セキュリティグループは仮想ファイアウォールとして機能し、ステートフルパケットインスペクション(SPI)とパケットフィルタリング機能を提供します。セキュリティグループを使用して、クラウド内にセキュリティドメインを定義できます。セキュリティグループルールを追加して、セキュリティグループ内のエラスティックコンテナインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。
セキュリティグループの概要
セキュリティグループは、同じ仮想プライベートクラウド(VPC)内に存在するインスタンスの論理的に分離されたグループです。セキュリティグループ内のすべてのインスタンスは相互に信頼され、同じセキュリティグループルールで保護されます。セキュリティグループルールは、セキュリティグループ内のエラスティックコンテナインスタンスのインターネットまたは内部ネットワークへのアクセス、またはインターネットまたは内部ネットワークからのアクセスを制御します。セキュリティグループの詳細については、概要を参照してください。
各セキュリティグループは、同じVPC内の複数のエラスティックコンテナインスタンスを管理できます。
各エラスティックコンテナインスタンスは、セキュリティグループに属している必要があります。
セキュリティグループは、基本セキュリティグループと高度なセキュリティグループに分類されます。ビジネスで多数のエラスティックコンテナインスタンスと高いO&M効率が必要な場合は、高度なセキュリティグループを使用することをお勧めします。基本セキュリティグループと比較して、高度なセキュリティグループはより多くのエラスティックコンテナインスタンスに対応でき、セキュリティグループルールをより簡単に構成できます。2種類のセキュリティグループの違いについては、基本セキュリティグループと高度なセキュリティグループを参照してください。
セキュリティグループの指定
エラスティックコンテナインスタンスを作成するときは、インスタンスにセキュリティグループを割り当てる必要があります。これにより、インスタンスがセキュリティグループに追加されます。セキュリティグループの作成方法については、セキュリティグループの作成を参照してください。
既存のエラスティックコンテナインスタンスのセキュリティグループを変更することはできません。別のセキュリティグループに属するエラスティックコンテナインスタンスを使用するには、そのセキュリティグループに同一のエラスティックコンテナインスタンスを作成します。
OpenAPI
CreateContainerGroup操作を呼び出してエラスティックコンテナインスタンスを作成するときに、SecurityGroupIdパラメーターを使用してセキュリティグループを指定できます。次の表にSecurityGroupIdパラメーターを示します。詳細については、CreateContainerGroupを参照してください。
パラメーター | タイプ | 例 | 説明 |
SecurityGroupId | String | sg-uf66jeqopgqa9hdn**** | セキュリティグループのID。 |
コンソールモード
エラスティックコンテナインスタンスコンソールの購入ページでエラスティックコンテナインスタンスを作成するときは、インスタンスのセキュリティグループを指定する必要があります。
セキュリティグループルールの追加
セキュリティグループ内のエラスティックコンテナインスタンスにセキュリティグループルールを追加できます。セキュリティグループルールは、インスタンスへのアクセスを制御します。例:
エラスティックコンテナインスタンスがセキュリティグループ外のサービスと通信する必要がある場合は、セキュリティグループルールを追加してサービス相互接続を実装できます。
リクエストソースによって実行された攻撃が検出された場合は、セキュリティグループルールを追加してソースからのアクセスをブロックできます。
詳細については、セキュリティグループルールの追加を参照してください。