セキュリティグループの使用 - AWS OpsWorks

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループの使用

セキュリティグループ

各 Amazon EC2 インスタンスには、ファイアウォールによく似た、インスタンスのネットワークトラフィックを管理する 1 つ以上の関連付けられたセキュリティグループがあります。セキュリティグループには 1 つ以上のルールがあり、各ルールでは許可するトラフィックの特定のカテゴリが指定されます。ルールでは、以下を指定します。

  • 許可するトラフィックのタイプ (SSH、HTTP など)

  • トラフィックのプロトコル (TCP、UDP など)

  • トラフィックの発信元の IP アドレスの範囲

  • トラフィックの許可するポート範囲

セキュリティグループには、次の 2 種類のルールがあります。

  • 着信ネットワークトラフィックを規定するインバウンドルール。

    たとえば一般的に、アプリケーションサーバーのインスタンスには、IP アドレスからポート 80 へのインバウンド HTTP トラフィックを許可するインバウンドルールと、特定の一連の IP アドレスからのポート 22 へのインバウンド SSH トラフィックを許可する別のインバウンドルールがあります。

  • アウトバウンドルールは、アウトバウンドネットワークトラフィックを規定します。

    一般的な方法としては、アウトバウンドトラフィックを許可するデフォルト設定を使用します。

セキュリティグループの詳細については、「」を参照してください。Amazon EC2 セキュリティグループ

リージョンに初めてスタックを作成するときに、AWS OpsWorks スタックは適切なルールセットを使用して、各 Layer の組み込みセキュリティグループを作成します。すべてのグループには、すべてのアウトバウンドトラフィックを許可するデフォルトのアウトバウンドルールが設定されます。一般的に、インバウンドルールは以下を許可します。

  • 適切な AWS OpsWorks スタック Layer からのインバウンド TCP、UDP、および ICMP トラフィック

  • ポート 22 のインバウンド TCP トラフィック (SSH ログイン)

    警告

    デフォルトのセキュリティグループの設定では、任意のネットワークの場所 (0.0.0.0/0) に対して SSH (ポート 22) が開かれます。これにより、すべての IP アドレスからの SSH によるインスタンスへのアクセスが許可されます。実稼働環境では、特定の IP アドレスまたはアドレス範囲からの SSH によるアクセスのみを許可する設定を使用する必要があります。デフォルトのセキュリティグループを作成直後に更新するか、カスタムセキュリティグループを使用します。

  • ウェブサーバー Layer の場合、ポート 80 (HTTP) および 443 (HTTPS) へのすべてのインバウンド TCP および UDP トラフィック

注記

組み込みの AWS-OpsWorks-RDP-Server セキュリティグループは、RDP アクセスを許可するため、すべての Windows インスタンスに割り当てられます。ただし、デフォルトではルールが何もありません。Windows スタックを実行しており、RDP を使用してインスタンスにアクセスする場合、RDP アクセスを許可するインバウンドルールを追加する必要があります。詳細については、「RDP でのログイン」を参照してください。

各グループの詳細を確認するには、Amazon EC2 コンソール[] を選択します。セキュリティグループナビゲーションペインで、適切な Layer のセキュリティグループを選択します。たとえば、AWS-OpsWorks-Default-Server はすべてのスタックの組み込みのデフォルトセキュリティグループで、AWS-OpsWorks-WebApp は Chef 12 のサンプルスタックの組み込みのデフォルトセキュリティグループです。

注記

AWS OpsWorks スタックのセキュリティグループを誤って削除した場合、再作成のため推奨される方法は、AWS OpsWorks スタックにこのタスクを実行させることです。同じ AWS リージョン(存在する場合 VPC)で新しいスタックを作成し、AWS OpsWorksスタックは、削除したセキュリティグループを含め、すべての組み込みセキュリティグループを自動的に再作成します。その後、今後使用しないスタックを削除します。セキュリティグループは残ります。セキュリティグループを手動で再作成する場合は、グループ名の大文字と小文字の設定を含め、元のセキュリティグループとまったく同じである必要があります。

さらに、AWS OpsWorks スタックは、次のいずれかが発生した場合、すべての組み込みセキュリティグループの再作成を試みます。

  • AWS OpsWorks スタックコンソールで、スタックの設定ページに任意の変更を加えます。

  • スタックのインスタンスの 1 つを起動する。

  • 新しいスタックを作成する。

セキュリティグループを指定するには、次のいずれかの方法を使用できます。[Use OpsWorks security groups] 設定を使用して、スタックの作成時に独自の設定を指定します。

  • はい(デフォルト設定) —AWS OpsWorksスタックは、自動的に各 Layer に適切な組み込みのセキュリティグループを関連付けます。

    Layer の組み込みセキュリティグループを微調整するには、必要な設定を指定してカスタムセキュリティグループを追加します。ただし、Amazon EC2 は複数のセキュリティグループを評価する際は、最も制限が緩いルールが使用されるため、この方法を使用して、組み込みのグループよりも厳しいルールを指定することはできません。

  • いいえ–AWS OpsWorksスタックは、Layer に組み込みのセキュリティグループを関連付けません。

    適切なセキュリティグループを作成し、1 つ以上のそのグループを作成した各 Layer と関連付ける必要があります。この方法は、組み込みのグループより厳しいルールを指定する場合に使用します。必要に応じて、組み込みセキュリティグループと Layer を手動で関連付けることもできます。カスタムセキュリティグループは、カスタム設定を必要とする Layer にのみ必要です。

重要

組み込みのセキュリティグループを使用する場合、グループの設定を手動で変更して、より厳しいルールを作成することはできません。AWS OpsWorks スタックでは、スタックを作成するたびに組み込みセキュリティグループの設定が上書きされるため、設定に変更を加えても、次回スタックを作成するときには変更内容は失われます。Layer で組み込みのセキュリティグループよりも制限の厳しいセキュリティグループの設定が必要な場合は、[Use OpsWorks security groups] を [No] に設定して、目的の設定でカスタムセキュリティグループを作成し、作成時に Layer に割り当てます。