すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:セキュリティグループルール

最終更新日:Nov 08, 2024

セキュリティグループにカスタムセキュリティグループルールを作成して、セキュリティグループ内のElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。 セキュリティグループルールは、クラウドリソースへのアクセスを制御し、ネットワークセキュリティを向上させます。

セキュリティグループルールを使用する前に、次の項目に注意してください。

  • Virtual Private Cloud (VPC) タイプのセキュリティグループのセキュリティグループルールは、インバウンドルールとアウトバウンドルールに分類されます。 ルールは、インターネットと内部ネットワークの両方のトラフィックを制御します。 クラシックネットワークタイプのセキュリティグループ内のセキュリティグループルールは、インターネットイングレス (またはパブリックインバウンド) 、インターネットエグレス (またはパブリックアウトバウンド) 、内部インバウンド、および内部アウトバウンドルールに分類されます。 インターネット入口および出口規則は、インターネット上のトラフィックを制御する。 内部インバウンドルールとアウトバウンドルールは、内部ネットワーク上のトラフィックを制御します。

  • セキュリティグループはステートフルです。 セキュリティグループのセッションは最大910秒間持続できます。 同じセキュリティグループ内のECSインスタンスにアクセスでき、インスタンスでセッションが確立されている場合、セキュリティグループはセッション中に双方向のトラフィックを許可します。 例えば、セッション中の要求トラフィックが流入することが許可される場合、対応する応答トラフィックも流出することが許可される。

  • elastic network interface (ENI) に関連付けられているセキュリティグループルールを変更したり、ENIのセキュリティグループを変更して新しいセキュリティグループルールをENIに関連付けることができます。 新しいセキュリティグループルールと元のセキュリティグループルールに同じアクションが含まれている場合、ENIで既に確立されているセッションは影響を受けません。 基本セキュリティグループの内部接続ポリシーを使用してトラフィックを許可し、ENIの基本セキュリティグループを変更するときに既存のセッションに影響を与えたくない場合は、ENIまたは関連するECSインスタンスを新しい基本セキュリティグループに追加し、約10秒待ってから、元の基本セキュリティグループからENIまたはECSインスタンスを削除します。

  • デフォルトの電子メールサービスポートはTCPポート25です。 デフォルトでは、ECSインスタンスのTCPポート25はセキュリティを確保するためにブロックされています。 メールを送信するには、ポート465を使用することを推奨します。

  • セキュリティグループにセキュリティグループルールを作成する前に、セキュリティグループには表示されない既定のアクセス制御ルールが含まれていることに注意してください。 デフォルトのアクセス制御ルールと作成したカスタムセキュリティグループルールは、セキュリティグループ内のECSインスタンスのトラフィックを制御するために連携します。 基本セキュリティグループと高度セキュリティグループには、異なるデフォルトのアクセス制御ルールのセットがあります。 基本セキュリティグループの場合、デフォルトのインバウンドアクセスコントロールルールは、基本セキュリティグループ内のECSインスタンスからの内部ネットワーク経由のトラフィックのみを許可し、デフォルトのアウトバウンドアクセスコントロールルールはすべてのトラフィックを許可します。 高度なセキュリティグループの場合、デフォルトのアクセス制御ルールはトラフィックを許可しません。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。

  • 基本セキュリティグループの内部アクセス制御ポリシーは、セキュリティグループのデフォルトのアクセス制御ルールに影響します。 デフォルトでは、基本セキュリティグループは内部相互接続ポリシーを使用します。 このポリシーは、基本セキュリティグループ内のECSインスタンス間の内部ネットワーク上のインバウンドトラフィックとアウトバウンドトラフィックを許可します。 基本セキュリティグループ内のECSインスタンスが相互にアクセスする必要がない場合は、最小特権の原則に従ってセキュリティグループの内部分離ポリシーを設定することを推奨します。 詳細については、「基本セキュリティグループの内部アクセス制御ポリシーの変更」をご参照ください。

  • 複数のセキュリティグループに関連付けられているECSインスタンスの場合、セキュリティグループのすべてのセキュリティグループルールが自動的にソートされ、セキュリティグループのデフォルトのアクセス制御ルールと連携して、ECSインスタンスのトラフィックを制御します。 セキュリティグループルールは特定の順序で処理されます。 処理は、ルールが一致するまで続く。 詳細については、このトピックの「セキュリティグループルールの並べ替えポリシー」をご参照ください。

  • デフォルトでは、各セキュリティグループに最大200のセキュリティグループルールを含めることができます。 各セキュリティグループに含めることができるセキュリティグループルールの最大数と、ECSインスタンスを関連付けることができるセキュリティグループの最大数を変更できます。 詳細については、「制限」トピックのセキュリティグループの制限セクションを参照してください。 管理を容易にするために、各セキュリティグループのセキュリティグループルールを簡潔に保つことを推奨します。 セキュリティグループに対してヘルスチェックを実行して、冗長なセキュリティグループルールを特定できます。 詳細については、「セキュリティグループルールの表示」トピックの「セキュリティグループ内の冗長ルールの特定」をご参照ください。

各セキュリティグループルールの構成

カスタムセキュリティグループルールは、次の情報で構成されます。

  • プロトコルタイプ: プロトコルタイプ。 以下のプロトコルがサポートされている: TCP、ユーザデータグラムプロトコル (UDP) 、インターネット制御メッセージプロトコルバージョン4 (ICMPv4) 、ICMPバージョン6 (ICMPv6) 、および汎用ルーティングカプセル化 (GRE) 。

  • ポート範囲: 宛先ポート範囲。 TCPおよびUDPプロトコルの場合、ポート範囲を指定するときに、スラッシュ (/) を使用して開始ポート番号と終了ポート番号を区切ります。 例: 8000/9000と22/22。 他のプロトコルの場合、このパラメータは − 1 /− 1に設定される。 詳細については、「共通ポート」をご参照ください。

  • 権限付与オブジェクト: インバウンドルールのトラフィックの送信元またはアウトバウンドルールのトラフィックの送信先。 権限付与オブジェクトとして次の要素を指定できます。

    • IPv4アドレス。 例: 192.168.0.100。

    • IPv4 CIDRブロック。 例: 192.168.0.0/24。

    • IPv6 アドレス 例: 2408:4321:180:1701:94c7:bc38:3bfa:9。 指定するIPv6アドレスは標準化されています。 たとえば、2408:180:0000::1は2408:180::1に変換されます。

    • IPv6 CIDRブロック。 例: 2408:4321:180:1701::/64 指定したIPv6 CIDRブロックは標準化されています。 たとえば、2408:4321:180:0000::/64は2408:4321:180::/64に変換されます。

    • セキュリティグループID。 現在のアカウントまたは他のアカウントでセキュリティグループを指定できます。 セキュリティグループルールの承認オブジェクトとしてセキュリティグループIDを指定した場合、ルールは指定されたセキュリティグループ内のECSインスタンスの内部IPアドレスを使用して、内部ネットワーク上のトラフィックを制御します。 たとえば、セキュリティグループルールの承認オブジェクトとしてECSインスタンスBを含むセキュリティグループAを指定した場合、ルールは内部ネットワークを介したECSインスタンスBの内部IPアドレスへのアクセスまたは内部IPアドレスからのアクセスを制御します。

    • プレフィックスリストID。 プレフィックスリストは、1つ以上のネットワークプレフィックス (CIDRブロック) のセットです。 セキュリティグループルールの権限付与オブジェクトとしてプレフィックスリストを指定した場合、プレフィックスリストのエントリの最大数は、セキュリティグループのルールクォータに対してカウントされます。 詳細については、「プレフィックスリストの概要」をご参照ください。

  • Action: トラフィックに対して実行するアクション。 有効な値は、Allow および Deny です。 要求がセキュリティグループルールのプロトコル、ポート範囲、および承認オブジェクトの条件と一致する場合、ルールで指定したアクションが実行され、要求が許可または拒否されます。

  • Priority: ルールの優先度。 設定可能な値は 1~100 です。 数字が小さいほど、優先度が高くなります。 セキュリティグループルールは優先順位でソートされ、次にアクションでソートされます。 詳細については、このトピックの「セキュリティグループルールの並べ替えポリシー」をご参照ください。

  • 方向: インバウンドルールとアウトバウンドルールは、インバウンドトラフィックとアウトバウンドトラフィックを制御するためにサポートされています。

  • NICタイプ: ネットワークインターフェイスコントローラー (NIC) タイプは、クラシックネットワークタイプのセキュリティグループのセキュリティグループルールでのみサポートされます。 NICタイプを指定して、パブリックまたは内部セキュリティグループルールを設定できます。 パブリックセキュリティグループのルールは、インターネット上のトラフィックを制御し、クラシックネットワークにデプロイされているECSインスタンスのパブリックNICに有効になります。 内部セキュリティグループルールは、内部ネットワーク上のトラフィックを制御し、クラシックネットワークにデプロイされているECSインスタンスの内部NICに影響を与えます。 VPCタイプのセキュリティグループのセキュリティグループルールは、インターネットと内部ネットワークの両方のトラフィックを制御します。

  • ルールID: セキュリティグループルールを作成すると、システムはルールの一意のIDを生成します。 セキュリティグループルールを変更または削除するには、ルールIDを使用してルールを検索します。

要求がセキュリティグループルールのプロトコル、ポート範囲、および承認オブジェクトの条件と一致する場合、ルールで指定したアクションが実行され、要求が許可または拒否されます。 一般的なインバウンドルールが処理されると、トラフィックの送信元IPアドレスが許可オブジェクトと照合され、トラフィックの宛先ポート番号がポート範囲と照合されます。 一般的なアウトバウンドルールが処理されると、トラフィックの宛先IPアドレスが許可オブジェクトと照合され、トラフィックの宛先ポート番号がポート範囲と照合されます。 より詳細なアクセス制御を実装するには、セキュリティグループの5つのルールを使用することを推奨します。 詳細については、「セキュリティグループの5つのルール」をご参照ください。

セキュリティグループルールのソートポリシー

ECSインスタンスを1つ以上のセキュリティグループに関連付けることができます。 システムは、インスタンスに関連付けられているセキュリティグループルールに基づいて、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御します。 たとえば、次の手順を実行して、ECSインスタンスに関連付けられているインバウンドセキュリティグループルールを処理し、インスタンスへのインバウンドトラフィックを許可または拒否します。

  1. すべてのインバウンドセキュリティグループルールを収集し、優先順位とアクションでルールを並べ替えます。

    1. セキュリティグループルールを優先度の高い順に並べ替えます。 優先度の値が小さいルールほど優先度が高くなります。

    2. Actionパラメーターが [拒否] に設定されているセキュリティグループルールを、Actionパラメーターが [許可] に設定されているセキュリティグループルールの前にランク付けします。

  2. システムは、ルールのソート順序、プロトコルタイプ、ポート範囲、および承認オブジェクトに基づいて、ECSインスタンスに関連付けられているセキュリティグループルールとリクエストを照合します。 リクエストがルールと一致する場合、ルールで指定されたアクションが実行され、リクエストが許可または拒否されます。

カスタムセキュリティグループルールに加えて、セキュリティグループには、有効であるが非表示の既定のアクセス制御ルールが含まれています。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」トピックの既定のアクセス制御ルールセクションをご参照ください。

セキュリティグループの特別なルール

ECSインスタンスの安定性と特定のクラウド機能の可用性を確保するため、セキュリティグループは特定のシナリオで生成されるトラフィックを自動的に許可します。 トラフィックを拒否するようにセキュリティグループルールを設定することはできません。 セキュリティグループは自動的に次のトラフィックを許可します。

  • 特別な状況でのネットワーク接続チェックのトラフィック:

    ECSインスタンスの基盤となるコンポーネントが変更されると、Alibaba Cloudはオンデマンドのpingテストを実行してインスタンスのネットワーク接続を確認できます。 テストの精度を確保するために、セキュリティグループは自動的にpingトラフィックを認識して許可します。

  • ICMPパス最大伝送ユニット検出 (PMTUD) エラーパケット:

    ECSインスタンスから送信されたパケットがパス最大伝送単位 (MTU) を超え、Do n't Fragment (DF) フラグが設定されている場合、ECSインスタンスはパスMTUを含むICMPエラーパケットを受信します。 エラーパケットは、ECSインスタンスにパケットサイズの縮小を指示します。 セキュリティグループは、このようなエラーパケットを自動的に認識して許可します。 詳細については、「MTUおよびジャンボフレーム」をご参照ください。

  • Server Load Balancer (SLB) トラフィック:

    セキュリティグループは、Application Load Balancer (ALB) 、Network Load Balancer (NLB) 、Classic Load Balancer (CLB) インスタンスなどのSLBインスタンスを介してバックエンドECSインスタンスに転送されるトラフィックを自動的に認識して許可します。 この場合、ECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックは、SLBインスタンスのセキュリティグループまたはアクセスコントロールリスト (ACL) によって制御されます。

  • MetaServerアクセストラフィック:

    MetaServerは、ECSインスタンスに必要なメタデータサービスを提供します。 メタデータサービスは、ECSインスタンスを期待どおりに実行するための基本サービスです。 デフォルトでは、セキュリティグループは、追加のルールを必要とせずにMetaServerへのアウトバウンドトラフィックを許可し100.100.100.200。

セキュリティグループのユースケース

Alibaba Cloudは、webサイトへのwebサービスの提供やインスタンスへの接続など、一般的なシナリオでセキュリティグループルールを設定する方法の例を提供します。 詳細については、「異なるユースケースのセキュリティグループ」をご参照ください。

セキュリティグループルールの作成

セキュリティグループルールの管理方法については、「セキュリティグループルールの管理」をご参照ください。

セキュリティグループの 5 つのルール

ECSコンソールでセキュリティグループルールを設定する場合、次の制限があります。

  • インバウンドセキュリティグループルールでは、送信元IPアドレス、宛先ポート、およびプロトコルタイプのみを設定できます。

  • アウトバウンドセキュリティグループルールでは、宛先IPアドレス、宛先ポート、およびプロトコルタイプのみを設定できます。

ECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックに対してより詳細なアクセス制御を実装するには、セキュリティグループ5つのルールを使用することを推奨します。 5つのルールは、以下のパラメータ、すなわち、ソースIPアドレス、ソースポート、宛先IPアドレス、宛先ポート、およびプロトコルタイプを含む。 Quintupleルールは、既存のセキュリティグループルールと完全に互換性があります。

サンプルquintupleアウトバウンドルール:

Source IP address: 172.16.1.0/32
Source port: 22
Destination IP address: 10.0.0.1/32
Destination port: not specified
Protocol type: TCP

サンプルのアウトバウンドルールは、ポート22経由で172.16.1.0/32から10.0.0.1/32へのTCPアクセスが許可されていることを示しています。

次のAPI操作を呼び出して、5つのルールを設定できます。

説明

ECSコンソールでquintupleルールを設定するには、

チケットを起票します。