Security Group
セキュリティグループ_
AWSの機能
EC2などVPC上に構築したリソースに対してトラフィックを制御できる仮想ファイアウォール
VPCが提供している機能の1つ
ステートフルな通信制御をする
構造的にはIAMグループと近く、グループを作っただけでは意味がなく、なにかにアタッチされて初めて機能する
Security GroupとネットワークACLの違い
2方向とも制御できる
インバウンド
外部からAWSリソースへの通信
アウトバウンド
AWSリソースから外部への通信
参考
/mrsekut-book-4815615497/293 (9.4 関連するAWSサービス(ネットワーク, ファイアウォール構成))
/mrsekut-book-4296202049/114 (4-2 ファイアウォールを設定する)
#wip
セキュリティグループとVPCは1対1の対応関係を持つ
/mrsekut-book-4815615497/294 (9.4.2 セキュリティグループの利用料金)
ソース
制御したい通信のネットワークアドレス
インバウンドなら、どこから来た通信かを表すもの
他のSecurity Group IDも指定できる
/mrsekut-book-4815615497/295の図がわかりやすい
Security Group ID
sg-xxx..
Perplexity.ai.icon
特徴
デフォルトのセキュリティグループが適用されるが、追加のセキュリティグループを作成可能であり、それぞれのVPC内のリソースに適用されます。
セキュリティグループはIPアドレス管理や通信ルールの設定を行うことができます
設定上の注意
インバウンド通信が未設定の場合は通信を全て遮断し、許可した通信のみを通過させます。
アウトバウンド通信はデフォルトで全て許可されるため、必要に応じて設定を確認する必要があります
セキュリティを高める方法
必要なポートだけを開放することで不要な通信を制限する。
サーバ管理プロトコル(例: SSHやRDP)は特定IPアドレスからのアクセスのみを許可することでセキュリティを向上させる
routing tableとの違い
https://www.bit-drive.ne.jp/managed-cloud/column/column_31.html
インスタンス側からセキュリティグループを見る
あるEC2のインスタンスがあって、それに関するセキュリティグループを見たい時
EC2のインスタンスのページへ行く
ページ下部の「セキュリティ」タブを開くと、そこにセキュリティグループへのリンクがある