EC2 セキュリティグループの管理 - AWS Elastic Beanstalk
負荷分散された (マルチインスタンス) 環境

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EC2 セキュリティグループの管理

Elastic Beanstalk が環境を作成すると、その環境で起動される EC2 インスタンスにデフォルトのセキュリティグループが割り当てられます。インスタンスにアタッチされているセキュリティグループは、インスタンスに到達および終了できるトラフィックを決定します。

Elastic Beanstalk が作成するデフォルトの EC2 セキュリティグループでは、HTTP (80) および SSH(22) の標準ポートで、インターネットまたはロードバランサーからのすべての受信トラフィックが許可されます。EC2 インスタンスのファイアウォールルールを指定するために、独自のカスタムセキュリティグループを定義することもできます。セキュリティグループは、他のポートまたは他のソースからのトラフィックを許可できます。例えば、制限された IP アドレス範囲から ポート 22 に着信したトラフィックを許可する SSH アクセス用セキュリティグループを作成できます。または、セキュリティを強化するために、自分だけがアクセスできる踏み台ホストからのトラフィックを許可するものを作成できます。

aws:autoscaling:launchconfiguration 名前空間の DisableDefaultEC2SecurityGroupオプションを に設定することで、デフォルトの EC2 セキュリティグループから環境をオプトアウトするように選択できますtrueAWS CLI または 設定ファイルを使用して、このオプションを環境に適用し、EC2 インスタンスにカスタムセキュリティグループをアタッチします。

マルチインスタンス環境での EC2 セキュリティグループの管理

マルチインスタンス環境でカスタム EC2 セキュリティグループを作成する場合は、ロードバランサーと受信トラフィックルールがインスタンスを安全かつアクセス可能にする方法も考慮する必要があります。

複数の EC2 インスタンスを持つ環境へのインバウンドトラフィックはロードバランサーによって管理され、すべての EC2 インスタンス間で受信トラフィックをルーティングします。Elastic Beanstalk がデフォルトの EC2 セキュリティグループを作成すると、ロードバランサーからの受信トラフィックを許可するインバウンドルールも定義されます。セキュリティグループにこのインバウンドルールがないと、受信トラフィックはインスタンスに入ることができません。この条件は、基本的に外部リクエストからインスタンスをブロックします。

ロードバランシングされた環境のデフォルトの EC2 セキュリティグループを無効にすると、Elastic Beanstalk はいくつかの設定ルールを検証します。設定が検証チェックを満たさない場合、必要な設定を指定するように指示するメッセージが表示されます。検証チェックは次のとおりです。

  • アプリケーションロードバランサーかクラシックロードバランサーかに応じてaws:elb:loadbalanceraws:elbv2:loadbalancerまたは SecurityGroupsのオプションを使用して、ロードバランサーに少なくとも 1 つのセキュリティグループを割り当てる必要があります。 AWS CLI 例については、「」を参照してください AWS CLIを使用した設定

  • EC2 インスタンスがロードバランサーからトラフィックを受信できるようにするインバウンドトラフィックルールが存在している必要があります。EC2 セキュリティグループとロードバランサーセキュリティグループの両方が、これらのインバウンドルールを参照する必要があります。詳細については、次の「トラフィックのインバウンドルール」セクションを参照してください。

トラフィックのインバウンドルール

マルチインスタンス環境の EC2 セキュリティグループ (複数可) には、ロードバランサーセキュリティグループを参照するインバウンドルールを含める必要があります。これは、任意のタイプのロードバランサー、専用または共有の環境、およびカスタムまたはデフォルトのロードバランサーセキュリティグループを持つ環境に適用されます。

EC2 コンソールで、環境コンポーネントにアタッチされているすべてのセキュリティグループを表示できます。次の図は、環境の作成オペレーション中に Elastic Beanstalk がデフォルトで作成するセキュリティグループの EC2 コンソールリストを示しています。

セキュリティグループ画面には、環境と関連するセキュリティグループが表示されます。GettingStarted-envGettingStarted3-env はどちらも、専用のロードバランサーを備えたマルチインスタンス環境です。これらの各環境には、EC2 インスタンス用とロードバランサー用の EC2 つのセキュリティグループが一覧表示されています。Elastic Beanstalk は、環境の作成時にこれらのセキュリティグループを作成します。GettingStarted5-env にはロードバランサーセキュリティグループがありません。これは、EC2 インスタンスが 1 つしかないため、ロードバランサーがないためです。

インバウンドルール画面は、GettingStarted3-env のインスタンスの EC2 セキュリティグループにドリルダウンします。この例では、EC2 セキュリティグループのインバウンドルールを定義します。インバウンドルールソース列には、前のイメージにリストされているロードバランサーセキュリティグループのセキュリティグループ ID がリストされていることに注意してください。このルールにより、GettingStarted3-env の EC2 インスタンスは、ポート 80 でその特定のロードバランサーからインバウンドトラフィックを受信できます。

Amazon EC2 コンソールには、環境ごとに Elastic Beanstalk セキュリティグループが表示されます。

詳細については、Amazon EC2 ユーザーガイド」の「インスタンスのセキュリティグループを変更する」およびElastic Load Balancing ルール」を参照してください。