EC2 Instance Connect Endpoint のセキュリティグループ
セキュリティグループは、関連付けられたリソースに到達するトラフィックおよびリソースから離れるトラフィックを制御します。たとえば、Amazon EC2 インスタンスに出入りするトラフィックは、そのインスタンスに関連付けられているセキュリティグループによって特に許可されていない限り、拒否する場合を考えます。
次の例は、EC2 Instance Connect エンドポイントとターゲットインスタンスのセキュリティグループルールを設定する方法を示しています。
EC2 Instance Connect エンドポイント セキュリティグループルール
EC2 Instance Connect エンドポイントのセキュリティグループは、エンドポイントから出る対象のインスタンスに対する、アウトバウンドトラフィックを許可する必要があります。インスタンスセキュリティグループまたは VPC の IPv4 アドレス範囲のいずれかを宛先として指定できます。
エンドポイントへのトラフィックは EC2 Instance Connect エンドポイントサービスから送信され、エンドポイントセキュリティグループのインバウンドルールに関係なく許可されます。EC2 Instance Connect エンドポイント を使用してインスタンスに接続できるユーザーを制御するには、IAM ポリシーを使用します。詳細については、「ユーザーに EC2 Instance Connect エンドポイント を使用してインスタンスへ接続するためのアクセス許可」を参照してください。
アウトバウンドルールの例: セキュリティグループ参照
次の例では、セキュリティグループ参照を使用しています。つまり、宛先はターゲットインスタンスに関連付けられたセキュリティグループです。このルールにより、エンドポイントからこのセキュリティグループを使用するすべてのインスタンスへのアウトバウンドトラフィックが許可されます。
| [プロトコル] | デスティネーション | ポート範囲 | コメント |
|---|---|---|---|
| TCP | インスタンスのセキュリティグループの ID |
22 | インスタンスセキュリティグループに関連付けられているすべてのインスタンスへのアウトバウンド SSH トラフィックを許可します。 |
アウトバウンドルールの例: IPv4 アドレス範囲
次の例では、指定した IPv4 アドレス範囲へのアウトバウンドトラフィックを許可します。インスタンスの IPv4 アドレスはサブネットから割り当てられるため、VPC の IPv4 アドレス範囲を使用できます。
| [プロトコル] | デスティネーション | ポート範囲 | コメント |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | VPC へのアウトバウンド SSH トラフィックを許可します |
ターゲットインスタンスセキュリティグループのルール
ターゲットインスタンスのセキュリティグループルールで、EC2 Instance Connect エンドポイントからのインバウンドトラフィックを許可する必要があります。エンドポイントのセキュリティグループまたは IPv4 アドレス範囲のいずれかを送信元として指定できます。IPv4 アドレス範囲を指定する場合、送信元はクライアント IP の保存がオフかオンかによって異なります。詳細については、「考慮事項」を参照してください。
セキュリティグループはステートフルであるため、インスタンスのセキュリティグループのアウトバウンドルールに関係なく、レスポンストラフィックは VPC から出ることができます。
インバウンドルールの例: セキュリティグループ参照
次の例では、セキュリティグループ参照を使用しています。つまり、ソースはエンドポイントに関連付けられたセキュリティグループです。このルールは、クライアント IP 保護がオンかオフかに関係なく、エンドポイントからこのセキュリティグループを使用するすべてのインスタンスへのインバウンド SSH トラフィックを許可します。SSH 用のインバウンドセキュリティグループルールが他にない場合、インスタンスはエンドポイントからの SSH トラフィックのみを受け入れます。
| [プロトコル] | ソース | ポート範囲 | コメント |
|---|---|---|---|
| TCP | エンドポイントセキュリティグループの ID |
22 | エンドポイントセキュリティグループに関連付けられているリソースからのインバウンド SSH トラフィックを許可します |
インバウンドルールの例: クライアント IP 保護オフ
次の例では、指定した IPv4 アドレス範囲からのインバウンド SSH トラフィックを許可します。クライアント IP 保存が無効であるため、ソース IPv4 アドレスはエンドポイントのネットワークインターフェイスのアドレスになります。エンドポイントのネットワークインターフェイスのアドレスはサブネットから割り当てられるため、VPC の IPv4 アドレス範囲を使用して VPC 内のすべてのインスタンスへの接続を許可できます。
| [プロトコル] | ソース | ポート範囲 | コメント |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | VPC からのインバウンド SSH トラフィックを許可する |
インバウンドルールの例: クライアント IP 保護オン
次の例では、指定した IPv4 アドレス範囲からのインバウンド SSH トラフィックを許可します。クライアント IP 保存が有効であるため、ソース IPv4 アドレスはクライアントのアドレスになります。
| [プロトコル] | ソース | ポート範囲 | コメント |
|---|---|---|---|
| TCP | パブリック IPv4 アドレス範囲 |
22 | 指定したクライアント IPv4 アドレス範囲からのインバウンドトラフィックを許可します |
