Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
31
Help us understand the problem. What is going on with this article?
@leomaro7

Amazon EC2 セキュリティグループ

1.セキュリティグループとは?

・Amazon EC2 インスタンスに適用可能なAWS標準のファイアウォール機能であり、EC2インスタンスへのアクセスを"許可"したり、トラフィックを"制御"することができます。

2.注意点

  • インバウンド:未設定の場合通信は全て遮断し、許可した通信のみを通過させます。 *デフォルトですべて拒否
  • アウトバウンド:自動的にデフォルトのセキュリティグループが適用されます。 *デフォルトですべて許可

EC2インスタンス起動時にセキュリティグループを指定しなかった場合、インスタンスは自動的にこのデフォルトのセキュリティグループで起動されてしまうので必ず、設定は確認するようにしましょう。

参考:セキュリティグループのルールのリファレンス

  • 重複した制限は緩い方が優先される。許可されたインバウンドに対する応答(戻りのトラヒック)はアクトバウンドで制限があっても、通過することができる。

3.設定方法

AWS EC2インスタンス一覧の画面を開き、左メニューにある「セキュリティグループ」より、作成や編集をすることができます。
スクリーンショット 2018-08-28 21.37.21.png

4.セキュリティを高める

・必要なポートだけを開放する。
・SSHやRDPなどサーバ管理を行うプロトコルは指定IPアドレスのみからのアクセスを許可する。

5.NACL

  • セキュリティグループは、EC2ごとにファイヤーウォールを設定する、ステートフル。
  • NACLは、サブネットごとにファイヤーウォールを設定する、ステートレス。

なので、NACLはインバウンドもアウトバウンドも許可/拒否する設定をしなければいけない。
スクリーンショット 2019-02-10 12.17.47.png

NACLとセキュリティグループはどちらが優先されるのか?
スクリーンショット 2021-03-29 18.38.46.png
この図の通り、例えば外部からの通信がある場合、セキュリティグループで許可されていても、NACLで拒否されていれば通信できないこととなる。

31
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
leomaro7
AWS 認定 ソリューションアーキテクト – アソシエイト AWS 認定 SysOps アドミニストレーター – アソシエイト AWS 認定 デベロッパー – アソシエイト AWS 認定 クラウドプラクティショナー Linuc1

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
31
Help us understand the problem. What is going on with this article?