Elastic Compute Service (ECS) コンソールで基本セキュリティグループの内部アクセス制御ポリシーを変更して、セキュリティグループ内の内部ネットワークを介したECSインスタンス間の相互接続を許可または制限し、ネットワークセキュリティを強化できます。
背景情報
基本セキュリティグループの [内部アクセス制御ポリシー] パラメーターが [グループ内インターワーキング] に設定されている場合、セキュリティグループは内部相互接続ポリシーを使用し、セキュリティグループ内のすべてのECSインスタンスは、セキュリティグループにカスタムルールが存在するかどうかに関係なく、内部ネットワークを介して相互に通信できます。
基本セキュリティグループの内部アクセス制御ポリシーパラメーターがグループ分離に設定されており、セキュリティグループにカスタムルールが含まれていない場合、セキュリティグループは内部分離ポリシーを使用し、セキュリティグループ内のすべてのECSインスタンスは内部ネットワークを介して相互に通信できません。
デフォルトでは、高度なセキュリティグループは内部分離ポリシーを使用し、各高度なセキュリティグループのECSインスタンスは相互に通信できません。 高度なセキュリティグループの内部アクセス制御ポリシーは変更できません。
内部分離ポリシーは、ECSインスタンスではなく、elastic network Interface (ENI) を分離します。 複数のENIがECSインスタンスにバインドされている場合、各ENIが属するセキュリティグループの内部分離ポリシーを設定する必要があります。 詳細については、「セキュリティグループでのENIの管理」をご参照ください。
次のシナリオでは、同じセキュリティグループ内のインスタンスは、内部分離ポリシーに関係なく相互に通信できます。
インスタンスは複数のセキュリティグループを共有し、内部分離ポリシーは1つ以上のセキュリティグループに設定されていません。
アクセス制御リスト (ACL) は、セキュリティグループ内のインスタンス間の相互アクセスを許可するように構成されています。
詳細については、「基本および高度なセキュリティグループ」をご参照ください。
手順
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
[セキュリティグループリスト] ページで、内部アクセス制御ポリシーを変更するセキュリティグループを見つけ、セキュリティグループIDをクリックします。
[基本情報] セクションで、[内部アクセス制御ポリシーの変更] をクリックし、[内部アクセス制御ポリシー] を [グループ内インターワーキング] または [グループ分離] に設定します。
[内部アクセス制御ポリシーの変更] メッセージで、[OK] をクリックします。
例:
この例では、Group1とGroup2は基本的なセキュリティグループです。 ECS1、ECS2、およびECS3はECSインスタンスです。 次の図は、インスタンスとセキュリティグループの関係を示しています。
Group1にはECS1とECS2が含まれ、内部分離ポリシーを使用します。
Group2はECS2とECS3を含み、デフォルトの内部相互接続ポリシーを使用します。
次の表は、インスタンスが相互に通信できるかどうかを示しています。
インスタンス | 隔離 | 説明 |
ECS1 と ECS2 | 可 | ECS1とECS2はGroup1に属します。 Group1は内部分離ポリシーを使用します。 ECS1およびECS2は互いに分離されている。 |
ECS2 と ECS3 | 任意 | ECS2とECS3はGroup2に属します。 Group2は、デフォルトの内部相互接続ポリシーを使用します。 ECS2とECS3は互いに通信することができる。 |
ECS1 と ECS3 | 可 | ECS1 と ECS3 は異なるセキュリティグループに属します。 デフォルトでは、異なるセキュリティグループ内のインスタンスは互いに分離されています。 ECS1とECS3は互いに通信できません。 |
参考資料
基本的なセキュリティグループの内部アクセス制御ポリシーを変更するには、次のAPIを呼び出しますModifySecurityGroupPolicy