セキュリティグループ - AMS Advanced ユーザーガイド
デフォルトのセキュリティグループセキュリティグループの作成、変更、または削除セキュリティグループの検索

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループ

AWS VPCs では、AWS セキュリティグループは仮想ファイアウォールとして機能し、1 つ以上のスタック (インスタンスまたは一連のインスタンス) のトラフィックを制御します。スタックを起動すると、スタックは 1 つ以上のセキュリティグループに関連付けられ、スタックに到達できるトラフィックが決まります。

  • パブリックサブネット内のスタックの場合、デフォルトのセキュリティグループはすべての場所 (インターネット) からの HTTP (80) および HTTPS (443) からのトラフィックを受け入れます。スタックは、企業ネットワークからの内部 SSH および RDP トラフィック、および AWS 踏み台も受け入れます。これらのスタックは、任意のポートを介してインターネットに出力できます。また、プライベートサブネットやパブリックサブネット内の他のスタックに出力することもできます。

  • プライベートサブネット内のスタックは、プライベートサブネット内の他のスタックに出力でき、スタック内のインスタンスは、任意のプロトコルを介して相互に完全に通信できます。

重要

プライベートサブネット上のスタックのデフォルトのセキュリティグループでは、プライベートサブネット内のすべてのスタックが、そのプライベートサブネット内の他のスタックと通信できます。プライベートサブネット内のスタック間の通信を制限する場合は、制限を記述する新しいセキュリティグループを作成する必要があります。たとえば、そのプライベートサブネット内のスタックが特定のポート経由で特定のアプリケーションサーバーからのみ通信できるようにデータベースサーバーへの通信を制限する場合は、特別なセキュリティグループをリクエストします。これを行う方法については、このセクションで説明します。

デフォルトのセキュリティグループ

MALZ

次の表は、スタックのデフォルトのインバウンドセキュリティグループ (SG) 設定を示しています。SG はSentinelDefaultSecurityGroupPrivateOnly-vpc-ID」という名前で、ID は AMS マルチアカウントランディングゾーンアカウントの VPC ID です。すべてのトラフィックは、このセキュリティグループ経由でmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly」へのアウトバウンドが許可されます (スタックサブネット内のすべてのローカルトラフィックが許可されます)。

すべてのトラフィックは、2 番目のセキュリティグループSentinelDefaultSecurityGroupPrivateOnly」によって 0.0.0.0/0 へのアウトバウンドが許可されます。

ヒント

EC2 create や OpenSearch create ドメインなどの AMS 変更タイプのセキュリティグループを選択する場合は、ここで説明するデフォルトのセキュリティグループのいずれか、または作成したセキュリティグループを使用します。VPC ごとのセキュリティグループのリストは、AWS EC2 コンソールまたは VPC コンソールで確認できます。

内部 AMS 目的で使用される追加のデフォルトのセキュリティグループがあります。

AMS デフォルトセキュリティグループ (インバウンドトラフィック)
タイプ プロトコル ポート範囲 ソース

すべてのトラフィック

すべて

すべて

SentinelDefaultSecurityGroupPrivateOnly (同じセキュリティグループのメンバーへのアウトバウンドトラフィックを制限)

すべてのトラフィック

すべて

すべて

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (アウトバウンドトラフィックを制限しません)

HTTP、HTTPS、SSH、RDP

TCP

80 / 443 (ソース 0.0.0.0/0)

踏み台からの SSH および RDP アクセスが許可されている

SentinelDefaultSecurityGroupPublic (アウトバウンドトラフィックを制限しません)

MALZ 踏み台

SSH

TCP

22

SharedServices VPC CIDR と DMZ VPC CIDR、およびお客様が用意したオンプレミス CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

SALZ 踏み台

SSH

TCP

22

mc-initial-garden-LinuxBastionSG

SSH

TCP

22

mc-initial-garden-LinuxBastionDMZSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionDMZSG

SALZ

次の表は、スタックのデフォルトのインバウンドセキュリティグループ (SG) 設定を示しています。SG の名前はmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-ID」で、ID は一意の識別子です。すべてのトラフィックは、このセキュリティグループ経由でmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly」へのアウトバウンドが許可されます (スタックサブネット内のすべてのローカルトラフィックが許可されます)。

すべてのトラフィックは、2 番目のセキュリティグループmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-0 へのアウトバウンドが許可されます。

ヒント

EC2 create や OpenSearch create ドメインなどの AMS 変更タイプのセキュリティグループを選択する場合は、ここで説明するデフォルトのセキュリティグループのいずれか、または作成したセキュリティグループを使用します。VPC ごとのセキュリティグループのリストは、AWS EC2 コンソールまたは VPC コンソールで確認できます。

内部 AMS 目的で使用される追加のデフォルトのセキュリティグループがあります。

AMS デフォルトセキュリティグループ (インバウンドトラフィック)
タイプ プロトコル ポート範囲 ソース

すべてのトラフィック

すべて

すべて

SentinelDefaultSecurityGroupPrivateOnly (同じセキュリティグループのメンバーへのアウトバウンドトラフィックを制限)

すべてのトラフィック

すべて

すべて

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (アウトバウンドトラフィックを制限しません)

HTTP、HTTPS、SSH、RDP

TCP

80 / 443 (ソース 0.0.0.0/0)

踏み台からの SSH および RDP アクセスが許可されている

SentinelDefaultSecurityGroupPublic (アウトバウンドトラフィックを制限しません)

MALZ 踏み台

SSH

TCP

22

SharedServices VPC CIDR と DMZ VPC CIDR、およびお客様が用意したオンプレミス CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

SALZ 踏み台

SSH

TCP

22

mc-initial-garden-LinuxBastionSG

SSH

TCP

22

mc-initial-garden-LinuxBastionDMZSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionSG

RDP

TCP

3389

mc-initial-garden-WindowsBastionDMZSG

セキュリティグループの作成、変更、または削除

カスタムセキュリティグループをリクエストできます。デフォルトのセキュリティグループがアプリケーションまたは組織のニーズを満たさない場合は、新しいセキュリティグループを変更または作成できます。このようなリクエストは承認が必要と見なされ、AMS オペレーションチームによってレビューされます。

スタックと VPCs の外部でセキュリティグループを作成するには、Deployment | Advanced stack components | Security group | Create (review required)変更タイプ (ct-1oxx2g2d7hc90) を使用して RFC を送信します。

Active Directory (AD) セキュリティグループの変更には、次の変更タイプを使用します。

  • ユーザーを追加するには: Management | Directory Service | ユーザーとグループ | ユーザーをグループに追加する [ct-24pi85mjtza8k] を使用して RFC を送信する

  • ユーザーを削除するには: Management | Directory Service | Users and groups | Remove user from group [ct-2019s9y3nfml4] を使用して RFC を送信します。

注記

「レビュー必須」CT を使用する場合、AMS では ASAP スケジューリングオプション (コンソールで ASAP を選択し、API/CLI で開始時刻と終了時刻を空白のままにしておく) を使用することをお勧めします。これらの CTs では、AMS オペレータが RFC を調べる必要があり、承認して実行する前に通信する必要があるためです。これらの RFCsスケジュールする場合は、少なくとも 24 時間かかります。スケジュールされた開始時刻より前に承認が行われない場合、RFC は自動的に拒否されます。

セキュリティグループの検索

スタックまたはインスタンスにアタッチされているセキュリティグループを検索するには、EC2 コンソールを使用します。スタックまたはインスタンスを検索した後、そのスタックまたはインスタンスにアタッチされたすべてのセキュリティグループを表示できます。

コマンドラインでセキュリティグループを検索し、出力をフィルタリングする方法については、「」を参照してくださいdescribe-security-groups