6.7. プロジェクトのセキュリティー管理

セキュリティーグループとは、プロジェクトのインスタンスに割り当て可能な IP フィルターのルールセットで、インスタンスへのネットワークのアクセス権限を定義します。セキュリティーグループはプロジェクト別になっており、プロジェクトメンバーは自分のセキュリティーグループのデフォルトルールを編集して新規ルールセットを追加できます。

すべてのプロジェクトにはデフォルトのセキュリティーグループが存在し、他にセキュリティーグループが定義されていないインスタンスに対して適用されます。このセキュリティーグループは、デフォルト値を変更しない限り、インスタンスへの受信トラフィックをすべて拒否し、送信トラフィックのみを許可します。

セキュリティーグループは、インスタンス作成時に直接インスタンスに適用するか、実行中のインスタンスのポートに適用できます。

注記

インスタンスの作成中に、ロールベースのアクセス制御 (RBAC) 共有セキュリティーグループをインスタンスに直接適用することはできません。RBAC 共有セキュリティーグループをインスタンスに適用するには、最初にポートを作成し、共有セキュリティーグループをそのポートに適用してから、そのポートをインスタンスに割り当てる必要があります。セキュリティーグループのポートへの追加 を参照してください。

必要な出力を許可するグループを作成せずに、デフォルトのセキュリティーグループを削除しないでください。たとえば、インスタンスが DHCP とメタデータを使用している場合、インスタンスには、DHCP サーバーとメタデータエージェントへの出力を許可するセキュリティーグループルールが必要です。

6.7.1. セキュリティーグループの作成

セキュリティーグループを作成して、セキュリティールールを設定できるようにします。たとえば、ICMP トラフィックを有効にしたり、HTTP リクエストを無効にしたりできます。

手順

  1. Dashboard で Project > Compute > Access & Security を選択します。
  2. Security Groups タブで、Create Security Group をクリックします。
  3. グループの名前と説明を入力して、Create Security Group をクリックします。

6.7.2. セキュリティーグループルールの追加

デフォルトでは、新しいグループには、送信アクセスのルールのみが指定されます。他のアクセスを指定するには、新しいルールを追加する必要があります。

手順

  1. Dashboard で Project > Compute > Access & Security を選択します。
  2. Security Groups タブで、編集するセキュリティーグループの Manage Rules をクリックします。
  3. Add Rule をクリックして、新規ルールを追加します。

  4. ルールの値を指定して、Add をクリックします。

    以下のルールのフィールドは必須です。

    ルール

    ルールタイプ。ルールテンプレート (例: 'SSH') を指定する場合には、そのフィールドは自動的に入力されます。

    • TCP: 一般的には、システム間のデータの交換や、エンドユーザーの通信に使用されます。
    • UDP: 一般的には、システム間のデータ交換に (特にアプリケーションレベルで) 使用されます。
    • ICMP: 一般的には、ルーターなどのネットワークデバイスがエラーや監視メッセージを送信するのに使用されます。
    方向
    受信 (インバウンド) または送信 (アウトバウンド)
    開放するポート

    TCP または UDP ルールでは、開放する Port または Port Range (単一のポートまたはポートの範囲) を入力します。

    • ポート範囲では、From PortTo Port フィールドにポートの値を入力します。
    • 単一のポートの場合は Port フィールドにポートの値を入力します。
    ICMP ルールのタイプ。'-1:255' の範囲で指定する必要があります。
    コード
    ICMP ルールのコード。'-1:255' の範囲で指定する必要があります。
    接続相手

    このルールが適用されるトラフィックの接続元

    • CIDR (Classless Inter-Domain Routing): 指定のブロック内の IP へのアクセスを制限する IP アドレスブロック。ソース フィールドに CIDR を入力します。
    • セキュリティーグループ: グループ内のインスタンスが他のグループインスタンスにアクセスできるようにするソースのセキュリティーグループ。

6.7.3. セキュリティーグループルールの削除

不要になったセキュリティーグループルールを削除します。

手順

  1. Dashboard で Project > Compute > Access & Security を選択します。
  2. Security Groups タブで、セキュリティーグループの Manage Rules をクリックします。
  3. セキュリティーグループルールを選択し、Delete Rule ボタンをクリックします。
  4. 再度、Delete Rule をクリックします。
注記

削除の操作は元に戻せません。

6.7.4. セキュリティーグループの削除

不要になったセキュリティーグループを削除します。

手順

  1. Dashboard で Project > Compute > Access & Security を選択します。
  2. Security Groups タブで、グループを選択して、Delete Security Groups をクリックします。
  3. Delete Security Groups をクリックします。
注記

削除の操作は元に戻せません。