セキュリティグループポリシー - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
共通セキュリティグループポリシーコンテンツ監査セキュリティグループポリシー使用状況監査セキュリティグループポリシーベストプラクティスセキュリティグループポリシーの注意点と制限事項セキュリティグループポリシーのユースケース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループポリシー

AWS Firewall Manager セキュリティグループポリシーを使用して、 で組織の Amazon Virtual Private Cloud セキュリティグループを管理できます AWS Organizations。一元管理されたセキュリティグループポリシーは、組織全体、またはアカウントとリソースの特定のサブセットに適用できます。さらに、監査および使用状況セキュリティグループポリシーを使用して、組織内で使用中のセキュリティグループポリシーをモニタリングおよび管理することもできます。

Firewall Manager は、ポリシーを継続的に維持し、組織全体で追加または更新されるたびにアカウントとリソースに適用します。の詳細については AWS Organizations、「 AWS Organizations ユーザーガイド」を参照してください。

Amazon Virtual Private Cloud セキュリティグループの詳細については、「Amazon VPC ユーザーガイド」の「VPC のセキュリティグループ」を参照してください。

Firewall Manager セキュリティグループポリシーを使用して、 AWS 組織全体で次の操作を実行できます。

  • 指定したアカウントとリソースに共通セキュリティグループを適用します。

  • セキュリティグループルールを監査し、準拠していないルールを見つけて修復します。

  • セキュリティグループの使用状況を監査し、未使用および冗長なセキュリティグループをクリーンアップします。

このセクションでは、Firewall Manager セキュリティグループポリシーの仕組みについて説明し、使用する際のガイダンスを提供します。セキュリティグループポリシーを作成する手順については、「AWS Firewall Manager ポリシーの作成」を参照してください。

共通セキュリティグループポリシー

Firewall Manager では、共通セキュリティグループポリシーを使用して、組織全体のアカウントおよびリソースに対するセキュリティグループの一元管理された関連付けが提供されます。組織内でポリシーを適用する場所と方法を指定します。

次のリソースタイプに共通セキュリティグループポリシーを適用できます。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンス

  • Elastic Network Interface

  • Application Load Balancer

  • Classic Load Balancer

コンソールを使用して共通セキュリティグループポリシーを作成する方法については、「共通セキュリティグループポリシーの作成」を参照してください。

共有 VPC

共通セキュリティグループポリシーのポリシーの範囲設定で、共有 VPC を含めるよう選択できます。この選択肢には、別のアカウントによって所有され、範囲内のアカウントと共有される VPC が含まれます。範囲内のアカウントが所有する VPC は、常に含まれます。共有 VPC の詳細については、「Amazon VPC ユーザーガイド」の「共有 VPC の使用」を参照してください。

共有 VPC を含めるには、次の注意事項が適用されます。これらに加えて、セキュリティグループポリシーの注意点と制限事項 のセキュリティグループポリシーに関する一般的な注意事項も適用されます。

  • Firewall Manager は、範囲内の各アカウントの VPC にプライマリセキュリティグループをレプリケートします。共有 VPC の場合、Firewall Manager は VPC が共有されている範囲内のアカウントごとに、プライマリセキュリティグループを 1 回 レプリケートします。これにより、単一の共有 VPC に複数のレプリカが作成される可能性があります。

  • 新しい共有 VPC を作成する場合、ポリシーの範囲内にある VPC に少なくとも 1 つのリソースを作成するまで、Firewall Manager セキュリティグループポリシーの詳細にその共有VPC は表示されません。

  • 共有 VPC を有効にしたポリシーで共有 VPC を無効にすると、共有 VPC において、Firewall Manager は、リソースに関連付けられていないレプリカセキュリティグループを削除します。Firewall Manager は、残りのレプリカセキュリティグループをそのままの状態にしますが、それらの管理を停止します。これらの残りのセキュリティグループを削除するには、各共有 VPC インスタンスで手動で管理する必要があります。

プライマリセキュリティグループ

共通セキュリティグループポリシーごとに、1 つ以上のプライマリセキュリティグループ AWS Firewall Manager を指定します。

  • プライマリセキュリティグループは、Firewall Manager 管理者アカウントによって作成される必要があり、アカウント内の任意の Amazon VPC インスタンスに存在できます。

  • プライマリセキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理します。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

  • Firewall Manager セキュリティグループポリシーのプライマリとして、1 つ以上のセキュリティグループを指定できます。デフォルトでは、ポリシー内で許可されているセキュリティグループの数は 1 つですが、リクエストを送信して増やすことができます。詳細については、「AWS Firewall Manager クォータ」を参照してください。

ポリシールールの設定

共通セキュリティグループポリシーのセキュリティグループとリソースに対して、次の変更管理動作の 1 つ以上を選択できます。

  • ローカルユーザーがレプリカセキュリティグループに対して行った変更を特定し、レポートします。

  • ポリシーの範囲内にある AWS リソースから他のセキュリティグループの関連付けを解除します。

  • プライマリグループからレプリカセキュリティグループにタグを配布します。

    重要

    Firewall Manager は、 AWS サービスによって追加されたシステムタグをレプリカセキュリティグループに配布しません。システムタグは aws: プレフィックスで始まります。また、ポリシーに組織のタグポリシーと矛盾するタグがある場合は、Firewall Manager が既存のセキュリティグループでのタグ更新や、新しいセキュリティグループの作成を行うことはありません。タグポリシーの詳細については、「 ユーザーガイド」の「タグポリシー AWS Organizations 」を参照してください。

  • プライマリグループからレプリカセキュリティグループにセキュリティグループの参照を配布します。

    これにより、指定したセキュリティグループの VPC に関連するインスタンスに対して、スコープ内の全リソースで共通のセキュリティグループの参照ルールを簡単に確立することができます。このオプションを有効にすると、Firewall Manager は、セキュリティグループが Amazon Virtual Private Cloud のピアセキュリティグループを参照する場合にのみ、セキュリティグループ参照を伝播します。レプリカセキュリティグループがピアセキュリティグループを正しく参照していない場合、Firewall Manager はこれらのレプリケートされたセキュリティグループを非準拠としてマークします。Amazon VPC でピアセキュリティグループを参照する方法については、「Amazon VPC ピアリングガイド」の「ピアセキュリティグループを参照するようにセキュリティグループを更新する」を参照してください。 https://docs.aws.amazon.com/vpc/latest/peering/

    このオプションを有効にしない場合、Firewall Manager はセキュリティグループ参照をレプリカセキュリティグループに伝達しません。Amazon VPC での VPC ピアリングの詳細については、「Amazon VPC ピアリングガイド」を参照してください。

ポリシーの作成と管理

共通セキュリティグループポリシーを作成すると、Firewall Manager はポリシーの範囲内のすべての Amazon VPC インスタンスにプライマリセキュリティグループをレプリケートし、レプリケートされたセキュリティグループをポリシーの範囲内にあるアカウントおよびリソースに関連付けます。プライマリセキュリティグループを変更すると、Firewall Manager はその変更をレプリカに伝達します。

共通セキュリティグループポリシーを削除する場合、ポリシーによって作成されたリソースをクリーンアップするかどうかを選択できます。Firewall Manager の共通セキュリティグループの場合、これらのリソースはレプリカセキュリティグループです。ポリシーの削除後に個々のレプリカを手動で管理する場合を除き、クリーンアップオプションを選択してください。ほとんどの場合、クリーンアップオプションを選択するのが最も簡単な方法です。

レプリカの管理方法

Amazon VPC インスタンス内のレプリカセキュリティグループは、他の Amazon VPC セキュリティグループと同様に管理されます。詳細については、「Amazon VPC ユーザーガイド」の「VPC のセキュリティグループ」を参照してください。

コンテンツ監査セキュリティグループポリシー

AWS Firewall Manager コンテンツ監査セキュリティグループポリシーを使用して、組織のセキュリティグループで使用されているルールを監査し、ポリシーアクションを適用します。コンテンツ監査セキュリティグループポリシーは、ポリシーで定義した範囲に従って、 AWS 組織内で使用されているすべてのお客様が作成したセキュリティグループに適用されます。

コンソールを使用してコンテンツ監査セキュリティグループポリシーを作成する方法については、「コンテンツ監査セキュリティグループポリシーの作成」を参照してください。

ポリシーの範囲リソースタイプ

次のリソースタイプにコンテンツ監査セキュリティグループポリシーを適用できます。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンス

  • Elastic Network Interface

  • Amazon VPC セキュリティグループ

セキュリティグループは、明示的に範囲内にある場合、または範囲内のリソースに関連付けられている場合、ポリシーの範囲で考慮されます。

ポリシールールのオプション

コンテンツ監査ポリシーごとに、マネージドポリシールールまたはカスタムポリシールールのいずれかを使用できますが、両方は使用できません。

  • マネージドポリシールール - マネージドルールを含むポリシーでは、アプリケーションとプロトコルのリストを使用して、Firewall Manager が監査して準拠または非準拠としてマークされるルールを制御できます。Firewall Manager によって管理されているリストを使用できます。独自のアプリケーションリストとプロトコルリストを作成および使用することもできます。これらのリストタイプおよびカスタムリストの管理オプションの詳細については、「マネージドリスト」を参照してください。

  • カスタムポリシールール - カスタムポリシールールを含むポリシーでは、既存のセキュリティグループをポリシーの監査セキュリティグループとして指定します。監査セキュリティグループルールは、Firewall Manager が監査して準拠または非準拠としてマークされるルールを定義するテンプレートとして使用できます。

監査セキュリティグループ

ポリシーで監査セキュリティグループを使用するには、Firewall Manager 管理者アカウントを使用して監査セキュリティグループを作成する必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理できます。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

コンテンツ監査セキュリティグループポリシーに使用するセキュリティグループは、Firewall Manager によって、ポリシーの範囲内にあるセキュリティグループの比較参照としてのみ使用されます。Firewall Manager は、組織内のどのリソースにも関連付けません。

監査セキュリティグループでルールを定義する方法は、ポリシールール設定での選択によって異なります。

  • マネージドポリシールール – マネージドポリシールール設定では、監査セキュリティグループを使用して、ポリシー内の他の設定を上書きし、許可または拒否しなければ別のコンプライアンスに関する結果を発生させ得るルールを明示的に許可または拒否します。

    • 監査セキュリティグループで定義されているルールを常に許可することを選択した場合、監査セキュリティグループで定義されているルールと一致するルールは、他のポリシー設定にかかわらず、ポリシーに準拠しているものとみなされます。

    • 監査セキュリティグループで定義されているルールを常に拒否することを選択した場合、監査セキュリティグループで定義されているルールと一致するルールは、他のポリシー設定にかかわらず、ポリシーに非準拠であるものとみなされます。

  • カスタムポリシールール: カスタムポリシールール設定について、監査セキュリティグループは、範囲内のセキュリティグループルールで許容できるものと許容できないものの例を提示します。

    • ルールの使用を許可する場合は、すべての範囲内セキュリティグループに、ポリシーの監査セキュリティグループルールの許可範囲にあるルールのみを含める必要があります。この場合、ポリシーのセキュリティグループルールは、許容できる操作の例を示します。

    • ルールの使用を拒否する場合は、すべての範囲内セキュリティグループに、ポリシーの監査セキュリティグループルールの許可範囲内にないルールのみを含める必要があります。この場合、ポリシーのセキュリティグループは、許容できない処理の例を示します。

ポリシーの作成と管理

監査セキュリティグループポリシーを作成するときは、自動修復を無効にする必要があります。自動修復を有効にする前に、ポリシー作成の影響を確認することをお勧めします。予想される影響を確認したら、ポリシーを編集して自動修復を有効にできます。自動修復が有効な場合、Firewall Manager は範囲内セキュリティグループで非準拠のルールを更新または削除します。

監査セキュリティグループポリシーの影響を受けるセキュリティグループ

組織内のすべてのユーザー定義セキュリティグループは、監査セキュリティグループポリシーの範囲に含める資格があります。

レプリカセキュリティグループはユーザー定義ではないため、監査セキュリティグループポリシーの範囲に直接適用することはできません。ただし、ポリシーの自動修復アクティビティの結果として更新できます。共通セキュリティグループポリシーのプライマリセキュリティグループはユーザー定義であり、監査セキュリティグループポリシーの範囲内に含めることができます。監査セキュリティグループポリシーがプライマリセキュリティグループに変更を加えた場合、Firewall Manager はそれらの変更をレプリカに自動的に伝達します。

使用状況監査セキュリティグループポリシー

AWS Firewall Manager 使用状況監査セキュリティグループポリシーを使用して、組織で未使用および冗長なセキュリティグループがないかをモニタリングし、オプションでクリーンアップを実行します。このポリシーの自動修復を有効にすると、Firewall Manager は次の処理を行います。

  1. 冗長なセキュリティグループを統合します (このオプションを選択した場合)。

  2. 未使用のセキュリティグループを削除します (このオプションを選択した場合)。

次のリソースタイプに使用状況の監査セキュリティグループポリシーを適用できます。

  • Amazon VPC セキュリティグループ

コンソールを使用して使用状況の監査セキュリティグループポリシーを作成する方法については、「使用状況監査セキュリティグループポリシーの作成」を参照してください。

Firewall Manager が冗長セキュリティグループを検出して修正する方法

セキュリティグループを冗長とみなすには、まったく同じルールセットを持ち、同じ Amazon VPC インスタンスに存在している必要があります。

冗長なセキュリティグループのセットを修復するため、Firewall Manager は、保持するセット内のセキュリティグループの 1 つを選択し、セット内の他のセキュリティグループに関連付けられているすべてのリソースに関連付けます。その後、Firewall Manager は、関連付けられたリソースから他のセキュリティグループの関連付けを解除し、使用されていない状態にします。

注記

未使用のセキュリティグループも削除するように選択した場合、Firewall Manager は次にその処理を実行します。これにより、冗長セットに含まれるセキュリティグループが削除される可能性があります。

Firewall Manager が未使用のセキュリティグループを検出して修正する方法

Firewall Manager は、次の両方に当てはまる場合、セキュリティグループが未使用であると見なします。

  • セキュリティグループは、Amazon EC2 インスタンスまたは Amazon EC2 Elastic Network Interface では使用されません。

  • Firewall Manager は、ポリシールール期間で指定された分数内に設定項目を受信していません。

ポリシールールの期間はデフォルト設定の 0 分ですが、時間を最大 365 日 (525,600 分) に増やして、新しいセキュリティグループをリソースに関連付ける時間を確保できます。

重要

デフォルト値の 0 以外の分数を指定する場合は、 で間接的な関係を有効にする必要があります AWS Config。そうしないと、使用状況監査セキュリティグループポリシーは意図したとおりに機能しません。の間接的な関係については AWS Config、「 AWS Config デベロッパーガイド」の「 の間接的な関係 AWS Config」を参照してください。

Firewall Manager は、可能であれば、ルール設定に従ってアカウントから削除することで、未使用のセキュリティグループを修正します。Firewall Manager がセキュリティグループを削除できない場合、ポリシーに準拠していないとマークされます。Firewall Manager は、別のセキュリティグループによって参照されているセキュリティグループを削除することはできません。

修復のタイミングは、デフォルトの期間設定とカスタム設定のどちらを使用するかによって異なります。

  • 期間を 0 に設定、デフォルト – この設定では、Amazon EC2 インスタンスまたは Elastic Network Interface でセキュリティグループが使用されなくなると、セキュリティグループは直ちに未使用と見なされます。

    このゼロ期間設定では、Firewall Manager はセキュリティグループを直ちに修正します。

  • 0 より大きい期間 – この設定では、Amazon EC2 インスタンスまたは Elastic Network Interface によって使用されておらず、Firewall Manager が指定された分数内に設定項目を受信していない場合、セキュリティグループは未使用と見なされます。

    ゼロ以外の期間設定の場合、Firewall Manager は、セキュリティグループが 24 時間未使用の状態のままになった後にセキュリティグループを修正します。

デフォルトのアカウント指定

コンソールで使用状況に関する監査セキュリティグループポリシーを作成すると、Firewall Manager は自動的に [Exclude the specified accounts and include all others] (指定されたアカウントを除外し、他のすべてを含める) を選択します。その後、サービスによって、除外するリストに Firewall Manager 管理者アカウントが配置されます。これは推奨されるアプローチであり、Firewall Manager 管理者アカウントに属するセキュリティグループを手動で管理できます。

セキュリティグループポリシーのベストプラクティス

このセクションでは、 AWS Firewall Managerを使用してセキュリティグループを管理するための推奨事項を示します。

Firewall Manager 管理者アカウントを除外する

ポリシーの範囲を設定する場合は、Firewall Manager 管理者アカウントを除外します。コンソールを使用して使用状況監査セキュリティグループポリシーを作成する場合、これがデフォルトのオプションです。

自動修復を無効にした状態で開始する

コンテンツまたは使用状況監査セキュリティグループポリシーの場合は、自動修復を無効にした状態で始めます。ポリシーの詳細情報を確認し、自動修復による影響を判断します。変更が適切であることを確認したら、ポリシーを編集して自動修復を有効にします。

外部ソースを使用してセキュリティグループを管理する場合は、競合を回避する

Firewall Manager 以外のツールまたはサービスを使用してセキュリティグループを管理する場合は、Firewall Manager の設定と外部ソースの設定との競合を避けるように注意してください。自動修復を使用して、設定が競合する場合は、両側のリソースを消費する、競合する修復のサイクルを作成できます。

例えば、 AWS リソースのセットのセキュリティグループを維持するために別のサービスを設定し、同じリソースの一部またはすべてに対して異なるセキュリティグループを維持するように Firewall Manager ポリシーを設定するとします。他のセキュリティグループを範囲内のリソースに関連付けることを禁止するようにどちらかの側を設定すると、その側ではもう一方の側によって維持されているセキュリティグループの関連付けが削除されます。両側がこのように設定されている場合、競合する関連付けの解除と関連付けのサイクルになる可能性があります。

さらに、Firewall Manager 監査ポリシーを作成して、他のサービスのセキュリティグループ設定と競合するセキュリティグループ設定を強制するとします。Firewall Manager 監査ポリシーによって適用された修復によって、そのセキュリティグループを更新または削除し、他のサービスのコンプライアンスから解除できます。モニタリングして、検出した問題を自動的に修復するように他のサービスが設定されている場合、セキュリティグループを再作成または更新して、また Firewall Manager 監査ポリシーへのコンプライアンスを解除します。Firewall Manager 監査ポリシーに自動修復が設定されている場合、また外部セキュリティグループなどを更新または削除します。

このような競合を回避するには、Firewall Manager と外部ソースの間で相互に排他的な設定を作成します。

タグ付けを使用して、Firewall Manager ポリシーによる自動修復から外部のセキュリティグループを除外できます。これを行うには、外部ソースによって管理されるセキュリティグループまたはその他のリソースに 1 つ以上のタグを追加します。その後、Firewall Manager ポリシーの範囲を定義するときに、リソース仕様で、追加した 1 つまたは複数のタグを持つリソースを除外します。

同様に、外部のツールまたはサービスでは、Firewall Manager が管理するセキュリティグループを管理アクティビティまたは監査アクティビティから除外します。Firewall Manager リソースをインポートしないか、Firewall Manager 固有のタグ付けを使用して外部管理から除外します。

使用状況監査セキュリティグループポリシーのベストプラクティス

使用状況監査セキュリティグループポリシーを使用する場合は、次のガイドラインに従ってください。

  • 15 分以内など、セキュリティグループの関連付けステータスを短時間で複数回変更することは避けてください。これにより、Firewall Manager は対応するイベントの一部またはすべてを見逃す可能性があります。例えば、セキュリティグループを Elastic Network Interface にすばやく関連付けたり、関連付けを解除したりしないでください。

セキュリティグループポリシーの注意点と制限事項

このセクションでは、Firewall Manager セキュリティグループポリシーを使用する際の注意事項と制限事項を示します。

  • Fargate サービスタイプを使用して作成された Amazon EC2 Elastic Network Interface のセキュリティグループの更新はサポートされていません。ただし、 Amazon EC2 サービスタイプで Amazon ECS Elastic Network Interface のセキュリティグループを更新することはできます。

  • Firewall Manager は、Amazon Relational Database Service によって作成された Amazon EC2 Elastic Network Interface のセキュリティグループをサポートしていません。

  • Amazon ECS Elastic Network Interface の更新は、ローリング更新 (Amazon ECS) デプロイコントローラーを使用する Amazon ECS サービスでのみ可能です。CODE_DEPLOY や外部コントローラーなどの他の Amazon ECS デプロイコントローラーでは、Firewall Manager は現在 Elastic Network Interface を更新できません。

  • Amazon EC2 Elastic Network Interface のセキュリティグループでは、セキュリティグループに対する変更は Firewall Manager にすぐには表示されません。Firewall Manager は通常、数時間以内に変更を検出しますが、検出は最長で 6 時間遅延する可能性があります。

  • Firewall Manager は、Network Load Balancer の Elastic Network Interface のセキュリティグループの更新をサポートしていません。

  • 一般的なセキュリティグループポリシーでは、共有 VPC が後でアカウントとの共有を解除された場合、Firewall Manager はアカウント内のレプリカセキュリティグループを削除しません。

  • 使用状況監査セキュリティグループポリシーでは、カスタム遅延時間設定ですべてのスコープが同じである複数のポリシーを作成すると、コンプライアンス検出結果を含む最初のポリシーが検出結果をレポートするポリシーになります。

セキュリティグループポリシーのユースケース

AWS Firewall Manager 一般的なセキュリティグループポリシーを使用して、Amazon VPC インスタンス間の通信のホストファイアウォール設定を自動化できます。このセクションでは、標準 Amazon VPC アーキテクチャを一覧表示し、Firewall Manager 共通セキュリティグループポリシーを使用して各アーキテクチャを保護する方法について説明します。これらのセキュリティグループポリシーを使用すると、統合されたルールセットを適用してさまざまなアカウントのリソースを選択し、Amazon Elastic Compute Cloud および Amazon VPC のアカウント単位の設定を回避できます。

Firewall Manager 共通セキュリティグループポリシーでは、別の Amazon VPC のインスタンスとの通信に必要な EC2 Elastic Network Interface のみにタグ付けできます。同じ Amazon VPC 内の他のインスタンスの方がセキュリティが高く、分離されています。

ユースケース: Application Load Balancer および Classic Load Balancer に対するリクエストのモニタリングと制御

Firewall Manager 共通セキュリティグループポリシーを使用して、範囲内のロードバランサーが処理すべきリクエストを定義できます。これは、Firewall Manager コンソールで設定できます。セキュリティグループのインバウンドルールに準拠したリクエストのみがロードバランサーに到達でき、そのロードバランサーはアウトバウンドルールを満たすリクエストのみを配信します。

ユースケース: インターネットにアクセス可能、パブリック Amazon VPC

Amazon VPC 共通セキュリティグループポリシーを使用して、インバウンドポート 443 のみを許可するなど、パブリック Amazon VPC を保護できます。これは、パブリック VPC のインバウンド HTTPS トラフィックのみを許可することと同じです。VPC 内のパブリックリソースにタグ付けし (「PublicVPC」など)、そのタグを持つリソースのみに Firewall Manager ポリシーの範囲を設定できます。Firewall Manager は、これらのリソースにポリシーを自動的に適用します。

ユースケース: パブリックおよびプライベート Amazon VPC インスタンス

パブリックリソースには、前のインターネットにアクセス可能なパブリック Amazon VPC インスタンスのユースケースで推奨されているのと同じ共通セキュリティグループポリシーを使用できます。2 つ目の共通セキュリティグループポリシーを使用して、パブリックリソースとプライベートリソース間の通信を制限できます。パブリックおよびプライベート Amazon VPC インスタンスのリソースに「」のようなタグPublicPrivateを付けて、2 番目のポリシーを適用します。3 つ目のポリシーを使用して、プライベートリソースと他の企業またはプライベート Amazon VPC インスタンスとの間で許可される通信を定義できます。このポリシーの場合、プライベートリソースで別の識別タグを使用できます。

ユースケース: ハブアンドスポーク Amazon VPC インスタンス

共通セキュリティグループポリシーを使用して、ハブ Amazon VPC インスタンスとスポーク Amazon VPC インスタンス間の通信を定義できます。2 つ目のポリシーを使用して、各スポーク Amazon VPC インスタンスからハブ Amazon VPC インスタンスへの通信を定義できます。

ユースケース: Amazon EC2 インスタンスのデフォルトネットワークインターフェイス

共通セキュリティグループポリシーを使用して、内部 SSH やパッチ/OS 更新サービスなどの標準通信のみを許可し、その他の安全でない通信を禁止することができます。

ユースケース: オープン許可を持つリソースを特定する

監査セキュリティグループポリシーを使用して、パブリック IP アドレスと通信する許可を持つ組織内のすべてのリソース、またはサードパーティベンダーに属する IP アドレスを持つリソースを特定できます。