セキュリティグループ機能

仮想サーバに接続されたポートに対してパケットフィルタリングを行うため、ルール設定をグルーピングして定義および設定することのできるセキュリティグループ機能を提供します。

セキュリティグループには複数のルールを設定できます。1つのポートに設定されたセキュリティグループのうち、どれか1つでもルールにマッチしたパケットは通信が許可され、それ以外の通信は遮断されます。(ホワイトリスト方式、OR条件)

注: セキュリティグループは、仮想ルータおよびDHCPサーバが持つポートには設定できません。

セキュリティグループの作成

ポートには受信側の通信を遮断し、送信側の通信は許可するデフォルトセキュリティグループが設定されます。そこで、セキュリティグループを作成し、必要に応じて通信を許可するルールを設定します。

以下の項目を指定して、セキュリティグループを作成します。

表 1. セキュリティグループ設定項目一覧
項目 説明 必須
セキュリティグループ名 セキュリティグループを識別するための名称を指定する  
説明 作成するセキュリティグループに関する説明文を記述する  

デフォルトルール

セキュリティグループを作成した時点でのデフォルトルールを、以下に示します。

表 2. セキュリティグループ作成時のデフォルトルール
方向 通信相手 プロトコル種別 IPバージョン
アウトバウンド (Egress) すべて すべて IPv4
アウトバウンド (Egress) すべて すべて IPv6

ルールの作成

パケットフィルタリングを行うルールは以下の項目で構成されます。複数のルールを1つのセキュリティグループに登録できます。

ヒント: お互いにセキュリティグループが使える仮想サーバ同士の通信の場合、基本的に通信相手をセキュリティグループIDで指定することを推奨します。

以下の項目を指定して、ルールを作成します。

表 3. セキュリティグループ ルール設定項目一覧
項目 説明 必須
セキュリティグループID ルールを登録するセキュリティグループのIDを指定する
通信方向 インバウンド (Ingress) またはアウトバウンド (Egress) を指定する
IPバージョン IPv4で指定する  
通信相手

インバウンドの場合は送信元、アウトバウンドの場合は送信先を指定する。以下のどちらかの形式で指定する

  • CIDR形式のIPアドレス
  • セキュリティグループ

    注:

    セキュリティグループを指定した場合、通信相手には以下が設定されます。

    • 指定したセキュリティグループが設定されているポートのIPアドレス

      なお、ポートに「通信許可するアドレスペア」が設定されている場合は、アドレスペアとして指定されたIPアドレスも通信相手に設定されます。

 
プロトコル情報

以下のどれかを指定する

  • tcp
  • udp
  • icmp
開始ポート番号

プロトコル情報に対応する開始ポート番号を指定する

ヒント: 単一のポートとしたい場合は、開始ポート番号と終了ポート番号に同一の値を指定します。
警告: 開始ポート番号に0を指定するとすべてのポートが通信許可となるため、0は指定しないでください。
 
終了ポート番号 プロトコル情報に対応する終了ポート番号を指定する  
アベイラビリティゾーン名 ルールを作成するアベイラビリティゾーンを指定する。省略した場合は、デフォルトのアベイラビリティゾーンに作成される  

図: セキュリティグループのルール設定例

デフォルトセキュリティグループ

ポートを作成する際にセキュリティグループ設定を省略した場合は、プロジェクトに作成されるデフォルトのセキュリティグループが自動設定されます。

ヒント: デフォルトセキュリティグループのセキュリティグループ名は「default」です。

デフォルトセキュリティグループの初期ルール設定は、以下のとおりです。

ヒント: デフォルトセキュリティグループに対して、ルールを追加で設定できます。
表 4. デフォルトセキュリティグループのルール
方向 通信相手 プロトコル種別 IPバージョン
Egress すべて すべて IPv4
Ingress 自セキュリティグループ すべて IPv4