セキュリティグループの操作
以下のタスクでは、セキュリティグループを操作する方法を示しています。
セキュリティグループルールは、セキュリティグループに関連付けられたリソースに到達することを許可するインバウンドトラフィックを制御します。セキュリティグループルールの詳細については、「セキュリティグループのルール」を参照してください。
セキュリティグループの作成
デフォルトでは、新しいセキュリティグループにはすべてのトラフィックがリソースを離れることを許可するアウトバウンドルールのみが設定されています。任意のインバウンドトラフィックを許可するには、またはアウトバウンドトラフィックを制限するには、ルールを追加する必要があります。
コンソールを使用してセキュリティグループを作成するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [セキュリティグループ] をクリックします。
-
セキュリティグループの作成 を選択します。
-
セキュリティグループの名前と説明を入力します。セキュリティグループの作成後に名前と説明を変更することはできません。
-
[VPC] で、VPC を選択します。セキュリティグループは、それが作成された VPC でのみ使用できます。
-
セキュリティグループルールはここで追加することも、後で追加することもできます。詳細については、「セキュリティグループへのルールの追加」を参照してください。
-
タグはここで追加することも、後で追加することもできます。タグを追加するには、新しいタグを追加 をクリックし、タグのキーと値を入力します。
-
セキュリティグループの作成 を選択します。
セキュリティグループを作成したら、次のいずれかを実行する必要があります。
インスタンスの起動時に EC2 インスタンスにセキュリティグループを割り当てたり、現在インスタンスに割り当てられているセキュリティグループを変更したりできます。詳細については、「Amazon EC2 ユーザーガイド」の「インスタンスの起動」または「セキュリティグループの変更」を参照してください。
セキュリティグループルールを追加します。セキュリティグループルールは、セキュリティグループに関連付けられたリソースに到達することを許可するインバウンドトラフィックを制御します。セキュリティグループルールの詳細については、セキュリティグループの操作を参照してください。
AWS CLI を使用してセキュリティグループを作成するには
create-security-group コマンドを使用します。
セキュリティグループの表示
次のように、セキュリティグループに関する情報を表示できます。
コンソールを使用してセキュリティグループを表示するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [セキュリティグループ] をクリックします。
-
セキュリティグループが一覧表示されます。インバウンドルールやアウトバウンドルールなど、特定のセキュリティグループの詳細を表示するには、セキュリティグループを選択します。セキュリティグループルールの更新の詳細については、「セキュリティグループルールの更新」を参照してください。
リージョン間ですべてのセキュリティグループを表示するには
次の URL で Amazon EC2 グローバルビューコンソールを開きます。https://console.aws.amazon.com/ec2globalview/home
AWS CLI を使用してセキュリティグループを表示するには
describe-security-groups と describe-security-group-rules コマンドを使用します。
セキュリティグループのタグ付け
目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。セキュリティグループにはタグを追加できます。タグキーは、各セキュリティグループで一意である必要があります。既にルールに関連付けられているキーを持つタグを追加すると、そのタグの値が更新されます。
コンソールを使用してセキュリティグループにタグを付けるには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [セキュリティグループ] をクリックします。
-
セキュリティグループのチェックボックスを選択します。
-
[Actions] (アクション)、[Manage tags] (タグの管理) を選択します。[Manage tags] (タグの管理) ページには、セキュリティグループに割り当てられているタグが表示されます。
-
タグを追加するには、[新しいタグを追加] を選択し、タグのキーとタグの値を入力します。タグを削除するには、削除するタグの横にある [Remove (削除)] を選択します。
-
[Save changes] (変更の保存) をクリックします。
AWS CLI を使用してセキュリティグループにタグ付けするには
create-tags コマンドを使用します。
セキュリティグループを削除する
セキュリティグループを削除できるのは、そのセキュリティグループが現在リソースに関連付けられていない場合のみです。デフォルトのセキュリティグループを削除することはできません。
コンソールを使用している場合は、複数のセキュリティグループを一度に削除できます。コマンドラインまたは API を使用している場合、一度に削除できるのは 1 つのセキュリティグループのみです。
コンソールを使用してセキュリティグループを削除するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [セキュリティグループ] をクリックします。
-
セキュリティグループを選択して、[アクション]、[セキュリティグループを削除] を選択します。
-
確認を求めるメッセージが表示されたら、[削除] を選択します。
AWS CLI を使用してセキュリティグループを削除するには
delete-security-group コマンドを使用します。
Firewall Manager を使用してセキュリティグループを管理する
AWS Firewall Manager を使用すると、複数のアカウントおよび複数のリソースを対象にして、セキュリティグループの管理およびメンテナンスタスクを簡略化できます。Firewall Manager を使用すると、1 つの中央管理者アカウントで組織のセキュリティグループを設定および監査できます。Firewall Manager により、ルールと保護が既存のアカウントとリソースに (追加する新しいリソースにも) 自動的に適用されます。Firewall Manager は、組織全体を保護する場合や、中央管理者アカウントで保護する新しいリソースを頻繁に追加する場合に特に便利です。
Firewall Manager を使用すると、次の方法でセキュリティグループを一元管理できます。
組織全体で共通のベースラインセキュリティグループを設定する: 共通のセキュリティグループポリシーを使用して、組織全体のアカウントおよびリソースに対するセキュリティグループの関連付けを一元的に制御できます。組織内でポリシーを適用する場所と方法を指定します。
組織内の既存のセキュリティグループを監査する: 監査セキュリティグループポリシーを使用して、組織のセキュリティグループで使用中の既存のルールを確認できます。ポリシーの範囲を設定して、すべてのアカウント、特定のアカウント、または組織内でタグ付けされたリソースを監査できます。Firewall Manager により、新しいアカウントとリソースの自動検出と監査が行われます。監査ルールを作成することにより、組織内で許可または禁止するセキュリティグループルールに関するガードレールを設定し、未使用または冗長なセキュリティグループをチェックできます。
非準拠のリソースに関するレポートを取得して修復する: ベースラインおよび監査ポリシーについて、非準拠のリソースに関するレポートとアラートを取得できます。自動修復ワークフローを設定しておき、Firewall Manager によって検出された非準拠のリソースを修復することもできます。
Firewall Manager を使用してセキュリティグループを管理する方法の詳細については、「AWS Firewall Manager デベロッパーガイド」の以下のリソースを参照してください。
https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-security-group.html Amazon VPC セキュリティグループポリシーの使用を開始するAWS Firewall Manager
AWS Firewall Manager でのセキュリティグループポリシーの仕組み
