セキュリティグループについて
Webサーバーにアクセスする回で、EC2インスタンスに割り当てられている「セキュリティグループ」というものが出てきました。今日はこれについて書きます。
セキュリティグループとは
こちらに公式の記事がありますが、「VPCのセキュリティグループ」というタイトルが少し分かりづらいと思います。
セキュリティグループとは、オンプレミス環境のサーバーに設定するfirewalldやiptablesのようなイメージです。
例えば、RedHat LinuxでEC2インスタンスを起動した場合、firewalldもOS上で使うことが可能ですが、クラウド環境だと極力セキュリティグループを使用した方が良いです。
セキュリティグループを使う理由
個別のインスタンスにSSHログインしてfirewalldやipdtableを設定するよりも、コンソール画面上からセキュリティグループを設定した方が管理しやすいですし、同じルールを複数のインスタンスに適用したりすることが容易です。運用していく際も、設定漏れなどを防げますよね。
インバウンドルールとアウトバウンドルール
インバウンドルールは、外部からEC2インスタンスへの通信、アウトバウンドルールはEC2インスタンスから外部への通信のことです。
インバウンドルールへ設定したルールは、アウトバウンドルールへ設定する必要がありません。インバウンドルールで許可された通信の戻りは自動的に許可されます。これを「ステートフル」といいます。(インバウンドの状態を保持している)
セキュリティグループには、許可設定を行うことができますが、拒否設定を行うことができません。これも注意が必要です。
以上のように、セキュリティグループは、インスタンスへの出入りする通信を制御しています。実際にはオンプレミス環境の物理サーバーでいうNICにあたる、ENI(Elastic Network Interface)に関連付けられています。