セキュリティグループの操作

インスタンスを起動する際に、インスタンスにセキュリティグループを割り当てることができます。ルールを追加または削除すると、それらの変更は、そのセキュリティグループを割り当てたすべてのインスタンスに自動的に適用されます。詳細については、インスタンスへのセキュリティグループの割り当てを参照してください。

インスタンスを起動した後、そのセキュリティグループを変更することができます。詳細については、インスタンスのセキュリティグループの変更を参照してください。

Amazon EC2 コンソールおよびコマンドラインツールを使用して、セキュリティグループとセキュリティグループルールを作成、表示、更新、削除できます。

セキュリティグループの作成

インスタンスのデフォルトのセキュリティグループを使用できますが、独自のグループを作成し、システムにおけるインスタンスの様々な役割を反映させたい場合があります。

デフォルトでは、新しいセキュリティグループには、すべてのトラフィックがインスタンスを出ることを許可するアウトバウンドルールのみが設定されています。任意のインバウンドトラフィックを許可するには、またはアウトバウンドトラフィックを制限するには、ルールを追加する必要があります。

セキュリティグループは、それが対象としている VPC 内でのみ使用が可能です。

Console

セキュリティグループを作成するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. [セキュリティグループの作成] を選択します。

4. [Basic details (基本情報)] セクションで、次の操作を行います。

   1. セキュリティグループの分かりやすい名前と簡単な説明を入力します。セキュリティグループの作成後は編集できません。名前と説明は最大 255 文字とすることができます。使用できる文字は、a-z、A-Z、0-9、スペース、および ._-:/()#,@[]+=&;{}!$* です。

   2. [VPC] で、VPC を選択します。

5. セキュリティグループルールはここで追加することも、後で追加することもできます。詳細については、を参照してくださいセキュリティグループへのルールの追加

6. タグはここで追加することも、後で追加することもできます。タグを追加するには、新しいタグを追加 をクリックし、タグのキーと値を入力します。

7. [セキュリティグループの作成] を選択します。

Command line

セキュリティグループを作成するには

以下のいずれかのコマンドを使用します。

• create-security-group (AWS CLI)

• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

セキュリティグループのコピー

既存のセキュリティグループのコピーを作成して、新しいセキュリティグループを作成することができます。セキュリティグループをコピーすると、元のセキュリティグループと同じインバウンドルールとアウトバウンドルールでコピーが作成されます。元のセキュリティグループが VPC にある場合、別の VPC を指定しない限り、コピーは同じ VPC に作成されます。

コピーには新しい一意のセキュリティグループ ID が割り当てられ、名前を指定する必要があります。また、説明を追加することもできます。

セキュリティグループは、あるリージョンから別のリージョンにコピーできません。

Amazon EC2 コンソールを使いセキュリティグループのコピーを作成することができます。

セキュリティグループをコピーするには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. コピーするセキュリティグループを選択し、[アクション]、[Copy to new security group (新しいセキュリティグループにコピー)] の順に選択します。

4. 名前と任意で説明を指定し、必要に応じて VPC とセキュリティグループルールを変更します。

5. [Create] (作成) を選択します。

セキュリティグループの表示

セキュリティグループに関する情報は、次のいずれかの方法で表示できます。

Console

セキュリティグループを表示するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループが一覧表示されます。インバウンドルールやアウトバウンドルールなど、特定のセキュリティグループの詳細を表示するには、[セキュリティグループ ID] 列でその ID を選択します。

Command line

セキュリティグループを表示するには

以下のいずれかのコマンドを使用します。

• describe-security-groups (AWS CLI)

• describe-security-group-rules (AWS CLI)

• Get-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Amazon EC2 Global View

Amazon EC2 グローバルビューを使用して、AWSアカウントが有効になっているすべてのリージョンにわたってセキュリティグループを表示できます。詳細については、Amazon EC2 Global Viewを参照してください。

セキュリティグループへのルールの追加

ルールをセキュリティグループに追加すると、セキュリティグループに関連付けられているすべてのインスタンスに新しいルールが自動的に適用されます。ルールの適用には、少し時間がかかる場合があります。詳細については、さまざまなユースケースのセキュリティグループのルールおよびセキュリティグループのルールを参照してください。

Console

セキュリティグループにインバウンドルールを追加するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択し、[アクション]、[インバウンドのルールの編集] の順にクリックします。

4. 各ルールについて [ルールを追加] を選択し、次の操作を行います。

   1. [タイプ] で、許可するプロトコルのタイプを選択します。

      • [カスタム TCP] または [カスタム UDP] の場合は、許可するポート範囲を入力する必要があります。例えば、0-99 と指定します。

      • [カスタム ICMP] の場合は、[プロトコル] から ICMP タイプを選択する必要があります。ポート範囲は自動的に設定されます。例えば、pingコマンドを許可する場合は [プロトコル] から、[Echoリクエスト] を選択します。

      • その他のタイプについては、プロトコルとポート範囲は自動的に設定されます。

   2. [送信元] で、次のいずれかの操作を行いトラフィックを許可します。

      • [カスタム] を選択し、IP アドレス (CIDR 表記)、CIDR ブロック、別のセキュリティグループ、あるいはプレフィクスリストを入力します。

      • 指定したプロトコルのすべてのトラフィックがインスタンスに到達することを許可するには、[任意の場所] を選択します。このオプションでは、送信元として IPv4 の CIDR ブロック 0.0.0.0/0 が自動的に追加されます。セキュリティグループが、IPv6 が有効な VPC 内にある場合、このオプションでは ::/0 IPv6 CIDR ブロックのためのルールが自動的に追加されます。

        警告

        [Anywhere] (どこでも) を選択した場合は、すべての IPv4 および IPv6 アドレスが、指定されたプロトコルでインスタンスにアクセスできるようにします。ポート 22 (SSH) または 3389 (RDP) のルールを追加する場合は、特定の IP アドレスまたはアドレスの範囲のみにインスタンスへのアクセスを許可する必要があります。

      • ローカルコンピュータのパブリック IPv4 アドレスからのインバウンドトラフィックのみを許可するには、[My IP] (マイ IP) を選択します。

   3. [説明] では、任意でルールの簡単な説明を指定できます。

5. [変更のプレビュー]、[ルールの保存] を選択します。

セキュリティグループにアウトバウンドルールを追加するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択し、[アクション]、[アウトバウンドルールを編集] の順にクリックします。

4. 各ルールについて [ルールを追加] を選択し、次の操作を行います。

   1. [タイプ] で、許可するプロトコルのタイプを選択します。

      • [カスタム TCP] または [カスタム UDP] の場合は、許可するポート範囲を入力する必要があります。例えば、0-99 と指定します。

      • [カスタム ICMP] の場合は、[プロトコル] から ICMP タイプを選択する必要があります。ポート範囲は自動的に設定されます。

      • その他のタイプについては、プロトコルとポート範囲は自動的に設定されます。

   2. [送信先] で、次のいずれかの操作を行います。

      • [カスタム] をクリックし、アウトバウンドトラフィックを許可する IP アドレス (CIDR 表記)、CIDR ブロック、別のセキュリティグループ、プレフィクスリストのいずれかを入力します。

      • すべての IP アドレスへのアウトバウンドトラフィックを許可するには、[任意の場所] を選択します。このオプションでは、送信先として、0.0.0.0/0 IPv4 CIDR ブロックが自動的に追加されます。

        セキュリティグループが、IPv6 が有効な VPC 内にある場合、このオプションでは ::/0 IPv6 CIDR ブロックのためのルールが自動的に追加されます。

      • ローカルコンピュータのパブリック IPv4 アドレスへのアウトバウンドトラフィックのみを許可するには、[My IP] (マイ IP) を選択します。

   3. (オプション) [説明] に、ルールの簡単な説明を入力します。

5. [変更のプレビュー]、[確認] の順に選択します。

Command line

セキュリティグループにルールを追加するには

以下のいずれかのコマンドを使用します。

• authorize-security-group-ingress (AWS CLI)

• Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

セキュリティグループに 1 つ以上の Egress ルールを追加するには

以下のいずれかのコマンドを使用します。

• authorize-security-group-egress (AWS CLI)

• Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

セキュリティグループルールの更新

セキュリティグループルールの更新は、次のいずれかの方法で行うことができます。更新されたルールは、セキュリティグループに関連付けられているすべてのインスタンスに自動的に適用されます。

Console

コンソールを使用して既存のセキュリティグループルールのプロトコル、ポート範囲、または送信元または送信先を変更すると、コンソールは既存のルールを削除し、新しいルールを追加します。

セキュリティグループルールを更新するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択します。

4. [Actions] (アクション)、[Edit inbound rules] (インバウンドルールを編集) の順にクリックして、インバウンドトラフィックのルールを更新するか、[Actions] (アクション)、[Edit outbound rules] (アウトバウンドルールを編集) の順にクリックして、アウトバウンドトラフィックのルールを更新します。

5. 必要に応じてルールを更新します。

6. [変更のプレビュー]、[確認] の順に選択します。

セキュリティグループルールにタグ付けするには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択します。

4. [インバウンドルール] または [アウトバウンドルール] タブで、対象となるルールのチェックボックスを選択してから、[タグを管理] をクリックします。

5. [タグの管理] ページには、ルールに割り当てられているすべてのタグが表示されます。タグを追加するには、[タグの追加] を選択し、タグのキーと値を入力します。タグを削除するには、削除するタグの横にある [Remove] を選択します。

6. [Save changes] を選択します。

Command line

Amazon EC2 API またはコマンドラインツールを使用して、既存のルールのプロトコル、ポート範囲、送信元または送信先を変更することはできません。代わりに、既存のルールを削除して新しいルールを追加する必要があります。ただし、既存のルールの説明を更新することはできます。

ルールを更新するには

以下のいずれかのコマンドを使用します。

• modify-security-group-rules (AWS CLI)

既存のインバウンドルールの説明を更新するには

以下のいずれかのコマンドを使用します。

• update-security-group-rule-descriptions-ingress (AWS CLI)

• Update-EC2SecurityGroupRuleIngressDescription (AWS Tools for Windows PowerShell)

既存のアウトバウンドルールの説明を更新するには

以下のいずれかのコマンドを使用します。

• update-security-group-rule-descriptions-egress (AWS CLI)

• Update-EC2SecurityGroupRuleEgressDescription (AWS Tools for Windows PowerShell)

セキュリティグループルールにタグ付けするには

以下のいずれかのコマンドを使用します。

• create-tags (AWS CLI)

• New-EC2Tag (AWS Tools for Windows PowerShell)

セキュリティグループからのルールの削除

セキュリティグループからルールを削除すると、その変更内容が自動的にセキュリティグループに関連付けられているインスタンスに適用されます。

セキュリティグループからのルールの削除は、次のいずれかの方法で行うことができます。

Console

セキュリティグループルールを削除するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 更新するセキュリティグループを選択し、[アクション] を選択してから、[インバウンドのルールの編集] を選択してインバウンドルールを削除するか、[アウトバウンドのルールの編集] を選択してアウトバウンドルールを削除します。

4. 削除するルールの右にある [削除] ボタンを選択します。

5. [Save Rules] (ルールの保存) を選択します。または、[変更をプレビュー] を選択し、変更を確認して [確認] を選択します。

Command line

セキュリティグループから 1 つ以上の Ingress ルールを削除するには

以下のいずれかのコマンドを使用します。

• revoke-security-group-ingress (AWS CLI)

• Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

セキュリティグループから 1 つ以上の Egress ルールを削除するには

以下のいずれかのコマンドを使用します。

• revoke-security-group-egress (AWS CLI)

• Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

セキュリティグループを削除する

インスタンスに関連付けられているセキュリティグループを削除することはできません。デフォルトセキュリティグループを削除することはできません。同じ VPC の他のセキュリティグループのルールによって参照されているセキュリティグループは削除できません。セキュリティグループが独自のいずれかのルールで参照されている場合は、セキュリティグループを削除する前に、まずルールを削除する必要があります。

Console

セキュリティグループを削除するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択して、[アクション]、[セキュリティグループを削除] を選択します。

4. 確認を求めるメッセージが表示されたら、[削除] を選択します。

Command line

セキュリティグループを削除するには

以下のいずれかのコマンドを使用します。

• delete-security-group (AWS CLI)

• Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

インスタンスへのセキュリティグループの割り当て

インスタンスを起動する際に、インスタンスに 1 つ以上のセキュリティグループを割り当てることができます。起動テンプレートでは、1 つ以上のセキュリティグループを指定することもできます。セキュリティグループは、起動テンプレートを使用して起動されるすべてのインスタンスに割り当てられます。

• インスタンスを起動する際に、インスタンスにセキュリティグループを割り当てるには、「定義済みのパラメータを使用したインスタンスの起動」(新しいコンソール) または「ステップ 6: セキュリティグループを設定する」(古いコンソール) の「ネットワーク設定」を参照してください。

• 起動テンプレートでセキュリティグループを指定するには、「パラメータから起動テンプレートを作成する」の「ネットワーク設定」を参照してください。

インスタンスのセキュリティグループの変更

インスタンスを起動した後、セキュリティグループを追加または削除することで、セキュリティグループを変更できます。

要件

• インスタンスは、running または stopped 状態である必要があります。

• セキュリティグループは VPC に固有です。セキュリティグループを作成した VPC 内起動されている 1 つ以上のインスタンスにセキュリティグループを割り当てることができます。

Console

インスタンスのセキュリティグループを変更するには

1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

2. ナビゲーションペインで、[インスタンス] を選択します。

3. インスタンスを選択し、[アクション]、[セキュリティ]、[セキュリティグループの変更] の順に選択します。

4. [関連付けられたセキュリティグループ] で、リストからセキュリティグループを選択し、[セキュリティグループを追加] を選択します。

   すでに関連付けられているセキュリティグループを削除するには、そのセキュリティグループで [削除] を選択します。

5. [Save] を選択します。

Command line

インスタンスのセキュリティグループを変更するには

以下のいずれかのコマンドを使用します。

• modify-instance-attribute (AWS CLI)

• Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)