セキュリティグループの使用

重要

AWS OpsWorks Stacks新規顧客は受け付けていません。既存のお客様は、2024 年 5 月 26 OpsWorks 日まではコンソール、API、CLI、CloudFormationおよびリソースを通常どおり使用できますが、2024 年 5 月 26 日以降は廃止されます。この移行に備えて、AWS Systems Managerできるだけ早くスタックをに移行することをお勧めします。詳細については、「AWS OpsWorks Stacksサポート終了に関するよくある質問」および「AWS OpsWorks StacksAWS Systems Managerアプリケーションマネージャーへのアプリケーションの移行」を参照してください。

セキュリティグループ

重要

AWS OpsWorks Stacks新規顧客は受け付けていません。既存のお客様は、2024 年 5 月 26 OpsWorks 日まではコンソール、API、CLI、CloudFormationおよびリソースを通常どおり使用できますが、2024 年 5 月 26 日以降は廃止されます。この移行に備えて、AWS Systems Managerできるだけ早くスタックをに移行することをお勧めします。詳細については、「AWS OpsWorks Stacksサポート終了に関するよくある質問」および「AWS OpsWorks StacksAWS Systems Managerアプリケーションマネージャーへのアプリケーションの移行」を参照してください。

各 Amazon EC2 インスタンスには、むしろファイアウォールに近い、インスタンスのネットワークトラフィックを管理する 1 つ以上の関連付けられたセキュリティグループがあります。セキュリティグループには 1 つ以上のルールがあり、各ルールでは許可するトラフィックの特定のカテゴリが指定されます。ルールでは、以下を指定します。

• 許可するトラフィックのタイプ (SSH、HTTP など)

• トラフィックのプロトコル (TCP、UDP など)

• トラフィックの発信元の IP アドレスの範囲

• トラフィックの許可するポート範囲

セキュリティグループには、次の 2 種類のルールがあります。

• 着信ネットワークトラフィックを規定するインバウンドルール。

  たとえば一般的に、アプリケーションサーバーのインスタンスには、IP アドレスからポート 80 へのインバウンド HTTP トラフィックを許可するインバウンドルールと、特定の一連の IP アドレスからのポート 22 へのインバウンド SSH トラフィックを許可する別のインバウンドルールがあります。

• アウトバウンドルールは、アウトバウンドネットワークトラフィックを規定します。

  一般的な方法としては、アウトバウンドトラフィックを許可するデフォルト設定を使用します。

セキュリティグループの詳細については、「Amazon EC2 Security Groups (Amazon EC2 セキュリティグループ)」を参照してください。

リージョンに初めてスタックを作成するときに、AWS OpsWorksスタックは適切なルールセットを使用して、各レイヤーの組み込みセキュリティグループを作成します。すべてのグループには、すべてのアウトバウンドトラフィックを許可するデフォルトのアウトバウンドルールが設定されます。一般的に、インバウンドルールは以下を許可します。

• 適切な AWS OpsWorks スタックレイヤーからのインバウンド TCP、UDP、および ICMP トラフィック

• ポート 22 のインバウンド TCP トラフィック (SSH ログイン)

  警告

  デフォルトのセキュリティグループの設定では、任意のネットワークの場所 (0.0.0.0/0) に対して SSH (ポート 22) が開かれます。これにより、すべての IP アドレスからの SSH によるインスタンスへのアクセスが許可されます。実稼働環境では、特定の IP アドレスまたはアドレス範囲からの SSH によるアクセスのみを許可する設定を使用する必要があります。デフォルトのセキュリティグループを作成直後に更新するか、カスタムセキュリティグループを使用します。

• ウェブサーバーレイヤーの場合、ポート 80 (HTTP) および 443 (HTTPS) へのすべてのインバウンド TCP および UDP トラフィック

注記

組み込みの AWS-OpsWorks-RDP-Server セキュリティグループは、RDP アクセスを許可するため、すべての Windows インスタンスに割り当てられます。ただし、デフォルトではルールが何もありません。Windows スタックを実行しており、RDP を使用してインスタンスにアクセスする場合、RDP アクセスを許可するインバウンドルールを追加する必要があります。詳細については、「RDP でのログイン」を参照してください。

各グループの詳細については、[Amazon EC2 console (Amazon EC2 コンソール)] に移動し、ナビゲーションペインで [Security Groups (セキュリティグループ)] を選択して、適切なレイヤーのセキュリティグループを選択します。たとえば、AWS-OpsWorks-Default-Server はすべてのスタックのデフォルトの組み込みセキュリティグループで、AWS-OpsWorks-WebApp は Chef 12 サンプルスタックのデフォルトの組み込みセキュリティグループです。

注記

AWS OpsWorks スタックのセキュリティグループを誤って削除した場合、再作成のため推奨される方法は、AWS OpsWorksスタックにこのタスクを実行させることです。同じ AWS のリージョン (および存在する場合は VPC) で新しいスタックを作成するだけで、AWS OpsWorks スタックによって、削除してしまったものを含め、すべての組み込みのセキュリティグループが自動的に再作成されます。その後、今後使用しないスタックを削除します。セキュリティグループは残ります。セキュリティグループを手動で再作成する場合は、グループ名の大文字と小文字の設定を含め、元のセキュリティグループとまったく同じである必要があります。

さらに、AWS OpsWorksスタックは、次のいずれかが発生した場合、すべての組み込みセキュリティグループの再作成を試みます。

• AWS OpsWorks スタックコンソールで、スタックの設定ページに任意の変更を加えます。

• スタックのインスタンスの 1 つを起動する。

• 新しいスタックを作成する。

セキュリティグループを指定するには、次のいずれかの方法を使用できます。スタックを作成するときは、OpsWorksセキュリティグループの使用設定を使用して設定を指定します。

• [Yes (はい)] (デフォルト設定) – AWS OpsWorks スタックは、自動的に各レイヤーに適切な組み込みのセキュリティグループを関連付けます。

  レイヤーの組み込みセキュリティグループを微調整するには、必要な設定を指定してカスタムセキュリティグループを追加します。ただし、Amazon EC2 で複数のセキュリティグループを評価するときに最も制限が緩いルールが使用されるため、この方法を使用して、組み込みのグループより厳しいルールを指定することはできません。

• [No] - AWS OpsWorks スタックは、レイヤーに組み込みのセキュリティグループを関連付けません。

  適切なセキュリティグループを作成し、1 つ以上のそのグループを作成した各レイヤーと関連付ける必要があります。この方法は、組み込みのグループより厳しいルールを指定する場合に使用します。必要に応じて、組み込みセキュリティグループとレイヤーを手動で関連付けることもできます。カスタムセキュリティグループは、カスタム設定を必要とするレイヤーにのみ必要です。

重要

組み込みのセキュリティグループを使用する場合、グループの設定を手動で変更して、より厳しいルールを作成することはできません。AWS OpsWorks スタックでは、スタックを作成するたびに組み込みセキュリティグループの設定が上書きされるため、設定に変更を加えても、次回スタックを作成するときには変更内容は失われます。レイヤーで組み込みのセキュリティグループよりも制限の厳しいセキュリティグループの設定が必要な場合は、[Use OpsWorks security groups] を [No] に設定して、目的の設定でカスタムセキュリティグループを作成し、作成時にレイヤーに割り当てます。