セキュリティグループのルール - Amazon Elastic Compute Cloud

セキュリティグループのルール

セキュリティグループルールは、セキュリティグループに関連付けられたインスタンスに到達することを許可するインバウンドトラフィックを制御します。また、このルールによって、インスタンスから送信されるアウトバウンドトラフィックも制御されます。

セキュリティグループのルールの特徴を次に示します。

  • デフォルトで、セキュリティグループはすべてのアウトバウンドトラフィックを許可します。デフォルトで、Amazon EC2 はポート 25 のトラフィックをブロックすることに注意してください。詳細については、「ポート 25 を使用した E メール送信の制限」を参照してください。

  • セキュリティグループのルールは常にパーミッシブです。アクセスを拒否するルールを作成することはできません。

  • セキュリティグループルールを使用すると、プロトコルとポート番号に基づいてトラフィックをフィルタリングできます。

  • セキュリティグループはステートフルです。インスタンスからリクエストを送信すると、そのリクエストに対するレスポンストラフィックは、セキュリティグループのインバウンドルールにかかわらず、流入できます。つまり、VPC セキュリティグループの場合、アウトバウンドルールにかかわらず、許可されたインバウンドトラフィックは流れることができます。詳細については、「接続追跡」を参照してください。

  • ルールの追加と削除は随時行うことができます。変更は、セキュリティグループに関連付けられたインスタンスに自動的に適用されます。

    一部のルール変更の影響は、トラフィックの追跡方法によって異なる場合があります。詳細については、「接続追跡」を参照してください。

  • 複数のセキュリティグループを 1 つのインスタンスに関連付けると、各セキュリティグループのルールが効果的に集約され、1 つのルールセットが作成されます。 Amazon EC2 は、このルールセットを使用して、アクセスを許可するかどうかを決定します。

    セキュリティグループは、1 つのインスタンスに複数割り当てることができます。そのため、1 つのインスタンスに数百のルールが適用される場合があります。結果として、インスタンスにアクセスするときに問題が発生する可能性があります。そのため、ルールは可能な限り要約することをお勧めします。

ルールごとに、以下の点について指定します。

  • [Name (名前)]: セキュリティグループの名前 (my-security-group など)。

    名前の最大長は 255 文字です。使用できる文字は、a ~ z、A ~ Z、0 ~ 9、スペース、._-:/()#,@[]+=;{}!$* です。名前の末尾にスペースが含まれている場合、名前の保存時にスペースが削除されます。たとえば、名前に「Test Security Group 」と入力すると、「Test Security Group」として保存されます。

  • プロトコル: 許可するプロトコル。最も一般的なプロトコルは、6 (TCP)、17 (UDP)、1 (ICMP) です。

  • ポートの範囲: TCP、UDP、カスタムプロトコルの場合、許可するポートの範囲。1 つのポート番号 (22 など)、または一定範囲のポート番号 (7000-8000 など) を指定できます。

  • ICMP タイプおよびコード: ICMP の場合、ICMP タイプおよびコードです。

  • 送信元または送信先: トラフィックの送信元 (インバウンドルール) または送信先 (アウトバウンドルール)。これらのオプションの 1 つを指定します。

    • 個別の IPv4 アドレス。長さ /32 のプレフィックスを使用する必要があります (例: 203.0.113.1/32)。

    • 個別の IPv6 アドレス。長さ /128 のプレフィックスを使用する必要があります (例: 2001:db8:1234:1a00::123/128)。

    • CIDR ブロック表記での IPv4 アドレスの範囲 (例: 203.0.113.0/24)。

    • CIDR ブロック表記での IPv6 アドレスの範囲 (例: 2001:db8:1234:1a00::/64)。

    • プレフィックスリスト ID (例: pl-1234abc1234abc123)。詳細については、Amazon VPC ユーザーガイドの「プレフィックスリスト」を参照してください。

    • 別のセキュリティグループ。これにより、指定したセキュリティグループに関連付けられたインスタンスからこのセキュリティグループに関連付けられたインスタンスへのアクセスが許可されます。このオプションを選択しても、送信元のセキュリティグループからこのセキュリティグループにルールが追加されることはありません。以下のセキュリティグループの 1 つを指定できます:

      • 現在のセキュリティグループ。

      • 同じ VPC の異なるセキュリティグループ

      • VPC ピア接続のピア VPC の別のセキュリティグループ。

  • (オプション) 説明: 後で分かりやすいように、このルールの説明を追加できます。説明の長さは最大 255 文字とすることができます。使用できる文字は、a ~ z、A ~ Z、0 ~ 9、スペース、._-:/()#,@[]+=;{}!$* です。

ルールに送信元または送信先としてセキュリティグループを指定する場合、ルールはセキュリティグループに関連付けられているすべてのインスタンスに影響します。着信トラフィックは、ソースセキュリティグループに関連付けられたインスタンスのプライベート IP アドレスに基づいて許可されます (パブリック IP アドレスまたは Elastic IP アドレスは考慮されません)。IP アドレスについては、Amazon EC2 インスタンスの IP アドレス指定 を参照してください。セキュリティグループルールでピア VPC のセキュリティグループを参照していて、参照先のセキュリティグループまたは VPC ピア接続を削除すると、ルールは古いとマークされます。詳細については、『Amazon VPC Peering Guide』の「古いセキュリティグループルールの操作」を参照してください。

特定のポートに複数のルールがある場合、Amazon EC2 が最も許容度の大きいルールを適用します。たとえば、IP アドレス 203.0.113.1 からの TCP ポート 22 (SSH) に対するアクセスを許可するルールがあり、全員からの TCP ポート 22 に対するアクセスを許可する別のルールがある場合、全員が TCP ポート 22 にアクセスできます。