP アクセスを許可するインバウンドルールを追加する必要があります。詳細については、「RDP でのログイン」を参照してください。

各グループの詳細については、[Amazon EC2 console (Amazon EC2 コンソール)] に移動し、ナビゲーションペインで [Security Groups (セキュリティグループ)] を選択して、適切なレイヤーのセキュリティグループを選択します。例えば、AWS-OpsWorks-Default-Server はすべてのスタックのデフォルトの組み込みセキュリティグループであり、AWS-OpsWorks-WebApp は Chef 12 サンプルスタックのデフォルトの組み込みセキュリティグループです。

注記

AWS OpsWorks スタックセキュリティグループを誤って削除した場合、再作成するには、 AWS OpsWorks スタックにタスクを実行させることをお勧めします。同じ AWS リージョンに新しいスタックを作成するだけで、 AWS OpsWorks VPC が存在する場合は、削除したセキュリティグループを含むすべての組み込みセキュリティグループが自動的に再作成されます。その後、今後使用しないスタックを削除します。セキュリティグループは残ります。セキュリティグループを手動で再作成する場合は、グループ名の大文字と小文字の設定を含め、元のセキュリティグループとまったく同じである必要があります。

さらに、以下のいずれかが発生した場合、 AWS OpsWorks スタックはすべての組み込みセキュリティグループの再作成を試みます。

  • スタックコンソールの AWS OpsWorks スタックの設定ページに変更を加えます。

  • スタックのインスタンスの 1 つを起動する。

  • 新しいスタックを作成する。

セキュリティグループを指定するには、次のいずれかの方法を使用できます。スタックの作成時に OpsWorks 、セキュリティグループの使用設定を使用して設定を指定します。

  • はい (デフォルト設定) — AWS OpsWorks スタックは、適切な組み込みセキュリティグループを各レイヤーに自動的に関連付けます。

    レイヤーの組み込みセキュリティグループを微調整するには、必要な設定を指定してカスタムセキュリティグループを追加します。ただし、Amazon EC2 で複数のセキュリティグループを評価するときに最も制限が緩いルールが使用されるため、この方法を使用して、組み込みのグループより厳しいルールを指定することはできません。

  • いいえ — AWS OpsWorks スタックは組み込みセキュリティグループをレイヤーに関連付けません。

    適切なセキュリティグループを作成し、1 つ以上のそのグループを作成した各レイヤーと関連付ける必要があります。この方法は、組み込みのグループより厳しいルールを指定する場合に使用します。必要に応じて、組み込みセキュリティグループとレイヤーを手動で関連付けることもできます。カスタムセキュリティグループは、カスタム設定を必要とするレイヤーにのみ必要です。

重要

組み込みのセキュリティグループを使用する場合、グループの設定を手動で変更して、より厳しいルールを作成することはできません。スタックを作成するたびに、 AWS OpsWorks スタックは組み込みのセキュリティグループの設定を上書きするため、次回スタックを作成するときに行った変更は失われます。レイヤーで組み込みのセキュリティグループよりも制限の厳しいセキュリティグループ設定が必要な場合は、セキュリティグループを使用 OpsWorksなし に設定し、任意の設定でカスタムセキュリティグループを作成し、作成時にレイヤーに割り当てます。