Elastic Compute Service (ECS) コンソールでセキュリティグループルールを追加した後、ルールの詳細を表示し、セキュリティグループのヘルスチェックを実行して冗長なルールを特定できます。 これにより、セキュリティグループの構成が簡素化され、管理作業負荷が軽減され、ネットワーク管理が容易になり、セキュリティの脆弱性によるリスクが軽減されます。 このトピックでは、ECSコンソールでセキュリティグループルールを表示し、セキュリティグループに対してヘルスチェックを実行して冗長ルールを識別する方法について説明します。
単一のセキュリティグループのルールを表示する
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
ルールを表示するセキュリティグループを見つけ、[操作] 列の [ルールの管理] をクリックします。
表示するルールの種類に基づいてタブをクリックします。
セキュリティグループのネットワークタイプがVirtual Private Cloud (VPC) の場合、[インバウンド] または [アウトバウンド] タブをクリックします。
セキュリティグループのネットワークタイプがクラシックネットワークの場合、[Internet Ingress] 、[Internet Egress] 、[Inbound] 、または [Outbound] タブをクリックします。
説明ルールリストの上の検索ボックスに、セキュリティグループルールを検索するポートまたは権限付与オブジェクトを入力します。
ECSインスタンスに関連付けられている複数のセキュリティグループのすべてのルールを表示する
ECSインスタンスを複数のセキュリティグループに追加する場合は、次の手順を実行して、インスタンスに関連付けられているすべてのインバウンドまたはアウトバウンドセキュリティグループルールを表示します。
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
ECSインスタンスの [インスタンスの詳細] ページに移動し、インスタンスに関連付けられているすべてのインバウンドまたはアウトバウンドセキュリティグループルールを表示します。
セキュリティグループルールを表示するインスタンスを検索し、インスタンスIDをクリックして [インスタンスの詳細] ページに移動します。
[セキュリティグループ] タブをクリックし、[内部インバウンドルール] または [内部アウトバウンドルール] タブをクリックして、ルールの詳細を表示します。
セキュリティグループ内の冗長ルールの特定
セキュリティグループでヘルスチェックを実行して、セキュリティグループ内の冗長なルールを特定できます。 ルールAがルールBよりも低い優先度を有し、ルールBがルールaのすべての条件を含む場合、ルールAは冗長ルールであると見なされる。 冗長なルールが存在する場合は、ルールの数が上限に達しないように、ルールを削除することを推奨します。
各セキュリティグループには限られた数のルールを含めることができ、ECSインスタンス上の各elastic network interface (ENI) は限られた数のセキュリティグループルールに関連付けることができます。 セキュリティグループルールの制限とクォータの詳細については、「制限」トピックのセキュリティグループの制限を参照してください。
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、リソースが属するリージョンとリソースグループを選択します。
管理するセキュリティグループを見つけて、[操作] 列の [ルールの管理] をクリックします。
[アクセスルール] セクションで、
をクリックします。 [ヘルスチェック] ダイアログボックスで、冗長なルールが存在するかどうかを確認します。
次の図は、セキュリティグループに2つの冗長ルールが含まれていることを示しています。
冗長なルールを選択し、[OK] をクリックしてルールを削除します。
参考資料
次のAPIを呼び出してセキュリティグループルールを照会することもできますDescribeSecurityGroupAttribute