セキュリティグループの操作

インスタンスを起動する際に、インスタンスにセキュリティグループを割り当てることができます。ルールを追加または削除すると、それらの変更は、そのセキュリティグループを割り当てたすべてのインスタンスに自動的に適用されます。詳細については、「インスタンスへのセキュリティグループの割り当て」を参照してください。

インスタンスを起動した後、そのセキュリティグループを変更することができます。詳細については、「インスタンスのセキュリティグループの変更」を参照してください。

Amazon EC2 コンソールおよびコマンドラインツールを使用して、セキュリティグループとセキュリティグループルールを作成、表示、更新、削除できます。

セキュリティグループの作成

カスタムのセキュリティグループは、次のいずれかの方法で作成できます。セキュリティグループを作成する VPC を指定する必要があります。

新しいコンソール

セキュリティグループを作成するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. [セキュリティグループの作成] を選択します。

4. [Basic details (基本情報)] セクションで、次の操作を行います。

   1. セキュリティグループの分かりやすい名前と簡単な説明を入力します。セキュリティグループの作成後は編集できません。名前と説明は最大 255 文字とすることができます。有効な文字は a-z, A-Z, 0-9, spaces, and ._-:/()#,@[]+=&;{}!$* です。

   2. [VPC] で、セキュリティグループを作成する VPC を選択します。セキュリティグループは、それが作成された VPC でのみ使用できます。

5. セキュリティグループルールはここで追加することも、セキュリティグループを作成した後に追加することもできます。セキュリティグループルールの追加の詳細については、「セキュリティグループへのルールの追加」を参照してください。

6. [作成] を選択します。

古いコンソール

セキュリティグループを作成するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. [Create Security Group] を選択します。

4. セキュリティグループの名前と説明を指定します。

5. [VPC] で使用する VPC の ID を選択します。

6. ルールの追加を開始するか、[Create] を選択して、セキュリティグループを作成できます (ルールは後で追加できます)。ルールの追加の詳細については、セキュリティグループへのルールの追加 を参照してください。

Command line

セキュリティグループを作成するには

以下のいずれかのコマンドを使用します。

• create-security-group (AWS CLI)

• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

セキュリティグループのコピー

既存のセキュリティグループのコピーを作成して、新しいセキュリティグループを作成することができます。セキュリティグループをコピーすると、元のセキュリティグループと同じインバウンドルールとアウトバウンドルールでコピーが作成されます。元のセキュリティグループが VPC にある場合、別の VPC を指定しない限り、コピーは同じ VPC に作成されます。

コピーには新しい一意のセキュリティグループ ID が割り当てられ、名前を指定する必要があります。また、説明を追加することもできます。

セキュリティグループは、あるリージョンから別のリージョンにコピーできません。

セキュリティグループのコピーは、次のいずれかの方法で作成できます。

新しいコンソール

セキュリティグループをコピーするには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. コピーするセキュリティグループを選択し、[アクション]、[Copy to new security group (新しいセキュリティグループにコピー)] の順に選択します。

4. 名前と任意で説明を指定し、必要に応じて VPC とセキュリティグループルールを変更します。

5. [作成] を選択します。

古いコンソール

セキュリティグループをコピーするには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. コピーするセキュリティグループを選択します。[Actions] を選択し、[Copy to new] を選択します。

4. [Create Security Group] ダイアログが開き、既存のセキュリティグループのルールが自動入力されます。新しいセキュリティグループの名前と説明を指定します。[VPC] で使用する VPC の ID を選択します。終了したら、[Create ] を選択します。

セキュリティグループの表示

セキュリティグループに関する情報は、次のいずれかの方法で表示できます。

新しいコンソール

セキュリティグループを表示するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループが一覧表示されます。インバウンドルールやアウトバウンドルールなど、特定のセキュリティグループの詳細を表示するには、[セキュリティグループ ID] 列でその ID を選択します。

古いコンソール

セキュリティグループを表示するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. (オプション) フィルターリストから [VPC ID] を選択して、VPC の ID をリストから選択します。

4. セキュリティグループを選択します。[説明] タブには一般情報、[インバウンド] タブにはインバウンドルール、[アウトバウンド] タブにはアウトバウンドルール、[タグ] タブにはタグが表示されます。

Command line

セキュリティグループを表示するには

以下のいずれかのコマンドを使用します。

• describe-security-groups (AWS CLI)

• Get-EC2SecurityGroup (AWS Tools for Windows PowerShell)

セキュリティグループへのルールの追加

ルールをセキュリティグループに追加すると、セキュリティグループに関連付けられているすべてのインスタンスに新しいルールが自動的に適用されます。ルールの適用には、少し時間がかかる場合があります。特定のタイプのアクセスのためのセキュリティグループルールの選択の詳細については、「さまざまなユースケースのセキュリティグループのルール」を参照してください。セキュリティグループルールのクォータについては、Amazon VPC ユーザーガイドの「Amazon VPC クォータ」を参照してください。

セキュリティグループへのルールの追加は、次のいずれかの方法で行うことができます。

新しいコンソール

セキュリティグループにインバウンドルールを追加するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 一覧でセキュリティグループを選択し、[アクション]、[インバウンドのルールの編集] の順に選択します。

4. [ルールの追加] を選択し、次の操作を行います。

   1. [タイプ] で、許可するプロトコルのタイプを選択します。

      • カスタムの TCP プロトコルまたは UDP プロトコルを選択する場合は、許可するポート範囲を手動で入力する必要があります。

      • カスタムの ICMP プロトコルを選択する場合は、[プロトコル] から ICMP タイプ名を選択し、該当する場合は [ポート範囲] からコード名を選択します。

      • その他のタイプを選択する場合は、プロトコルとポート範囲は自動的に設定されます。

   2. [送信元] で、次のいずれかの操作を行います。

      • [カスタム] をクリックし、インバウンドトラフィックを許可する IP アドレス (CIDR 表記)、CIDR ブロック、別のセキュリティグループ、プレフィックスリストのいずれかを入力します。

      • 指定したプロトコルのすべてのインバウンドトラフィックがインスタンスに到達することを許可するには、[任意の場所] を選択します。このオプションでは、許可する送信元として IPv4 の CIDR ブロックの 0.0.0.0/0 が自動的に追加されます。これはテスト環境で短時間なら許容できますが、実稼働環境で行うのは安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。

        セキュリティグループが IPv6 が有効な VPC にある場合、このオプションでは IPv6 トラフィックのために 2 つ目のルール (::/0) が自動的に追加されます。

      • ローカルコンピュータのパブリック IPv4 アドレスからのインバウンドトラフィックのみを許可するには、[マイ IP] を選択します。

   3. [説明] では、任意でルールの簡単な説明を指定できます。

5. [変更のプレビュー]、[ルールの保存] を選択します。

セキュリティグループにアウトバウンドルールを追加するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 一覧でセキュリティグループを選択し、[アクション]、[アウトバウンドのルールの編集] の順に選択します。

4. [ルールの追加] を選択し、次の操作を行います。

   1. [タイプ] で、許可するプロトコルのタイプを選択します。

      • カスタムの TCP プロトコルまたは UDP プロトコルを選択する場合は、許可するポート範囲を手動で入力する必要があります。

      • カスタムの ICMP プロトコルを選択する場合は、[プロトコル] から ICMP タイプ名を選択し、該当する場合は [ポート範囲] からコード名を選択します。

      • その他のタイプを選択する場合は、プロトコルとポート範囲は自動的に設定されます。

   2. [送信先] で、次のいずれかの操作を行います。

      • [カスタム] をクリックし、アウトバウンドトラフィックを許可する IP アドレス (CIDR 表記)、CIDR ブロック、別のセキュリティグループ、プレフィックスリストのいずれかを入力します。

      • すべての IP アドレスへのアウトバウンドトラフィックを許可するには、[任意の場所] を選択します。このオプションでは、許可する送信元として IPv4 の CIDR ブロックの 0.0.0.0/0 が自動的に追加されます。

        セキュリティグループが IPv6 が有効な VPC にある場合、このオプションでは IPv6 トラフィックのために 2 つ目のルール (::/0) が自動的に追加されます。

      • ローカルコンピュータのパブリック IPv4 アドレスへのアウトバウンドトラフィックのみを許可するには、[マイ IP] を選択します。

   3. [説明] では、任意でルールの簡単な説明を指定できます。

5. [変更のプレビュー]、[確認] の順に選択します。

古いコンソール

セキュリティグループにルールを追加するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで [Security Groups] を選択してセキュリティグループを選びます。

3. [Inbound ] タブで、[Edit] を選択します。

4. ダイアログで、[Add Rule] を選択し、以下の作業を行います。

   • [Type] で、プロトコルを選択します。

   • カスタム TCP または UDP プロトコルを選択した場合は、[Port Range] でポートの範囲を指定します。

   • カスタム ICMP プロトコルを選択する場合は、[Protocol] から ICMP タイプ名を選択し、該当する場合は、[Port Range] からコード名を選択します。

   • [Source] で、以下のいずれかのオプションを選択します。

     • [Custom]: 表示されているフィールドで、CIDR 表記の IP アドレス、CIDR ブロック、または他のセキュリティグループを指定する必要があります。

     • [Anywhere]: 自動的に 0.0.0.0/0 IPv4 CIDR ブロックを追加します。このオプションでは、指定されたタイプのすべてのトラフィックがインスタンスに到達できます。これはテスト環境で短時間なら許容できますが、実稼働環境で行うのは安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。

       セキュリティグループが、IPv6 に対して有効な VPC にある場合、[任意の場所] オプションによって 2 つのルールが作成されます。1 つは IPv4 トラフィック (0.0.0.0/0) 用、もう 1 つは IPv6 トラフィック (::/0) 用です。

     • [My IP]: ローカルコンピュータのパブリック IPv4 アドレスを自動的に追加します。

   • 説明では、オプションでこのルールの説明を指定できます。

   追加できるルールのタイプの詳細については、「さまざまなユースケースのセキュリティグループのルール」を参照してください。

5. [Save] を選択します。

6. アウトバウンドルールも指定できます。[Outbound] タブで [Edit]、[Add Rule] を選択し、以下の操作を実行します。

   • [Type] で、プロトコルを選択します。

   • カスタム TCP または UDP プロトコルを選択した場合は、[Port Range] でポートの範囲を指定します。

   • カスタム ICMP プロトコルを選択する場合は、[Protocol] から ICMP タイプ名を選択し、該当する場合は、[Port Range] からコード名を選択します。

   • [Destination] で、以下のいずれかのオプションを選択します。

     • [Custom]: 表示されているフィールドで、CIDR 表記の IP アドレス、CIDR ブロック、または他のセキュリティグループを指定する必要があります。

     • [Anywhere]: 自動的に 0.0.0.0/0 IPv4 CIDR ブロックを追加します。このオプションでは、すべての IP アドレスへのアウトバウンドトラフィックが有効になります。

       セキュリティグループが、IPv6 に対して有効な VPC にある場合、[任意の場所] オプションによって 2 つのルールが作成されます。1 つは IPv4 トラフィック (0.0.0.0/0) 用、もう 1 つは IPv6 トラフィック (::/0) 用です。

     • [My IP]: ローカルコンピュータの IP アドレスを自動的に追加します。

   • 説明では、オプションでこのルールの説明を指定できます。

7. [Save] を選択します。

Command line

セキュリティグループにルールを追加するには

以下のいずれかのコマンドを使用します。

• authorize-security-group-ingress (AWS CLI)

• Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

セキュリティグループに 1 つ以上の Egress ルールを追加するには

以下のいずれかのコマンドを使用します。

• authorize-security-group-egress (AWS CLI)

• Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

セキュリティグループルールの更新

セキュリティグループルールの更新は、次のいずれかの方法で行うことができます。更新されたルールは、セキュリティグループに関連付けられているすべてのインスタンスに自動的に適用されます。

新しいコンソール

コンソールを使用して既存のセキュリティグループルールのプロトコル、ポート範囲、または送信元または送信先を変更すると、コンソールは既存のルールを削除し、新しいルールを追加します。

セキュリティグループルールを更新するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 更新するセキュリティグループを選択し、[アクション] を選択してから、[インバウンドのルールの編集] を選択してインバウンドトラフィックのルールを更新するか、[アウトバウンドのルールの編集] を選択してアウトバウンドトラフィックのルールを更新します。

4. 必要に応じてルールを更新し、[変更のプレビュー]、[確認] の順に選択します。

古いコンソール

コンソールを使用して既存のセキュリティグループルールのプロトコル、ポート範囲、または送信元または送信先を変更すると、コンソールは既存のルールを削除し、新しいルールを追加します。

セキュリティグループルールを更新するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 更新するセキュリティグループを選択し、[インバウンド] タブを選択してインバウンドトラフィックのルールを更新するか、[アウトバウンド] タブを選択してアウトバウンドトラフィックのルールを更新します。

4. [Edit] を選択します。

5. 必要に応じてルールエントリを変更して、[保存] を選択します。

Command line

Amazon EC2 API またはコマンドラインツールを使用して、既存のルールのプロトコル、ポート範囲、送信元または送信先を変更することはできません。代わりに、既存のルールを削除して新しいルールを追加する必要があります。ただし、既存のルールの説明を更新することはできます。

既存のインバウンドルールの説明を更新するには

以下のいずれかのコマンドを使用します。

• update-security-group-rule-descriptions-ingress (AWS CLI)

• Update-EC2SecurityGroupRuleIngressDescription (AWS Tools for Windows PowerShell)

既存のアウトバウンドルールの説明を更新するには

以下のいずれかのコマンドを使用します。

• update-security-group-rule-descriptions-egress (AWS CLI)

• Update-EC2SecurityGroupRuleEgressDescription (AWS Tools for Windows PowerShell)

セキュリティグループからのルールの削除

セキュリティグループからルールを削除すると、その変更内容が自動的にセキュリティグループに関連付けられているインスタンスに適用されます。

セキュリティグループからのルールの削除は、次のいずれかの方法で行うことができます。

新しいコンソール

セキュリティグループルールを削除するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 更新するセキュリティグループを選択し、[アクション] を選択してから、[インバウンドのルールの編集] を選択してインバウンドルールを削除するか、[アウトバウンドのルールの編集] を選択してアウトバウンドルールを削除します。

4. 削除するルールの右にある [削除] ボタンを選択します。

5. [変更のプレビュー]、[確認] の順に選択します。

古いコンソール

セキュリティグループルールを削除するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択します。

4. [Inbound] タブ (インバウンドルールの場合) または [Outbound] タブ (アウトバウンドルールの場合) で、[Edit] を選択します。各ルールの横にある [Delete] (クロスアイコン) を選択します。

5. [Save] を選択します。

Command line

セキュリティグループから 1 つ以上の Ingress ルールを削除するには

以下のいずれかのコマンドを使用します。

• revoke-security-group-ingress (AWS CLI)

• Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

セキュリティグループから 1 つ以上の Egress ルールを削除するには

以下のいずれかのコマンドを使用します。

• revoke-security-group-egress (AWS CLI)

• Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

セキュリティグループを削除する

インスタンスに関連付けられているセキュリティグループを削除することはできません。デフォルトセキュリティグループを削除することはできません。同じ VPC の他のセキュリティグループのルールによって参照されているセキュリティグループは削除できません。セキュリティグループが独自のいずれかのルールで参照されている場合は、セキュリティグループを削除する前に、まずルールを削除する必要があります。

新しいコンソール

セキュリティグループを削除するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 削除するセキュリティグループを選択し、[アクション]、[セキュリティグループの削除]、[削除] の順に選択します。

古いコンソール

セキュリティグループを削除するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択して、[Actions]、[Delete Security Group] を選択します。

4. [Yes, Delete] を選択します。

Command line

セキュリティグループを削除するには

以下のいずれかのコマンドを使用します。

• delete-security-group (AWS CLI)

• Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

インスタンスへのセキュリティグループの割り当て

インスタンスを起動する際に、インスタンスに 1 つ以上のセキュリティグループを割り当てることができます。起動テンプレートでは、1 つ以上のセキュリティグループを指定することもできます。セキュリティグループは、起動テンプレートを使用して起動されるすべてのインスタンスに割り当てられます。

• インスタンスを起動する際に、インスタンスにセキュリティグループを割り当てるには、ステップ 6: セキュリティグループを設定する を参照してください。

• 起動テンプレートでセキュリティグループを指定するには、定義したパラメータを使用した新しい起動テンプレートの作成 のステップ 6 を参照してください。

インスタンスのセキュリティグループの変更

インスタンスを起動した後、セキュリティグループを追加または削除することで、セキュリティグループを変更できます。インスタンスの状態が running または stopped になったら、セキュリティグループを変更できます。

新しいコンソール

コンソールを使用してインスタンスのセキュリティグループを変更するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[インスタンス] を選択します。

3. インスタンスを選択し、[アクション]、[セキュリティ]、[セキュリティグループの変更] の順に選択します。

4. [関連付けられたセキュリティグループ] で、リストからセキュリティグループを選択し、[セキュリティグループを追加] を選択します。

   すでに関連付けられているセキュリティグループを削除するには、そのセキュリティグループで [削除] を選択します。

5. [Save] を選択します。

古いコンソール

コンソールを使用してインスタンスのセキュリティグループを変更するには

1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

2. ナビゲーションペインで、[インスタンス] を選択します。

3. インスタンスを選択し、[アクション]、[ネットワーク]、[セキュリティグループの変更] の順に選択します。

4. 1 つまたは複数のセキュリティグループを追加するには、そのチェックボックスをオンにします。

   既に関連付けられているセキュリティグループを削除するには、そのチェックボックスをオフにします。

5. [Assign Security Groups] を選択します。

Command line

コマンドラインを使用してインスタンスのセキュリティグループを変更するには

以下のいずれかのコマンドを使用します。

• modify-instance-attribute (AWS CLI)

• Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)