# セキュリティグループを使用して AWS リソースへのトラフィックを制御する
*セキュリティグループ*は、関連付けられたリソースに到達できるトラフィックおよびリソースから発信できるトラフィックを制御します。例えば、セキュリティグループを EC2 インスタンスに関連付けると、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックが制御されます。
VPC を作成すると、デフォルトのセキュリティグループが使用されます。VPC ごとに追加のセキュリティグループを作成し、それぞれに独自のインバウンドルールとアウトバウンドルールを設定できます。インバウンドルールごとに、送信元、ポート範囲、プロトコルを指定できます。アウトバウンドルールごとに、送信先、ポート範囲、プロトコルを指定できます。
次の図は、サブネット、インターネットゲートウェイ、セキュリティグループを備えた VPC を示しています。サブネットには EC2 インスタンスが含まれています。セキュリティグループは、インスタンスに割り当てられます。セキュリティグループは、仮想ファイアウォールとして機能します。インスタンスに到達するトラフィックは、セキュリティグループのルールで許可されているトラフィックだけです。例えば、ネットワークからインスタンスへの ICMP トラフィックを許可するルールがセキュリティグループに含まれている場合は、お使いのコンピュータからインスタンスに ping を送信できます。SSH トラフィックを許可するルールがセキュリティグループに含まれていない場合、SSH を使用してインスタンスに接続することはできません。
![\[2 つのサブネット、2 つのセキュリティグループ、異なるセキュリティグループに関連付けられたサブネット内のサーバーを持つ VPC\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/security-group-overview.png)
**Topics**
+ [
## セキュリティグループの基本
](#security-group-basics)
+ [
## セキュリティグループの例
](#security-group-example-details)
+ [
# 「セキュリティグループのルール」
](security-group-rules.md)
+ [デフォルトのセキュリティグループ](default-security-group.md)
+ [セキュリティグループを作成する](creating-security-groups.md)
+ [
# セキュリティグループのルールを設定する
](working-with-security-group-rules.md)
+ [
# セキュリティグループを削除する
](deleting-security-groups.md)
+ [
# セキュリティグループを複数の VPCに関連付ける
](security-group-assoc.md)
+ [
# AWS Organizations とセキュリティグループを共有する
](security-group-sharing.md)
**料金**
セキュリティグループは追加料金なしで使用できます。
## セキュリティグループの基本
+ [セキュリティグループ VPC 関連付け機能](security-group-assoc.md)を使用してセキュリティグループを同じリージョン内の他の VPC に関連付ける場合は、セキュリティグループをセキュリティグループと同じ VPC 内に作成されたリソースに割り当てるか、他の VPC リソースに割り当てることができます。1 つのリソースに複数のセキュリティ グループを割り当てることもできます。
+ セキュリティグループを作成する場合、名前と説明を指定する必要があります。以下のルールが適用されます。
+ セキュリティグループ名は VPC 内で一意である必要があります。
+ セキュリティグループ名では大文字と小文字が区別されません。
+ 名前と説明の長さは最大 255 文字とすることができます。
+ 名前と説明に使用できる文字は、a~z、A~Z、0~9、スペース、.\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1 です。
+ 名前に末尾のスペースが含まれている場合は、名前の末尾のスペースを削除します。例えば、名前に「セキュリティグループのテスト 」と入力すると、「セキュリティグループのテスト」として保存されます。
+ セキュリティグループ名は、`sg-` で開始できません。
+ セキュリティグループはステートフルです。例えば、インスタンスからリクエストを送信した場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループのルールに関係なく、インスタンスに到達が許可されます。許可されたインバウンドトラフィックへのレスポンスは、アウトバウンドルールに関係なく、インスタンスを離れることができます。
+ セキュリティグループでは、以下で送受信されるトラフィックはフィルターされません。
+ Amazon ドメインネームサービス (DNS)
+ Amazon Dynamic Host Configuration Protocol (DHCP)
+ Amazon EC2 インスタンスメタデータ。
+ Amazon ECS タスクメタデータエンドポイント
+ Windows インスタンスのライセンスアクティベーション
+ Amazon Time Sync Service
+ デフォルトの VPC ルーターによる予約済み IP アドレス
+ VPC あたりの作成可能なセキュリティグループの数、各セキュリティグループに追加できるルールの数、ネットワークインターフェイスに関連付けることができるセキュリティグループの数にはクォータがあります。詳細については、「[Amazon VPC クォータ](amazon-vpc-limits.md)」を参照してください。
**ベストプラクティス**
+ 特定の IAM プリンシパルのみにセキュリティグループの作成と変更を許可します。
+ エラーのリスクを減らすために、必要最小限の数のセキュリティグループを作成してください。各セキュリティグループを使用して、同様の機能とセキュリティ要件を持つリソースへのアクセスを管理します。
+ EC2 インスタンスにアクセスできるようにするために、ポート 22 (SSH) または 3389 (RDP) のインバウンドルールを追加する場合は、特定の IP アドレスの範囲のみを許可する必要があります。0.0.0.0/0 (IPv4) と ::/ (IPv6) を指定すると、指定したプロトコルを使用して、誰でも任意の IP アドレスからインスタンスにアクセスできるようになります。
+ 広い範囲のポートを開かないでください。各ポートからのアクセスが、それを必要とする送信元または宛先に制限されていることを確認します。
+ セキュリティの追加レイヤーを VPC に追加するには、セキュリティグループと同様のルールを指定したネットワーク ACL を作成することを検討してください。セキュリティグループとネットワーク ACL の違いの詳細については、「[セキュリティグループとネットワーク ACL を比較する](infrastructure-security.md#VPC_Security_Comparison)」を参照してください。
## セキュリティグループの例
次の図は、2 つのセキュリティグループと 2 つのサブネットを持つ VPC を示しています。サブネット A のインスタンスは、接続要件が同じであるため、セキュリティグループ 1 に関連付けられます。サブネット B のインスタンスは、接続要件が同じであるため、セキュリティグループ 2 に関連付けられます。セキュリティグループのルールでは、トラフィックを次のように許可します。
+ セキュリティグループ 1 の最初のインバウンドルールは、指定されたアドレス範囲 (例えば、独自のネットワーク内の範囲) からサブネット A のインスタンスへの SSH トラフィックを許可します。
+ セキュリティグループ 1 の 2 番目のインバウンドルールは、サブネット A のインスタンスが任意のプロトコルとポートを使用して相互に通信することを許可します。
+ セキュリティグループ 2 の最初のインバウンドルールは、サブネット B のインスタンスが任意のプロトコルとポートを使用して相互に通信することを許可します。
+ セキュリティグループ 2 の 2 番目のインバウンドルールは、サブネット A のインスタンスが SSH を使用してサブネット B のインスタンスと通信することを許可します。
+ どちらのセキュリティグループも、すべてのトラフィックを許可するデフォルトのアウトバウンドルールを使用します。
![\[2 つのサブネットに 2 つのセキュリティグループとサーバーを持つ VPC。サブネット A のサーバーは、セキュリティグループ 1 に関連付けられています。サブネット B のサーバーは、セキュリティグループ 2 に関連付けられています。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/security-group-details.png)
# 「セキュリティグループのルール」
セキュリティグループルールは、セキュリティグループに関連付けられたリソースに到達することを許可するインバウンドトラフィックを制御します。また、このルールによって、インスタンスから送信されるアウトバウンドトラフィックも制御されます。
セキュリティグループのルールは追加または削除できます (インバウンドまたはアウトバウンドアクセスの*許可*または*取り消し*とも呼ばれます)。ルールが適用されるのは、インバウンドトラフィック (受信) またはアウトバウンドトラフィック (送信) のいずれかです。特定のソースまたは送信先へのアクセス権を付与できます。
**Topics**
+ [
## セキュリティグループのルールの基本
](#security-group-rule-characteristics)
+ [
## セキュリティグループルールの構成要素
](#security-group-rule-components)
+ [
## セキュリティグループの参照
](#security-group-referencing)
+ [
## セキュリティグループのサイズ
](#security-group-size)
+ [
## 古くなったセキュリティグループルール
](#vpc-stale-security-group-rules)
## セキュリティグループのルールの基本
セキュリティグループのルールの特徴を次に示します。
+ 許可ルールを指定できます。拒否ルールは指定できません。
+ セキュリティグループを初めて作成するときには、インバウンドルールはありません。したがって、インバウンドルールをセキュリティグループに追加するまで、インバウンドトラフィックは許可されません。
+ セキュリティグループを最初に作成するとき、リソースからのすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが設定されます。ルールを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できます。セキュリティグループにアウトバウンドルールがない場合、アウトバウンドトラフィックは許可されません。
+ 複数のセキュリティグループをリソースに関連付けると、各セキュリティグループのルールが集約されて、アクセス許可の判断に使用する 1 つのルールセットが形成されます。
+ ルールを追加、更新、または削除すると、セキュリティグループに関連付けられたすべてのリソースにこの変更が自動的に適用されます。手順については、「[セキュリティグループのルールを設定する](working-with-security-group-rules.md)」を参照してください。
+ 一部のルール変更の影響は、トラフィックの追跡方法によって異なる場合があります。詳細については、「*Amazon EC2 ユーザーガイド*」の「[接続追跡](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html)」を参照してください。
+ セキュリティグループルールを作成する際、AWS により、一意の ID がそのルールに割り当てられます。このルールの ID は、API または CLI を使用してルールを変更または削除する際に使用します。
**制限**
セキュリティグループは、「VPC\$12 IP アドレス」 (「*Amazon Route 53 デベロッパーガイド*」の「[Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」を参照) または [AmazonProvidedDNS](DHCPOptionSet.md) と呼ばれることがある Route 53 Resolver から送受信される DNS リクエストをブロックできません。Route 53 Resolver 経由の DNS リクエストをフィルタリングするには、[Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) を使用します。
## セキュリティグループルールの構成要素
以下は、インバウンドおよびアウトバウンドセキュリティグループルールの構成要素です。
+ **プロトコル**: 許可するプロトコル。最も一般的なプロトコルは、6 (TCP)、17 (UDP)、1 (ICMP) です。
+ **ポートの範囲**: TCP、UDP、カスタムプロトコルの場合、許可するポートの範囲。1 つのポート番号 (`22` など)、または一定範囲のポート番号 (`7000-8000` など) を指定できます。
+ **ICMP タイプおよびコード**: ICMP の場合、ICMP タイプおよびコードです。例えば、ICMP エコー要求にはタイプ 8、ICMPv6 エコー要求にはタイプ 128 を使用します。詳細については、「*Amazon EC2 ユーザーガイド*」の「[Ping/ICMP のルール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping)」を参照してください。
+ **Source or destination** (送信元または送信先): 許可するトラフィックの送信元 (インバウンドルール) または送信先 (アウトバウンドルール)。次のいずれかを指定します。
+ 単一の IPv4 アドレス。`/32` プレフィクス長を使用する必要があります。例えば、`203.0.113.1/32`。
+ 単一の IPv6 アドレス。`/128` プレフィクス長を使用する必要があります。例えば、`2001:db8:1234:1a00::123/128`。
+ CIDR ブロック表記の IPv4 アドレスの範囲。例えば、`203.0.113.0/24`。
+ CIDR ブロック表記の IPv6 アドレスの範囲。例えば、`2001:db8:1234:1a00::/64`。
+ プレフィクスリストの ID。例えば、`pl-1234abc1234abc123` です。詳細については、「[マネージドプレフィックスリスト](managed-prefix-lists.md)」を参照してください。
+ セキュリティグループの ID。例えば、`sg-1234567890abcdef0` です。詳細については、「[セキュリティグループの参照](#security-group-referencing)」を参照してください。
+ **(オプション) 説明**: 後で分かりやすいように、このルールの説明を追加できます。説明の長さは最大 255 文字とすることができます。使用できる文字は、a~z、A~Z、0~9、スペース、.\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1 です。
例については、「*Amazon EC2 ユーザーガイド*」の「[さまざまなユースケースのセキュリティグループのルール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html)」を参照してください。
## セキュリティグループの参照
ルールのソースまたは宛先としてセキュリティグループを指定する場合、ルールはセキュリティグループに関連付けられているすべてのインスタンスに影響します。インスタンスは、指定されたプロトコルとポート経由で、インスタンスのプライベート IP アドレスを使用して、指定された方向の通信を行うことができます。
例えば、以下は、セキュリティグループ sg-0abcdef1234567890 を参照するセキュリティグループのインバウンドルールを表しています。このルールは、sg-0abcdef1234567890 に関連付けられたインスタンスからのインバウンド SSH トラフィックを許可します。
| ソース | プロトコル | ポート範囲 |
| --- | --- | --- |
| sg-0abcdef1234567890 | TCP | 22 |
セキュリティグループルール内のセキュリティグループを参照するときは、以下の点に注意してください。
+ 次のいずれかに該当する場合、別のセキュリティグループのインバウンドルールのセキュリティグループを参照できます:
+ セキュリティグループは同じ VPC に関連付けられます。
+ セキュリティグループが関連付けられている VPC 間にピアリング接続があります。
+ セキュリティグループが関連付けられている VPC 間にトランジットゲートウェイがあります。
+ 次のいずれかに該当する場合、アウトバウンドルールのセキュリティグループを参照できます:
+ セキュリティグループは同じ VPC に関連付けられます。
+ セキュリティグループが関連付けられている VPC 間にピアリング接続があります。
+ 参照されるセキュリティグループからのルールが、このグループを参照するセキュリティグループに追加されていない。
+ インバウンドルールの場合は、セキュリティグループに関連付けられた EC2 インスタンスが、参照されるセキュリティグループに関連付けられた EC2 インスタンスのネットワークインターフェイスからのプライベート IP アドレスからのインバウンドトラフィックを受信できる。
+ アウトバウンドルールの場合は、セキュリティグループに関連付けられた EC2 インスタンスが、参照されるセキュリティグループに関連付けられた EC2 インスタンスのネットワークインターフェイスからのプライベート IP アドレスへのアウトバウンドトラフィックを送信できる。
+ `AuthorizeSecurityGroupIngress`、`AuthorizeSecurityGroupEgress`、`RevokeSecurityGroupIngress`、および `RevokeSecurityGroupEgress` の各アクションでは、参照されるセキュリティグループに対しては認可されません セキュリティグループが存在するかどうかが確認されるだけです。この結果は以下のようになります。
+ IAM ポリシーで、これらのアクションについて参照されるセキュリティグループを指定しても効果はありません。
+ 参照されるセキュリティグループが別のアカウントによって所有されている場合、所有者アカウントはこれらのアクションについて CloudTrail イベントを受信しません。
**制限**
ミドルボックスアプライアンスを介して異なるサブネット内の 2 つのインスタンス間のトラフィックを転送するようにルートを設定するには、両方のインスタンスのセキュリティグループでインスタンス間のトラフィックがフローできるようにする必要があります。各インスタンスのセキュリティグループは、他のインスタンスのプライベート IP アドレス、または他のインスタンスを含むサブネットの CIDR 範囲を送信元として参照される必要があります。他のインスタンスのセキュリティグループを送信元として参照する場合、インスタンス間のトラフィックは許可されません。
**例**
次の図は、2 つのアベイラビリティーゾーン、1 つのインターネットゲートウェイ、1 つの Application Load Balancer のサブネットを使用する VPC を示しています。各アベイラビリティーゾーンには、ウェブサーバー用のパブリックサブネットと、データベースサーバー用のプライベートサブネットがあります。ロードバランサー、ウェブサーバー、データベースサーバーには個別のセキュリティグループがあります。以下のセキュリティグループルールを作成して、トラフィックを許可します。
+ ロードバランサーのセキュリティグループにルールを追加して、インターネットからの HTTP および HTTPS トラフィックを許可します。送信元は 0.0.0.0/0 です。
+ ウェブサーバーのセキュリティグループにルールを追加して、ロードバランサーからの HTTP および HTTPS トラフィックのみを許可します。送信元はロードバランサーのセキュリティグループです。
+ データベースサーバーのセキュリティグループにルールを追加して、ウェブサーバーからのデータベースリクエストを許可します。送信元はウェブサーバーのセキュリティグループです。
![\[ウェブサーバーと DB サーバー、セキュリティグループ、インターネットゲートウェイ、ロードバランサーを持つアーキテクチャ\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/security-group-referencing.png)
## セキュリティグループのサイズ
各ルールがセキュリティグループごとに設定できるルールの最大数にカウントされる方法は、ソースまたは送信先のタイプに応じて判断されます。
+ CIDR ブロックを参照するルールは、1 個のルールとしてカウントされます。
+ 別のセキュリティグループを参照するルールは、参照されるセキュリティグループのサイズにかかわらず、1 個のルールとしてカウントされます。
+ カスタマーマネージドプレフィックスリストを参照するルールは、プレフィックスリストの最大サイズにならってカウントされます。例えば、プレフィックスリストの最大サイズが 20 の場合、このプレフィックスリストを参照するルールも 20 個のルールとしてカウントされます。
+ AWS マネージドプレフィックスリストを参照するルールは、プレフィックスリストのウェイトにならってカウントされます。例えば、プレフィックスリストの最大サイズが 10 の場合、このプレフィックスリストを参照するルールも 10 個のルールとしてカウントされます。詳細については、「[使用可能な AWS マネージドプレフィックスリスト](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists)」を参照してください。
## 古くなったセキュリティグループルール
VPC に別の VPC との VPC ピアリング接続がある場合、または別のアカウントで共有されている VPC を使用している場合、VPC のセキュリティグループルールは、そのピア VPC または共有 VPC のセキュリティグループを参照できます。これにより、参照されるセキュリティグループに関連付けられているリソースと、参照するセキュリティグループに関連付けられているリソースが、相互に通信できるようになります。詳細については、「*Amazon VPC ピアリングガイド*」の「[セキュリティグループの更新とピアセキュリティグループの参照](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html)」を参照してください。
ピア VPC または共有 VPC のセキュリティグループを参照するセキュリティグループルールがあって、共有 VPC のセキュリティグループが削除されたまたは VPC ピアリング接続が削除された場合、そのセキュリティグループは陳腐化とマークされます。古くなったセキュリティグループルールは他のセキュリティグループルールと同じ方法で削除できます。
# VPC のデフォルトセキュリティグループ
デフォルトの VPC および作成した VPC には、デフォルトのセキュリティグループが適用されます。デフォルトセキュリティグループの名前は「default」です。
デフォルトのセキュリティグループを使用する代わりに、特定のリソース、またはリソースグループのセキュリティグループを作成することをお勧めします。ただし、作成時に何らかのリソースとセキュリティグループを関連付けない場合は、デフォルトのセキュリティグループが関連付けられます。例えば、EC2 インスタンス起動時にセキュリティグループを指定しない場合、インスタンスにはデフォルトの VPC 用セキュリティグループが関連付けられます。
## デフォルトセキュリティグループの基本
+ デフォルトのセキュリティグループのルールは変更できます。
+ デフォルトのセキュリティグループを削除することはできません。デフォルトのセキュリティグループを削除しようとした場合、`Client.CannotDelete` のエラーが発生します。
## デフォルトのルール
次の表では、デフォルトのセキュリティグループ用のデフォルトインバウンドルールについて説明します。
| ソース | プロトコル | ポート範囲 | 説明 |
| --- | --- | --- | --- |
| sg-1234567890abcdef0 | すべて | すべて | このセキュリティグループに割り当てられたすべてのリソースからのインバウンドトラフィックを許可します。ソースは、このセキュリティグループの ID です。 |
次の表では、デフォルトのセキュリティグループ用のデフォルトアウトバウンドルールについて説明します。
| 目的地 | プロトコル | ポート範囲 | 説明 |
| --- | --- | --- | --- |
| 0.0.0.0/0 | すべて | すべて | すべてのアウトバウンド IPv4 トラフィックを許可します。 |
| ::/0 | すべて | すべて | すべてのアウトバウンド IPv6 トラフィックを許可します。このルールは、VPC に IPv6 CIDR ブロックが関連付けられている場合にのみ追加されます。 |
## 例
次の図は、デフォルトのセキュリティグループ、インターネットゲートウェイ、NAT ゲートウェイを備えた VPC を示しています。デフォルトのセキュリティにはデフォルトルールのみが含まれており、VPC で実行されている 2 つの EC2 インスタンスに関連付けられています。このシナリオでは、各インスタンスはすべてのポートとプロトコルで他のインスタンスからのインバウンドトラフィックを受信できます。デフォルトのルールでは、インスタンスはインターネットゲートウェイまたは NAT ゲートウェイからのトラフィックを受信できません。インスタンスが追加のトラフィックを受信する必要がある場合は、必要なルールを含むセキュリティグループを作成し、その新しいセキュリティグループをデフォルトのセキュリティグループではなくインスタンスに関連付けることをお勧めします。
![\[2 つのサブネット、デフォルトのセキュリティグループ、2 つの EC2 インスタンス、インターネットゲートウェイ、NAT ゲートウェイを持つ VPC\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/default-security-group.png)
# VPC 用のセキュリティグループを作成するには
仮想プライベートクラウド (VPC) には、デフォルトのセキュリティグループが備わっています。追加のセキュリティグループを作成することができます。セキュリティグループは、作成時に対象とした VPC のリソースにのみ使用できます。
デフォルトでは、新しいセキュリティグループにはすべてのトラフィックがリソースを離れることを許可するアウトバウンドルールのみが設定されています。任意のインバウンドトラフィックを許可するには、またはアウトバウンドトラフィックを制限するには、ルールを追加する必要があります。ルールは、セキュリティグループ作成時に、または後で追加することができます。詳細については、「[「セキュリティグループのルール」](security-group-rules.md)」を参照してください。
**必要な アクセス許可**
作業を開始する前に、必要なアクセス許可があることを確認してください。詳細については次を参照してください:
+ [セキュリティグループの管理](vpc-policy-examples.md#vpc-security-groups-iam)
+ [セキュリティグループルールの管理](vpc-policy-examples.md#vpc-security-group-rules-iam)
**コンソールを使用してセキュリティグループを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**セキュリティグループ**] をクリックします。
1. **セキュリティグループの作成** を選択します。
1. セキュリティグループの名前と説明を入力します。セキュリティグループの作成後は、その名前と説明を変更することはできません。
1. **[VPC]** では、セキュリティグループを関連付けるリソースを作成する VPC を選択します。
1. (任意) インバウンドルールを追加するには、**[インバウンドルール]** を選択します。ルールごとに、**[ルールを追加]** を選択し、プロトコル、ポート、および送信元を指定します。詳細については、「[セキュリティグループのルールを設定する](working-with-security-group-rules.md)」を参照してください。
1. (任意) アウトバウンドルールを追加するには、**[アウトバウンドルール]** を選択します。ルールごとに、**[ルールを追加]** を選択し、プロトコル、ポート、および送信先を指定します。
1. (オプション) タグを追加するには、**[Add new tag]** (新しいタグを追加) を選択し、そのタグのキーと値を入力します。
1. **[セキュリティグループの作成]** を選択してください。
**AWS CLI を使用してセキュリティグループを作成するには**
[create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html) コマンドを使用します。
または、既存のセキュリティグループをコピーすることで、新しいセキュリティグループを作成することができます。セキュリティグループをコピーすると、元のセキュリティグループと同じインバウンドルールとアウトバウンドルールが自動的に追加され、元のセキュリティグループと同じ VPC が使用されます。新しいセキュリティグループの名前と説明を入力できます。任意で別の VPC を選択でき、また必要に応じてインバウンドルールとアウトバウンドルールを変更できます。ただし、セキュリティグループはあるリージョンから別のリージョンにはコピーできません。
**既存のセキュリティグループに基づいてセキュリティグループを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. セキュリティグループを選択します。
1. **[アクション]**、**[新しいセキュリティグループにコピー]** の順に選択します。
1. セキュリティグループの名前と説明を入力します。
1. (任意) 必要に応じて別の VPC を選択します。
1. (任意) 必要に応じてセキュリティグループのルールを追加、削除、または編集します。
1. **[セキュリティグループの作成]** を選択してください。
# セキュリティグループのルールを設定する
セキュリティグループを作成したら、そのセキュリティグループルールを追加、更新、削除できます。ルールを追加、更新、または削除すると、変更はそのセキュリティグループに関連付けられているリソースに自動的に適用されます。
**必要なアクセス許可**
作業を開始する前に、必要なアクセス許可があることを確認してください。詳細については、「[セキュリティグループルールの管理](vpc-policy-examples.md#vpc-security-group-rules-iam)」を参照してください。
**プロトコルとポート**
+ コンソールでは、事前定義されたタイプを選択すると、**プロトコル**と**ポート範囲**が指定されます。ポート範囲を入力するには、**[カスタム TCP]** または **[カスタム UDP]** のいずれかのカスタムタイプを選択する必要があります。
+ AWS CLI では、`--protocol` オプションおよび `--port` オプションを使用して、単一のポートを持つ単一のルールを追加できます。複数のルール、またはポート範囲を持つルールを追加するには、代わりに `--ip-permissions` オプションを使用します。
**送信元と送信先**
+ コンソールでは、インバウンドルールの送信元またはアウトバウンドルールの送信先として、以下を指定できます。
+ **[カスタム]** – IPv4 CIDR ブロック、IPv6 CIDR ブロック、セキュリティグループ、またはプレフィックスリスト。
+ **[Anywhere-IPv4]** – 0.0.0.0/0 IPv4 CIDR ブロック。
+ **[Anywhere-IPv6]** – ::/0 IPv6 CIDR ブロック。
+ **[マイ IP]** – ローカルコンピュータのパブリック IPv4 アドレス。
+ AWS CLI では、`--cidr` オプションを使用して IPv4 CIDR ブロックを指定するか、`--source-group` オプションを使用してセキュリティグループを指定できます。プレフィックスリストまたは IPv6 CIDR ブロックを指定するには、`--ip-permissions` オプションを使用します。
**警告**
**[Anywhere-IPv4]** を選択すると、すべての IPv4 アドレスからのトラフィックが許可されます。**[Anywhere-IPv6]** を選択すると、すべての IPv6 アドレスからのトラフィックが許可されます。リソースへのアクセスが必要な特定の IP アドレス範囲のみを許可するのがベストプラクティスです。
**コンソールを使用してセキュリティグループを設定するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**セキュリティグループ**] をクリックします。
1. セキュリティグループを選択します。
1. インバウンドルールを編集するには、**[アクション]** または **[インバウンドルール]** タブから **[インバウンドルールを編集]** を選択します。
1. ルールを追加するには、**[ルールを追加]** を選択し、ルールのタイプ、プロトコル、ポート、および送信元を入力します。
タイプが TCP または UDP の場合は、許可するポート範囲を入力する必要があります。カスタムの ICMP の場合は、[**プロトコル**] から ICMP タイプ名を選択し、該当するものがある場合は [**ポート範囲**] からコード名を選択します。その他のタイプについては、プロトコルとポート範囲は自動的に設定されます。
1. ルールを更新するには、必要に応じてプロトコル、説明、送信元を変更します。ただし、送信元のタイプを変更することはできません。例えば、送信元が IPv4 CIDR ブロックの場合、IPv6 CIDR ブロック、プレフィックスリスト、またはセキュリティグループを指定することはできません。
1. ルールを削除するには、**[削除]** ボタンを選択します。
1. アウトバウンドルールを編集するには、**[アクション]** または **[アウトバウンドルール]** タブから **[アウトバウンドルールを編集]** を選択します。
1. ルールを追加するには、**[ルールを追加]** を選択し、ルールのタイプ、プロトコル、ポート、および送信先を入力します。オプションとして説明を入力することもできます。
タイプが TCP または UDP の場合は、許可するポート範囲を入力する必要があります。カスタムの ICMP の場合は、[**プロトコル**] から ICMP タイプ名を選択し、該当するものがある場合は [**ポート範囲**] からコード名を選択します。その他のタイプについては、プロトコルとポート範囲は自動的に設定されます。
1. ルールを更新するには、必要に応じてプロトコル、説明、送信元を変更します。ただし、送信元のタイプを変更することはできません。例えば、送信元が IPv4 CIDR ブロックの場合、IPv6 CIDR ブロック、プレフィックスリスト、またはセキュリティグループを指定することはできません。
1. ルールを削除するには、**[削除]** ボタンを選択します。
1. [**ルールの保存**] を選択します。
**AWS CLI を使用してセキュリティグループのルールを設定するには**
+ **追加** – [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) コマンドおよび [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) コマンドを使用します。
+ **削除** – [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) コマンドおよび [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) コマンドを使用します。
+ **変更** – [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html)、[update-security-group-rule-descriptions-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html)、および [update-security-group-rule-descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html) コマンドを使用します。
# セキュリティグループを削除する
作成したセキュリティグループが用済みになったら、削除することができます。
**要件**
+ このセキュリティグループをリソースに関連付けることはできません。
+ 別のセキュリティグループのルールでこのセキュリティグループを参照することはできません。
+ このセキュリティグループは、VPC のデフォルトのセキュリティグループにはできません。
**コンソールを使用してセキュリティグループを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**セキュリティグループ**] をクリックします。
1. セキュリティグループを選択して、**[アクション]**、**[セキュリティグループを削除]** を選択します。
1. 複数のセキュリティグループを選択した場合は、確認を求められます。一部のセキュリティグループを削除できない場合は、削除されるかどうかを示す、各セキュリティグループのステータスが表示されます。削除を確認するには、「**Delete**」と入力します。
1. **[削除]** を選択します。
**AWS CLI を使用してセキュリティグループを削除するには**
[delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html) コマンドを使用します。
# セキュリティグループを複数の VPCに関連付ける
ネットワークセキュリティ要件を共有する複数の VPC でワークロードを実行している場合は、セキュリティグループの VPC の関連付け機能を使用して、セキュリティグループを同じリージョン内の複数の VPC に関連付けることができます。これにより、アカウント内の複数の VPC のために、セキュリティグループを 1 か所で管理および維持できます。
![\[2 つの VPC に関連付けられたセキュリティグループの図。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/sec-group-vpc-assoc.png)
上記の図は、2 つの VPC がある AWS アカウント A を示しています。各 VPC には、プライベートサブネットで実行されているワークロードがあります。この場合、VPC A および B サブネットのワークロードは同じネットワークトラフィック要件を共有するため、アカウント A はセキュリティグループの VPC の関連付け機能を使用して VPC A のセキュリティグループを VPC B に関連付けることができます。関連付けられたセキュリティグループに加えられた更新は、VPC B サブネットのワークロードへのトラフィックに自動的に適用されます。
**セキュリティグループの VPC の関連付け機能の要件**
+ セキュリティグループを VPC に関連付けるには、VPC を所有するか、または VPC サブネットの 1 つを共有する必要があります。
+ VPC とセキュリティグループは同じ AWS リージョンに存在する必要があります。
+ デフォルトのセキュリティグループを別の VPC に関連付けたり、セキュリティグループをデフォルトの VPC に関連付けたりすることはできません。
+ セキュリティグループの所有者と VPC 所有者の両方が、セキュリティグループの VPC の関連付けを表示できます。
**この機能をサポートするサービス**
+ Amazon API Gateway (REST API のみ)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
## セキュリティグループを別の VPC に関連付ける
このセクションでは、AWS マネジメントコンソールと AWS CLI を使用してセキュリティグループを VPC に関連付ける方法について説明します。
------
#### [ AWS Management Console ]
**セキュリティグループを別の VPC と関連付けるには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左のナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. セキュリティグループを選択して、詳細を表示します。
1. **[VPC の関連付け]** タブを選択します。
1. [**Associate VPC**] を選択します。
1. **[VPC ID]** で、セキュリティグループに関連付ける VPC を選択します。
1. [**Associate VPC**] を選択します。
------
#### [ Command line ]
**セキュリティグループを別の VPC と関連付けるには**
1. [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html) との VPC の関連付けを作成します。
1. [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) との VPC の関連付けのステータスを確認し、ステータスが `associated` になるまで待ちます。
------
これで、VPC がセキュリティグループに関連付けられました。
VPC をセキュリティグループに関連付けると、例えば、[VPC 内にインスタンスを起動し、この新しいセキュリティグループを選択](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)したり、[既存のセキュリティグループルールでこのセキュリティグループを参照](security-group-rules.md#security-group-referencing)したりできます。
## 別の VPC からセキュリティグループの関連付けを解除する
このセクションでは、AWS マネジメントコンソールと AWS CLI を使用して VPC からセキュリティグループの関連付けを解除する方法について説明します。セキュリティグループの削除を目標としている場合、この操作を実行することが考えられます。セキュリティグループは、関連付けられている場合は削除できません。セキュリティグループの関連付けを解除できるのは、そのセキュリティグループを使用する関連付けられた VPC にネットワークインターフェイスがない場合のみです。
------
#### [ AWS Management Console ]
**VPC からセキュリティグループの関連付けを解除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左のナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. セキュリティグループを選択して、詳細を表示します。
1. **[VPC の関連付け]** タブを選択します。
1. **[VPC の関連付けを解除]** を選択します。
1. **[VPC ID]** で、セキュリティグループから関連付けを解除する VPC を選択します。
1. **[VPC の関連付けを解除]** を選択します。
1. VPC の関連付けタブで関連付け解除の **[ステータス]** を表示し、ステータスが `disassociated` になるまで待ちます。
------
#### [ Command line ]
**VPC からセキュリティグループの関連付けを解除するには**
1. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html) を使用して VPC の関連付けを解除します。
1. [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) との VPC の関連付け解除のステータスを確認し、ステータスが `disassociated` になるまで待ちます。
------
これで、VPC とセキュリティグループの関連付けが解除されました。
# AWS Organizations とセキュリティグループを共有する
共有セキュリティグループ機能を使用すると、同じ AWS リージョンにある他の AWS Organizations アカウントとセキュリティグループを共有し、それらのアカウントでセキュリティグループを使用できるようになります。
次の図は、共有セキュリティグループ機能を使用して、AWS Organizations 内のアカウント間のセキュリティグループ管理を簡素化する方法を示しています:
![\[共有 VPC サブネット内の他のアカウントとのセキュリティグループ共有の図。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/sec-group-sharing.png)
この図は、同じ Organization の一部である 3 つのアカウントを示しています。アカウント A は VPC サブネットをアカウント B および C と共有します。アカウント A は、共有セキュリティグループ機能を使用して、アカウント B および C とセキュリティグループを共有します。その後、アカウント B と C は、共有サブネットでインスタンスを起動する際に、そのセキュリティグループを使用します。これにより、アカウント A はセキュリティグループを管理できます。セキュリティグループに対する更新は、アカウント B と C が共有 VPC サブネットで実行しているリソースに適用されます。
**共有セキュリティグループ機能の要件**
+ この機能は、AWS Organizations の同じ Organizations 内のアカウントでのみ使用できます。AWS Organizations で [[リソース共有]](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) が有効になっている必要があります。
+ セキュリティグループを共有するアカウントは、VPC とセキュリティグループの両方を所有している必要があります。
+ デフォルトのセキュリティグループを共有することはできません。
+ デフォルトの VPC にあるセキュリティグループを共有することはできません。
+ 参加者アカウントは共有 VPC にセキュリティグループを作成できますが、それらのセキュリティグループを共有することはできません。
+ IAM プリンシパルがセキュリティグループを AWS RAM と共有するには、最小限の許可セットが必要です。共有セキュリティグループを共有および使用するために必要な許可が IAM プリンシパルに付与されるよう、`AmazonEC2FullAccess` および `AWSResourceAccessManagerFullAccess` マネージド IAM ポリシーを使用します。カスタム IAM ポリシーを使用する場合は、`c2:PutResourcePolicy` および `ec2:DeleteResourcePolicy` アクションが必要です。これらはアクセス許可のみの IAM アクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、AWS RAM を使用してセキュリティグループを共有しようとするとエラーが発生します。
**この機能をサポートするサービス**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**この機能が既存のクォータに及ぼす影響**
[セキュリティグループのクォータ](amazon-vpc-limits.md#vpc-limits-security-groups)が適用されます。ただし、[ネットワークインターフェイスあたりのセキュリティグループ] のクォータでは、参加者が Elastic Network Interface (ENI) で所有グループと共有グループの両方を使用する場合、所有者と参加者のクォータの最小値が適用されます。
クォータがこの機能によってどのように影響を受けるかを示す例:
+ 所有者アカウントのクォータ: インターフェイスあたり 4 つのセキュリティグループ
+ 参加者アカウントのクォータ: インターフェイスあたり 5 つのセキュリティグループ
+ 所有者は、グループ SG-O1、SG-O2、SG-O3、SG-O4、SG-O5 を参加者と共有します。参加者は、VPC に既に独自のグループを持っています: SG-P1、SG-P2、SG-P3、SG-P4、SG-P5。
+ 参加者が ENI を作成し、自分の所有グループのみを使用する場合、5 つのセキュリティグループ (SG-P1、SG-P2、SG-P3、SG-P4、SG-P5) すべてを関連付けることができます。なぜなら、これが参加者のクォータだからです。
+ 参加者が ENI を作成し、その ENI で共有グループを使用する場合、関連付けることができるグループは最大 4 つのみです。この場合、このような ENI のクォータは、所有者と参加者のクォータの最小値です。考えられる有効な設定は次のようになります:
+ SG-O1、SG-P1、SG-P2、SG-P3
+ SG-O1、SG-O2、SG-O3、SG-O4
## セキュリティグループを共有する
このセクションでは、AWS マネジメントコンソールと AWS CLI を使用して、Organization 内の他のアカウントとセキュリティグループを共有する方法について説明します。
------
#### [ AWS Management Console ]
**セキュリティグループを共有するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左のナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. セキュリティグループを選択して、詳細を表示します。
1. [**共有**] タブを選択します。
1. **[セキュリティグループを共有]** を選択します。
1. **[リソースの共有の作成]** を選択します。すると、AWS RAM コンソールが開きます。そこで、セキュリティグループのリソース共有を作成します。
1. リソース共有の **[名前]** を入力します。
1. **[リソース - オプション]** で、**[セキュリティグループ]** を選択します。
1. [セキュリティグループ] をクリックします。セキュリティグループをデフォルトのセキュリティグループにしたり、デフォルトの VPC に関連付けたりすることはできません。
1. [**次へ**] を選択します。
1. プリンシパルによる実行が許可されているアクションを確認し、**[次へ]** を選択します。
1. **[プリンシパル - オプション]** で **[自分の組織内でのみ共有を許可]** を選択します。
1. **[プリンシパル]** で、次のいずれかのプリンシパルタイプを選択し、適切な数値を入力します:
+ **[AWS アカウント]**: Organization 内のアカウントのアカウント番号。
+ **[Organization]**: AWS Organization ID。
+ **[組織単位 (OU)]**: Organization 内の OU の ID。
+ **[IAM ロール]**: IAM ロールの ARN。ロールを作成したアカウントは、このリソース共有を作成するアカウントと同じ Organization のメンバーである必要があります。
+ **[IAM ユーザー]**: IAM ユーザーの ARN。ユーザーを作成したアカウントは、このリソース共有を作成するアカウントと同じ Organization のメンバーである必要があります。
+ **[サービスプリンシパル]**: セキュリティグループをサービスプリンシパルと共有することはできません。
1. **[Add]** (追加) を選択します。
1. [**次へ**] を選択します。
1. **[リソースの共有の作成]** を選択します。
1. **[共有リソース]** で、`Associated` の **[ステータス]** が表示されるまで待ちます。セキュリティグループの関連付けに障害が発生した場合は、上記の制限のいずれかが原因である可能性があります。詳細ページでセキュリティグループの詳細と **[共有中]** タブを表示して、セキュリティグループを共有できない理由に関連するメッセージを確認します。
1. VPC コンソールのセキュリティグループリストに戻ります。
1. 共有したセキュリティグループを選択します。
1. [**共有**] タブを選択します。そこで AWS RAM リソースが表示されるはずです。表示されない場合、リソース共有の作成が失敗した可能性があり、再作成する必要がある場合があります。
------
#### [ Command line ]
**セキュリティグループを共有するには**
1. AWS RAM と共有するセキュリティグループのリソース共有を最初に作成する必要があります。AWS CLI を使用して AWS RAM とのリソース共有を作成するステップについては、「*AWS RAM ユーザーガイド*」の「[AWS RAM でのリソース共有の作成](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)」を参照してください。
1. 作成されたリソース共有の関連付けを表示するには、[get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html) を使用します。
------
これで、セキュリティグループが共有されました。同じ VPC 内の共有サブネットで [ EC2 インスタンスを起動](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)するときに、セキュリティグループを選択できます。
## セキュリティグループの共有を停止する
このセクションでは、AWS マネジメントコンソールと AWS CLI を使用して、Organization 内の他のアカウントとセキュリティグループの共有を停止する方法について説明します。
------
#### [ AWS Management Console ]
**セキュリティグループの共有を停止するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. 左のナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. セキュリティグループを選択して、詳細を表示します。
1. [**共有**] タブを選択します。
1. セキュリティグループのリソース共有を選択し、**[共有を停止]** を選択します。
1. **[はい、共有を停止します]** を選択します。
------
#### [ Command line ]
**セキュリティグループの共有を停止するには**
[delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html) を使用してリソース共有を削除します。
------
セキュリティグループは共有されなくなりました。所有者がセキュリティグループの共有を停止すると、次のルールが適用されます:
+ 既存の参加者の Elastic Network Interface (ENI) は、共有解除されたセキュリティグループに対して行われたセキュリティグループルールの更新を引き続き取得します。共有の解除による影響は、参加者が共有解除されたグループと新しい関連付けを作成できなくなることだけです。
+ 参加者は、共有解除されたセキュリティグループを所有している ENI に関連付けることができなくなります。
+ 参加者は、共有解除されたセキュリティグループに引き続き関連付けられている ENI を記述および削除できます。
+ 共有解除されたセキュリティグループに関連付けられている ENI を参加者が引き続き持っている場合、所有者は、共有解除されたセキュリティグループを削除できません。所有者は、参加者がすべての ENI からセキュリティグループの関連付けを解除 (セキュリティグループを削除) した後にのみ、セキュリティグループを削除できます。
+ 参加者は、共有されていないセキュリティグループに関連付けられた ENI を使用して新しい EC2 インスタンスを起動することはできません。