デフォルトセキュリティグループとカスタムセキュリティグループ
AWS アカウントには、各リージョンのデフォルト VPC のデフォルトセキュリティグループが自動的に設定されます。インスタンスを起動するときにセキュリティグループを指定しないと、そのインスタンスは VPC のデフォルトのセキュリティグループに自動的に関連付けられます。インスタンスでデフォルトのセキュリティグループを使用することを望まない場合、独自のカスタムセキュリティグループを作成して、インスタンスの起動時にそれらを指定することができます。
デフォルトのセキュリティグループ
各 VPC には、デフォルトのセキュリティグループが付属しています。デフォルトのセキュリティグループを使用する代わりに、特定のインスタンスまたはインスタンスグループ用セキュリティグループを作成することをお勧めします。ただし、インスタンス起動時にセキュリティグループを指定しない場合、インスタンスにデフォルトの VPC 用セキュリティグループが関連付けられます。
デフォルトのセキュリティグループ名は「default」です。デフォルトのセキュリティグループごとのデフォルトルールを次に示します。
インバウンド | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
送信元 | プロトコル | ポート範囲 | 説明 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
sg-1234567890abcdef0 |
すべて | すべて | このセキュリティグループに割り当てられたすべてのリソースからのインバウンドトラフィックを許可します。ソースは、このセキュリティグループの ID です。 |
アウトバウンド | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
送信先 | プロトコル | ポート範囲 | 説明 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
0.0.0.0/0 |
すべて |
すべて |
すべてのアウトバウンド IPv4 トラフィックを許可します。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
::/0 |
すべて |
すべて |
すべてのアウトバウンド IPv6 トラフィックを許可します。このルールは、VPC に IPv6 CIDR ブロックが関連付けられている場合にのみ追加されます。 |
デフォルトセキュリティグループの基本
-
デフォルトのセキュリティグループのルールは変更できます。
-
デフォルトのセキュリティグループを削除することはできません。デフォルトセキュリティグループを削除しようとした場合、次のエラーが発生します:
Client.CannotDelete
Custom security groups
複数のセキュリティグループを作成して、インスタンスが果たすさまざまな役割 (例えば、Web サーバーまたはデータベースサーバー) を反映させることができます。
セキュリティグループを作成する場合、名前と説明を指定する必要があります。セキュリティグループには、255 文字以下の名前と説明を指定できます。また、次の特徴の制限があります。
a-z、A-Z、0-9、スペース、および._-:/()#,@[]+=&;{}!$*
セキュリティグループ名は、以下では開始できません: sg- セキュリティグループ名は VPC で一意である必要があります。
作成するセキュリティグループのデフォルトルールを次に示します。
-
インバウンドトラフィックを許可しません
-
すべてのアウトバウンドトラフィックを許可します
セキュリティグループを作成したら、関連するインスタンスに到達できる着信トラフィックのタイプを反映するように着信ルールを変更できます。アウトバウンドルールも変更できます。
セキュリティグループに追加できるルールのタイプの詳細については、さまざまなユースケースのセキュリティグループのルールを参照してください。