仮想プライベートクラウド (VPC) にElastic Compute Service (ECS) インスタンスを作成する場合、ECSインスタンスをデフォルトのセキュリティグループまたはVPC内の既存のセキュリティグループに追加できます。 セキュリティグループは、ECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールとして機能します。
このトピックでは、さまざまなシナリオでVPCのECSインスタンスにセキュリティグループを設定する方法について説明します。
シナリオ1: ECSインスタンス間の通信を許可する
VPCのECSインスタンスが相互に通信する場合は、次の情報に注意してください。
- デフォルトでは、VPCの同じセキュリティグループ内のECSインスタンスは相互に通信できます。
- 異なるVPC内のECSインスタンスは互いに通信できません。 異なるVPCのECSインスタンスを接続するには、Express connect、VPN Gateway、またはCloud Enterprise Network (CEN) を使用してVPCを接続する必要があります。 次に、次の情報に基づいてセキュリティグループルールを設定し、ECSインスタンスが相互に通信できるようにします。
セキュリティグループルール 方向 Action プロトコルタイプとポート範囲 権限付与タイプ 承認済みオブジェクト VPC 1のECSインスタンスのセキュリティグループ設定 インバウンド 許可 Windows: RDP
3389/3389
CIDRブロック VPC 2のECSインスタンスのプライベートIPアドレス。説明 VPC 2のすべてのECSインスタンスがVPC 1のECSインスタンスと通信できるようにする場合は、0.0.0.0/0を入力します。インバウンド 許可 Linux: SSH
22/22
CIDRブロック インバウンド 許可 カスタマイズTCP
Custom
CIDRブロック VPC 2のECSインスタンスのセキュリティグループ設定 インバウンド 許可 Windows: RDP
3389/3389
CIDRブロック VPC 1のECSインスタンスのプライベートIPアドレス。説明 VPC 1のすべてのECSインスタンスがVPC 2のECSインスタンスと通信できるようにする場合は、0.0.0.0/0を入力します。インバウンド 許可 Linux: SSH
22/22
CIDRブロック インバウンド 許可 カスタマイズTCP
Custom
CIDRブロック
シナリオ2: 特定のIPアドレスまたは特定のポートからのアクセスを拒否する
VPC内のECSインスタンスへの特定のIPアドレスからのアクセスを拒否する場合、またはECSインスタンスの特定のポートへのアクセスを拒否する場合は、次の情報に基づいてセキュリティグループルールを設定できます。
| セキュリティグループルール | 方向 | Action | プロトコルタイプとポート範囲 | 権限付与タイプ | 承認済みオブジェクト |
| CIDRブロックからすべてのポートへのアクセスを拒否する | インバウンド | 拒否 | All -1/-1 | CIDRブロック | アクセスを拒否するCIDRブロック。 例: 10.0.0.1/32。 |
| CIDRブロックからTCPポート22へのアクセスを拒否する | インバウンド | 拒否 | SSH(22) 22/22 | CIDRブロック | アクセスを拒否するCIDRブロック。 例: 10.0.0.1/32。 |
シナリオ3: 特定のIPアドレスのみがECSインスタンスにリモートでログインできるようにする
VPC内のECSインスタンスがelastic IPアドレス (EIP) に関連付けられている場合、またはインターネットNATゲートウェイで設定されている場合、次のセキュリティグループルールを追加して、Windowsを実行するクライアントからのリモートログオン、またはLinuxを実行するクライアントからのSSHログオンを許可できます。
| セキュリティグループルール | 方向 | Action | プロトコルタイプとポート範囲 | 権限付与タイプ | 承認済みオブジェクト |
| Windowsクライアントからのリモートログインを許可する | インバウンド | 許可 | RDP 3389/3389 | CIDRブロック | ログインを許可するIPアドレス。 説明 すべてのパブリックIPアドレスがECSインスタンスにログインできるようにする場合は、0.0.0.0/0を入力します。 |
| LinuxクライアントからのSSHログインを許可する | インバウンド | 許可 | SSH 22/22 | CIDRブロック | ログインを許可するIPアドレス。 説明 すべてのパブリックIPアドレスがECSインスタンスにログインできるようにする場合は、0.0.0.0/0を入力します。 |
シナリオ4: インターネット経由でECSインスタンスにデプロイされたHTTPまたはHTTPSサービスへのアクセスをユーザーに許可する
VPCのECSインスタンスにWebサイトをデプロイし、ECSインスタンスがEIPまたはインターネットNATゲートウェイを使用してインターネットに接続するサービスを提供する場合、次のセキュリティグループルールを設定して、ユーザーがインターネット経由でWebサイトにアクセスできるようにします。
| セキュリティグループルール | 方向 | Action | プロトコルタイプとポート範囲 | 権限付与タイプ | 承認済みオブジェクト |
| HTTPポート80へのアクセスを許可する | インバウンド | 許可 | HTTP 80/80 | CIDRブロック | 0.0.0.0/0 |
| HTTPSポート443へのアクセスを許可する | インバウンド | 許可 | HTTPS 443/443 | CIDRブロック | 0.0.0.0/0 |
| TCPポート80へのアクセスを許可する | インバウンド | 許可 | TCP 80/80 | CIDRブロック | 0.0.0.0/0 |