メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Linux インスタンス用の受信トラフィックの認可

セキュリティグループを使用すると、どのトラフィックがインスタンスに到達できるかなど、インスタンスへのトラフィックを制御できます。たとえば、ホームネットワークからのコンピュータのみが SSH を使用してインスタンスにアクセスできるように許可できます。インスタンスがウェブサーバーの場合、すべての IP アドレスが HTTP 経由でインスタンスにアクセスできるようにすることで、外部ユーザーはウェブサーバーのコンテンツを閲覧できるようなります。

インスタンスへのネットワークアクセスを有効にするには、インスタンスへのインバウンドトラフィックを許可する必要があります。受信トラフィック用のポートを開くには、起動時にインスタンスに関連付けたセキュリティグループにルールを追加します。

インスタンスに接続するには、コンピュータのパブリック IPv4 アドレスからの SSH トラフィックを承認するルールをセットアップする必要があります。追加の IP アドレス範囲からの SSH トラフィックを許可するには、承認する必要がある範囲ごとに別のルールを追加します。

IPv6 の VPC を有効にして IPv6 アドレスを使用してインスタンスを起動している場合は、パブリック IPv4 アドレスではなくインスタンスの IPv6 アドレスを使用してインスタンスに接続できます。ローカルコンピュータに IPv6 アドレスがあり、IPv6 を使用するように設定されている必要があります。

Windows インスタンスへのネットワークアクセスを利用可能にする必要がある場合は、「Windows インスタンス用の受信トラフィックの認可」 (Windows インスタンスの Amazon EC2 ユーザーガイド) を参照してください。

開始する前に

インスタンスへのアクセスの要求元 (例: ローカルコンピュータのパブリック IPv4 アドレスなど、信頼する単一のホストや特定のネットワーク) を判断します。Amazon EC2 コンソールのセキュリティグループエディタは、ローカルコンピュータのパブリック IPv4 アドレスを自動的に検出できます。別の方法として、インターネットブラウザで検索文字列として「私の IP アドレスは何ですか?」を使用するか、次のサービス: Check IP を使用することもできます。ISP 経由で、またはファイアウォールの内側から静的な IP アドレスなしで接続している場合は、クライアントコンピュータで使用されている IP アドレスの範囲を見つける必要があります。

警告

0.0.0.0/0 を使用すると、すべての IPv4 アドレスから SSH を使用してインスタンスにアクセスできるようになります。::/0 を使用すると、すべての IPv6 アドレスからインスタンスにアクセスできるようになります。これはテスト環境で短時間なら許容できますが、実稼働環境で行うのは安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。

セキュリティグループの詳細については、Linux インスタンスの Amazon EC2 セキュリティグループ を参照してください。

Linux インスタンスに対するインバウンド SSH トラフィックのルールの追加

セキュリティグループは、関連付けられたインスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。SSH を使用して IP アドレスから Linux インスタンスに接続できるようにするためのルールをセキュリティグループに追加します。

コンソールを使用して、IPv4 でインバウンド SSH トラフィック用のルールをセキュリティグループに追加するには

  1. Amazon EC2 コンソールのナビゲーションペインで、[Instances] を選択します。インスタンスを選択し、[Description] タブを確認します。[Security groups] リストに、インスタンスに関連付けられたセキュリティグループが表示されます。[view rules] を選択して、インスタンスに対して有効なルールのリストを表示します。

  2. ナビゲーションペインで、[Security Groups] を選択します。インスタンスに関連付けられているセキュリティグループのいずれかを選択します。

  3. 詳細ペインの [Inbound] タブで、[Edit] を選択します。ダイアログで [Add Rule] を選択し、[Type] リストから [SSH] を選択します。

  4. [Source] フィールドで [My IP] を選択すると、ローカルコンピュータのパブリック IPv4 アドレスが自動的にフィールドに入力されます。別の方法として、[Custom] を選択してコンピュータまたはネットワークのパブリック IPv4 アドレスを CIDR 表記で指定することもできます。たとえば、IPv4 アドレスが 203.0.113.25 である場合、この単一の IPv4 アドレスを CIDR 表記で示すには 203.0.113.25/32 と指定します。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (203.0.113.0/24など) を指定します。

    IP アドレスを見つける方法については、開始する前に を参照してください。

  5. [Save] を選択します。

(VPC のみ) IPv6 アドレスを持つインスタンスを起動して、その IPv6 アドレスを使用してインスタンスに接続する場合は、SSH でインバウンド IPv6 トラフィックを許可するルールを追加する必要があります。

コンソールを使用して、IPv6 でインバウンド SSH トラフィック用のルールをセキュリティグループに追加するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。インスタンスのセキュリティグループを選択します。

  3. [Inbound]、[Edit]、[Add Rule] の順に選択します。

  4. [Type] で [SSH] を選択します。

  5. [Source] フィールドで、コンピュータの IPv6 アドレスを CIDR 表記で指定します。たとえば、IPv6 アドレスが 2001:db8:1234:1a00:9691:9503:25ad:1761 である場合、この単一の IP アドレスを CIDR 表記で示すには 2001:db8:1234:1a00:9691:9503:25ad:1761/128 と指定します。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (2001:db8:1234:1a00::/64など) を指定します。

  6. [Save] を選択します。

コマンドラインを使用してセキュリティグループにルールを追加するには

次のコマンドの 1 つを使用できます。このコマンドは、インスタンスではなく、ローカルシステムで実行されていることを確認してください。これらのコマンドラインインターフェイスの詳細については、Amazon EC2 へのアクセス を参照してください。

インスタンスへのセキュリティグループの割り当て

インスタンスを起動する際に、インスタンスにセキュリティグループを割り当てることができます。ルールを追加または削除すると、それらの変更は、そのセキュリティグループを割り当てたすべてのインスタンスに自動的に適用されます。

EC2-Classic でインスタンスを起動した後でセキュリティグループを変更することはできません。VPC でインスタンスを起動した後、そのセキュリティグループを変更することができます。詳細については、Amazon VPC ユーザーガイドChanging an Instance's Security Groups を参照してください。