すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:セキュリティグループでのECSインスタンスの管理

    ドキュメントセンター

    Elastic Compute Service:セキュリティグループでのECSインスタンスの管理

    最終更新日:Aug 23, 2024

    セキュリティグループは、Elastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できる仮想ファイアウォールとして機能します。 ビジネス要件に基づいて、ECSインスタンスを1つ以上のセキュリティグループに追加できます。 インスタンスが属するセキュリティグループを変更することもできます。

    制限事項

    • ECSインスタンスは、少なくとも1つのセキュリティグループに属している必要があります。 デフォルトでは、ECSインスタンスを最大5つのセキュリティグループに追加できます。 詳細については、「制限」トピックのセキュリティグループの制限セクションを参照してください。

    • ECSインスタンスとインスタンスを追加するセキュリティグループは、同じネットワークタイプを使用する必要があります。 ECSインスタンスとセキュリティグループがすべてVirtual Private Cloud (VPC) ネットワークタイプを使用している場合、それらは同じVPCに属している必要があります。

    • セキュリティグループは、基本セキュリティグループと高度セキュリティグループに分類されます。 各ECSインスタンスは、同じタイプの複数のセキュリティグループにのみ追加できます。 詳細については、「基本的なセキュリティグループと高度なセキュリティグループ」をご参照ください。

    セキュリティグループへのECSインスタンスの追加、ECSインスタンスの削除、またはECSインスタンスのセキュリティグループの置き換え

    ECSインスタンスのセキュリティグループがビジネス要件を満たしていない場合、インスタンスを特定のセキュリティグループに追加するか、特定のセキュリティグループからインスタンスを削除するか、インスタンスのセキュリティグループを置き換えることができます。

    既存のECSインスタンスのセキュリティグループの管理

    1. ECSコンソールにログインします。

    2. 左側のナビゲーションペインで [インスタンスとイメージ] > [インスタンス] を選択します。

    3. 上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。 地域

    4. [インスタンス] ページで、管理する1つ以上のECSインスタンスを見つけ、ビジネス要件に基づいて、インスタンスを特定のセキュリティグループに追加または削除するか、インスタンスのセキュリティグループを置き換えます。

      • 単一のECSインスタンスのセキュリティグループの管理

        管理するECSインスタンスを見つけ、[操作] 列で 图标> [ネットワークとセキュリティグループ] > [セキュリティグループの変更] を選択します。 次に、画面上の指示に従って、後続の操作を実行します。

      • 複数のECSインスタンスのセキュリティグループの管理

        管理するECSインスタンスを検索し、ページ下部の [詳細] > [ネットワークとセキュリティグループ] > [セキュリティグループに追加][セキュリティグループから削除] 、または [セキュリティグループの置換] を選択します。 次に、画面上の指示に従って、後続の操作を実行します。

    インスタンスの作成時にECSインスタンスをセキュリティグループに追加する

    ECSインスタンスを作成するときに、インスタンスを1つ以上のセキュリティグループに追加できます。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

    セキュリティグループへのECSインスタンスの追加または削除

    1. ECSコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ネットワーク&セキュリティ > セキュリティグループを選択します。

    3. 上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。 地域

    4. 管理するセキュリティグループを見つけ、[操作] 列で image /> [インスタンスの管理] を選択します。

    5. [ECSインスタンス] タブで、セキュリティグループにECSインスタンスを追加するか、セキュリティグループからECSインスタンスを削除します。

      image

    ECSコンソールでECSインスタンスを作成するときにデフォルトのセキュリティグループを使用する

    ECSコンソールでECSインスタンスを作成し、使用可能なセキュリティグループがない場合、システムはデフォルトのセキュリティグループを作成します。 この場合、ビジネス要件に基づいて、デフォルトのセキュリティグループで開くIPv4ポートとプロトコルを選択できます。

    image

    ECSインスタンスの作成方法については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

    デフォルトのセキュリティグループの属性

    次のセクションでは、各デフォルトのセキュリティグループの属性について説明します。

    • セキュリティグループタイプ: 基本セキュリティグループ。

    • ネットワークタイプ: 作成されたECSインスタンスのネットワークタイプと同じです。

    • デフォルトのセキュリティグループルール:

      • セキュリティグループルールの優先度は100です。

        説明

        5月27日より前に作成されたデフォルトのセキュリティグループルールの優先度は110 2020。

      • ルールの説明:

        • アウトバウンド: デフォルトでは、すべてのアウトバウンドアクセスが許可されています。 デフォルトセキュリティグループ内のECSインスタンスからのすべてのアウトバウンドトラフィックが許可されています。

        • インバウンド: デフォルトでは、ポート22ポート3389のインバウンドICMPアクセスとインバウンドアクセスのみが許可されます。 HTTPポート80およびHTTPSポート443でのインバウンドアクセスを許可するかどうかを指定できます。 ECSインスタンスを使用してWebサイトを構築する場合、HTTPポート80およびHTTPSポート443へのアクセスを許可する必要があります。

    [セキュリティグループページに表示されるデフォルトのセキュリティグループ]

    ECSコンソールの [セキュリティグループページ] にセキュリティグループが表示され、[システムが作成したセキュリティグループ] に似た説明がある場合、そのセキュリティグループはデフォルトのセキュリティグループです。

    image

    • デフォルトのセキュリティグループルールに加えてセキュリティグループルールを追加または変更して、インバウンドおよびアウトバウンドトラフィックを制御し、デフォルトのセキュリティグループとインスタンスおよびelastic network Interface (ENI) との関連付けをよりきめ細かく管理できます。

    • デフォルトのセキュリティグループルールがビジネス要件を満たしていない場合は、カスタムセキュリティグループを作成し、新しいセキュリティグループルールを設定してから、ルールをECSインスタンスまたはENIに関連付けることができます。 詳細については、「セキュリティグループの作成」をご参照ください。