みなさん。こんにちは。サニービュー事業部の小寺です。
本日は7月からVPC セキュリティグループルールIDが使えるようになったお話です。 どのように活用ができるか?をお伝えします!
■セキュリティグループとは
セキュリティグループについて、念のために触れておきます。
・セキュリティグループは「ステートフルなファイアウォール」で、インスタンスレベルで動作
・ネットワークACLは「ステートレスなファイアウォール」で、サブネットレベルで動作
上記の違いを踏まえたうえでのセキュリティグループの特徴です。
Amazon Elastic Compute Cloud(Amazon EC2)インスタンスや、Amazon Relational Database Service(RDS)データベースといったクラウドリソースの仮想ファイアウォールとして機能します。インバウンドトラフィックとアウトバウンドトラフィックをコントロールすることができます。
・通信の許可ルールを指定できます。拒否ルールは指定できません。
・インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定できます。
・セキュリティグループルールを使用すると、プロトコルとポート番号に基づいてトラフィックをフィルタリングできます。
・セキュリティグループはステートフルです。インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループのルールにかかわらず、流れることができます。許可されたインバウンドトラフィックに対する応答(戻りのトラフィック)は、アウトバウンドルールにかかわらずアウト側に対し通過することができます。
・新しく作成したセキュリティグループには、インバウンドルールがないです。
使うためには、ルールの設定が必要です。
・デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可しています。
・VPC あたりの作成可能なセキュリティグループの数、各セキュリティグループに追加できるルールの数、ネットワークインターフェイスに関連付けることができるセキュリティグループの数が決まっています。
上限の確認はQuotaを確認しましょう。
・セキュリティグループに関連付けられたインスタンス同士の通信は、トラフィックを許可するルールを追加するまで許可されません・セキュリティグループはネットワークインターフェイスに関連付けられます。インスタンスを起動した後で、インスタンスに関連付けられたセキュリティグループを変更することができます。
・セキュリティグループは、セキュリティグループの作成時に指定した VPC でのみ使用できます。
■セキュリティグループルールIDとは
今までセキュリティグループそのものに対してだけIDが付いており、各ルールにはIDはありませんでした。
今回のアップデートで、セキュリティグループルール一つずつを識別できるようにIDが付番されるようになりました。
セキュリティグループにルールを追加すると、これらの識別子が自動的に作成され、セキュリティグループルールに追加されます。セキュリティグループ ID は AWS リージョンで一意です。Amazon VPC コンソールより「セキュリティグループ」を選びます。
赤枠部分で「Security group rule ID」列と「Name」列が新しく確認できます。
また、各ルールにタグ付けもできるようになりました。
これまではDescriptionを工夫して使っていたところに対しユーザーが自由にタグ付けをできるようになりました。
■活用のメリットとは
AWS CLIまたはAPIを使用する場合、セキュリティグループルールを変更する場合は、ルールを識別するためにすべての要素を指定する必要がありました。
このアップデートにより、セキュリティグループルールの一意の識別子であるセキュリティグループルールIDを使用すれば、コマンドが簡単に実行できるようになっています。
また、セキュリティグループルールへのタグ付けが可能になるため、複数のセキュリティグループにわたってセキュリティグループルールのセットを一覧表示したり、識別できるようになります。
■対応リージョン
セキュリティグループルールIDは、すべての商用AWSリージョンにおいて無料でご利用いただけます。
■まとめ
いかがでしたでしょうか。CLIを使っている場合は、より便利に活用できそうですね。
AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5%割引、さらに日本円の請求書による支払いが可能です!