セキュリティグループのルールのリファレンス
セキュリティグループを作成し、そのセキュリティグループに関連付けられたインスタンスのロールを反映したルールを追加できます。たとえば、ウェブサーバーとして設定されたインスタンスは、インバウンド HTTP および HTTPS アクセスを許可するセキュリティグループルールを必要とし、データベースインスタンスは、MySQL 用のポート 3306 経由のアクセスなどのタイプのデータベースアクセスを許可するルールを必要とするなどです。
以下は、特定の種類のアクセスのセキュリティグループに追加できるルールの種類の例です。
例
ウェブサーバールール
次のインバウンドルールでは、任意の IP アドレスからの HTTP および HTTPS アクセスを許可します。VPC が IPv6 に対して有効になっている場合、IPv6 アドレスからインバウンド HTTP および HTTPS トラフィックを制御するルールを追加できます。
| プロトコルのタイプ | プロトコル番号 | ポート | 送信元 IP | コメント |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | 任意の IPv4 アドレスからのインバウンド HTTP アクセスを許可します |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | 任意の IPv4 アドレスからのインバウンド HTTPS アクセスを許可します |
| TCP | 6 | 80 (HTTP) | ::/0 | 任意の IPv6 アドレスからのインバウンド HTTP アクセスを許可します |
| TCP | 6 | 443 (HTTPS) | ::/0 | 任意の IPv6 アドレスからのインバウンド HTTPS アクセスを許可します |
データベースサーバールール
次のインバウンドルールは、インスタンスで実行中のデータベースのタイプに応じて、データベースアクセス用に追加するルールの例です。Amazon RDS インスタンスの詳細については、Amazon RDS ユーザーガイド を参照してください。
ソース IP には、次のいずれかを指定します。
-
ローカルネットワークの特定の IP アドレスまたは IP アドレスの範囲
-
データベースにアクセスするインスタンスのグループのセキュリティグループ ID
| プロトコルのタイプ | プロトコル番号 | ポート | コメント |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | Amazon RDS インスタンス上など、Microsoft SQL Server データベースにアクセスするデフォルトのポート |
| TCP | 6 | 3306 (MYSQL/Aurora) | Amazon RDS インスタンス上など、MySQL または Aurora データベースにアクセスするデフォルトのポート |
| TCP | 6 | 5439 (Redshift) | Amazon Redshift クラスターデータベースにアクセスするデフォルトのポート。 |
| TCP | 6 | 5432 (PostgreSQL) | Amazon RDS インスタンス上など、PostgreSQL データベースにアクセスするデフォルトのポート |
| TCP | 6 | 1521 (Oracle) | Amazon RDS インスタンス上など、Oracle データベースにアクセスするデフォルトのポート |
オプションで、データベースサーバーからのアウトバウンドトラフィックを制限できます。たとえば、ソフトウェアの更新のためにインターネットへのアクセスを許可し、その他すべての種類のトラフィックを制限することができます。最初に、すべてのアウトバンドトラフィックを許可するデフォルトのアウトバウンドルールを削除する必要があります。
| プロトコルのタイプ | プロトコル番号 | ポート | 送信先 IP | コメント |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | 任意の IPv4 アドレスへのアウトバウンド HTTP アクセスを許可します |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | 任意の IPv4 アドレスへのアウトバウンド HTTPS アクセスを許可します |
| TCP | 6 | 80 (HTTP) | ::/0 | (IPv6 が有効な VPC のみ) 任意の IPv6 アドレスへのアウトバウンド HTTP アクセスを許可します |
| TCP | 6 | 443 (HTTPS) | ::/0 | (IPv6 が有効な VPC のみ)、任意の IPv6 アドレスへのアウトバウンド HTTPS アクセスを許可します |
コンピューターからのインスタンスへの接続ルール
インスタンスに接続するには、セキュリティグループに SSH アクセス (Linux インスタンスの場合) または RDP アクセス (Windows インスタンスの場合) を許可するインバウンドルールが必要です。
| プロトコルのタイプ | プロトコル番号 | ポート | 送信元 IP |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | ローカルコンピュータのパブリック IPv4 アドレス、またはローカルネットワークの IP アドレスの範囲。VPC が IPv6 に対して有効で、インスタンスに IPv6 アドレスがある場合、IPv6 アドレスまたは範囲を入力できます。 |
| TCP | 6 | 3389 (RDP) | ローカルコンピュータのパブリック IPv4 アドレス、またはローカルネットワークの IP アドレスの範囲。VPC が IPv6 に対して有効で、インスタンスに IPv6 アドレスがある場合、IPv6 アドレスまたは範囲を入力できます。 |
同じセキュリティグループを持つインスタンスからインスタンスに接続するためのルール
同じセキュリティグループに関連付けられたインスタンスが相互に通信できるようにするには、そのためのルールを明示的に追加する必要があります。
次の表は、関連付けられたインスタンスの相互通信を可能にするセキュリティグループのインバウンドルールを示します。このルールでは、すべてのタイプのトラフィックが許可されます。
| プロトコルのタイプ | プロトコル番号 | ポート | 送信元 IP |
|---|---|---|---|
| -1 (すべて) | -1 (すべて) | -1 (すべて) | セキュリティグループの ID |
パス MTU 検出のルール
パス MTU は、送信側ホストと受信側ホスト間のパスでサポートされている最大のパケットサイズです。ホストが受信側ホストの MTU よりも大きなパケット、またはデバイスの MTU よりも大きなパケットをパスに沿って送信する場合、受信側ホストは次の ICMP メッセージを返します。
Destination Unreachable: Fragmentation Needed and Don't Fragment was Set
インスタンスがこのメッセージを受信し、パケットが削除されないようにするには、インバウンドセキュリティグループのルールに ICMP ルールを追加する必要があります。
| プロトコルのタイプ | プロトコル番号 | ICMP タイプ | ICMP コード | 送信元 IP |
|---|---|---|---|---|
| ICMP | 1 | 3 (送信先に到達できません) | 4 (フラグメント化が必要で、"フラグメント化しない" が設定されました) | インスタンスと通信するホストの IP アドレス |
Ping/ICMP のルール
ping コマンドは、ICMP トラフィックの一種です。インスタンスに ping を実行するには、次のインバウンド ICMP ルールを追加する必要があります。
| プロトコルのタイプ | プロトコル番号 | ICMP タイプ | ICMP コード | 送信元 IP |
|---|---|---|---|---|
| ICMP | 1 | 8 (Echo) | 該当なし | ローカルコンピュータのパブリック IPv4 アドレス、またはローカルネットワークの IPv4 アドレスの範囲 |
ping6 コマンドを使用してインスタンスの IPv6 アドレスに ping を実行するには、次のインバウンド ICMPv6 ルールを追加する必要があります。
| プロトコルのタイプ | プロトコル番号 | ICMP タイプ | ICMP コード | 送信元 IP |
|---|---|---|---|---|
| ICMPv6 | 58 | 128 (Echo) | 0 | コンピュータの IPv6 アドレス、またはローカルネットワークの IPv6 アドレスの範囲 |
DNS サーバールール
DNS サーバーとして EC2 インスタンスをセットアップした場合、TCP および UDP のトラフィックがポート 53 経由で DNS サーバーに到達できるようにする必要があります。
ソース IP には、次のいずれかを指定します。
-
ネットワークの IP アドレスまたは IP アドレスの範囲
-
ネットワークで、DNS サーバーにアクセスする必要がある一連のインスタンスのセキュリティグループの ID
| プロトコルのタイプ | プロトコル番号 | ポート |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Amazon EFS ルール
Amazon EC2 インスタンスで Amazon EFS ファイルシステムを使用している場合、Amazon EFS マウントターゲットに関連付けるセキュリティグループは、NFS プロトコル経由のトラフィックを許可する必要があります。
| プロトコルのタイプ | プロトコル番号 | ポート | 送信元 IP | コメント |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | セキュリティグループの ID. | このセキュリティグループに関連付けられたリソース (マウントターゲットを含む) からのインバウンド NFS アクセスを許可します。 |
Amazon EC2 インスタンスに Amazon EFS ファイルシステムをマウントするには、インスタンスに接続する必要があります。したがって、インスタンスに関連付けられているセキュリティグループには、ローカルコンピュータまたはローカルネットワークからのインバウンド SSH を許可するルールが必要です。
| プロトコルのタイプ | プロトコル番号 | ポート | 送信元 IP | コメント |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | ローカルコンピュータの IP アドレス範囲、またはネットワークの IP アドレスの範囲。 | ローカルコンピュータからのインバウンド SSH アクセスを許可します。 |
Elastic Load Balancing ルール
ロードバランサーを使用している場合、ロードバランサーに関連付けられたセキュリティグループには、インスタンスやターゲットとの通信を許可するルールが必要です。
| インバウンド | ||||
| プロトコルのタイプ | プロトコル番号 | ポート | 送信元 IP | 注 |
| TCP | 6 | リスナーポート |
インターネット向けロードバランサーの場合: 0.0.0.0/0 (すべての IPv4 アドレス) 内部ロードバランサーの場合: VPC の IPv4 CIDR ブロック |
ロードバランサーのリスナーポートでインバウンドトラフィックを許可します。 |
| アウトバウンド | ||||
| プロトコルのタイプ | プロトコル番号 | ポート | 送信先 IP | 注 |
| TCP | 6 | インスタンスリスナーポート | インスタンスセキュリティグループの ID | インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可します。 |
| TCP | 6 | ヘルスチェックポート | インスタンスセキュリティグループの ID | ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可します。 |
インスタンスのセキュリティグループルールは、リスナーポートとヘルスチェックポートの両方でインスタンスと通信することをロードバランサーに許可する必要があります。
| インバウンド | ||||
| プロトコルのタイプ | プロトコル番号 | ポート | 送信元 IP | 注 |
| TCP | 6 | インスタンスリスナーポート |
ロードバランサーのセキュリティグループの ID |
インスタンスリスナーポートでロードバランサーからのトラフィックを許可します。 |
| TCP | 6 | ヘルスチェックポート | ロードバランサーのセキュリティグループの ID | ヘルスチェックポートでロードバランサーからのトラフィックを許可します。 |
詳細については、『クラシックロードバランサー 用ユーザーガイド』の「Classic Load Balancer ターゲットグループのヘルスチェック」または『Application Load Balancer 用ユーザーガイド』の「 Application Load Balancer のヘルスチェックの設定」を参照してください。
VPC ピア接続ルール
VPC セキュリティグループのインバウンドルールまたはアウトバウンドルールを更新して、ピアリング接続 VPC のセキュリティグループを参照できます。これにより、トラフィックはピア VPC の参照されるセキュリティグループに関連付けられたインスタンスに出入りできます。VPC ピア接続のセキュリティグループを設定する方法の詳細については、「セキュリティグループの更新によるピア VPC グループの参照」を参照してください。
