この記事では、AWSのセキュリティグループ(SG)について、なかなか理解できなかった部分があったので整理して解説していきます。
セキュリティグループとは?
セキュリティグループ(SG)は、AWSにおける通信ルールのまとまりです。EC2インスタンスなどに適用され、「誰がアクセスできるか」「どこへ通信できるか」を制御します。サーバーの前に立つ“門番”のような存在と考えるとイメージしやすいです。
- インバウンドルール:外部からインスタンスへの通信を制御
-
アウトバウンドルール:インスタンスから外部への通信を制御
引用:https://tech-camp.in/note/technology/14602/
インスタンスとIPアドレスの関係
インスタンスとはサーバー本体のことであり、IPアドレスはインスタンスに一時的に割り当てられる住所のようなものです。
AWSではインスタンスを再起動するとパブリックIPが変わることもあるため、インスタンスとIPは必ずしも固定ではありません。
(IPを固定したい場合は:Elastic IP を使用)
そのため、セキュリティグループはインスタンスに対して適用され、IPアドレスの変化に左右されません。
セキュリティグループの割り当て方
セキュリティグループはインスタンスに対して割り当てます。
SGが自動的にインスタンスを管理するわけではなく、インスタンスを作成・管理する際に明示的にセキュリティグループを選択します。
- セキュリティグループは単なるルールセット
- インスタンスが「このルールを使う」と設定する形です
セキュリティグループをソースにする仕組み
AWSでは、セキュリティグループのインバウンドルールに「IPアドレス」ではなく
**「別のセキュリティグループ」**をソースとして指定することが可能です。
これにより、指定したセキュリティグループに属するインスタンスからの通信は、送信元IPに関係なく許可されます。
個別にIPを管理する必要がなく、運用が非常にシンプルになります。
[管理サーバー (SG-管理)] ───▶ SSH接続 ───▶ [Webサーバー (SG-Web)]
管理サーバー群に割り当てたSGをソースに設定することで、
新たに管理サーバーを追加した場合も、IP設定を変更せずに自動的に接続が許可されます。
セキュリティグループ設定手順(AWSコンソール)
- 管理サーバー群用のセキュリティグループ(SG-Management)を作成・確認
- Webサーバー群用のセキュリティグループ(SG-Web)を開く
- インバウンドルールを編集
- ソースに「SG-Management」を指定し、保存
これだけで、管理サーバー群からWebサーバー群への通信が許可されます。
セキュリティグループ参照を使うメリット
- ✅ IPアドレスの管理が不要
- ✅ サーバー増減時も設定不要
- ✅ 設定ミスのリスクが減る
- ✅ 運用がシンプルで安全
まとめ
AWSにおいてセキュリティグループは非常に強力なセキュリティ機能です。
インスタンスに対して割り当て、ソースにセキュリティグループを指定することで、効率的かつ安全な通信制御が可能になります。
IPアドレスにとらわれず、インスタンス単位で柔軟に管理できる便利な仕組みです。
初心者のうちにこの仕組みを理解しておくと、今後のAWS運用がぐっと楽になると思います!
参考記事
https://qiita.com/white_aspara25/items/48e91e671bff25474b02