セキュリティグループに関するよくある質問をまとめてみました
よくある質問 - Amazon VPC | AWS
弊社メンバーズサービスのテクニカルサポートへのお問い合わせの中で、上記公式 FAQ 以外でセキュリティグループに関するよくある質問をまとめてみました。
Q1. セキュリティグループ変更時にダウンタイムは発生しますか?
いいえ、ダウンタイムは発生しません。
ネットワーク ACL / セキュリティグループを変更するときに稼働中の環境で通信断が発生するか教えてください | DevelopersIO
ネットワーク ACL / セキュリティグループの設定変更時に既存セッションなどの通信断・瞬断が発生することは基本的にありません。
もちろん、設定変更によって許可していた通信をブロックする場合は通信断となります。
Q2. セキュリティグループのルールにドメイン名を指定することはできますか?
いいえ、ドメイン名を指定することはできません。
「セキュリティグループのルール」 - Amazon Virtual Private Cloud
セキュリティグループのルールで指定できる送信元および送信先は以下の通りです。
- 単一の IPv4 アドレス
- 単一の IPv6 アドレス
- CIDR ブロック表記の IPv4 アドレスの範囲
- CIDR ブロック表記の IPv6 アドレスの範囲
- プレフィクスリストの ID
- セキュリティグループの ID
Q3. インスタンスメタデータへの通信を行う際にセキュリティグループでの許可は必要ですか?
いいえ、不要です。
インスタンスメタデータへの通信を行う際にセキュリティグループでの許可は必要ですか? | DevelopersIO
インスタンスメタデータへの通信を行う際にセキュリティグループでの許可は不要です。
Q4. Amazon Time Sync Service への通信を行う際にセキュリティグループでの許可は必要ですか?
いいえ、不要です。
セキュリティグループを使用して AWS リソースへのトラフィックを制御する - Amazon Virtual Private Cloud
セキュリティグループでは、以下で送受信されるトラフィックはフィルターされません。
(中略)
- Amazon Time Sync Service
Q5. セキュリティグループで TCP ポートをすべて開放しているのに ping が通らないのはなぜですか?
ICMP プロトコルで通信を許可してください。
セキュリティグループで TCP ですべてのポートを解放していますが ping が通らないのは何故か教えてください | DevelopersIO
ping 通信の疎通を取るためには、ICMP プロトコルの通信を許可する設定を、送信先 EC2 のセキュリティグループのインバウンドルールに追加してください。
Q6. 送信側に複数のセキュリティグループを使用している場合、受信側では送信側のすべてのセキュリティグループからの通信を許可する必要がありますか?
いいえ、受信側ではいずれか 1 つの送信元のセキュリティグループからの通信を許可すれば通信可能です。
送信側にアタッチされているSGのいずれか1つのみ許可すれば良く、全てのSGを許可する必要はなかったです。
Q7. セキュリティグループに一括で複数の IP アドレスを登録することはできますか?
はい、マネージドプレフィックスリストを使用すれば可能です。
マネージドプレフィックスリストでIPアドレスを設定し、セキュリティグループのルールを管理してみよう | DevelopersIO
マネージドプレフィックスリストを使用して、より簡単に多くのIPアドレスを管理できます。
Q8. セキュリティグループで拒否ルールを設定することはできますか?
いいえ、拒否ルールを設定することはできません。
「セキュリティグループのルール」 - Amazon Virtual Private Cloud
許可ルールを指定できます。拒否ルールは指定できません。
Q9. リソースにアタッチされているセキュリティグループを削除できますか?
いいえ、リソースにアタッチされているセキュリティグループを削除することはできません。
セキュリティグループの削除時に「一部のセキュリティグループは削除できません」というメッセージが表示された時の対処方法 | DevelopersIO
結論から申しますと、まずはセキュリティグループがアタッチされているリソース(今回は、RDSまたはELB)から、対象のセキュリティグループをデタッチする必要があります。
Q10. セキュリティグループに関連付けられているリソースを確認する方法はありますか?
はい、マネジメントコンソールまたは AWS CLI から確認可能です。
Amazon EC2 セキュリティグループに関連するリソースを検索する | AWS re:Post
まとめ
今回はセキュリティグループに関するよくありそうな質問をまとめてみました。
どなたかの参考になれば幸いです。
参考資料
- よくある質問 - Amazon VPC | AWS
- ネットワーク ACL / セキュリティグループを変更するときに稼働中の環境で通信断が発生するか教えてください | DevelopersIO
- 「セキュリティグループのルール」 - Amazon Virtual Private Cloud
- インスタンスメタデータへの通信を行う際にセキュリティグループでの許可は必要ですか? | DevelopersIO
- セキュリティグループを使用して AWS リソースへのトラフィックを制御する - Amazon Virtual Private Cloud
- セキュリティグループで TCP ですべてのポートを解放していますが ping が通らないのは何故か教えてください | DevelopersIO
- 【小ネタ】複数のセキュリティグループを付与したENIからの通信を許可するとき、受信側のセキュリティグループは送信側のENIに付与したセキュリティグループを全て許可する必要がありますか? | DevelopersIO
- マネージドプレフィックスリストでIPアドレスを設定し、セキュリティグループのルールを管理してみよう | DevelopersIO
- 「セキュリティグループのルール」 - Amazon Virtual Private Cloud
- セキュリティグループの削除時に「一部のセキュリティグループは削除できません」というメッセージが表示された時の対処方法 | DevelopersIO
- Amazon EC2 セキュリティグループに関連するリソースを検索する | AWS re:Post
アノテーション株式会社について
アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。