デフォルトセキュリティグループとカスタムセキュリティグループ

AWS アカウントには、各リージョンのデフォルト VPC のデフォルトセキュリティグループが自動的に設定されます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスは VPC のデフォルトのセキュリティグループに自動的に関連付けられます。インスタンスでデフォルトのセキュリティグループを使用することを望まない場合、独自のカスタムセキュリティグループを作成して、インスタンスの起動時にそれらを指定することができます。

デフォルトのセキュリティグループ

AWS アカウントには、各リージョンのデフォルト VPC のデフォルトセキュリティグループが自動的に設定されます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスは VPC のデフォルトのセキュリティグループに自動的に関連付けられます。

デフォルトのセキュリティグループには default と名前が付けられ、AWS によって ID が割り当てられます。デフォルトのセキュリティグループごとのデフォルトルールを次に示します。

• デフォルトのセキュリティグループと関連付けられている他のインスタンスからのインバウンドトラフィックのみが許可されます。デフォルトのセキュリティグループは、それ自体をインバウンドルールの送信元のセキュリティグループとして指定します。

• インスタンスからのすべてのアウトバウンドトラフィックが許可されます。

デフォルトのセキュリティグループのインバウンドおよびアウトバウンドルールは追加または削除できます。

デフォルトのセキュリティグループを削除することはできません。デフォルトセキュリティグループを削除しようとした場合、Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user のエラーが発生します。

Custom security groups

インスタンスでデフォルトのセキュリティグループを使用することを望まない場合、独自のセキュリティグループを作成して、インスタンスの起動時にそれらを指定することができます。複数のセキュリティグループを作成して、インスタンスが果たすさまざまな役割 (たとえば、Web サーバーまたはデータベースサーバー) を反映させることができます。

セキュリティグループを作成する場合、名前と説明を指定する必要があります。セキュリティグループには、255 文字以下の名前と説明を指定できます。また、次の特徴の制限があります。

a-z、A-Z、0-9、スペース、および._-:/()#,@[]+=&;{}!$*

セキュリティグループ名は、sg- で開始できません。セキュリティグループ名は VPC で一意である必要があります。

作成するセキュリティグループのデフォルトルールを次に示します。

• インバウンドトラフィックを許可しません

• すべてのアウトバウンドトラフィックを許可します

セキュリティグループを作成したら、関連するインスタンスに到達できる着信トラフィックのタイプを反映するように着信ルールを変更できます。アウトバウンドルールも変更できます。

セキュリティグループに追加できるルールのタイプの詳細については、「さまざまなユースケースのセキュリティグループのルール」を参照してください。