6.3. プロジェクトのセキュリティー管理
セキュリティーグループとは、プロジェクトのインスタンスに割り当て可能な IP フィルターのルールセットで、インスタンスへのネットワークのアクセス権限を定義します。セキュリティーグループはプロジェクト別になっており、プロジェクトメンバーは自分のセキュリティーグループのデフォルトルールを編集して新規ルールセットを追加できます。
すべてのプロジェクトにはデフォルトのセキュリティーグループが存在し、他にセキュリティーグループが定義されていないインスタンスに対して適用されます。このセキュリティーグループは、デフォルト値を変更しない限り、インスタンスへの受信トラフィックをすべて拒否し、送信トラフィックのみを許可します。
セキュリティーグループは、インスタンス作成時に直接インスタンスに適用するか、実行中のインスタンスのポートに適用できます。
インスタンスの作成中に、ロールベースのアクセス制御 (RBAC) 共有セキュリティーグループを直接インスタンスに適用することはできません。RBAC 共有セキュリティーグループをインスタンスに適用するには、最初にポートを作成し、共有セキュリティーグループをそのポートに適用してから、そのポートをインスタンスに割り当てる必要があります。セキュリティーグループのポートへの追加 を参照してください。
必要な出力を許可するグループを作成せずに、デフォルトのセキュリティーグループを削除しないでください。たとえば、インスタンスが DHCP とメタデータを使用している場合、インスタンスには、DHCP サーバーとメタデータエージェントへの退出を許可するセキュリティーグループルールが必要です。
6.3.1. セキュリティーグループの作成
- Dashboard で プロジェクト > コンピュート > アクセスとセキュリティー を選択します。
- Security Groups タブで、Create Security Group をクリックします。
- グループの名前と説明を入力して、Create Security Group をクリックします。
6.3.2. セキュリティーグループルールの追加
デフォルトでは、新しいグループには、送信アクセスのルールのみが指定されます。他のアクセスを指定するには、新しいルールを追加する必要があります。
- Dashboard で プロジェクト > コンピュート > アクセスとセキュリティー を選択します。
- Security Groups タブで、編集するセキュリティーグループの Manage Rules をクリックします。
- Add Rule をクリックして、新規ルールを追加します。
ルールの値を指定して、Add をクリックします。
以下のルールのフィールドは必須です。
- ルール
ルールタイプ。ルールテンプレート (例: SSH) を指定する場合には、そのフィールドは自動的に入力されます。
- TCP: 一般的には、システム間のデータの交換や、エンドユーザーの通信に使用されます。
- UDP: 一般的には、システム間のデータ交換に (特にアプリケーションレベルで) 使用されます。
- ICMP: 一般的には、ルーターなどのネットワークデバイスがエラーや監視メッセージを送信するのに使用されます。
- 方向
- 受信 (インバウンド) または送信 (アウトバウンド)
- 開放するポート
TCP または UDP ルールでは、開放する Port または Port Range (単一のポートまたはポートの範囲) を入力します。
- ポート範囲では、From Port と To Port フィールドにポートの値を入力します。
- 単一のポートの場合は Port フィールドにポートの値を入力します。
- タイプ
- ICMP ルールのタイプ。-1:255 の範囲で指定する必要があります。
- コード
- ICMP ルールのコード。-1:255 の範囲で指定する必要があります。
- 接続相手
このルールが適用されるトラフィックの接続元
- CIDR (Classless Inter-Domain Routing): 指定のブロック内の IP へのアクセスを制限する IP アドレスブロック。ソース フィールドに CIDR を入力します。
- セキュリティーグループ: グループ内のインスタンスが他のグループインスタンスにアクセスできるようにするソースのセキュリティーグループ。
6.3.3. セキュリティーグループルールの削除
- Dashboard で プロジェクト > コンピュート > アクセスとセキュリティー を選択します。
- Security Groups タブで、セキュリティーグループの Manage Rules をクリックします。
- セキュリティーグループルールを選択し、Delete Rule ボタンをクリックします。
- 再度、Delete Rule をクリックします。
削除の操作は元に戻せません。
6.3.4. セキュリティーグループの削除
- Dashboard で プロジェクト > コンピュート > アクセスとセキュリティー を選択します。
- Security Groups タブで、グループを選択して、Delete Security Groups をクリックします。
- Delete Security Groups をクリックします。
削除の操作は元に戻せません。