セキュリティグループに関するよくある質問をまとめてみました

セキュリティグループに関するよくある質問をまとめてみました

#AWS
#Security Group
#テクニカルサポート
Nakamura Makoto

Nakamura Makoto

facebook logohatena logotwitter logo
Clock Icon2025.01.15

よくある質問 - Amazon VPC | AWS
弊社メンバーズサービスのテクニカルサポートへのお問い合わせの中で、上記公式 FAQ 以外でセキュリティグループに関するよくある質問をまとめてみました。

Q1. セキュリティグループ変更時にダウンタイムは発生しますか?

いいえ、ダウンタイムは発生しません。

ネットワーク ACL / セキュリティグループを変更するときに稼働中の環境で通信断が発生するか教えてください | DevelopersIO

ネットワーク ACL / セキュリティグループの設定変更時に既存セッションなどの通信断・瞬断が発生することは基本的にありません。
もちろん、設定変更によって許可していた通信をブロックする場合は通信断となります。

Q2. セキュリティグループのルールにドメイン名を指定することはできますか?

いいえ、ドメイン名を指定することはできません。

「セキュリティグループのルール」 - Amazon Virtual Private Cloud

セキュリティグループのルールで指定できる送信元および送信先は以下の通りです。

  • 単一の IPv4 アドレス
  • 単一の IPv6 アドレス
  • CIDR ブロック表記の IPv4 アドレスの範囲
  • CIDR ブロック表記の IPv6 アドレスの範囲
  • プレフィクスリストの ID
  • セキュリティグループの ID

Q3. インスタンスメタデータへの通信を行う際にセキュリティグループでの許可は必要ですか?

いいえ、不要です。

インスタンスメタデータへの通信を行う際にセキュリティグループでの許可は必要ですか? | DevelopersIO

インスタンスメタデータへの通信を行う際にセキュリティグループでの許可は不要です。

Q4. Amazon Time Sync Service への通信を行う際にセキュリティグループでの許可は必要ですか?

いいえ、不要です。

セキュリティグループを使用して AWS リソースへのトラフィックを制御する - Amazon Virtual Private Cloud

セキュリティグループでは、以下で送受信されるトラフィックはフィルターされません。
(中略)

  • Amazon Time Sync Service

Q5. セキュリティグループで TCP ポートをすべて開放しているのに ping が通らないのはなぜですか?

ICMP プロトコルで通信を許可してください。

セキュリティグループで TCP ですべてのポートを解放していますが ping が通らないのは何故か教えてください | DevelopersIO

ping 通信の疎通を取るためには、ICMP プロトコルの通信を許可する設定を、送信先 EC2 のセキュリティグループのインバウンドルールに追加してください。

Q6. 送信側に複数のセキュリティグループを使用している場合、受信側では送信側のすべてのセキュリティグループからの通信を許可する必要がありますか?

いいえ、受信側ではいずれか 1 つの送信元のセキュリティグループからの通信を許可すれば通信可能です。

【小ネタ】複数のセキュリティグループを付与したENIからの通信を許可するとき、受信側のセキュリティグループは送信側のENIに付与したセキュリティグループを全て許可する必要がありますか? | DevelopersIO

送信側にアタッチされているSGのいずれか1つのみ許可すれば良く、全てのSGを許可する必要はなかったです。

Q7. セキュリティグループに一括で複数の IP アドレスを登録することはできますか?

はい、マネージドプレフィックスリストを使用すれば可能です。

マネージドプレフィックスリストでIPアドレスを設定し、セキュリティグループのルールを管理してみよう | DevelopersIO

マネージドプレフィックスリストを使用して、より簡単に多くのIPアドレスを管理できます。

Q8. セキュリティグループで拒否ルールを設定することはできますか?

いいえ、拒否ルールを設定することはできません。

「セキュリティグループのルール」 - Amazon Virtual Private Cloud

許可ルールを指定できます。拒否ルールは指定できません。

Q9. リソースにアタッチされているセキュリティグループを削除できますか?

いいえ、リソースにアタッチされているセキュリティグループを削除することはできません。

セキュリティグループの削除時に「一部のセキュリティグループは削除できません」というメッセージが表示された時の対処方法 | DevelopersIO

結論から申しますと、まずはセキュリティグループがアタッチされているリソース(今回は、RDSまたはELB)から、対象のセキュリティグループをデタッチする必要があります。

Q10. セキュリティグループに関連付けられているリソースを確認する方法はありますか?

はい、マネジメントコンソールまたは AWS CLI から確認可能です。

Amazon EC2 セキュリティグループに関連するリソースを検索する | AWS re:Post

まとめ

今回はセキュリティグループに関するよくありそうな質問をまとめてみました。
どなたかの参考になれば幸いです。

参考資料

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS Control TowerのメンバーアカウントをTerraformで作成する [Not AFT]

AWS Control TowerのメンバーアカウントをTerraformで作成する [Not AFT]

User avatar
ちゃだいん
2025.01.15
CodeBuild のエラー「toomanyrequests: You have reached your pull rate limit.」を回避するには

CodeBuild のエラー「toomanyrequests: You have reached your pull rate limit.」を回避するには

User avatar
hato
2025.01.15
AWS Step Functionsで変数とJSONataを活用し、Passステートで組み込み関数を使用したりChoiceで分岐させてみた

AWS Step Functionsで変数とJSONataを活用し、Passステートで組み込み関数を使用したりChoiceで分岐させてみた

User avatar
平井裕二
2025.01.15
[アップデート] AWS Resilience Hub で既存 CloudWatch アラームの統合機能を使ってみた

[アップデート] AWS Resilience Hub で既存 CloudWatch アラームの統合機能を使ってみた

User avatar
いわさ
2025.01.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.