6.7. プロジェクトのセキュリティー管理
セキュリティーグループとは、プロジェクトのインスタンスに割り当て可能な IP フィルターのルールセットで、インスタンスへのネットワークのアクセス権限を定義します。セキュリティーグループはプロジェクト別になっており、プロジェクトメンバーは自分のセキュリティーグループのデフォルトルールを編集して新規ルールセットを追加できます。
すべてのプロジェクトにはデフォルトのセキュリティーグループが存在し、他にセキュリティーグループが定義されていないインスタンスに対して適用されます。このセキュリティーグループは、デフォルト値を変更しない限り、インスタンスへの受信トラフィックをすべて拒否し、送信トラフィックのみを許可します。
セキュリティーグループは、インスタンス作成時に直接インスタンスに適用するか、実行中のインスタンスのポートに適用できます。
インスタンスの作成中に、ロールベースのアクセス制御 (RBAC) 共有セキュリティーグループをインスタンスに直接適用することはできません。RBAC 共有セキュリティーグループをインスタンスに適用するには、最初にポートを作成し、共有セキュリティーグループをそのポートに適用してから、そのポートをインスタンスに割り当てる必要があります。セキュリティーグループのポートへの追加 を参照してください。
必要な出力を許可するグループを作成せずに、デフォルトのセキュリティーグループを削除しないでください。たとえば、インスタンスが DHCP とメタデータを使用している場合、インスタンスには、DHCP サーバーとメタデータエージェントへの出力を許可するセキュリティーグループルールが必要です。
6.7.1. セキュリティーグループの作成
セキュリティーグループを作成して、セキュリティールールを設定できるようにします。たとえば、ICMP トラフィックを有効にしたり、HTTP リクエストを無効にしたりできます。
手順
- Dashboard で Project > Compute > Access & Security を選択します。
- Security Groups タブで、Create Security Group をクリックします。
- グループの名前と説明を入力して、Create Security Group をクリックします。
6.7.2. セキュリティーグループルールの追加
デフォルトでは、新しいグループには、送信アクセスのルールのみが指定されます。他のアクセスを指定するには、新しいルールを追加する必要があります。
手順
- Dashboard で Project > Compute > Access & Security を選択します。
- Security Groups タブで、編集するセキュリティーグループの Manage Rules をクリックします。
- Add Rule をクリックして、新規ルールを追加します。
ルールの値を指定して、Add をクリックします。
以下のルールのフィールドは必須です。
- ルール
ルールタイプ。ルールテンプレート (例: 'SSH') を指定する場合には、そのフィールドは自動的に入力されます。
- TCP: 一般的には、システム間のデータの交換や、エンドユーザーの通信に使用されます。
- UDP: 一般的には、システム間のデータ交換に (特にアプリケーションレベルで) 使用されます。
- ICMP: 一般的には、ルーターなどのネットワークデバイスがエラーや監視メッセージを送信するのに使用されます。
- 方向
- 受信 (インバウンド) または送信 (アウトバウンド)
- 開放するポート
TCP または UDP ルールでは、開放する Port または Port Range (単一のポートまたはポートの範囲) を入力します。
- ポート範囲では、From Port と To Port フィールドにポートの値を入力します。
- 単一のポートの場合は Port フィールドにポートの値を入力します。
- 型
- ICMP ルールのタイプ。'-1:255' の範囲で指定する必要があります。
- コード
- ICMP ルールのコード。'-1:255' の範囲で指定する必要があります。
- 接続相手
このルールが適用されるトラフィックの接続元
- CIDR (Classless Inter-Domain Routing): 指定のブロック内の IP へのアクセスを制限する IP アドレスブロック。ソース フィールドに CIDR を入力します。
- セキュリティーグループ: グループ内のインスタンスが他のグループインスタンスにアクセスできるようにするソースのセキュリティーグループ。
6.7.3. セキュリティーグループルールの削除
不要になったセキュリティーグループルールを削除します。
手順
- Dashboard で Project > Compute > Access & Security を選択します。
- Security Groups タブで、セキュリティーグループの Manage Rules をクリックします。
- セキュリティーグループルールを選択し、Delete Rule ボタンをクリックします。
- 再度、Delete Rule をクリックします。
削除の操作は元に戻せません。
6.7.4. セキュリティーグループの削除
不要になったセキュリティーグループを削除します。
手順
- Dashboard で Project > Compute > Access & Security を選択します。
- Security Groups タブで、グループを選択して、Delete Security Groups をクリックします。
- Delete Security Groups をクリックします。
削除の操作は元に戻せません。