Elastic Compute Service (ECS) インスタンスの作成を簡素化するため、ECSインスタンスの作成時にセキュリティグループを指定しない場合、Alibaba Cloudはデフォルトのセキュリティグループルールを含むデフォルトのセキュリティグループを作成します。 このトピックでは、デフォルトのセキュリティグループの作成条件と機能、およびデフォルトのセキュリティグループの使用方法について説明します。
デフォルトのセキュリティグループ
ECSインスタンスの作成時にセキュリティグループを指定しない場合、Alibaba Cloudはインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループが存在しない場合、または既存のデフォルトのセキュリティグループが追加のECSインスタンスに対応できない場合、Alibaba Cloudはデフォルトのセキュリティグループを作成し、作成したセキュリティグループにインスタンスを追加します。 仮想プライベートクラウド (VPC) に存在するセキュリティグループは、VPCでのみ使用できます。 デフォルトのセキュリティグループがVPCに存在せず、セキュリティグループを指定せずにVPCにECSインスタンスを作成した場合、Alibaba CloudはVPCにデフォルトのセキュリティグループを作成します。
デフォルトセキュリティグループは基本的なセキュリティグループです。 基本的なセキュリティグループの詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。 デフォルトのセキュリティグループでセキュリティグループルールを作成および変更できます。 デフォルトのセキュリティグループには、デフォルトのインバウンドセキュリティグループルールが含まれます。 次の表に、セキュリティグループルールを示します。
プロトコルタイプ
ポート範囲
権限付与オブジェクト
優先度
Action
SSH
22/22
0.0.0.0/0
100
許可
RDP
3389/3389
0.0.0.0/0
100
許可
ICMP(IPv4)
-1/-1
0.0.0.0/0
100
許可
デフォルトのセキュリティグループには、SSHポート22およびリモートデスクトッププロトコル (RDP) ポート3389のすべてのIPアドレスからのTCPアクセスを許可するデフォルトのインバウンドセキュリティグループルールが含まれています。
デフォルトのセキュリティグループには、すべてのポートのすべてのIPアドレスからのICMP (IPv4) アクセスを許可するデフォルトのインバウンドセキュリティグループルールが含まれています。
重要ECSインスタンスの初回作成を簡素化するために、デフォルトセキュリティグループが提供されています。 デフォルトのセキュリティグループのデフォルトのセキュリティグループルールは、SSHポート22とRDPポート3389のすべてのIPアドレス (0.0.0.0/0) からのTCPアクセスを許可し、すべてのポートのすべてのIPアドレスからのICMP (IPv4) アクセスを許可します。 これにより、セキュリティリスクが発生し、ECSインスタンスがブルートフォース攻撃にさらされます。 セキュリティ上の理由から、特定のIPアドレスからのアクセスのみを許可するようにセキュリティグループルールを設定することを推奨します。 また、デフォルトのセキュリティグループルールを使用する代わりに、ビジネス要件に基づいてカスタムセキュリティグループを作成するか、デフォルトのセキュリティグループのデフォルトのセキュリティグループルールを変更することをお勧めします。
デフォルトのセキュリティグループの作成
APIを呼び出してECSインスタンスを作成するときにデフォルトのセキュリティグループを使用する
CreateInstance操作を呼び出してECSインスタンスを作成するときにセキュリティグループを指定しない場合、Alibaba Cloudは作成されたインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループが存在しない場合、または既存のデフォルトのセキュリティグループが追加のECSインスタンスに対応できない場合、Alibaba Cloudはデフォルトのセキュリティグループを作成し、作成したセキュリティグループにインスタンスを追加します。
RunInstancesを呼び出してECSインスタンスを作成する場合は、既存のセキュリティグループを指定する必要があります。
5月27日より前に作成されたデフォルトのセキュリティグループルールの優先度は110 2020。
ECSコンソールでECSインスタンスを作成するときにデフォルトのセキュリティグループを使用する
ECSコンソールのインスタンス購入ページの [クイック起動] タブでECSインスタンスを作成すると、Alibaba Cloudはインスタンスをデフォルトのセキュリティグループに追加します。 デフォルトのセキュリティグループが存在しない場合、または既存のデフォルトのセキュリティグループが追加のECSインスタンスに対応できない場合、Alibaba Cloudはデフォルトグループを作成し、作成したセキュリティグループにインスタンスを追加します。