IBM Cloud Docs
セキュリティー・グループのガイドライン

セキュリティー・グループのガイドライン

IBM™ Cloud セキュリティー・グループで作業する場合は、以下のガイドラインを考慮してください。

Rules

  • 各セキュリティー・グループでは、グループごとに異なるネットワーク・ルールのセットを定義します。これらのルールで、仮想サーバー・インスタンスへの入力および出力のトラフィックを定義します。 IPv4 と IPv6 の両方のルールを指定できます。
  • IBM Cloud コンソールを使用して新規セキュリティー・グループを作成する場合、デフォルトでは、仮想サーバー・インスタンスからのすべてのアウトバウンド・トラフィックを許可する単一ルールを作成する動作になります。 ルールを含まないセキュリティー・グループを作成するには、「すべてのアウトバウンド・トラフィックを許可するデフォルト・ルールを含むグループを作成する」チェック・ボックスをクリアする必要があります。 ルールを含まないセキュリティー・グループは、すべてのトラフィック (インバウンドとアウトバウンドの両方) をブロックします。
  • インバウンド・トラフィック、アウトバウンド・トラフィック、あるいはその両方を許可するには、トラフィックを許可するセキュリティー・グループ・ルールを含んでいるセキュリティー・グループを 1 つ以上追加する必要があります。
  • セキュリティー・グループ・ルールでは許可のみを設定できます。 トラフィックはデフォルトでブロックされます。
  • 「セキュリティー・グループの管理 (Manage Security Groups)」特権を持つユーザーは、セキュリティー・グループのルールを追加、編集、または削除できます。
  • セキュリティー・グループ・ルールの変更は自動的に適用され、いつでも変更できます。
  • セキュリティー・グループ内のルールの順序は重要ではありません。 制限が最も少ないルールが常に優先されます。
  • ルールはステートフルです。 セキュリティー・グループの変更の前に確立された接続は、変更されません。 新規の接続は、接続確立時に存在したルールに従います。
  • セキュリティー・グループは、仮想サーバー上のオペレーティング・システムのファイアウォールをオーバーライドしません。 セキュリティー・グループによって適用されるルールよりも制限的なファイアウォールがオペレーティング・システム上に存在する場合でも、オペレーティング・システムのルールが引き続き適用されます。
  • 仮想サーバーが内部サービス (更新サーバー、Network Attached Storage (NAS)、拡張モニターなど) にアクセスする必要がある場合、セキュリティー・グループ・ルールがそれらの内部サービスのトラフィックに適合することを確認してください。 詳しくは、IBM Cloud の IP 範囲を参照してください。

インターフェース

  • セキュリティー・グループは、プライベート・ネットワーク、パブリック・ネットワーク、またはその両方のタイプのネットワーク・インターフェースに適用できます。
  • ネットワーク・インターフェースに割り当てられているセキュリティー・グループのリストに、1 つ以上のセキュリティー・グループを付加できます。 各セキュリティー・グループのセキュリティー・グループ・ルールが、関連付けられた仮想サーバー・インスタンスに適用されます。
  • 初めて既存のセキュリティー・グループをネットワーク・インターフェース (パブリックまたはプライベート) に割り当てるときは、インターフェースごとに再始動する必要があります。 ただし、パブリック・インターフェースとプライベート・インターフェースが同時にセキュリティー・グループに割り当てられた場合は、1 回だけ再始動すれば済みます。 再始動後に、変更が自動的に適用されます。

アクセス

  • アカウント内のすべてのユーザーは、アクセス権限のある仮想サーバー・インスタンス上のセキュリティー・グループの読み取り、付加、および切り離しを行うことができます。 「ネットワーク許可 (Network Permissions)」で「セキュリティー・グループの管理 (Manage Security Groups)」特権を持つユーザーのみ、セキュリティー・グループの作成、更新、および削除を行えます。
  • ベア・メタル・サーバーにセキュリティー・グループを割り当てることはできません。

削除

  • 実行中の 1 つ以上の仮想サーバー・インスタンスに割り当てられているセキュリティー・グループは削除できません。
  • 別のセキュリティー・グループのいずれかのルールで参照されているセキュリティー・グループは削除できません。