セキュリティグループのルール

セキュリティグループルールは、セキュリティグループに関連付けられたインスタンスに到達することを許可するインバウンドトラフィックを制御する。 また、このルールによって、インスタンスから送信されるアウトバウンドトラフィックも制御される。

セキュリティグループのルールの特徴

  • デフォルトで、セキュリティグループはすべてのアウトバウンドトラフィックを許可する。デフォルトで、Amazon EC2 はポート 25 のトラフィックをブロックすることに注意。
  • セキュリティグループのルールは常にパーミッシブ。アクセスを拒否するルールを作成することはできない。
  • セキュリティグループルールを使用すると、プロトコルとポート番号に基づいてトラフィックをフィルタリングできる。
  • セキュリティグループはステートフル。インスタンスからリクエストを送信すると、そのリクエストに対するレスポンストラフィックは、セキュリティグループのインバウンドルールにかかわらず、流入可能。
  • ルールの追加と削除は随時行うことができる。変更は、セキュリティグループに関連付けられたインスタンスに自動的に適用される。
  • 複数のセキュリティグループをインスタンスに関連付けると、各セキュリティグループのルールが効率的に集約され、1 つのルールセットが作成される。Amazon EC2 はこのルールセットを使用して、アクセスを許可するかを判断する。
  • セキュリティグループは、1 つのインスタンスに複数割り当てることができる。そのため、1 つのインスタンスに数百のルールが適用される場合がある。結果として、インスタンスにアクセスするときに問題が発生する可能性がある。そのため、ルールは可能な限り要約することをお勧めする。

ルール

  • 名前

    • セキュリティグループの名前 (「my-security-group」など)。
      • 名前の最大長は 255 文字。
      • 使用できる文字は、a ~ z、A ~ Z、0 ~ 9、スペース、._-:/()#,@[]+=;{}!$* 。
      • 名前の末尾にスペースが含まれている場合は、名前を保存するときにスペースが切り捨てられる。

  • プロトコル

    • 許可するプロトコル。
      • ポートの範囲: TCP、UDP、カスタムプロトコルの場合、許可するポートの範囲。1 つのポート番号 (22 など)、または一定範囲のポート番号 (7000-8000 など) を指定できる。
      • ICMP タイプおよびコード: ICMP の場合、ICMP タイプおよびコード。たとえば、ICMP エコー要求にはタイプ8、ICMPv6 エコー要求にはタイプ 128 を使用する。
      • 送信元または送信先: 許可するトラフィックの送信元 (インバウンドルール) または送信先 (アウトバウンドルール)。次のいずれかを指定する。
      • 単一の IPv4 アドレスまたは CIDR ブロック表記の IPv4 アドレスの範囲。
      • 単一の IPv6 アドレスまたは CIDR ブロック表記の IPv6 アドレスの範囲。
      • プレフィックスリストの ID。
      • セキュリティグループの ID
      • (オプション) 説明使用できる文字は、a ~ z、A ~ Z、0 ~ 9、スペース、._-:/()#,@[]+=;{}!$* です。

セキュリティグループルールを作成する際、AWS により、一意の ID がそのルールに割り当てられる。このルールの ID は、API または CLI を使用してルールを変更または削除する際に使用する。

ルールに送信元または送信先としてセキュリティグループを指定する場合、ルールはセキュリティグループに関連付けられているすべてのインスタンスに影響する。着信トラフィックは、ソースセキュリティグループに関連付けられたインスタンスのプライベート IP アドレスに基づいて許可される (パブリック IP アドレスまたは Elastic IP アドレスは考慮されない)。

セキュリティグループルールが、同じ VPC またはピア VPC 内の削除されたセキュリティグループを参照している場合、または VPC ピアリング接続が削除されたピア VPC のセキュリティグループを参照している場合は、古いルールとしてマークされる。

特定のポートに複数のルールがある場合、Amazon EC2 が最も許容度の大きいルールを適用する。

ルールを追加、更新、または削除すると、セキュリティグループに関連付けられたすべてのインスタンスにこの変更が自動的に適用される。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト - アソシエイト 改訂第2版 amazon.co.jpamazon.co.jp