Amazon EC2の機能を詳しく見てみる(2)--ネットワークとセキュリティ

小田逸郎(VA Linux Systems Japan)
2009-05-21 12:00:00
  • このエントリーをはてなブックマークに追加

Amazon EC2のネットワークセキュリティ

 ネットワークセキュリティに関する話題についていくつか触れておきましょう。インスタンスとネットワークの間には、仮想的なファイアウォールが存在しています。

仮想的なファイアウォールのイメージ Amazon EC2では各インスタンス(仮想マシン)とネットワークの間に仮想的なファイアウォールが存在する。

 この仮想的なファイアウォールのルールを設定するのが「セキュリティグループ」です。セキュリティグループは、アカウントごとに管理されており、最初は、「default」という名前のセキュリティグループが1つあるだけです。

 セキュリティグループには、インスタンスに入ってくる通信に関して、許可するものを設定します。設定には、以下のパラメタを指定します。

  • プロトコル(UDP、TCP、ICMPのいずれか)
  • ポート番号範囲(UDP/TCP)または、ICMPタイプ(ICMP)
  • セキュリティグループ名(加えてユーザー名)、または、ソースネットワーク(CIDR subnet)

 インスタンス起動時には必ずひとつのセキュリティグループが結び付けられます。使用するセキュリティグループは、インスタンス起動時のオプションで指定できます。指定しなかった場合は、「default」が指定されたものとみなされます。

 さて、最初から存在している「default」グループですが、これには、外部からのアクセスは一切許可されていません。Amazon EC2を初めて使用するときに以下のようなおまじないを行ったはずですが、これは sshでインスタンスにログインするために必要な作業だったわけです。もちろん、新規のセキュリティグループを作成して使用してもよかったわけです。

$ ec2-authorize default -p 22 -s 自分のIPアドレス

 インスタンスにsshでログインする際に使用するRSAのキーペアを作成する機能も用意されています。以下のようにキーペア名を指定して作成します。

$ ec2-add-keypair キーペア名

 このとき、プライベートキーが表示されるので、それを適当なファイルに格納しておきます。パブリックキーの方は、Amazon EC2がキーペア名と対応づけて管理するようになっています。

 インスタンス起動時にキーペア名を指定すると、インスタンス内部からパブリックキーを参照できる仕掛けが用意されています。この仕掛けの詳細については、次回以降に説明しましょう。

筆者紹介

VA Linux Systems Japan 高橋浩和・小田逸郎・箕浦真(MAIL
各種OS、仮想化、Linux Kernelおよびオープンソースにおける高度な技術と経験を基盤とした、技術コンサルティング、開発、インテグレーションとソフトウェアソリューションを提供。VA Linuxは、2000年9月に設立され、Linux Kernelや仮想化に関するグローバルレベルの技術力をベースにLinuxおよびオープンソース業界を牽引する中核企業として成長を続けている。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]