セキュリティグループ機能

対象リージョン:東日本第1/第2、西日本第1/第2

仮想サーバに接続されたポートに対してパケットフィルタリングを行うため、ルール設定をグルーピングして定義および設定することのできるセキュリティグループ機能を提供します。

セキュリティグループには複数のルールを設定できます。1つのポートに設定されたセキュリティグループのうち、どれか1つでもルールにマッチしたパケットは通信が許可され、それ以外の通信は遮断されます。(ホワイトリスト方式、OR条件)

注: セキュリティグループは、仮想ルータおよびDHCPサーバが持つポートには設定できません。

セキュリティグループの作成

ポートには受信側の通信を遮断し、送信側の通信は許可するデフォルトセキュリティグループが設定されます。そこで、セキュリティグループを作成し、必要に応じて通信を許可するルールを設定します。

表 1. セキュリティグループ設定項目一覧
項目 説明 必須
セキュリティグループ名 セキュリティグループを識別するための名称  
説明 作成するセキュリティグループに関する説明文  

デフォルトルール

セキュリティグループを作成した時点でのデフォルトルールを、以下に示します。

表 2. セキュリティグループ作成時のデフォルトルール
方向 通信相手 プロトコル種別 IPバージョン
アウトバウンド (Egress) すべて すべて IPv4
アウトバウンド (Egress) すべて すべて IPv6

ルールの作成

パケットフィルタリングを行うルールは以下の項目で構成されます。複数のルールを1つのセキュリティグループに登録できます。

ヒント: お互いにセキュリティグループが使える仮想サーバ同士の通信の場合、基本的に通信相手をセキュリティグループIDで指定することを推奨します。
表 3. セキュリティグループ ルール設定項目一覧
項目 説明 必須
セキュリティグループID ルールを登録するセキュリティグループのID
通信方向 インバウンド (Ingress) またはアウトバウンド (Egress)
IPバージョン IPv4  
通信相手

インバウンドの場合は送信元、アウトバウンドの場合は送信先

以下のどちらかの形式で指定します。

  • CIDR形式のIPアドレス
  • セキュリティグループ
注:

セキュリティグループを指定した場合

指定したセキュリティグループが設定されている、すべてのポートのIPアドレスが対象になります。

なお、それらのポートに「通信許可するアドレスペア」が存在する場合は、アドレスペアのIPアドレスも対象になります。

 
プロトコル情報

IPプロトコル

以下のどれかを指定します。

  • tcp
  • udp
  • icmp
開始ポート番号

プロトコル情報に対応する開始ポート番号

単一のポートとしたい場合は、開始ポート番号と終了ポート番号に同一の値を指定します。

注: 開始ポート番号に0を指定するとすべてのポートが通信許可となるため、0は指定しないでください。
 
終了ポート番号 プロトコル情報に対応する終了ポート番号  
アベイラビリティゾーン名

ルールを作成するアベイラビリティゾーン名

省略した場合は、デフォルトのアベイラビリティゾーンに作成されます。

 
図: セキュリティグループのルール設定例

デフォルトセキュリティグループ

ポートを作成する際にセキュリティグループ設定を省略した場合は、プロジェクトに作成されるデフォルトのセキュリティグループが自動設定されます。

デフォルトセキュリティグループの初期ルール設定は、以下のとおりです。

表 4. デフォルトセキュリティグループのルール
方向 通信相手 プロトコル種別 IPバージョン
Egress すべて すべて IPv4
Ingress 自セキュリティグループ すべて IPv4
ヒント:
  • デフォルトセキュリティグループのセキュリティグループ名は「default」です。
  • デフォルトセキュリティグループに対して、ルールを追加で設定できます。