Elastic Compute Service:セキュリティFAQ

セキュリティグループとは何ですか？

セキュリティグループは、1つ以上のECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。 セキュリティグループを使用して、クラウド内のセキュリティドメインを分割できます。

各 ECS インスタンスは、少なくとも 1 つのセキュリティグループに属している必要があります。 ECSインスタンスを作成するときは、インスタンスのセキュリティグループを指定する必要があります。 セキュリティグループは、基本セキュリティグループと高度セキュリティグループに分類されます。 詳細については、「セキュリティグループの概要」をご参照ください。

ECSインスタンスを作成するときにセキュリティグループを選択する必要があるのはなぜですか。

ECSインスタンスを作成する前に、セキュリティグループを使用してアプリケーション環境をセキュリティドメインに分割し、セキュリティグループルールを設定してセキュリティドメインへのアクセスを制御する必要があります。

ECSインスタンスの作成時にセキュリティグループを選択しなかった場合、インスタンスは自動的にデフォルトのセキュリティグループに割り当てられます。 デフォルトのセキュリティグループから作成したセキュリティグループにインスタンスを移動することを推奨します。

セキュリティグループを作成しませんでした。 引き続きECSインスタンスを作成できますか。

はい。セキュリティグループを作成していない場合は、ECSインスタンスを作成できます。 ECSインスタンスの作成時にセキュリティグループを作成していない場合、インスタンスは自動的にデフォルトのセキュリティグループに割り当てられます。 デフォルトのセキュリティグループは、TCPポート22やRDPポート3389などの共通ポートでトラフィックを許可します。

ECSインスタンスをセキュリティグループに追加すると、セキュリティグループルールの最大数に達したことを示すメッセージが表示されるのはなぜですか。

次の式を使用して、ECSインスタンスに関連付けることができるセキュリティグループルールの最大数 (インスタンスのプライマリENIに関連付けることができるセキュリティグループルールの最大数) を計算できます。インスタンスが属するセキュリティグループの最大数 × 各セキュリティグループ内のセキュリティグループルールの最大数。

次のエラーメッセージが表示された場合、インスタンスに関連付けることができるセキュリティグループルールの最大数に達しています。インスタンスで有効になるセキュリティグループルールの最大数に達したため、操作を実行できません。 別のセキュリティグループを選択することを推奨します。

VPCタイプのECSインスタンスが属するセキュリティグループの最大数を調整した場合、調整は後で作成されるセキュリティグループに対してのみ有効になりますか。

いいえ。セキュリティグループの作成時期に関係なく、VPCタイプのECSインスタンスが属するすべてのセキュリティグループに対して調整が有効になります。

デフォルトのセキュリティグループルールはどのようなシナリオで使用できますか?

デフォルトのセキュリティグループルールは、次のシナリオで使用できます。

• ECSコンソールでリージョンにECSインスタンスを初めて作成したときにセキュリティグループを作成していない場合は、システムが作成したデフォルトのセキュリティグループを選択できます。 デフォルトのセキュリティグループは基本的なセキュリティグループです。 デフォルトのセキュリティグループには、デフォルトのセキュリティグループルールが含まれています。 デフォルトのセキュリティグループルールは、優先度が100で、すべてのCIDRブロック (0.0.0.0/0) へのアクセスを許可するインバウンドルールです。 このルールにより、すべてのポートでインバウンドインターネット制御メッセージプロトコル (ICMP) トラフィックが許可され、SSHポート22およびリモートデスクトッププロトコル (RDP) ポート3389でインバウンドTCPトラフィックが許可されます。 HTTPポート80およびHTTPSポート443でのインバウンドトラフィックを許可することもできます。 すべてのアウトバウンドトラフィックが許可されています。

• ECSコンソールでセキュリティグループを作成すると、システムはセキュリティグループにデフォルトのセキュリティグループルールを作成します。 デフォルトのセキュリティグループルールは、すべてのCIDRブロック (0.0.0.0/0) へのアクセスを許可するインバウンドルールです。 このルールでは、すべてのポートでインバウンドICMPトラフィックを許可し、SSHポート22、RDPポート3389、HTTPポート80、およびHTTPSポート443でインバウンドTCPトラフィックを許可します。

異なるセキュリティグループのECSインスタンスは、内部ネットワークを介して相互にどのように通信しますか。

デフォルトでは、同じアカウントまたは異なるアカウントの異なるセキュリティグループにあるECSインスタンスは、内部ネットワークを介して相互に分離されます。 異なるセキュリティグループ内のインスタンスが内部ネットワークを介して相互に通信できるユースケースの詳細については、「異なるユースケースのセキュリティグループ」トピックの [異なるセキュリティグループ内のインスタンスが相互に通信するためのセキュリティグループルール] セクションおよび [クラシックネットワーク内の異なるセキュリティグループに属するインスタンス間の内部ネットワークベースの相互接続を構成するためのベストプラクティス] を参照してください。

内部ネットワークを介して同じセキュリティグループ内のECSインスタンスを分離するにはどうすればよいですか。

デフォルトでは、同じ基本セキュリティグループ内のECSインスタンスは、すべてのプロトコルとポートで相互に通信できます。 基本的なセキュリティグループの内部アクセス制御ポリシーを変更して、セキュリティグループ内のECSインスタンスを分離できます。 詳細については、「基本セキュリティグループ内のネットワーク分離」をご参照ください。

同じECSインスタンス上の2つのENIのトラフィックを分離するにはどうすればよいですか。

2つのENIがECSインスタンスにバインドされている場合、セキュリティグループを使用してENIのトラフィックを分離することはできません。 セキュリティグループは仮想ネットワークデバイスで動作しますが、ECSインスタンスオペレーティングシステムでは動作しません。 デフォルトでは、同じECSインスタンス上の2つのENIのトラフィックは、インスタンスオペレーティングシステムでルーティングおよび転送され、セキュリティグループによって制御されません。 その結果、セキュリティグループを使用してENIのトラフィックを分離することはできません。

オペレーティングシステムの名前空間メカニズムを使用して、各ENIを個別の名前空間に追加できます。 このようにして、ENIのトラフィックはインスタンスオペレーティングシステムから転送され、セキュリティグループを通過します。セキュリティグループを使用してENIのトラフィックを分離できます。

セキュリティグループの設定後にサービスにアクセスできないのはなぜですか。

セキュリティグループにENIを追加するにはどうすればよいですか?

セキュリティグループからENIを削除し、ENIのセキュリティグループを変更することで、ENIを他のセキュリティグループに追加できます。 プライマリENIのセキュリティグループを変更するには、ENIがバインドされているECSインスタンスのセキュリティグループを変更します。 ENIの属性を変更することで、セカンダリENIが属するセキュリティグループを変更できます。 詳細については、「ENIの属性の変更」をご参照ください。

基本セキュリティグループを高度なセキュリティグループに変換したり、高度なセキュリティグループを基本セキュリティグループに変換したりできますか。

基本セキュリティグループを高度なセキュリティグループに変換したり、高度なセキュリティグループを基本セキュリティグループに変換したりすることはできません。 セキュリティグループを現在のタイプから他のタイプに変換する場合は、他のタイプのセキュリティグループを作成し、既存のセキュリティグループから新しいセキュリティグループにセキュリティグループルールを複製できます。 詳細については、セキュリティグループの作成、セキュリティグループルールのエクスポートとインポート、セキュリティグループでのECSインスタンスの管理、セキュリティグループでのENIの管理をご参照ください。

どのようなシナリオでセキュリティグループルールを追加する必要がありますか?

ECSインスタンスにアクセスできるように、次のシナリオでセキュリティグループルールを追加する必要があります。

• ECSインスタンスが属するセキュリティグループには、カスタムまたはデフォルトのセキュリティグループルールが含まれていません。 ECSインスタンスは、インターネットまたは同じリージョンの別のセキュリティグループにある別のECSインスタンスにアクセスする必要があります。

• ECSインスタンスにデプロイされたアプリケーションは、デフォルトのポートではなく、特定のポートまたはポート範囲を使用します。 この場合、アプリケーションが接続されているかどうかを確認する前に、指定したポートまたはポート範囲でのアクセスを許可する必要があります。 たとえば、NGINXをデプロイし、リスニングポートとしてTCPポート8000を指定したいが、セキュリティグループではポート80のみが許可されているとします。 NGINXにアクセスできるように、セキュリティグループルールを追加する必要があります。

• その他のシナリオについては、「異なるユースケースのセキュリティグループ」をご参照ください。

セキュリティグループルールのプロトコルタイプとポート範囲の関係を教えてください。

セキュリティグループルールをセキュリティグループに追加するときは、通信ポートまたはポート範囲を指定する必要があります。 セキュリティグループは、許可または拒否のルールに基づいて、ECSインスタンス宛てのトラフィックを許可するかどうかを決定できます。

セキュリティグループルールで承認オブジェクトとして指定されているIPアドレスとCIDRブロックの関係を教えてください。

IPアドレスは個別のIPアドレスです。 例: 192.168.0.100または2408:4321:180:1701:94c7:bc38:3bfa: 。 CIDRブロックはIPアドレス範囲です。 例: 192.168.0.0/24または2408:4321:180:1701:94c7:bc38:3bfa:***/128。

CIDRは、クラスa、B、およびCに基づく従来のスキームよりも効率的な方法でIPアドレスを割り当てることができるインターネットのアドレス指定スキームです。CIDR表記は、IPアドレスとIP範囲を示すために使用されます。 これは、IPアドレスとスラッシュと、それに続くネットワークプレフィックスのビット数を示す10進数で構成されます。

• 例1: CIDRブロックをIPアドレス範囲に変換する

  たとえば、10.0.0.0/8 CIDRブロックを32ビットバイナリIPアドレス00001010.00000000.00000000.00000000に変換できます。 このCIDRブロックでは、/8は8ビットのネットワークIDを表します。 32ビットバイナリIPアドレスの最初の8ビットは固定されており、対応するIPアドレスは00001010.00000000.000000.00000000から00001010.11111111.111111.11111111です。 上記のIPアドレスを10進数形式のIPアドレスに変換すると、10.0.0.0/8 CIDRブロックは、255.0.0.0のサブネットマスクを持つ10.0.0.0から10.255.255.255までのIPアドレスを示します。

• 例2: IPアドレス範囲をCIDRブロックに変換する

  たとえば、192.168.0.0から192.168.31.255までのIPアドレスの範囲があります。 最初と最後のIPアドレスの最後の2つの部分を00000000.00000000から00011111.11111111の2進数に変換できます。 最初の19 (8 × 2 + 3) ビットは固定である。 IPアドレスをCIDR形式のIPアドレスに変換すると、対応するCIDRブロックは192.168.0.0/19になります。

TCPポート25にアクセスできないのはなぜですか?

TCP ポート 25 は、デフォルトのメールサービスポートです。 セキュリティ上の理由から、ECSインスタンスのTCPポート25は無効になっています。 メール送信には、ポート 465 を使用することを推奨します。 詳細については、「異なるユースケースのセキュリティグループ」をご参照ください。

TCPポート80にアクセスできないのはなぜですか?

ポート80に関連する問題のトラブルシューティング方法については、インスタンスにデプロイされたサービスにアクセスできない場合はどうすればよいですか。.

セキュリティグループに複数の内部セキュリティグループルールが自動的に追加されるのはなぜですか。

次のいずれかのシナリオで、セキュリティグループルールがセキュリティグループに自動的に追加される場合があります。

• データ管理 (DMS) にアクセス.

• Alibaba Cloud data Transmission Service (DTS) を使用してデータを移行しました。 DTSサーバーのIPアドレスに関連付けられているセキュリティグループルールは、セキュリティグループに自動的に追加されます。

セキュリティグループルールが正しく設定されていない場合はどうなりますか?

セキュリティグループのインバウンドルールとアウトバウンドルールは別々にカウントされますか?

いいえ、セキュリティグループ内のインバウンドルールとアウトバウンドルールは一緒にカウントされます。 各セキュリティグループのインバウンドルールとアウトバウンドルールの合計数は200を超えることはできません。 詳細については、「制限事項」をご参照ください。

セキュリティグループに作成できるセキュリティグループルールの最大数を調整できますか。

いいえ、セキュリティグループに作成できるセキュリティグループルールの最大数を調整することはできません。 各セキュリティグループには、最大200のセキュリティグループルールを作成できます。 ECSインスタンスの各ENIは、最大5つのセキュリティグループに追加できます。 これにより、ECSインスタンスの各ENIを最大1,000のセキュリティグループルールに関連付けることができます。 この制限は、ほとんどの使用シナリオに適しています。

Cloud Firewallを有効にした場合は、VPCファイアウォールでアクセス制御ポリシーを設定して、VPC間のトラフィックを制御します。 これにより、必要なECSセキュリティグループルールが少なくなります。 VPCファイアウォールでアクセス制御ポリシーを設定する方法については、「VPCファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

作成したセキュリティグループルールはどのように優先されますか?

セキュリティグループルールの優先順位は1から100です。 数字が小さいほど、優先度が高くなります。

どのように禁止しますかRAMユーザーセキュリティグループルールを設定するには?

RAMユーザーがセキュリティグループルールを設定することを禁止するには、次のポリシーをRAMユーザーにアタッチします。 このポリシーは、セキュリティグループルールを設定するために呼び出すことができるAPI操作の使用を制限します。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ecs:AuthorizeSecurityGroup",
        "ecs:AuthorizeSecurityGroupEgress",
        "ecs:RevokeSecurityGroup",
        "ecs:RevokeSecurityGroupEgress" 、
        "ecs:ModifySecurityGroupRule" 、
        "ecs:ModifySecurityGroupEgressRule" 、
        "ecs:ModifySecurityGroupPolicy" 、
        "ecs:ModifySecurityGroupAttribute" 、
        "ecs:ConfigureSecurityGroupPermissions"
      ],
      "Resource": "*"
    }
  ]
}

• API操作の詳細については、「セキュリティグループの概要」をご参照ください。

• Alibaba Cloudアカウントを使用してRAMユーザーに権限を付与する方法については、「RAMユーザーへの権限付与」をご参照ください。

違法行為によりウェブサイトがブロックされ、修正が必要であるという通知を受け取った場合はどうすればよいですか?

有害なインターネット情報の記録を確認して、有害な情報、ペナルティアクション、ペナルティの理由、およびペナルティの期間を含むドメイン名またはURLを表示できます。 ドメイン名またはURLから有害な情報が消去されているか、ドメイン名またはURLに存在しないことを確認した場合、ドメイン名またはURLのブロック解除を申請できます。 詳細については、「」をご参照ください。有害なインターネット情報の表示.

Webサイトが悪意のある動作で罰せられるという通知を受け取った場合はどうすればよいですか?

ペナルティレコードをチェックして、ペナルティアクションの詳細、ペナルティの理由、およびペナルティの期間を表示できます。 ペナルティに同意しない場合は、控訴してください。 Alibaba Cloudがペナルティの控訴を受けた後、Alibaba Cloudはペナルティが正しいかどうかをチェックし、チェック結果に基づいてペナルティを維持または取り消します。 詳細については、「」をご参照ください。ペナルティリストを表示する.

リソースのクォータを表示するにはどうすればよいですか。

リソースの制限とクォータを表示する方法の詳細については、「制限」をご参照ください。