メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

DB セキュリティグループを操作する

DB セキュリティグループは、EC2-Classic インスタンスでのみ使用されます。VPC の外にある DB インスタンスへのネットワークアクセスを制御します。デフォルトでは、ネットワークアクセスは DB インスタンスに対してオフになっています。セキュリティグループで IP アドレス範囲、ポート、または EC2 セキュリティグループからのアクセスを許可するルールを指定できます。Ingress ルールを設定すると、そのセキュリティグループに関連付けられているすべての DB インスタンスに、同じルールが適用されます。セキュリティグループでは最大 20 のルールを指定できます。

Amazon RDS の新規のお客様である場合、または既存のお客様が新しいリージョンを使用する場合、DB インスタンスはデフォルト VPC 内に存在する可能性が高くなります。VPC 内の DB インスタンス用に DB セキュリティグループを使用することはできません。VPC セキュリティグループを作成する必要があります。VPC セキュリティグループの作成方法の詳細については、「VPC のセキュリティグループ」を参照してください。デフォルト VPC があるかどうか確認するには、次の手順のステップ 2 を参照してください。

DB セキュリティグループを作成する

DB セキュリティグループを作成するには、名前と説明を入力する必要があります。

AWS マネジメントコンソール

To create a DB security group

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. Determine what platforms are supported for your AWS account in your current region.

    If Supported Platforms indicates EC2,VPC, your AWS account in the current region does not use a default VPC. You can continue following the steps below to create a DB security group that will enable access to your DB instance.

    
									EC2, VPC platform

    If Supported Platforms indicates VPC, your AWS account in the current region uses a default VPC. This means that you must create a VPC security group to enable access to a DB instance instead of a DB security group. For information on creating a VPC security group, see Security Groups for Your VPC.

    
									VPC platform

  3. Click Security Groups in the navigation pane on the left side of the window.

  4. Click Create DB Security Group.

    
									create sec group

  5. Type the name and description of the new DB security group in the Name and Description text boxes. Note that the security group name cannot contain spaces and cannot start with a number.

    
									create sec group

  6. Click Yes, Create. The DB security group will be created. Note that a newly created DB security group does not provide access to a DB instance by default. You must specify a range of IP addresses or an Amazon EC2 security group that can have access to the DB instance. To specify IP addresses or an Amazon EC2 security group for a DB security group, see IP 範囲からのネットワークアクセスを DB セキュリティグループに許可する.

CLI

DB セキュリティグループを作成するには、AWS CLI の create-db-security-group コマンドを使用します。

Linux、OS X、Unix の場合:

Copy
aws rds create-db-security-group \ --db-security-group-name mydbsecuritygroup \ --db-security-group-description "My new security group"

Windows の場合:

Copy
aws rds create-db-security-group ^ --db-security-group-name mydbsecuritygroup ^ --db-security-group-description "My new security group"

新しく作成される DB セキュリティグループでは、DB インスタンスにアクセスできないのがデフォルトであることに注意してください。DB インスタンスにアクセスできる IP アドレスの範囲または Amazon EC2 セキュリティグループを指定する必要があります。DB セキュリティグループ用の IP アドレスまたは Amazon EC2 セキュリティグループを指定する方法については、「IP 範囲からのネットワークアクセスを DB セキュリティグループに許可する」を参照してください。

API

DB セキュリティグループを作成するには、以下のパラメータを指定して Amazon RDS 組み込み関数 CreateDBSecurityGroup を呼び出します。

  • DBSecurityGroupName = mydbsecuritygroup

  • Description = "My new security group"

Copy
https://rds.amazonaws.com/ ?Action=CreateDBSecurityGroup &DBSecurityGroupName=mydbsecuritygroup &Description=My%20new%20db%20security%20group &Version=2012-01-15 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2012-01-20T22%3A06%3A23.624Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

新しく作成される DB セキュリティグループでは、DB インスタンスにアクセスできないのがデフォルトであることに注意してください。DB インスタンスにアクセスできる IP アドレスの範囲または Amazon EC2 セキュリティグループを指定する必要があります。DB セキュリティグループ用の IP アドレスまたは Amazon EC2 セキュリティグループを指定する方法については、「IP 範囲からのネットワークアクセスを DB セキュリティグループに許可する」を参照してください。

利用可能な DB セキュリティグループを一覧表示する

AWS アカウント用に作成された DB セキュリティグループを一覧表示できます。

AWS マネジメントコンソール

To list all available DB security groups for an AWS account

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. Click Security Groups in the navigation pane on the left side of the window.

    The available DB security groups appear in the DB Security Groups list.

CLI

AWS アカウントのすべての利用可能な DB セキュリティグループを表示するには、パラメータを指定せずに AWS CLI の describe-db-security-groups コマンドを使用します。

Copy
aws rds describe-db-security-groups

API

AWS アカウントのすべての利用可能な DB セキュリティグループを表示するには、パラメータを指定せずに DescribeDBSecurityGroups を呼び出します。

Copy
https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &MaxRecords=100 &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

DB セキュリティグループを表示する

DB セキュリティグループに関する詳細情報を表示すると、どの IP 範囲が承認されたか確認することができます。

AWS マネジメントコンソール

To view properties of a specific DB security group

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. Click Security Groups in the navigation pane on the left side of the window.

  3. Select the details icon for the DB security group you want to view.

    
									view sec group

  4. The detailed information for the DB security group is displayed.

    
									view sec group

CLI

特定の DB セキュリティグループのプロパティを表示するには、AWS CLI の describe-db-security-groups を使用します。表示する DB セキュリティグループを指定します。

Linux、OS X、Unix の場合:

Copy
aws rds describe-db-security-groups \ --db-security-group-name mydbsecuritygroup

Windows の場合:

Copy
aws rds describe-db-security-groups ^ --db-security-group-name mydbsecuritygroup

API

特定の DB セキュリティグループのプロパティを表示するには、以下のパラメータを指定して DescribeDBSecurityGroups を呼び出します。

  • DBSecurityGroupName=mydbsecuritygroup

Copy
https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-16T22%3A23%3A07.107Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

IP 範囲からのネットワークアクセスを DB セキュリティグループに許可する

デフォルトでは、ネットワークアクセスは DB インスタンスに対してオフになっています。VPC にない DB インスタンスにアクセスする場合は、特定の EC2 セキュリティグループまたは CIDR IP 範囲からのアクセスを許可するように DB セキュリティグループのアクセスルールを設定する必要があります。続いて、その DB インスタンスをその DB セキュリティグループに関連付ける必要があります。このプロセスは、イングレスと呼ばれています。いったん DB セキュリティグループに対してイングレスが設定されると、同じイングレスルールがその DB セキュリティグループに関連付けられたすべての DB インスタンスに適用されます。

警告

ファイアウォールの内側にある DB インスタンスにアクセスする場合は、ネットワーク管理者と相談して、使用する IP アドレスを決定してください。

以下の例では、DB セキュリティグループに CIDR IP 範囲用のイングレスルールを設定します。

AWS マネジメントコンソール

To configure a DB security group with an ingress rule for a CIDR IP range

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. Select Security Groups from the navigation pane on the left side of the console window.

  3. Select the details icon for the DB security group you want to authorize.

    
									view sec group

  4. In the details page for your security group, select CIDR/IP from the Connection Type drop-down list, type the CIDR range for the ingress rule you would like to add to this DB security group into the CIDR text box, and click Authorize.

    ヒント

    The AWS マネジメントコンソール displays a CIDR IP based on your connection below the CIDR text field. If you are not accessing the DB instance from behind a firewall, this could be the CIDR IP you could use.

    
									add sec group

  5. The status of the ingress rule will be authorizing until the new ingress rule has been applied to all DB instances that are associated with the DB security group that you modified. After the ingress rule has been successfully applied, the status will change to authorized.

CLI

DB セキュリティグループに CIDR IP 範囲用の Ingress ルールを設定するには、AWS CLI の authorize-db-security-group-ingress コマンドを使用します。

Linux、OS X、Unix の場合:

Copy
aws rds authorize-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.10/27

Windows の場合:

Copy
aws rds authorize-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.10/27

このコマンドでは、次のような出力が生成されます。

Copy
SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.10/27 authorizing

API

DB セキュリティグループに CIDR IP 範囲用の Ingress ルールを設定するには、以下のパラメータを指定して Amazon RDS API の AuthorizeDBSecurityGroupIngress を呼び出します。

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

Copy
https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &CIDRIP=192.168.1.10%2F27 &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &Action=AuthorizeDBSecurityGroupIngress &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

Amazon EC2 インスタンスからのネットワークアクセスを DB インスタンスに許可する

Amazon EC2 インスタンスから DB インスタンスにアクセスする場合は、まず EC2 インスタンスと DB インスタンスが VPC 内にあるかどうかを判断する必要があります。デフォルト VPC を使用している場合は、EC2 インスタンスがアクセスする DB インスタンスを作成または変更するときに EC2 インスタンスで使用したのと同じ EC2 または VPC セキュリティグループを割り当てることができます。

DB インスタンスと EC2 インスタンスが VPC 内にない場合は、DB インスタンスのセキュリティグループに、Amazon EC2 インスタンスからのトラフィックを許可するイングレスルールを設定する必要があります。これは、EC2 インスタンスの Amazon EC2 セキュリティグループを DB インスタンスの DB セキュリティグループに追加することで実行します。この例では、Amazon EC2 セキュリティグループの DB セキュリティグループにイングレスルールを追加します。

重要

  • Amazon EC2 セキュリティグループの DB セキュリティグループにイングレスルールを追加しても、その Amazon EC2 セキュリティグループに関連付けられた Amazon EC2 インスタンスから DB インスタンスに対するアクセスが許可されるだけです。

  • DB インスタンスとは異なる AWS リージョンにある Amazon EC2 セキュリティグループを承認することはできません。IP 範囲を承認すること、または、別のリージョンの IP アドレスを指す同じリージョンの Amazon EC2 セキュリティグループを指定することはできます。IP 範囲を指定する場合は、Amazon EC2 インスタンスのプライベート IP アドレスを使用することをお勧めします。この方が Amazon EC2 インスタンスから Amazon RDS DB インスタンスへのネットワーク経路としてより直接的であり、Amazon ネットワークの外部に送信するデータのネットワーク料金も発生しません。

AWS マネジメントコンソール

To add an EC2 security group to a DB security group

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. Select Security Groups from the navigation pane on the left side of the console window.

  3. Select the details icon for the DB security group you want to grant access.

    
									view sec group

  4. In the details page for your security group, select, select EC2 Security Group from the Connection Type drop-down list, and then select the Amazon EC2 security group you want to use. Then click Authorize.

    
									add sec group

  5. The status of the ingress rule will be authorizing until the new ingress rule has been applied to all DB instances that are associated with the DB security group that you modified. After the ingress rule has been successfully applied, the status will change to authorized.

CLI

Amazon EC2 セキュリティグループにアクセスを許可するには、AWS CLI の authorize-db-security-group-ingress コマンドを使用します。

Linux、OS X、Unix の場合:

Copy
aws rds authorize-db-security-group-ingress \ --db-security-group-name default \ --ec2-security-group-name myec2group \ --ec2-security-group-owner-id 987654321021

Windows の場合:

Copy
aws rds authorize-db-security-group-ingress ^ --db-security-group-name default ^ --ec2-security-group-name myec2group ^ --ec2-security-group-owner-id 987654321021

このコマンドでは、次のような出力が生成されます。

Copy
SECGROUP Name Description SECGROUP default default EC2-SECGROUP myec2group 987654321021 authorizing

API

Amazon EC2 セキュリティグループにネットワークアクセスを許可するには、以下のパラメータを指定してその Amazon RDS API 組み込み関数 http://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.htmlAuthorizeDBSecurityGroupIngress を呼び出します。

  • EC2Security­GroupName = myec2group

  • EC2SecurityGroupOwnerId = 987654321021

Copy
https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &EC2SecurityGroupOwnerId=987654321021 &EC2Security­GroupName=myec2group &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

DB インスタンスに対する IP 範囲からのネットワークアクセスを取り消す

DB セキュリティグループに属する DB インスタンスに対する CIDR IP 範囲からのネットワークアクセスは、関連付けられた CIDR IP イングレスルールを取り消すことで、簡単に取り消すことができます。

この例では、DB セキュリティグループの CIDR IP イングレスルールを取り消します。

AWS マネジメントコンソール

To revoke an ingress rule for a CIDR IP range on a DB Security Group

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. Select Security Groups from the navigation pane on the left side of the console window.

  3. Select the details icon for the DB security group that has the ingress rule you want to revoke.

    
									view sec group

  4. In the details page for your security group, select, click Remove next to the ingress rule you would like to revoke.

    
									view sec group

  5. The status of the ingress rule will be revoking until the ingress rule has been removed from all DB instances that are associated with the DB security group that you modified. After the ingress rule has been successfully removed, the ingress rule will be removed from the DB security group.

CLI

DB セキュリティグループの CIDR IP 範囲用の Ingress ルールを取り消すには、AWS CLI の revoke-db-security-group-ingress コマンドを使用します。

Linux、OS X、Unix の場合:

Copy
aws rds revoke-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.1/27

Windows の場合:

Copy
aws rds revoke-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.1/27

このコマンドでは、次のような出力が生成されます。

Copy
SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.1/27 revoking

API

DB セキュリティグループの CIDR IP 範囲用の Ingress ルールを取り消すには、以下のパラメータを指定して Amazon RDS API 組み込み関数 http://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RevokeDBSecurityGroupIngress.htmlRevokeDBSecurityGroupIngress を呼び出します。

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

Copy
https://rds.amazonaws.com/ ?Action=RevokeDBSecurityGroupIngress &DBSecurityGroupName=mydbsecuritygroup &CIDRIP=192.168.1.10%2F27 &Version=2009-10-16 &SignatureVersion=2&SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T22%3A32%3A12.515Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

関連トピック