Amazon EC2 インスタンスのセキュリティグループの変更
Amazon EC2 インスタンスのセキュリティグループは、インスタンスの起動時に指定できます。インスタンスを起動した後、セキュリティグループを追加または削除することができます。また、関連付けられたセキュリティグループのセキュリティグループルールは、いつでも追加、削除、編集できます。
セキュリティグループはネットワークインターフェイスに関連付けられます。セキュリティグループを追加または削除すると、プライマリネットワークインターフェイスに関連付けられているセキュリティグループが変更されます。セカンダリネットワークインターフェイスに関連付けられているセキュリティグループも変更できます。詳細については、「ネットワークインターフェイス属性の変更」を参照してください。
セキュリティグループの追加または削除
インスタンスを起動した後、関連付けられているセキュリティグループのリストに対し、セキュリティグループを追加または削除できます。複数のセキュリティグループをインスタンスに関連付けると、各セキュリティグループのルールが効率的に集約され、1 つのルールセットが作成されます。Amazon EC2 はこのルールセットを使用して、トラフィックを許可するかを判断します。
要件
-
インスタンスは、
runningまたはstopped状態である必要があります。 -
セキュリティグループは VPC に固有です。セキュリティグループは 1 つ以上のインスタンスに関連付けることができます。
コンソールを使用してインスタンスのセキュリティグループを変更するには
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/
) を開きます。 -
ナビゲーションペインで、[インスタンス] を選択します。
-
インスタンスを選択し、[アクション]、[セキュリティ]、[セキュリティグループの変更] の順に選択します。
-
[関連付けられたセキュリティグループ] で、リストからセキュリティグループを選択し、[セキュリティグループを追加] を選択します。
すでに関連付けられているセキュリティグループを削除するには、そのセキュリティグループで [削除] を選択します。
-
[Save] を選択します。
コマンドラインを使用してインスタンスのセキュリティグループを変更するには
-
modify-instance-attribute (AWS CLI)
-
Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)
セキュリティグループルールの設定
セキュリティグループを作成したら、そのセキュリティグループルールを追加、更新、削除できます。ルールを追加、更新、または削除すると、その変更は、セキュリティグループに関連付けられているリソースに自動的に適用されます。
セキュリティグループに追加できるルールの例については、「さまざまなユースケースのセキュリティグループのルール」を参照してください。
送信元と送信先
インバウンドルールの送信元またはアウトバウンドルールの送信先として、以下を指定できます。
-
[カスタム]: IPv4 CIDR ブロック、および IPv6 CIDR ブロック、別のセキュリティグループ、またはプレフィックスリスト。
-
[Anywhere-IPv4]: 0.0.0.0/0 IPv4 CIDR ブロック。
-
[Anywhere-IPv6]: ::/0 IPv6 CIDR ブロック。
-
[マイ IP]: ローカルコンピュータのパブリック IPv4 アドレス。
警告
ポート 22 (SSH) または 3389 (RDP) のインバウンドルールを追加する場合は、特定の IP アドレス、またはインスタンスへのアクセスを必要とするアドレスの範囲のみを許可することを強くお勧めします。[Anywhere-IPv4] を選択すると、すべての IPv4 アドレスからのトラフィックが、指定されたプロトコルを使用してインスタンスにアクセスできるようになります。[Anywhere-IPv6] を選択すると、すべての IPv6 アドレスからのトラフィックが、指定されたプロトコルを使用してインスタンスにアクセスできるようになります。
コンソールを使用してセキュリティグループルールを設定するには
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/
) を開きます。 -
ナビゲーションペインで、[Security Groups] を選択します。
-
セキュリティグループを選択します。
-
インバウンドルールを編集するには、[アクション] または [インバウンドルール] タブから [インバウンドのルールを編集] を選択します。
-
ルールを追加するには、[ルールの追加] を選択し、ルールのタイプ、プロトコル、ポート、および送信元を入力します。
タイプが TCP または UDP の場合は、許可するポート範囲を入力する必要があります。カスタムの ICMP の場合は、[プロトコル] から ICMP タイプ名を選択し、該当するものがある場合は [ポート範囲] からコード名を選択します。その他のタイプについては、プロトコルとポート範囲は自動的に設定されます。
-
ルールを更新するには、必要に応じてプロトコル、説明、および送信元を変更します。ただし、送信元のタイプは変更できません。例えば、送信元が IPv4 CIDR ブロックの場合、IPv6 CIDR ブロック、プレフィックスリスト、またはセキュリティグループを指定することはできません。
-
ルールを削除するには、[削除] ボタンを選択します。
-
-
アウトバウンドルールを編集するには、[アクション] または [アウトバウンドルール] タブから [アウトバウンドルールを編集] を選択します。
-
ルールを追加するには、[ルールの追加] を選択し、ルールのタイプ、プロトコル、ポート、および送信先を入力します。オプションとして説明を入力することもできます。
タイプが TCP または UDP の場合は、許可するポート範囲を入力する必要があります。カスタムの ICMP の場合は、[プロトコル] から ICMP タイプ名を選択し、該当するものがある場合は [ポート範囲] からコード名を選択します。その他のタイプについては、プロトコルとポート範囲は自動的に設定されます。
-
ルールを更新するには、必要に応じてプロトコル、説明、および送信元を変更します。ただし、送信元のタイプは変更できません。例えば、送信元が IPv4 CIDR ブロックの場合、IPv6 CIDR ブロック、プレフィックスリスト、またはセキュリティグループを指定することはできません。
-
ルールを削除するには、[削除] ボタンを選択します。
-
-
[Save Rules] (ルールの保存) を選択します。
AWS CLI を使用してセキュリティグループルールを設定するには
-
追加: authorize-security-group-ingress コマンドおよび authorize-security-group-egress コマンドを使用します。
-
削除: revoke-security-group-ingress コマンドおよび revoke-security-group-egress コマンドを使用します。
-
変更: modify-security-group-rules、update-security-group-rule-descriptions-ingress、および update-security-group-rule-descriptions-egress コマンドを使用します。
Tools for Windows PowerShell を使用してセキュリティグループルールを設定するには
