【AWS】セキュリティグループの概要と設定確認

Amazon Web Service

前回は、VPCの中にサブネットを配置し、インターネットゲートウェイルートテーブルを設定しました。

>> 参考記事 : 【AWS】ネットワーク(ルートテーブル、インターネットゲートウェイ、NATゲートウェイ)設定確認

今回はセキュリティグループについて記事にします。
下記記事のVPCが作成されている前提となりますので、先にお読みいただくことをお勧めします。

>> 参考記事 : 【AWS】ネットワーク(リージョン、AZ、VPC、サブネット)設定確認

今後、仮想インスタンスなどのリソースを追加するわけですが、これらリソースを外部アクセスから守るために、セキュリティグループを設定する必要があります。

スポンサーリンク

セキュリティグループとは

セキュリティグループVPC内のリソースに適用するステートフルファイアウォール(フィルタ)機能です。

インターネットユーザからAWS内のWebサーバ(仮想インスタンス)へアクセスするとします。

セキュリティグループは、下図のように、仮想インスタンスであるWebサーバを守るファイアウォールとして機能します。

セキュリティグループは守る対象のインスタンス(今回の場合は、仮想インスタンスであるWebサーバ)に紐づけます。

セキュリティグループは、IPアドレスポート番号を用いて、インバウンドルールアウトバウンドルールの2種類のフィルタ設定が定義できます。

Webサーバに紐付け(アタッチ)したセキュリティグループで、外部からのWebアクセスを許可する場合は、インバウンドルールで、HTTP(TCP ポート80番)を許可する設定をします。そうすることで、外部からWebサーバへHTTP接続が通過できるようになります。

セキュリティグループは、ステートフルファイアウォールの動作をするため、Webサーバからのレスポンスの通信を先ほどのインバウンドルールを書くことで、自動的に通過が許可されます。(アウトバウンドルールのルール設定は不要です)

スポンサーリンク

セキュリティグループの設定

上記のように外部からhttp(TCP80番)とSSH(TCP22番)のみ許可するセキュリティグループを作成します。
セキュリティグループは、VPCのポータル画面より設定できます。

セキュリティグループを作成 をクリックします。

下記画面より、任意のセキュリティグループ名説明を定義し、適用するVPCを選択します。

インバウンドルールの設定

インバウンドルールを設定します。

デフォルトでは何も設定されていません。この場合は、暗黙のDenyが適用され、全ての通信がブロックされます

http通信のみ許可させるルールを追加します。ルールを追加 をクリックします。

下記画面の通り、ポート番号送信元のIPアドレスが指定できるルール設定画面が表示されます。

プロトコル(ポート番号)の指定

http通信を許可するには、タイプでHTTPを選択します。プロトコルとポート範囲は自動的に登録されます。

タイプはHTTP以外にも下記のような設定ができます。自身でポート番号を指定したい場合は、カスタム設定(例えば、カスタムTCPなど)を選択し、設定します。

送信元(ソース)アドレスの指定

送信元アドレスを指定する場合、下記の4パターンを指定できます。

  • カスタム  :CIDRブロックセキュリティグループを指定できます。

例えば、下記のように指定したいCIDRブロックを入力することができます。

セキュリティグループを指定した場合、指定されたセキュリティグループが適用されているリソースが送信元(ソース)となります。

  • Anywhere-IPv4すべてのIPv4アドレスが対象となります。指定すると、0.0.0.0/0が登録されます。
  • Anywhere-IPv6すべてのIPv6アドレスが対象となります。指定すると、::/0 が登録されます。
  • マイIP :今、設定画面へアクセスしている端末のグローバルIPアドレスが登録されます。

今回は、すべてのIPv4アドレスからのHTTPSSHの接続を許可します。

アウトバウンドルールの設定

アウトバウンドルールを設定します。デフォルトでは下記のとおり、すべてのトラフィックが許可されています。必要に応じて、制限したいタイプ、プロトコル、送信先を設定します。今回は、アウトバウンドの通信は制限しないため、設定追加しません。

設定完了したら、セキュリティグループを作成 をクリックします。

作成が完了すると、下記のような画面が表示されます。

セキュリティグループの一覧にも追加されていることが確認できます。

このセキュリティグループをリソース(EC2やロードバランサなど)に適用します。

適用の方法はEC2やロードバランサを配置する記事で書きたいと思います。

コメント

タイトルとURLをコピーしました