セキュリティグループ: インバウンドルールとアウトバウンドルール
セキュリティグループは、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。セキュリティグループごとに、インスタンスへのインバウンドトラフィックをコントロールするルールと、アウトバウンドトラフィックをコントロールする一連のルールを個別に追加します。
VPC 接続の場合は、QuickSight-VPC
の説明で新しいセキュリティグループを作成します。このセキュリティグループは、到達するデータ送信先のセキュリティグループからのすべてのインバウンド TCP トラフィックを許可する必要があります。次の例では、VPC 内に新しいセキュリティグループを作成し、その新しいセキュリティグループの ID を返します。
aws ec2 create-security-group \ --name QuickSight-VPC \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-id
vpc-0daeb67adda59e0cd
重要
ネットワーク設定は非常に複雑であるため、QuickSight 用に新しいセキュリティグループを作成することを強くお勧めします。そうすることで、AWS Support に問い合わせる際にも、サポートを受けやすくなります。新しいグループを作成することは必須ではありません。次のトピックは、このレコメンデーションに従うことを前提としています。
Amazon QuickSight から VPC 内のインスタンスに正常に接続できるようにするには、QuickSight ネットワークインターフェイスとデータが含まれているインスタンスとの間のトラフィックを許可するように、セキュリティグループルールを設定する必要があります。これを行うには、データベースのインスタンスのインバウンドルールにアタッチされたセキュリティグループが以下のトラフィックを許可するように設定します。
-
QuickSight の接続先のポートから
-
次のいずれかのオプションからのトラフィック:
-
QuickSight ネットワークインターフェイスに関連付けられているセキュリティグループ ID (推奨)
または
-
QuickSight ネットワークインターフェイスのプライベート IP アドレス
-
詳細については、Amazon VPC ユーザーガイドの VPC のセキュリティグループおよび VPC とサブネットを参照してください。
インバウンドルール
重要
次のセクションは、接続が 2023 年 4 月 27 日よりも前に作成された場合の VPC 接続に適用されます。
セキュリティグループを作成するときには、インバウンドルールはありません。インバウンドルールをセキュリティグループに追加するまでは、別のホストからインスタンスに送信されるインバウンドトラフィックは許可されません。
QuickSight ネットワークインターフェイスにアタッチされているセキュリティグループはステートフルではないため、ほとんどのセキュリティグループと動作が異なります。他のセキュリティグループは通常ステートフルです。つまり、これらのセキュリティグループは、リソースのセキュリティグループへのアウトバウンド接続を確立すると、リターントラフィックを自動的に許可します。一方、QuickSight ネットワークインターフェイスのセキュリティグループは、リターントラフィックを自動的には許可しません。このため、QuickSight ネットワークインターフェイスのセキュリティグループに送信ルールを追加しても機能しません。これを QuickSight ネットワークインターフェイスのセキュリティグループで機能させるには、データベースホストからのリターントラフィックを明示的に許可するインバウンドルールを追加する必要があります。
この場合、セキュリティグループのインバウンドルールは、すべてのポートでトラフィックを許可する必要があります。すべてのインバウンドリターンパケットの送信先ポート番号はランダムに割り当てられたポート番号に設定されているため、これを行う必要があります。
特定のインスタンスにのみ接続するように QuickSight を制限するには、許可するインスタンスのセキュリティグループ ID (推奨) またはプライベート IP アドレスを指定します。どちらを指定する場合でも、セキュリティグループのインバウンドルールは依然としてすべてのポート (0~65535) でトラフィックを許可する必要があります。
QuickSight が VPC 内の任意のインスタンスに接続できるようにするには、QuickSight ネットワークインターフェイスセキュリティグループを設定します。この場合、すべてのポート (0~65535) で 0.0.0.0/0 のトラフィックを許可するインバウンドルールを指定します。QuickSight ネットワークインターフェイス用のセキュリティグループは、データベース用のセキュリティグループと異なる必要があります。VPC 接続には別個のセキュリティグループを使用することをお勧めします。
重要
Amazon RDS DB インスタンスを長期間使用する場合は、DB セキュリティグループを使用する設定になっているかどうかをチェックしてください。DB セキュリティグループは、VPC 内ではなく、EC2-Classic プラットフォームにある DB インスタンスで使用されます。
上記の設定になっており、DB インスタンスを VPC 内に移動して QuickSight で使用する予定がない場合は、必ず DB セキュリティグループのインバウンドルールを更新してください。QuickSight で使用している VPC セキュリティグループからのインバウンドトラフィックを許可するように更新します。詳細については、Amazon RDS ユーザーガイドのセキュリティグループによるアクセスのコントロールを参照してください。
アウトバウンドルール
重要
次のセクションは、接続が 2023 年 4 月 27 日よりも前に作成された場合の VPC 接続に適用されます。
デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。このデフォルトのルールを削除し、特定のアウトバウンドトラフィックのみを許可するアウトバウンドルールを追加することをお勧めします。
警告
QuickSight ネットワークインターフェイスのセキュリティグループには、すべてのポートでトラフィックを許可するようなアウトバウンドルールを設定しないでください。VPC からのネットワーク送信トラフィックを管理するための重要な検討事項と推奨事項については、Amazon VPC ユーザーガイドの VPC のセキュリティのベストプラクティスを参照してください。
QuickSight ネットワークインターフェイスにアタッチされたセキュリティグループには、QuickSight の接続先である VPC 内の各データベースインスタンスへのトラフィックを許可するアウトバウンドルールが必要です。特定のインスタンスにのみ接続するように QuickSight を制限するには、許可するインスタンスのセキュリティグループ ID (推奨) またはプライベート IP アドレスを指定します。これをインスタンスの適切なポート番号 (インスタンスがリッスンするポート) とともに、アウトバウンドルールで設定します。
また、VPC セキュリティグループは、データ送信先のセキュリティグループへのアウトバウンドトラフィックを許可する必要があります (特にデータベースがリッスンするポートで)。