VPC のセキュリティグループ

セキュリティグループは、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。VPC 内でインスタンスを起動した場合、そのインスタンスには最大 5 つのセキュリティグループを割り当てることができます。セキュリティグループは、サブネットレベルでなくインスタンスレベルで動作します。このため、VPC 内のサブネット内のインスタンスごとに異なるセキュリティグループのセットに割り当てることができます。

Amazon EC2 API またはコマンドラインツールを使用してインスタンスを起動するが、セキュリティグループを指定しない場合、そのインスタンスは VPC のデフォルトのセキュリティグループに自動的に割り当てられます。Amazon EC2 コンソールを使用してインスタンスを起動する場合、インスタンスの新しいセキュリティグループを作成するオプションを使用できます。

セキュリティグループごとに、インスタンスへのインバウンドトラフィックをコントロールするルールと、アウトバウンドトラフィックをコントロールする一連のルールを個別に追加します。このセクションでは、VPC のセキュリティグループとそのルールについて、知っておく必要がある基本事項について説明します。

セキュリティの追加レイヤーを VPC に追加するには、セキュリティグループと同様のルールを指定したネットワーク ACL をセットアップできます。セキュリティグループとネットワーク ACL の違いの詳細については、「セキュリティグループとネットワーク ACL を比較する」を参照してください。

セキュリティグループの基本

セキュリティグループの特徴を次に示します。

• 許可ルールを指定できます。拒否ルールは指定できません。

• インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定できます。

• セキュリティグループルールを使用すると、プロトコルとポート番号に基づいてトラフィックをフィルタリングできます。

• セキュリティグループはステートフルです。インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループのルールにかかわらず、流れることができます。許可されたインバウンドトラフィックに対する応答（戻りのトラフィック）は、アウトバウンドルールにかかわらずアウト側に対し通過することができます。

  注記

  トラフィックのタイプにより、追跡の方法は異なります。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「接続追跡」を参照してください。

• セキュリティグループを初めて作成するときには、インバウンドルールはありません。したがって、インバウンドルールをセキュリティグループに追加するまで、別のホストからインスタンスに送信されるインバウンドトラフィックは許可されません。

• デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。ルールを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できます。セキュリティグループにアウトバウンドルールがない場合、インスタンスから送信されるアウトバウンドトラフィックは許可されません。

• VPC あたりの作成可能なセキュリティグループの数、各セキュリティグループに追加できるルールの数、ネットワークインターフェイスに関連付けることができるセキュリティグループの数にはクォータがあります。詳細については、「」を参照してくださいAmazon VPC クォータ

• セキュリティグループに関連付けられたインスタンスの相互通信は、トラフィックを許可するルールを追加するまで許可されません（例外: デフォルトのセキュリティグループについては、このルールがデフォルトで指定されています）。

• セキュリティグループはネットワークインターフェイスに関連付けられます。インスタンスを起動した後で、インスタンスに関連付けられたセキュリティグループを変更できます。これにより、プライマリネットワークインターフェイス (eth0) に関連付けられたセキュリティグループが変更されます。あらゆるネットワークインターフェイスに関連付けられているセキュリティグループも指定または変更できます。デフォルトでは、ネットワークインターフェイスを作成すると、別のセキュリティグループを指定しない限り、VPC のデフォルトのセキュリティグループに関連付けられます。ネットワークインターフェイスの詳細については、「Elastic network interface」を参照してください。

• セキュリティグループを作成する場合、名前と説明を指定する必要があります。以下のルールが適用されます。

  • 名前と説明の長さは最大 255 文字とすることができます。

  • 名前と説明に使用できる文字は、a～z、A～Z、0～9、スペース、._-:/()#,@[]+=&;{}!$* です。

  • 名前の末尾にスペースが含まれている場合は、名前を保存するときにスペースが切り捨てられます。たとえば、名前に「セキュリティグループのテスト 」と入力すると、「セキュリティグループのテスト」として保存されます。

  • セキュリティグループ名は、デフォルトのセキュリティグループを示すため、sg- で始めることはできません。

  • セキュリティグループ名は VPC 内で一意である必要があります。

• セキュリティグループは、セキュリティグループの作成時に指定した VPC でのみ使用できます。

VPC のデフォルトセキュリティグループ

VPC ではデフォルトのセキュリティグループが自動的に使用されます。インスタンスの起動時に別のセキュリティグループを指定しない場合、デフォルトのセキュリティグループがインスタンスに関連付けられます。

注記

Amazon EC2 コンソールでインスタンスを起動する場合、インスタンス起動ウィザードによって「launch-wizard-xx」セキュリティグループが自動的に定義され、デフォルトのセキュリティグループの代わりにインスタンスに関連付けることができます。

次の表では、デフォルトのセキュリティグループ用のデフォルトルールについて説明します。

Inbound
送信元	プロトコル	ポート範囲	説明
セキュリティグループ ID (sg-xxxxxxxx)	すべて	すべて	同じセキュリティグループに割り当てられているネットワークインターフェイス（および関連付けられているインスタンス）からのインバウンドトラフィックを許可します。
Outbound
送信先	プロトコル	ポート範囲	説明
0.0.0.0/0	すべて	すべて	すべての発信 IPv4 トラフィックを許可する
::/0	All	All	Allow all outbound IPv6 traffic. This rule is added by default if you create a VPC with an IPv6 CIDR block or if you associate an IPv6 CIDR block with your existing VPC.

デフォルトのセキュリティグループのルールは変更できます。

デフォルトのセキュリティグループを削除することはできません。デフォルトのセキュリティグループを削除しようとした場合、Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user エラーが発生します。

セキュリティグループのアウトバウンドルールの設定を修正した場合、VPC と IPv6 ブロックを関連付けたときに IPv6 トラフィック用のルールは自動的に追加されません。

セキュリティグループのルール

セキュリティグループのルールは追加または削除できます (インバウンドまたはアウトバウンドアクセスの許可または取り消しとも呼ばれます)。ルールが適用されるのは、インバウンドトラフィック (受信) またはアウトバウンドトラフィック (送信) のいずれかです。特定の CIDR 範囲、または VPC あるいはピア VPC (VPC ピアリング接続が必要) の別のセキュリティグループにアクセス権を付与できます。

セキュリティグループルールは、セキュリティグループに関連付けられたインスタンスに到達することを許可するインバウンドトラフィックを制御します。また、このルールによって、インスタンスから送信されるアウトバウンドトラフィックも制御されます。

セキュリティグループのルールの特徴を次に示します。

• デフォルトで、セキュリティグループはすべてのアウトバウンドトラフィックを許可します。

• セキュリティグループのルールは常にパーミッシブです。アクセスを拒否するルールを作成することはできません。

• セキュリティグループルールを使用すると、プロトコルとポート番号に基づいてトラフィックをフィルタリングできます。

• セキュリティグループはステートフルです。インスタンスからリクエストを送信すると、そのリクエストに対する応答トラフィックは、インバウンドルールにかかわらず、流入できます。つまり、許可されたインバウンドトラフィックに対する応答は、アウトバウンドルールにかかわらず通過することができます。

• ルールの追加と削除は随時行うことができます。変更は、セキュリティグループに関連付けられたインスタンスに自動的に適用されます。

  一部のルール変更の影響は、トラフィックの追跡方法によって異なる場合があります。

• 複数のセキュリティグループをインスタンスに関連付けると、各セキュリティグループのルールが効率的に集約され、1 つのルールセットが作成されます。Amazon EC2 はこのルールセットを使用して、アクセスを許可するかを判断します。

  セキュリティグループは、1 つのインスタンスに複数割り当てることができます。そのため、1 つのインスタンスに数百のルールが適用される場合があります。結果として、インスタンスにアクセスするときに問題が発生する可能性があります。そのため、ルールは可能な限り要約することをお勧めします。

ルールごとに、以下の点について指定します。

• [Name (名前)]: セキュリティグループの名前 (my-security-group など)。

  名前の最大長は 255 文字です。使用できる文字は、a ～ z、A ～ Z、0 ～ 9、スペース、._-:/()#,@[]+=;{}!$* です。名前の末尾にスペースが含まれている場合は、名前を保存するときにスペースが切り捨てられます。たとえば、名前に「セキュリティグループのテスト 」と入力すると、「セキュリティグループのテスト」として保存されます。

• プロトコル: 許可するプロトコル。最も一般的なプロトコルは、6 (TCP)、17 (UDP)、1 (ICMP) です。

• ポートの範囲: TCP、UDP、カスタムプロトコルの場合、許可するポートの範囲。1 つのポート番号 (22 など)、または一定範囲のポート番号 (7000-8000 など) を指定できます。

• ICMP タイプおよびコード: ICMP の場合、ICMP タイプおよびコードです。

• 送信元または送信先: トラフィックの送信元 (インバウンドルール) または送信先 (アウトバウンドルール)。これらのオプションの 1 つを指定します。

  • 単一の IPv4 アドレス。長さ /32 のプレフィックスを使用する必要があります (例: 203.0.113.1/32)。

  • 単一の IPv6 アドレス。長さ /128 のプレフィックスを使用する必要があります (例: 2001:db8:1234:1a00::123/128)。

  • CIDR ブロック表記での IPv4 アドレスの範囲 (例: 203.0.113.0/24)。

  • CIDR ブロック表記での IPv6 アドレスの範囲 (例: 2001:db8:1234:1a00::/64)。

  • プレフィックスリスト ID (例: pl-1234abc1234abc123)。詳細については、「」を参照してくださいプレフィックスリスト

  • 別のセキュリティグループ。これにより、指定したセキュリティグループに関連付けられたインスタンスからこのセキュリティグループに関連付けられたインスタンスへのアクセスが許可されます。このオプションを選択しても、送信元のセキュリティグループからこのセキュリティグループにルールが追加されることはありません。以下のセキュリティグループの 1 つを指定できます:

    • 現在のセキュリティグループ。

    • 同じ VPC の異なるセキュリティグループ

    • VPC ピア接続のピア VPC の別のセキュリティグループ。

• (オプション) 説明: 後で分かりやすいように、このルールの説明を追加できます。説明の長さは最大 255 文字とすることができます。使用できる文字は、a ～ z、A ～ Z、0 ～ 9、スペース、._-:/()#,@[]+=;{}!$* です。

セキュリティグループルールを作成する際、AWS により、一意の ID がそのルールに割り当てられます。このルールの ID は、API または CLI を使用してルールを変更または削除する際に使用します。

ルールに送信元または送信先としてセキュリティグループを指定する場合、ルールはセキュリティグループに関連付けられているすべてのインスタンスに影響します。着信トラフィックは、ソースセキュリティグループに関連付けられたインスタンスのプライベート IP アドレスに基づいて許可されます (パブリック IP アドレスまたは Elastic IP アドレスは考慮されません)。セキュリティグループルールでピア VPC のセキュリティグループを参照していて、参照先のセキュリティグループまたは VPC ピア接続を削除すると、ルールは古いとマークされます。詳細については、Amazon VPC Peering ガイドの「古いセキュリティグループルールの操作」を参照してください。

セキュリティグループをルールの送信元として指定すると、指定したプロトコルとポートの送信元セキュリティグループに関連付けられたネットワークインターフェイスからのトラフィックが許可されます。着信トラフィックは、ソースセキュリティグループに関連付けられたネットワークインターフェイスのプライベート IP アドレスに基づいて許可されます (パブリック IP アドレスまたは Elastic IP アドレスは考慮されません)。セキュリティグループを送信元として追加しても、送信元セキュリティグループのルールは追加されません。例については、「VPC のデフォルトセキュリティグループ」を参照してください。

ファイアウォールを設定するための一部のシステムを使用すると、送信元ポートでフィルタを適用できます。セキュリティグループを使用すると、送信先ポートでのみフィルタを適用できます。

ルールを追加、更新、または削除すると、セキュリティグループに関連付けられたすべてのインスタンスにこの変更が自動的に適用されます。

追加するルールの種類は、多くの場合、セキュリティグループの目的によって異なります。次の表に、ウェブサーバーに関連付けられているセキュリティグループのルールの例を示します。ウェブサーバーはすべての IPv4 および IPv6 アドレスから HTTP および HTTPS トラフィックを受信し、SQL または MySQL トラフィックをデータベースサーバーに送信することができます。

Inbound
送信元	プロトコル	ポート範囲	説明
0.0.0.0/0	TCP	80	任意の IPv4 アドレスからのインバウンド HTTP アクセスを許可します。
::/0	TCP	80	Allow inbound HTTP access from all IPv6 addresses
0.0.0.0/0	TCP	443	任意の IPv4 アドレスからのインバウンド HTTPS アクセスを許可する
::/0	TCP	443	Allow inbound HTTPS access from all IPv6 addresses
ネットワークのパブリック IPv4 アドレスの範囲	TCP	22	ネットワークの IPv4 アドレスから Linux インスタンスへのインバウンド SSH アクセス（インターネットゲートウェイ経由）を許可する
ネットワークのパブリック IPv4 アドレスの範囲	TCP	3389	ネットワークの IPv4 アドレスから Windows インスタンスへのインバウンド RDP アクセス（インターネットゲートウェイ経由）を許可する
Outbound
送信先	プロトコル	ポート範囲	説明
Microsoft SQL Server データベースサーバーのセキュリティグループの ID	TCP	1433	アウトバウンド Microsoft SQL Server が指定されたセキュリティグループ内のインスタンスにアクセスするのを許可する
MySQL データベースサーバーのセキュリティグループの ID	TCP	3306	アウトバウンド MySQL が指定されたセキュリティグループ内のインスタンスにアクセスするのを許可する

データベースサーバーには、異なるルールセットが必要です。たとえば、インバウンド HTTP および HTTPS トラフィックの代わりに、インバウンドの MySQL または Microsoft SQL Server アクセスを許可するルールを追加できます。ウェブサーバーとデータベースサーバーのセキュリティグループルールの例については、「Security」を参照してください。Amazon RDS DB インスタンスのセキュリティグループの詳細については、Amazon RDS ユーザーガイドの「セキュリティグループによるアクセスの制御」を参照してください。

特定の種類のアクセスに関するセキュリティグループのルールの例については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「セキュリティグループのルールのリファレンス」を参照してください。

古くなったセキュリティグループルール

VPC に別の VPC との VPC ピアリング接続がある場合、セキュリティグループルールで、ピア VPC の別のセキュリティグループを参照できます。これにより、参照されるセキュリティグループに関連付けられているインスタンスと、参照するセキュリティグループに関連付けられているインスタンスが、相互に通信できるようになります。

ピア VPC の所有者が、参照されるセキュリティグループを削除するか、ユーザーまたはピア VPC の所有者が VPC ピアリング接続を削除した場合、セキュリティグループルールは stale とマークされます。古くなったセキュリティグループルールは他のセキュリティグループルールと同じ方法で削除できます。

詳細については、Amazon VPC ピア機能ガイドの「古いセキュリティグループの操作」を参照してください。

セキュリティグループの操作

以下のタスクでは、Amazon VPC コンソールを使用してセキュリティグループを操作する方法を示しています。

必要なアクセス許可

• セキュリティグループの管理

• セキュリティグループルールの管理

タスク

• デフォルトのセキュリティグループの変更
• セキュリティグループの作成
• セキュリティグループの表示
• セキュリティグループのタグ付け
• セキュリティグループへのルールの追加
• セキュリティグループルールの更新
• セキュリティグループルールのタグ付け
• セキュリティグループルールの削除
• インスタンスのセキュリティグループを変更する
• セキュリティグループを削除する

デフォルトのセキュリティグループの変更

VPC にはデフォルトのセキュリティグループがあります。このグループは削除できませんが、グループのルールは変更できます。その手順は、他のセキュリティグループを変更する手順と同じです。

セキュリティグループの作成

インスタンスのデフォルトのセキュリティグループを使用できますが、独自のグループを作成し、システムにおけるインスタンスの様々な役割を反映させたい場合があります。

デフォルトでは、新しいセキュリティグループには、すべてのトラフィックがインスタンスを出ることを許可するアウトバウンドルールのみが設定されています。任意のインバウンドトラフィックを許可するには、またはアウトバウンドトラフィックを制限するには、ルールを追加する必要があります。

セキュリティグループは、それが対象としている VPC 内でのみ使用が可能です。

セキュリティグループの作成とセキュリティグループルールの管理に必要な許可については、「セキュリティグループの管理」と「セキュリティグループルールの管理」を参照してください。

コンソールを使用してセキュリティグループを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. [セキュリティグループの作成] を選択します。

4. セキュリティグループの名前と説明を入力します。セキュリティグループの作成後に名前と説明を変更することはできません。

5. [VPC] で、VPC を選択します。

6. セキュリティグループルールはここで追加することも、後で追加することもできます。詳細については、「セキュリティグループへのルールの追加」を参照してください。

7. タグはここで追加することも、後で追加することもできます。タグを追加するには、[新しいタグを追加] をクリックし、タグのキーと値を入力します。

8. [セキュリティグループの作成] を選択します。

コマンドラインを使用してセキュリティグループを作成するには

• create-security-group (AWS CLI)

• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

セキュリティグループの表示

次のように、セキュリティグループに関する情報を表示できます。

セキュリティグループの表示に必要な許可については、「セキュリティグループの管理」を参照してください。

コンソールを使用してセキュリティグループを表示するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループが一覧表示されます。インバウンドルールやアウトバウンドルールなど、特定のセキュリティグループの詳細を表示するには、セキュリティグループを選択します。

コマンドラインを使用してセキュリティグループを表示するには

• describe-security-groups および describe-security-group-rules (AWS CLI)

• Get-EC2SecurityGroup および Get-EC2SecurityGroupRules (AWS Tools for Windows PowerShell)

セキュリティグループのタグ付け

目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。セキュリティグループにはタグを追加できます。タグキーは、各セキュリティグループで一意である必要があります。既にルールに関連付けられているキーを持つタグを追加すると、そのタグの値が更新されます。

コンソールを使用してセキュリティグループにタグを付けるには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループのチェックボックスを選択します。

4. [Actions] (アクション)、[Manage tags] (タグの管理) を選択します。

5. [Manage tags] (タグの管理) ページには、セキュリティグループに割り当てられているタグが表示されます。タグを追加するには、[タグの追加] を選択し、タグのキーと値を入力します。タグを削除するには、削除するタグの横にある [Remove] を選択します。

6. [Save changes] を選択します。

コマンドラインを使用してセキュリティグループのタグ付けを行うには

• create-tags (AWS CLI)

• New-EC2Tag (AWS Tools for Windows PowerShell)

セキュリティグループへのルールの追加

ルールをセキュリティグループに追加すると、セキュリティグループに関連付けられているすべてのインスタンスに新しいルールが自動的に適用されます。

VPC ピアリング接続がある場合は、セキュリティグループルールで、送信元または送信先としてピア VPC からセキュリティグループを参照できます。詳細については、Amazon VPC ピア機能ガイドの「セキュリティグループの更新によるピア VPC セキュリティグループの参照」を参照してください。

セキュリティグループルールの管理に必要な許可については、「セキュリティグループルールの管理」を参照してください。

コンソールを使用してルールを追加するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択します。

4. [アクション]、[Edit inbound rules (インバウンドルールを編集)] を選択するか、[アクション]、[Edit outbound rules (アウトバウンドルールを編集)] を選択します。

5. 各ルールで、[Add rule] (ルールの追加) を選択し、次の操作を行います。

   1. [タイプ] で、許可するプロトコルのタイプを選択します。

      • TCP または UDP の場合は、許可するポート範囲を入力する必要があります。

      • カスタムの ICMP の場合は、[プロトコル] から ICMP タイプ名を選択し、該当するものがある場合は [ポート範囲] からコード名を選択します。

      • その他のタイプの場合は、プロトコルとポート範囲は自動的に設定されます。

   2. [Source] (送信元) (インバウンドルール) または [Destination] (送信先) (アウトバウンドルール) で、トラフィックを許可するために次のいずれかの操作を行います。

      • [Custom] (カスタム) をクリックし、IP アドレス (CIDR 表記)、CIDR ブロック、別のセキュリティグループ、プレフィックスリストのいずれかを入力します。

      • [Anywhere] (任意の場所) を選択して、任意の IP アドレスからインスタンスへのトラフィックの到達 (インバウンドルール)、またはインスタンスからすべての IP アドレスへのトラフィックの到達を許可します (アウトバウンドルール)。このオプションでは、IPv4 の CIDR ブロック 0.0.0.0/0 が自動的に追加されます。

        セキュリティグループが IPv6 が有効な VPC にある場合、このオプションでは ::/0 IPv6 トラフィックのためにルールが自動的に追加されます。

        インバウンドルールの場合、このオプションはテスト環境で短時間なら許容できますが、実稼働環境で行うのは安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを許可します。

      • ローカルコンピュータのパブリック IPv4 アドレスとの間の受信トラフィック (インバウンドルール) または送信トラフィック (アウトバウンドルール)

   3. (オプション) [Description] (説明) では、ルールの簡単な説明を指定できます。

6. [Save Rules (ルールの保存)] を選択します。

コマンドラインを使用してセキュリティグループにルールを追加するには

• authorize-security-group-ingress および authorize-security-group-egress（AWS CLI）

• Grant-EC2SecurityGroupIngress および Grant-EC2SecurityGroupEgress（AWS Tools for Windows PowerShell）

セキュリティグループルールの更新

ルールを更新すると、更新されたルールは、セキュリティグループに関連付けられているすべてのインスタンスに自動的に適用されます。

セキュリティグループルールの管理に必要な許可については、「セキュリティグループルールの管理」を参照してください。

コンソールを使用してルールを更新するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択します。

4. [アクション]、[Edit inbound rules (インバウンドルールを編集)] を選択するか、[アクション]、[Edit outbound rules (アウトバウンドルールを編集)] を選択します。

5. 必要に応じてルールを更新します。

6. [Save Rules (ルールの保存)] を選択します。

コマンドラインを使用してセキュリティグループルールの説明を更新するには

• modify-security-group-rules、update-security-group-rule-descriptions-ingress、および update-security-group-rule-descriptions-egress (AWS CLI)

• Update-EC2SecurityGroupRuleIngressDescription および Update-EC2SecurityGroupRuleEgressDescription (AWS Tools for Windows PowerShell)

セキュリティグループルールのタグ付け

目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。セキュリティグループルールにタグを追加できます。タグキーは、各ターゲットグループルールで一意である必要があります。既にターゲットグループルールに関連付けられているキーを持つタグを追加すると、そのタグの値が更新されます。

コンソールを使用してルールにタグを付けるには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択します。

4. [インバウンドルール] または [アウトバウンドルール] タブで、対象となるルールのチェックボックスを選択してから、[タグを管理] をクリックします。

5. [タグの管理] ページには、ルールに割り当てられているすべてのタグが表示されます。タグを追加するには、[タグの追加] を選択し、タグのキーと値を入力します。タグを削除するには、削除するタグの横にある [Remove] を選択します。

6. [Save changes] を選択します。

コマンドラインを使用してルールにタグを付けるには

• create-tags (AWS CLI)

• New-EC2Tag (AWS Tools for Windows PowerShell)

セキュリティグループルールの削除

セキュリティグループからルールを削除すると、その変更内容が自動的にセキュリティグループに関連付けられているインスタンスに適用されます。

コンソールを使用してセキュリティグループルールを削除するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. セキュリティグループを選択します。

4. [Actions] (アクション) を選択してから、[Edit inbound rules] (インバウンドのルールの編集) を選択してインバウンドルールを削除するか、[Edit outbound rules] (アウトバウンドのルールの編集) を選択してアウトバウンドルールを削除します。

5. 削除するルールの横にある [Delete] (削除) ボタンを選択します。

6. [Save Rules (ルールの保存)] を選択します。

コマンドラインを使用してセキュリティグループルールを削除するには

• revoke-security-group-ingress および revoke-security-group-egress（AWS CLI）

• Revoke-EC2SecurityGroupIngress および Revoke-EC2SecurityGroupEgress（AWS Tools for Windows PowerShell）

インスタンスのセキュリティグループを変更する

VPC でインスタンスを起動したら、インスタンスに関連付けられているセキュリティグループの変更はインスタンスが running または stopped の状態のときに行えます。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「インスタンスのセキュリティグループの変更」を参照してください。

セキュリティグループを削除する

セキュリティグループは、インスタンスに割り当てられていない場合にのみ削除できます (インスタンスが実行されているかどうかは関係ありません)。実行中のインスタンスまたは停止したインスタンスに関連付けられているセキュリティグループを変更できます。詳細については、インスタンスのセキュリティグループを変更する を参照してください。デフォルトのセキュリティグループを削除することはできません。

コンソールを使用している場合は、複数のセキュリティグループを一度に削除できます。コマンドラインまたは API を使用している場合、一度に削除できるのは 1 つのセキュリティグループのみです。

コンソールを使用してセキュリティグループを削除するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 1 つ以上のセキュリティグループを選択して、[Actions] (アクション)、[Delete Security Group] (セキュリティグループセキュリティグループの削除) を選択します。

4. 確認を求められたら、「delete」と入力し、[削除] を選択します。

コマンドラインを使用してセキュリティグループを削除するには

• delete-security-group (AWS CLI)

• Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

の使用による VPC セキュリティグループの一元管理AWS Firewall Manager

AWS Firewall Manager を使用すると、複数のアカウントおよび複数のリソースを対象にして、VPC セキュリティグループの管理およびメンテナンスタスクを簡略化できます。Firewall Manager を使用すると、1 つの中央管理者アカウントで組織のセキュリティグループを設定および監査できます。Firewall Manager により、ルールと保護が既存のアカウントとリソースに (追加する新しいリソースにも) 自動的に適用されます。Firewall Manager は、組織全体を保護する場合や、中央管理者アカウントで保護する新しいリソースを頻繁に追加する場合に特に便利です。

Firewall Manager を使用すると、次の方法でセキュリティグループを一元管理できます。

• 組織全体で共通のベースラインセキュリティグループを設定する: 共通のセキュリティグループポリシーを使用して、組織全体のアカウントおよびリソースに対するセキュリティグループの関連付けを一元的に制御できます。組織内でポリシーを適用する場所と方法を指定します。

• 組織内の既存のセキュリティグループを監査する: 監査セキュリティグループポリシーを使用して、組織のセキュリティグループで使用中の既存のルールを確認できます。ポリシーの範囲を設定して、すべてのアカウント、特定のアカウント、または組織内でタグ付けされたリソースを監査できます。Firewall Manager により、新しいアカウントとリソースの自動検出と監査が行われます。監査ルールを作成することにより、組織内で許可または禁止するセキュリティグループルールに関するガードレールを設定し、未使用または冗長なセキュリティグループをチェックできます。

• 非準拠のリソースに関するレポートを取得して修復する: ベースラインおよび監査ポリシーについて、非準拠のリソースに関するレポートとアラートを取得できます。自動修復ワークフローを設定しておき、Firewall Manager によって検出された非準拠のリソースを修復することもできます。

Firewall Manager を使用してセキュリティグループを管理する方法の詳細については、AWS WAF 開発者ガイドの以下のトピックを参照してください。

• AWS Firewall Manager 前提条件

• AWS Firewall Manager Amazon VPC セキュリティグループポリシーの使用を開始する

• でのセキュリティグループポリシーの仕組み AWS Firewall Manager

• セキュリティグループポリシーのユースケース