セキュリティグループによるアクセスコントロール - Amazon Aurora

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

セキュリティグループによるアクセスコントロール

セキュリティグループは、トラフィックが DB インスタンスに出入りするアクセスを制御します。Aurora は VPC セキュリティグループをサポートしています。

VPC セキュリティグループ

VPC セキュリティグループの各ルールにより、その VPC セキュリティグループに関連付けられている VPC 内の DB インスタンスへのアクセスを特定のソースに許可できます。ソースとしては、アドレスの範囲 (203.0.113.0/24 など) または別の VPC セキュリティグループを指定できます。VPC セキュリティグループをソースとして指定すると、ソース VPC セキュリティグループを使用するすべてのインスタンス (通常はアプリケーションサーバー) からの受信トラフィックを許可することになります。VPC セキュリティグループのルールは受信と送信の両方のトラフィックに適用されます。ただし、送信トラフィックのルールは DB インスタンスには通常適用されません。送信トラフィックのルールは、DB インスタンスがクライアントである場合にのみ適用されます。 VPC セキュリティグループを作成するには、「Amazon EC2 API」を使用するか、VPC コンソールの [セキュリティグループ] オプションを使用する必要があります。

VPC 内のインスタンスへのアクセスを許可する VPC セキュリティグループのルールを作成するときは、そのルールがアクセスを許可するアドレスの範囲ごとにポートを指定する必要があります。たとえば、VPC 内のインスタンスへの SSH アクセスを有効にするには、指定したアドレスの範囲の TCP ポート 22 に対するアクセスを許可するルールを作成します。

VPC 内の異なるインスタンスに対する異なるポートへのアクセスを許可する複数の VPC セキュリティグループを設定できます。たとえば、VPC のウェブサーバーに TCP ポート 80 へのアクセスを許可する VPC セキュリティグループを作成できます。次に、VPC の Aurora MySQL DB インスタンスの TCP ポート 3306 へのアクセスを許可する別の VPC セキュリティグループを作成できます。

注記

Aurora DB クラスターでは、DB クラスターに関連付けられている VPC セキュリティグループも、DB クラスター内のすべての DB インスタンスに関連付けられています。DB クラスターまたは DB インスタンスの VPC セキュリティグループを変更した場合、その変更は DB クラスター内のすべての DB インスタンスに自動的に適用されます。

VPC セキュリティグループの詳細については、Amazon Virtual Private Cloud ユーザーガイドの「セキュリティグループ」を参照してください。

注記

DB クラスター が VPC 内にあるが、パブリックアクセス可能でない場合は、AWS サイト間 VPN 接続または AWS Direct Connect 接続を使用してプライベートネットワークからアクセスすることもできます。詳細については、「インターネットトラフィックのプライバシー」を参照してください。

セキュリティグループのシナリオ

VPC 内の DB インスタンスの一般的な用途は、同じ VPC 内の Amazon EC2 インスタンスで実行され、VPC の外にあるクライアントアプリケーションによってアクセスされるアプリケーションサーバーとデータを共有することです。このシナリオでは、AWS マネジメントコンソールの RDS および VPC ページ、または RDS および EC2 API オペレーションを使用して、必要なインスタンスおよびセキュリティグループを作成します。

  1. VPC セキュリティグループ (「sg-appsrv1」など) を作成し、ソースとしてクライアントアプリケーションの IP アドレスを使用するという受信ルールを定義します。このセキュリティグループにより、クライアントアプリケーションは、このセキュリティグループを使用する VPC 内の EC2 インスタンスに接続できるようになります。

  2. アプリケーションの EC2 インスタンスを作成し、前のステップで作成した VPC セキュリティグループ (「sg-appsrv1」) に EC2 インスタンスを追加します。VPC 内の EC2 インスタンスは DB インスタンスと VPC セキュリティグループを共有します。

  3. 2 つ目の VPC セキュリティグループ (「sg-dbsrv1」など) を作成し、ステップ 1 で作成した VPC セキュリティグループ (「sg-appsrv1」) をソースとして指定して新しいルールを作成します。

  4. 新しい DB インスタンスを作成し、前のステップで作成した VPC セキュリティグループ (「sg-dbsrv1」) に追加します。DB インスタンスを作成するとき、ステップ 3 で作成した VPC セキュリティグループ (「sg-dbsrv1」) のルールに指定した同じポート番号を使用します。

以下の図に、このシナリオを示しています。


                    VPC 内の DB インスタンスと EC2 インスタンス

VPC の使用方法の詳細については、「Amazon Virtual Private Cloud VPC および Amazon Aurora」を参照してください。

VPC セキュリティグループを作成する

DB インスタンスの VPC セキュリティグループは、VPC コンソールを使って作成できます。セキュリティグループを作成する方法については、Amazon Virtual Private Cloud ユーザーガイドの「セキュリティグループを作成して VPC 内の DB クラスターへのアクセスを提供する」および「セキュリティグループ」を参照してください。

セキュリティグループを DB インスタンスと関連付ける

RDS コンソールの [Modify]、ModifyDBInstance Amazon RDS API、または modify-db-instance の AWS CLI コマンドを使用して、セキュリティグループを DB インスタンスに関連付けることができます。

DB クラスターの DB インスタンスの変更については、「DB クラスター内の DB インスタンスの変更」を参照してください。DB スナップショットから DB インスタンスを復元するときのセキュリティグループの考慮事項については、「セキュリティグループに関する考慮事項」を参照してください。

セキュリティグループを DB クラスターと関連付ける

RDS コンソールの [Modify cluster]、ModifyDBCluster Amazon RDS API、または modify-db-cluster の AWS CLI コマンドを使用して、セキュリティグループを DB クラスターに関連付けることができます。

DB クラスターの変更については、「Amazon Aurora DB クラスターの変更」を参照してください。