翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # セキュリティグループ AWS VPCs では、AWS セキュリティグループは仮想ファイアウォールとして機能し、1 つ以上のスタック (インスタンスまたは一連のインスタンス) のトラフィックを制御します。スタックを起動すると、スタックは 1 つ以上のセキュリティグループに関連付けられ、スタックに到達できるトラフィックが決まります。 + パブリックサブネットのスタックの場合、デフォルトのセキュリティグループはすべての場所 (インターネット) からの HTTP (80) および HTTPS (443) からのトラフィックを受け入れます。スタックは、企業ネットワークからの内部 SSH および RDP トラフィック、および AWS 踏み台も受け入れます。これらのスタックは、任意のポートを介してインターネットに出力できます。また、プライベートサブネットやパブリックサブネット内の他のスタックに出力することもできます。 + プライベートサブネット内のスタックは、プライベートサブネット内の他のスタックに出力でき、スタック内のインスタンスは、任意のプロトコルを介して相互に完全に通信できます。 **重要** プライベートサブネット上のスタックのデフォルトのセキュリティグループでは、プライベートサブネット内のすべてのスタックが、そのプライベートサブネット内の他のスタックと通信できます。プライベートサブネット内のスタック間の通信を制限する場合は、制限を記述する新しいセキュリティグループを作成する必要があります。たとえば、そのプライベートサブネット内のスタックが特定のポート経由で特定のアプリケーションサーバーからのみ通信できるようにデータベースサーバーとの通信を制限する場合は、特別なセキュリティグループをリクエストします。これを行う方法については、このセクションで説明します。 ## デフォルトのセキュリティグループ ------ #### [ MALZ ] 次の表に、スタックのデフォルトのインバウンドセキュリティグループ (SG) 設定を示します。SG はSentinelDefaultSecurityGroupPrivateOnly-vpc-ID」という名前で、{{ID}} は AMS マルチアカウントランディングゾーンアカウントの VPC ID です。すべてのトラフィックは、このセキュリティグループ経由でmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly」へのアウトバウンドが許可されます (スタックサブネット内のすべてのローカルトラフィックが許可されます)。 すべてのトラフィックは、2 番目のセキュリティグループSentinelDefaultSecurityGroupPrivateOnly」によって 0.0.0.0/0 へのアウトバウンドが許可されます。 **ヒント** EC2 create や OpenSearch create ドメインなどの AMS 変更タイプのセキュリティグループを選択する場合は、ここで説明するデフォルトのセキュリティグループのいずれか、または作成したセキュリティグループを使用します。VPC ごとのセキュリティグループのリストは、AWS EC2 コンソールまたは VPC コンソールで確認できます。 内部 AMS 目的で使用される追加のデフォルトのセキュリティグループがあります。 **AMS デフォルトセキュリティグループ (インバウンドトラフィック)**
タイププロトコルポート範囲ソース
すべてのトラフィックすべてすべてSentinelDefaultSecurityGroupPrivateOnly (同じセキュリティグループのメンバーへのアウトバウンドトラフィックを制限)
すべてのトラフィックすべてすべてSentinelDefaultSecurityGroupPrivateOnlyEgressAll (アウトバウンドトラフィックを制限しません)
HTTP、HTTPS、SSH、RDPTCP80 / 443 (ソース 0.0.0.0/0)
踏み台からの SSH および RDP アクセスが許可されている		SentinelDefaultSecurityGroupPublic (アウトバウンドトラフィックを制限しません)
**MALZ 踏み台**:
SSHTCP22SharedServices VPC CIDR と DMZ VPC CIDR、およびお客様が用意したオンプレミス CIDRs
SSHTCP22
RDPTCP3389
RDPTCP3389
**SALZ 踏み台**:
SSHTCP22mc-initial-garden-LinuxBastionSG
SSHTCP22mc-initial-garden-LinuxBastionDMZSG
RDPTCP3389mc-initial-garden-WindowsBastionSG
RDPTCP3389mc-initial-garden-WindowsBastionDMZSG
------ #### [ SALZ ] 次の表に、スタックのデフォルトのインバウンドセキュリティグループ (SG) 設定を示します。SG の名前はmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-{{ID}}」で、{{ID}} は一意の識別子です。すべてのトラフィックは、このセキュリティグループ経由でmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly」へのアウトバウンドが許可されます (スタックサブネット内のすべてのローカルトラフィックが許可されます)。 すべてのトラフィックは、2 番目のセキュリティグループmc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-0 へのアウトバウンドが許可されます。{{}} **ヒント** EC2 create や OpenSearch create ドメインなどの AMS 変更タイプのセキュリティグループを選択する場合は、ここで説明するデフォルトのセキュリティグループのいずれか、または作成したセキュリティグループを使用します。VPC ごとのセキュリティグループのリストは、AWS EC2 コンソールまたは VPC コンソールで確認できます。 内部 AMS 目的で使用される追加のデフォルトのセキュリティグループがあります。 **AMS デフォルトセキュリティグループ (インバウンドトラフィック)**
タイププロトコルポート範囲ソース
すべてのトラフィックすべてすべてSentinelDefaultSecurityGroupPrivateOnly (同じセキュリティグループのメンバーへのアウトバウンドトラフィックを制限)
すべてのトラフィックすべてすべてSentinelDefaultSecurityGroupPrivateOnlyEgressAll (アウトバウンドトラフィックを制限しません)
HTTP、HTTPS、SSH、RDPTCP80 / 443 (ソース 0.0.0.0/0)
踏み台からの SSH および RDP アクセスが許可されている		SentinelDefaultSecurityGroupPublic (アウトバウンドトラフィックを制限しません)
**MALZ 踏み台**:
SSHTCP22SharedServices VPC CIDR と DMZ VPC CIDR、およびお客様が用意したオンプレミス CIDRs
SSHTCP22
RDPTCP3389
RDPTCP3389
**SALZ 踏み台**:
SSHTCP22mc-initial-garden-LinuxBastionSG
SSHTCP22mc-initial-garden-LinuxBastionDMZSG
RDPTCP3389mc-initial-garden-WindowsBastionSG
RDPTCP3389mc-initial-garden-WindowsBastionDMZSG
------ ## セキュリティグループの作成、変更、または削除 カスタムセキュリティグループをリクエストできます。デフォルトのセキュリティグループがアプリケーションまたは組織のニーズを満たさない場合は、新しいセキュリティグループを変更または作成できます。このようなリクエストは承認が必要と見なされ、AMS オペレーションチームによってレビューされます。 スタックと VPCs の外部でセキュリティグループを作成するには、`Deployment | Advanced stack components | Security group | Create (managed automation)`変更タイプ (ct-1oxx2g2d7hc90) を使用して RFC を送信します。 Active Directory (AD) セキュリティグループの変更には、次の変更タイプを使用します。 + ユーザーを追加するには: Management \| Directory Service \| ユーザーとグループ \| ユーザーをグループに追加する [ct-24pi85mjtza8k] を使用して RFC を送信する + ユーザーを削除するには: Management \| Directory Service \| Users and groups \| Remove user from group [ct-2019s9y3nfml4] を使用して RFC を送信します。 **注記** 手動 CTs を使用する場合、AMS では ASAP **スケジューリング**オプション (コンソールで **ASAP** を選択し、API/CLI で開始時刻と終了時刻を空白のままにする) を使用することをお勧めします。これらの CTs では、AMS オペレータが RFC を調べ、承認して実行する前にお客様と通信する必要があるためです。これらの RFCsスケジュールする場合は、少なくとも 24 時間かかります。スケジュールされた開始時刻より前に承認が行われない場合、RFC は自動的に拒否されます。 ## セキュリティグループの検索 スタックまたはインスタンスにアタッチされているセキュリティグループを見つけるには、EC2 コンソールを使用します。スタックまたはインスタンスを見つけたら、そのスタックまたはインスタンスにアタッチされているすべてのセキュリティグループを確認できます。 コマンドラインでセキュリティグループを検索し、出力をフィルタリングする方法については、「」を参照してください[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html)。