Windows インスタンス用のインバウンドトラフィックの承認 - Amazon Elastic Compute Cloud

Windows インスタンス用のインバウンドトラフィックの承認

セキュリティグループを使用すると、どのトラフィックがインスタンスに到達できるかなど、インスタンスへのトラフィックを制御できます。例えば、ホームネットワークからのコンピュータのみが、/RDP を使用してインスタンスにアクセスするように許可できます。インスタンスがウェブサーバーの場合、すべての IP アドレスが HTTP または HTTPS を使用してインスタンスにアクセスできるようにすることで、外部ユーザーはウェブサーバーのコンテンツを閲覧できるようなります。

デフォルトのセキュリティグループと新しく作成されたセキュリティグループには、インターネットからインスタンスにアクセスできないデフォルトのルールが含まれます。詳細については、デフォルトのセキュリティグループおよびCustom security groupsを参照してください。インスタンスへのネットワークアクセスを有効にするには、インスタンスへのインバウンドトラフィックを許可する必要があります。受信トラフィック用のポートを開くには、起動時にインスタンスに関連付けたセキュリティグループにルールを追加します。

インスタンスに接続するには、コンピュータのパブリック IPv4 アドレスからの /RDP トラフィックを承認するルールをセットアップする必要があります。追加の IP アドレス範囲からの /RDP トラフィックを許可するには、承認する必要がある各範囲に別のルールを追加します。

IPv6 の VPC を有効にして IPv6 アドレスを使用してインスタンスを起動している場合は、パブリック IPv4 アドレスではなくインスタンスの IPv6 アドレスを使用してインスタンスに接続できます。ローカルコンピュータに IPv6 アドレスがあり、IPv6 を使用するように設定されている必要があります。

Linux インスタンスへのネットワークアクセスを有効にする必要がある場合は、Linux インスタンス用 Amazon EC2 ユーザーガイドLinux インスタンス用の受信トラフィックの承認を参照してください。

開始する前に

インスタンスへのアクセスの要求元 (例: ローカルコンピュータのパブリック IPv4 アドレスなど、信頼する単一のホストや特定のネットワーク) を判断します。Amazon EC2 コンソールのセキュリティグループエディタは、ローカルコンピュータのパブリック IPv4 アドレスを自動的に検出できます。別の方法として、インターネットブラウザで検索文字列として私の「 IP アドレスは何ですか?」を使用するか、次のサービス: Check IP を使用することもできます。ISP 経由で、またはファイアウォールの内側から静的な IP アドレスなしで接続している場合は、クライアントコンピュータで使用されている IP アドレスの範囲を見つける必要があります。

警告

0.0.0.0/0 を使用すると、すべての IPv4 アドレスが /RDP を使用して、インスタンスにアクセスすることを許可されます。::/0 を使用すると、すべての IPv6 アドレスからインスタンスにアクセスできるようになります。特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定してください。

Windows ファイアウォールによって着信トラフィックがブロックされることもあります。インスタンスへのアクセスを設定できない場合、Windows ファイアウォールを無効にする必要がある場合があります。詳細については、リモートデスクトップからリモートコンピュータに接続できませんを参照してください。

Windows インスタンスに対するインバウンド RDP トラフィックのルールを追加する

セキュリティグループは、関連付けられたインスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。/RDP を使用して IP アドレスから /Windows インスタンスへの接続を有効にするためのルールをセキュリティグループに追加します。

IPv4 でインバウンド RDP トラフィック用のルールをセキュリティグループに追加するには (コンソール)
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. 上部のナビゲーションバーで、セキュリティグループのリージョンを選択します。セキュリティグループはリージョンに固有であるため、インスタンスを作成したリージョンと同じリージョンを選択する必要があります。

  3. ナビゲーションペインで、[インスタンス] を選択します。

  4. インスタンスを選択し、画面の下半分で [セキュリティ] タブを選択します。[セキュリティグループ] には、インスタンスに関連付けられているセキュリティグループが一覧表示されます。[インバウンドルール] には、インスタンスに有効なインバウンドルールのリストが表示されます。

  5. 新しいルールを追加するセキュリティグループについて、セキュリティグループ ID リンクを選択してセキュリティグループを開きます。

  6. [インバウンドルール] タブで、[インバウンドルールの編集] を選択します。

  7. [インバウンドルールの編集] ページで、次の操作を行います。

    1. [Add rule] を選択します。

    2. [Type] で [RDP] を選択します。

    3. [ソース][マイ IP] を選択すると、ローカルコンピュータのパブリック IPv4 アドレスが自動的にフィールドに入力されます。

      別の方法として、[ソース] で [カスタム] を選択してコンピュータまたはネットワークのパブリック IPv4 アドレスを CIDR 表記で入力することもできます。例えば、IPv4 アドレスが 203.0.113.25 である場合、この単一の IPv4 アドレスを CIDR 表記で示すには 203.0.113.25/32 と入力します。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (203.0.113.0/24 など) を入力します。

      IP アドレスを見つける方法については、開始する前にを参照してください。

    4. [Save Rules (ルールの保存)] を選択します。

IPv6 アドレスを持つインスタンスを起動して、その IPv6 アドレスを使用してインスタンスに接続する場合は、/RDP でインバウンド IPv6 トラフィックを許可するルールを追加する必要があります。

IPv6 でインバウンド RDP トラフィック用のルールをセキュリティグループに追加するには (コンソール)
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. 上部のナビゲーションバーで、セキュリティグループのリージョンを選択します。セキュリティグループはリージョンに固有であるため、インスタンスを作成したリージョンと同じリージョンを選択する必要があります。

  3. ナビゲーションペインで、[インスタンス] を選択します。

  4. インスタンスを選択し、画面の下半分で [セキュリティ] タブを選択します。[セキュリティグループ] には、インスタンスに関連付けられているセキュリティグループが一覧表示されます。[インバウンドルール] には、インスタンスに有効なインバウンドルールのリストが表示されます。

  5. 新しいルールを追加するセキュリティグループについて、セキュリティグループ ID リンクを選択してセキュリティグループを開きます。

  6. [インバウンドルール] タブで、[インバウンドルールの編集] を選択します。

  7. [インバウンドルールの編集] ページで、次の操作を行います。

    1. [Add rule] を選択します。

    2. [Type] で [RDP] を選択します。

    3. [ソース] で [カスタム] を選択し、コンピュータの IPv6 アドレスを CIDR 表記で入力します。例えば、IPv6 アドレスが 2001:db8:1234:1a00:9691:9503:25ad:1761 である場合、この単一の IP アドレスを CIDR 表記で示すには 2001:db8:1234:1a00:9691:9503:25ad:1761/128 と入力します。会社が特定の範囲からアドレスを割り当てている場合、範囲全体 (2001:db8:1234:1a00::/64 など) を入力します。

    4. [Save Rules (ルールの保存)] を選択します。

注記

次のコマンドが、インスタンスではなく、ローカルシステムで実行されていることを確認してください。これらのコマンドラインインターフェイスの詳細については、Amazon EC2 へのアクセスを参照してください。

コマンドラインを使用してセキュリティグループにルールを追加するには
  1. 以下のいずれかのコマンドを使用してインスタンスに関連付けられるセキュリティグループを見つける:

    • describe-instance-attribute (AWS CLI)

      aws ec2 describe-instance-attribute --region region --instance-id instance_id --attribute groupSet
    • Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)

      PS C:\> (Get-EC2InstanceAttribute -Region region -InstanceId instance_id -Attribute groupSet).Groups

    どちらのコマンドも、次のステップで使用できるセキュリティ グループ ID を返します。

  2. 以下のいずれかのコマンドを使用してセキュリティグループにルールを追加します。

    • authorize-security-group-ingress (AWS CLI)

      aws ec2 authorize-security-group-ingress --region region --group-id security_group_id --protocol tcp --port 3389 --cidr cidr_ip_range
    • Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

      Grant-EC2SecurityGroupIngress コマンドには、IpPermission パラメーターが必要です。このパラメーターは、セキュリティグループのルールに使用するプロトコル、ポート範囲、IP アドレス範囲を定義します。次のコマンドでは、IpPermission パラメーターが作成されます。

      PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="3389"; ToPort="3389"; IpRanges="cidr_ip_range" }
      PS C:\> Grant-EC2SecurityGroupIngress -Region region -GroupId security_group_id -IpPermission @($ip1)

インスタンスへのセキュリティグループの割り当て

インスタンスを起動する際に、インスタンスにセキュリティグループを割り当てることができます。ルールを追加または削除すると、それらの変更は、そのセキュリティグループを割り当てたすべてのインスタンスに自動的に適用されます。

インスタンスを起動した後、そのセキュリティグループを変更することができます。詳細については、「インスタンスのセキュリティグループの変更」を参照してください。