IBM Cloud Docs
VPC のデフォルト・セキュリティー・グループ・ルールの更新

VPC のデフォルト・セキュリティー・グループ・ルールの更新

デフォルトのセキュリティー・グループは、他のセキュリティー・グループとよく似ていますが、削除できない点が異なります。

VPCを作成すると、システムはVPC用のデフォルトのセキュリティグループを2つのルールとともに作成します

  • このセキュリティグループのメンバー(すなわち、このセキュリティグループに属する他のすべてのリソース)からのICMP、TCP、UDPの受信トラフィックを許可するルール
  • ICMP、TCP、UDPの送信トラフィックを任意の宛先へ許可するルール

セキュリティグループ外のリソースからのインバウンドのpingとSSHを許可するルールは、デフォルトのセキュリティグループに自動的に追加されません。

デフォルトのセキュリティグループのルールは、コンソール、CLI、またはAPIを使用して変更できます。

デフォルトのセキュリティー・グループのルールを編集すると、グループ内の現在および将来のすべてのサーバーにこれらの編集されたルールが適用されます。

コンソールでデフォルトのセキュリティグループを更新する

  1. ブラウザーから、 IBM Cloud コンソールを開きます。

  2. Navigation Menu メニューアイコン を選択し、Infrastructure(インフラストラクチャー) > Network(ネットワーク) > Security groups(セキュリティグループ)の順にクリックします。

  3. 「セキュリティー・グループ」リストで、更新するデフォルトのセキュリティー・グループの名前をクリックします。

  4. デフォルトのセキュリティー・グループの詳細ページで、 「ルール」 タブをクリックします。

  5. 必要に応じてルールを修正する:

    • ルールを編集するには、「アクション」メニュー 「アクション」メニュー をクリックし、 「編集」 をクリックして変更を行い、 「保存」 をクリックします。
    • ルールを削除するには、「アクション」メニュー 「アクション」メニュー をクリックし、 「削除」 をクリックしてから、再度 「削除」 をクリックします。
    • ルールを作成するには、 Create ボタンをクリックする。

    ルールごとに、以下の情報を指定します。

    • ルールが適用されるプロトコルおよびポートを選択します。
    • トラフィックが許可される CIDR ブロックまたは IP アドレスを指定します。 あるいは、同じ VPC 内のセキュリティー・グループを指定して、その選択されたセキュリティー・グループに接続するすべてのインスタンスとの間のトラフィックを許可することができます。

    ヒント:

    • 追加される順序にかかわらず、すべてのルールが評価されます。
    • ルールはステートフルです。つまり、許可されたトラフィックに応答して返されるトラフィックは自動的に許可されます。 例えば、ポート 80 でインバウンド TCP トラフィックを許可するルールを作成したとします。 このルールは、発信元ホストに返信するためのポート 80 のアウトバウンド TCP トラフィックも許可するので、ルールをもう 1 つ作成する必要はありません。
    • Windows イメージの場合は、インスタンスに関連付けられたセキュリティー・グループで、インバウンドとアウトバウンドのリモート・デスクトップ・プロトコルのトラフィック (TCP ポート 3389) を許可してください。
  6. オプション: セキュリティー・グループに接続されているインターフェースを表示するには、**「接続されたリソース」**タブをクリックして、「接続されているインターフェース」セクションを確認します。

  7. ルールの作成が完了したら、ページの上部にある 「セキュリティー・グループ」 パンくずリストをクリックして、VPC のセキュリティー・グループのリストに戻ります。

CLIからデフォルトのセキュリティグループを更新する

CLI を使用してデフォルトのセキュリティー・グループを更新するには、以下の手順を実行します。

  1. IBM Cloud® Virtual Private Cloud にログインします。

    統合アカウントの場合:

    ibmcloud login -sso
    

    ない場合は、以下のコマンドを使用します。

    ibmcloud login
    
  2. VPCのデフォルトセキュリティグループIDと詳細を取得します。

    以下のコマンドを実行して、すべての VPC をリストします。

    ibmcloud is vpcs
    

    デフォルトのセキュリティー・グループの名前が、Default Security Group 列の下に表示されます。 (次で) セキュリティー・グループをリストして ID を調べるので、この名前をメモしておいてください。

    次に、すべてのセキュリティグループをリストアップする:

    ibmcloud is security-groups
    

    (デフォルトのセキュリティー・グループの) セキュリティー・グループ ID を、後で使用できるように変数に保存します。 例えば、変数名 sg を使用します。

    sg=0738-2d364f0a-a870-42c3-a554-000001162469
    

    セキュリティー・グループの詳細を表示するために、以下のコマンドを実行します。

    ibmcloud is security-group GROUP
    

    例えば、以下のコマンドを実行して、変数として保存したセキュリティー・グループ ID を持つセキュリティー・グループに関する詳細を取得します。

    ibmcloud is security-group $sg
    

    また、変数 $sg の代わりに実際の ID を挿入することもできます。

  3. デフォルトのセキュリティー・グループを更新して、SSH および PING を許可するルールを追加します。

    SSH 接続を無効にすると、RedHat Enterprise Linux のライセンス登録が禁止されます。 これにより、プロビジョニングが失敗する可能性があります。

    デフォルトのセキュリティー・グループにルールを追加するには、以下のコマンドを実行します。

    ibmcloud is security-group-rule-add GROUP DIRECTION PROTOCOL [--port-min PORT_MIN] [--port-max PORT_MAX]
    ibmcloud is security-group-rule-add GROUP DIRECTION PROTOCOL [--icmp-type ICMP_TYPE [--icmp-code ICMP_CODE]]
    

    例えば、以下のコマンドを実行して、変数として設定した ID を持つセキュリティー・グループに SSH ルールと PING ルールを許可するルールを追加します。

    ibmcloud is security-group-rule-add $sg inbound tcp --port-min 22 --port-max 22
    ibmcloud is security-group-rule-add $sg inbound icmp --icmp-type 8 --icmp-code 0
    

セキュリティー・グループ・ルールの追加と削除は、非同期の操作です。 変更が有効になるには、通常 1 秒から 30 秒かかります。

API を使用したデフォルト・セキュリティー・グループの更新

API を使用してデフォルトのセキュリティー・グループを更新するには、以下の手順を実行します。

  1. 正しい変数を使用して API 環境をセットアップします。

  2. VPCのデフォルトセキュリティグループIDと詳細を取得します。

    以下のコマンドを実行して、すべての VPC をリストします。

    curl -sX GET -H "Authorization:$iam_token" "$vpc_api_endpoint/v1/vpcs?generation=2&version=2022-09-13"
    

    デフォルトのセキュリティー・グループの詳細は、 default_security_group の後の出力に表示されます。 デフォルトのセキュリティーグループ名をメモしておくと、セキュリティーグルー プをリストアップするときに(次へ)、 id。 デフォルトのセキュリティー・グループ id をメモし、後で使用できるように変数に保存します。 例えば、変数名を id とする:

    "sg" = "r006-a937009e-5da5-4e7b-9072-d44e1095327b"
    
  3. デフォルトのセキュリティー・グループを更新して、SSH および PING を許可するルールを追加します。

SSH 接続を無効にすると、RedHat Enterprise Linux のライセンス登録が禁止されます。 これにより、プロビジョニングが失敗する可能性があります。

以下の 2 つのコマンドを実行して、変数 sg として設定したセキュリティー・グループ id を持つセキュリティー・グループに対して SSH および PING を許可するデフォルトのセキュリティー・グループ・ルールを追加します。

curl -sX POST  -H "Authorization:$iam_token" "$vpc_api_endpoint/v1/security_groups/$sg/rules?generation=2&version=$api_version"  -d '{"direction":"inbound","protocol":"tcp","port_min":22, "port_max":22}'
curl -sX POST  -H "Authorization:$iam_token" "$vpc_api_endpoint/v1/security_groups/$sg/rules?generation=2&version=$api_version"  -d '{"direction":"inbound","protocol":"icmp","code":0, "type":9}'

セキュリティー・グループ・ルールの追加と削除は、非同期の操作です。 変更が有効になるには、通常 1 秒から 30 秒かかります。