Amazon Elastic File System
ユーザーガイド

セキュリティグループの作成

注記

次のセクションは Amazon EC2 に固有のもので、Amazon EFS ファイルシステムをマウントしたどのインスタンスにでも Secure Shell (SSH) を使用して接続できるようにセキュリティグループを作成する方法について説明します。Amazon EC2 インスタンスへの接続に SSH を使用していない場合は、このセクションをスキップできます。

Amazon EC2 インスタンスとマウントターゲットの両方に関連付けられているセキュリティグループがあります。これらのセキュリティグループは相互のトラフィックを制御する仮想ファイアウォールとして機能します。マウントターゲットの作成時にセキュリティグループを提供しない場合、Amazon EFS は VPC のデフォルトのセキュリティグループをそのマウントターゲットに関連付けます。

ただし、EC2 インスタンスとマウントターゲット (したがって、ファイルシステム) の間のトラフィックを有効にするには、これらのセキュリティグループに次のルールを設定する必要があります。

  • マウントターゲットに関連付けるセキュリティグループは、ファイルシステムをマウントするすべての EC2 インスタンスから、NFS ポート上の TCP プロトコルへのインバウンドアクセスを許可する必要があります。

  • ファイルシステムをマウントする各 EC2 インスタンスには、NFS ポート上のマウントターゲットへのアウトバウンドアクセスを許可するセキュリティグループが必要です。

セキュリティグループの詳細については、『Linux インスタンス用 Amazon EC2 ユーザーガイド』の「Amazon EC2 セキュリティグループ」を参照してください。

AWS マネジメントコンソール を使用したセキュリティグループの作成

AWS マネジメントコンソール を使用して、VPC にセキュリティグループを作成できます。Amazon EC2 インスタンスに Amazon EFS ファイルシステムを接続するには、Amazon EC2 インスタンス用と Amazon EFS マウントターゲット用の 2 つのセキュリティグループを作成する必要があります。

  1. VPC に 2 つのセキュリティグループを作成します。手順については、『Amazon VPC ユーザーガイド』の「セキュリティグループの作成」を参照してください。

  2. VPC コンソールで、これらのセキュリティグループのデフォルトルールを確認します。両方のセキュリティグループは、トラフィックが出ていくのを許可するアウトバウンドルールのみが設定されている必要があります。

  3. 以下のように、セキュリティグループへの追加のアクセスを承認する必要があります。

    1. 次に示すように、EC2 セキュリティグループにルールを追加してインバウンドアクセスを許可します。オプションで、[Source (ソース)] アドレスを制限することができます。

      手順については、『Amazon VPC ユーザーガイド』の「ルールを追加または削除する」を参照してください。

    2. 次に示すように、EC2 セキュリティグループからのインバウンドアクセスを許可するルールをマウントターゲットのセキュリティグループに追加します (EC2 セキュリティグループは送信元として識別されます)。

    注記

    デフォルトのアウトバウンドルールですべてのトラフィックを残すことができるため、アウトバウンドルールを追加する必要はありません (それ以外の場合は、アウトバウンドルールを追加して、NFS ポートで TCP 接続を開き、マウントターゲットのセキュリティグループを送信先として識別する必要があります)。

  4. このセクションで説明されているように、両方のセキュリティグループがインバウンドとアウトバウンドのアクセスを許可できるようになったことを確認します。

AWS CLI を使用したセキュリティグループの作成

AWS CLI を使用してセキュリティグループを作成する方法の例については、「ステップ 1: Amazon EC2 リソースを作成する」を参照してください。