メニュー
AWS CloudFormation
ユーザーガイド (API Version 2010-05-15)

AWS::EC2::SecurityGroup

Amazon EC2 セキュリティグループを作成します。VPC セキュリティグループを作成するには、VpcId プロパティを使用します。

このタイプは更新をサポートしています。スタックの更新の詳細については、「AWS CloudFormation スタックの更新」を参照してください。

重要

これらのセキュリティグループの Ingress ルールおよび Egress ルールで 2 つのセキュリティグループをクロスレファレンスするには、AWS::EC2::SecurityGroupEgress および AWS::EC2::SecurityGroupIngress リソースを使用してルールを定義します。AWS::EC2::SecurityGroup の埋め込み Ingress ルールと Egress ルールは使用しないでください。そのようにすると、AWS CloudFormation では許可されない循環依存が作成されます。

構文

AWS CloudFormation テンプレートでこのエンティティを宣言するには、次の構文を使用します。

JSON

Copy
{ "Type" : "AWS::EC2::SecurityGroup", "Properties" : { "GroupName" : String, "GroupDescription" : String, "SecurityGroupEgress" : [ Security Group Rule, ... ], "SecurityGroupIngress" : [ Security Group Rule, ... ], "Tags" : [ Resource Tag, ... ], "VpcId" : String } }

YAML

Copy
Type: "AWS::EC2::SecurityGroup" Properties: GroupName: String GroupDescription: String SecurityGroupEgress: - Security Group Rule SecurityGroupIngress: - Security Group Rule Tags: - Resource Tag VpcId: String

プロパティ

GroupName

セキュリティグループの名前。有効な値については、Amazon EC2 API リファレンスCreateSecurityGroup アクションの GroupName パラメータを参照してください。

GroupName を指定しない場合、AWS CloudFormation は一意の物理 ID を生成し、その ID をグループ名として使用します。詳細については、「Name タイプ」を参照してください。

重要

名前を指定すると、このリソースの置換が必要な更新はできません。中断が不要であるか、一定の中断が必要な更新であれば、行うことができます。リソースを置き換える必要がある場合は、新しい名前を指定します。

Required: No

Type: String

更新に伴う要件: 置換

GroupDescription

セキュリティグループの説明。

必須: はい

Type: String

更新に伴う要件: 置換

SecurityGroupEgress

Amazon EC2 セキュリティグループの Egress ルールのリスト。

Required: No

: EC2 セキュリティグループルール のリスト

更新に伴う要件: 中断はありません。

SecurityGroupIngress

Amazon EC2 セキュリティグループの Ingress ルールのリスト。

Required: No

: EC2 セキュリティグループルール のリスト

更新に伴う要件: 中断はありません。

Tags

リソースにアタッチするタグ。

Required: No

: AWS CloudFormation Resource Tags

更新に伴う要件: 中断はありません。

VpcId

VPC の物理 ID。物理 ID は、{ "Ref" : "myVPC" } などの AWS::EC2::VPC へのリファレンスを使用して取得できます。

Ref 関数の使用方法の詳細については、「Ref」を参照してください。

必須: はい、デフォルト VPC のない VPC セキュリティグループの場合

Type: String

更新に伴う要件: 置換

注記

VPC セキュリティグループの詳細については、『Amazon VPC ユーザーガイド』の「セキュリティグループ」を参照してください。

戻り値

参照番号

AWS::EC2::SecurityGroup タイプを Ref 関数の引数として指定すると、AWS CloudFormation は、セキュリティグループ名またはセキュリティグループ ID (デフォルト VPC に含まれない EC2-VPC セキュリティグループの場合) を返します。

Ref 関数の使用方法の詳細については、「Ref」を参照してください。

Fn::GetAtt

Fn::GetAtt は、このタイプの指定された属性の値を返します。以下には、利用可能な属性とサンプル戻り値のリストが示されます。

GroupId

指定されたセキュリティグループのグループ ID (sg-94b3a1f6 など)。

Fn::GetAtt の使用の詳細については、「Fn::GetAtt」を参照してください。

基本的な Ingress ルールと Egress ルールの定義

次の例では、送受信ルールを持つセキュリティグループを定義します。

JSON

Copy
"InstanceSecurityGroup" : { "Type" : "AWS::EC2::SecurityGroup", "Properties" : { "GroupDescription" : "Allow http to client host", "VpcId" : {"Ref" : "myVPC"}, "SecurityGroupIngress" : [{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "CidrIp" : "0.0.0.0/0" }], "SecurityGroupEgress" : [{ "IpProtocol" : "tcp", "FromPort" : "80", "ToPort" : "80", "CidrIp" : "0.0.0.0/0" }] } }

YAML

Copy
InstanceSecurityGroup: Type: AWS::EC2::SecurityGroup Properties: GroupDescription: Allow http to client host VpcId: Ref: myVPC SecurityGroupIngress: - IpProtocol: tcp FromPort: '80' ToPort: '80' CidrIp: 0.0.0.0/0 SecurityGroupEgress: - IpProtocol: tcp FromPort: '80' ToPort: '80' CidrIp: 0.0.0.0/0

デフォルトのルールの削除

VPC セキュリティグループを作成すると、Amazon EC2 によりすべてのポートおよび IP プロトコルで任意の場所への送信トラフィックを許可するデフォルト送信ルールが作成されます。デフォルトルールは、1 つ以上の送信ルールを指定したときにのみ削除されます。デフォルトルールを削除し、送信トラフィックを localhost (127.0.0.1/32) に制限する場合は、次の例を使用します。

JSON

Copy
"sgwithoutegress": { "Type": "AWS::EC2::SecurityGroup", "Properties": { "GroupDescription": "Limits security group egress traffic", "SecurityGroupEgress": [ { "CidrIp": "127.0.0.1/32", "IpProtocol": "-1" } ], "VpcId": { "Ref": "myVPC"} } }

YAML

Copy
sgwithoutegress: Type: AWS::EC2::SecurityGroup Properties: GroupDescription: Limits security group egress traffic SecurityGroupEgress: - CidrIp: 127.0.0.1/32 IpProtocol: "-1" VpcId: Ref: myVPC

詳細

このページの内容: