翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セキュリティグループ: インバウンドルールとアウトバウンドルール
*セキュリティグループ*は、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。セキュリティグループごとに、インスタンスへのインバウンドトラフィックをコントロールするルールと、アウトバウンドトラフィックをコントロールする一連のルールを個別に追加します。
VPC 接続の場合は、`QuickSight-VPC` の説明で新しいセキュリティグループを作成します。このセキュリティグループは、到達するデータ送信先のセキュリティグループからのすべてのインバウンド TCP トラフィックを許可する必要があります。次の例では、VPC 内に新しいセキュリティグループを作成し、その新しいセキュリティグループの ID を返します。
```
aws ec2 create-security-group \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd
```
**重要**
ネットワーク設定は十分に複雑であるため、Amazon Quick で使用する新しいセキュリティグループを作成することを強くお勧めします。そうすることで、 AWS Support に問い合わせる際にも、サポートを受けやすくなります。新しいグループを作成することは必須ではありません。次のトピックは、このレコメンデーションに従うことを前提としています。
Quick が VPC 内のインスタンスに正常に接続できるようにするには、Amazon Quick ネットワークインターフェイスとデータを含むインスタンス間のトラフィックを許可するようにセキュリティグループルールを設定します。これを行うには、データベースのインスタンスのインバウンドルールにアタッチされたセキュリティグループが以下のトラフィックを許可するように設定します。
+ Amazon Quick が接続しているポートから
+ 次のいずれかのオプションからのトラフィック:
+ Amazon Quick Network Interface に関連付けられているセキュリティグループ ID (推奨)
または
+ Amazon Quick Network Interface のプライベート IP アドレス
詳細については、*Amazon VPC ユーザーガイド*の [VPC のセキュリティグループ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html)および [VPC とサブネット](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html)を参照してください。
インバウンドルールとアウトバウンドルールの詳細については、以下のトピックを参照してください。
**Topics**
+ [インバウンドルール](#vpc-inbound-rules)
+ [アウトバウンドルール](#vpc-outbound-rules)
## インバウンドルール
**重要**
次のセクションは、接続が 2023 年 4 月 27 日よりも前に作成された場合の VPC 接続に適用されます。
セキュリティグループを作成するときには、インバウンドルールはありません。インバウンドルールをセキュリティグループに追加するまでは、別のホストからインスタンスに送信されるインバウンドトラフィックは許可されません。
Amazon Quick ネットワークインターフェイスにアタッチされたセキュリティグループは、ステートフルではないため、ほとんどのセキュリティグループとは異なる動作をします。他のセキュリティグループは通常*ステートフル*です。つまり、これらのセキュリティグループは、リソースのセキュリティグループへのアウトバウンド接続を確立すると、リターントラフィックを自動的に許可します。対照的に、Amazon Quick ネットワークインターフェイスセキュリティグループは、リターントラフィックを自動的に許可しません。このため、Amazon Quick Network Interface セキュリティグループに Egress ルールを追加することはできません。Amazon Quick Network Interface セキュリティグループで機能させるには、データベースホストからのリターントラフィックを明示的に許可するインバウンドルールを必ず追加してください。
この場合、セキュリティグループのインバウンドルールは、すべてのポートでトラフィックを許可する必要があります。すべてのインバウンドリターンパケットの送信先ポート番号はランダムに割り当てられたポート番号に設定されているため、これを行う必要があります。
Amazon Quick が特定のインスタンスにのみ接続するように制限するには、許可するインスタンスのセキュリティグループ ID (推奨) またはプライベート IP アドレスを指定できます。どちらを指定する場合でも、セキュリティグループのインバウンドルールは依然としてすべてのポート (0~65535) でトラフィックを許可する必要があります。
Amazon Quick が VPC 内の任意のインスタンスに接続できるようにするには、Amazon Quick ネットワークインターフェイスのセキュリティグループを設定できます。この場合、すべてのポート (0~65535) で 0.0.0.0/0 のトラフィックを許可するインバウンドルールを指定します。Amazon Quick ネットワークインターフェイスで使用されるセキュリティグループは、データベースに使用されるセキュリティグループとは異なる必要があります。VPC 接続には別個のセキュリティグループを使用することをお勧めします。
**重要**
Amazon RDS DB インスタンスを長期間使用する場合は、DB セキュリティグループを使用する設定になっているかどうかをチェックしてください。DB セキュリティグループは、VPC 内ではなく、EC2-Classic プラットフォームにある DB インスタンスで使用されます。
この設定で、Amazon Quick で使用する DB インスタンスを VPC に移動しない場合は、DB セキュリティグループのインバウンドルールを更新してください。Amazon Quick に使用している VPC セキュリティグループからのインバウンドトラフィックを許可するように更新します。詳細については、*Amazon RDS ユーザーガイド*の[セキュリティグループによるアクセスのコントロール](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)を参照してください。
## アウトバウンドルール
**重要**
次のセクションは、接続が 2023 年 4 月 27 日よりも前に作成された場合の VPC 接続に適用されます。
デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。このデフォルトのルールを削除し、特定のアウトバウンドトラフィックのみを許可するアウトバウンドルールを追加することをお勧めします。
**警告**
すべてのポートでトラフィックを許可するアウトバウンドルールを使用して、Amazon Quick Network Interface のセキュリティグループを設定しないでください。VPC からのネットワーク送信トラフィックを管理するための重要な検討事項と推奨事項については、*Amazon VPC ユーザーガイド*の [VPC のセキュリティのベストプラクティス](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)を参照してください。
Amazon Quick ネットワークインターフェイスにアタッチされたセキュリティグループには、Amazon Quick が接続する VPC 内の各データベースインスタンスへのトラフィックを許可するアウトバウンドルールが必要です。Amazon Quick が特定のインスタンスにのみ接続するように制限するには、許可するインスタンスのセキュリティグループ ID (推奨) またはプライベート IP アドレスを指定します。これをインスタンスの適切なポート番号 (インスタンスがリッスンするポート) とともに、アウトバウンドルールで設定します。
また、VPC セキュリティグループは、データ送信先のセキュリティグループへのアウトバウンドトラフィックを許可する必要があります (特にデータベースがリッスンするポートで)。