デフォルトセキュリティグループとカスタムセキュリティグループ
AWS アカウントには、各リージョンのデフォルト VPC のデフォルトセキュリティグループが自動的に設定されます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスは VPC のデフォルトのセキュリティグループに自動的に関連付けられます。インスタンスでデフォルトのセキュリティグループを使用することを望まない場合、独自のカスタムセキュリティグループを作成して、インスタンスの起動時にそれらを指定することができます。
デフォルトのセキュリティグループ
AWS アカウントには、各リージョンのデフォルト VPC のデフォルトセキュリティグループが自動的に設定されます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスは VPC のデフォルトのセキュリティグループに自動的に関連付けられます。
デフォルトのセキュリティグループには「デフォルト」と名前が付けられ、AWS によって ID が割り当てられます。次の表では、デフォルトのセキュリティグループ用のデフォルトルールについて説明します。
インバウンドルール | |||
---|---|---|---|
送信元 | プロトコル | ポート範囲 | 説明 |
セキュリティグループ ID (独自のリソース ID) |
すべて |
すべて |
同じセキュリティグループに割り当てられたネットワークインターフェイス、およびインスタンスからのインバウンドトラフィックを許可します。 |
アウトバウンドルール | |||
送信先 | プロトコル | ポート範囲 | 説明 |
0.0.0.0/0 |
すべて |
すべて |
すべてのアウトバウンド IPv4 トラフィックを許可します。 |
::/0 |
すべて |
すべて |
すべてのアウトバウンド IPv6 トラフィックを許可します。このルールは、VPC に IPv6 CIDR ブロックが関連付けられている場合にのみ追加されます。 |
デフォルトのセキュリティグループのインバウンドおよびアウトバウンドルールは追加または削除できます。
デフォルトのセキュリティグループを削除することはできません。デフォルトセキュリティグループを削除しようとした場合、Client.CannotDelete: the specified group:
"sg-51530134" name: "default" cannot be deleted by a user
のエラーが発生します。
Custom security groups
インスタンスでデフォルトのセキュリティグループを使用することを望まない場合、独自のセキュリティグループを作成して、インスタンスの起動時にそれらを指定することができます。複数のセキュリティグループを作成して、インスタンスが果たすさまざまな役割 (例えば、Web サーバーまたはデータベースサーバー) を反映させることができます。
セキュリティグループを作成する場合、名前と説明を指定する必要があります。セキュリティグループには、255 文字以下の名前と説明を指定できます。また、次の特徴の制限があります。
a-z、A-Z、0-9、スペース、および._-:/()#,@[]+=&;{}!$*
セキュリティグループ名は、sg-で開始できません。セキュリティグループ名は VPC で一意である必要があります。
作成するセキュリティグループのデフォルトルールを次に示します。
-
インバウンドトラフィックを許可しません
-
すべてのアウトバウンドトラフィックを許可します
セキュリティグループを作成したら、関連するインスタンスに到達できる着信トラフィックのタイプを反映するように着信ルールを変更できます。アウトバウンドルールも変更できます。
セキュリティグループに追加できるルールのタイプの詳細については、「さまざまなユースケースのセキュリティグループのルール」を参照してください。