AWSのセキュリティグループのどれが実行されるか知りたいです。

AWSのセキュリティグループのインバウンドルールを下記画像のように作成したのですが、
この場合、実行されるセキュリティグループは常に一番上にある１でしょうか？
結論、２と３のインバウンドルールの存在意味がなく、１がずっと実行されちゃうのと思ったのですが、その認識で合っていますでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

この場合、実行されるセキュリティグループは常に一番上にある１でしょうか？

どれに当てはまるかを考えても、あまり意味はありません。「どれか」に当てはまれば通すことになります。

２と３のインバウンドルールの存在意味がなく、１がずっと実行されちゃうのと思ったのですが

ご提示の画像からは判断できません。Sourceの設定次第で変化しえます。

投稿2021/08/09 09:17

maisumakun

総合スコア146018

kazuyakunnn

2021/08/09 09:18

画像を更新致しました。 Sourceの部分を書いたのでご回答の程、よろしくお願いいたします。

kazuyakunnn

2021/08/09 09:20

例えばですが、SSHとRDPのソースが任意のIPアドレスを設定してた場合、その任意のIPアドレスからアクセスした場合、SSHとRDPのセキュリティグループは実行されますでしょうか？それとも、0.0.0.0に設定してるセキュリティグループが実行されてしまいますか？

maisumakun

2021/08/09 09:21

「0.0.0.0」とだけ書くと、このIPアドレスでは通信不能なので、実質出番がなくなります。

kazuyakunnn

2021/08/09 09:21

どちらが優先されるのかが疑問なんですよね。。質問の仕方が下手ですみません。

maisumakun

2021/08/09 09:21

> SSHとRDPのセキュリティグループは実行されますでしょうか？それとも、0.0.0.0に設定してるセキュリティグループが実行されてしまいますか？どちらにせよ「通信できる」ので、区別する必要がありません。

kazuyakunnn

2021/08/09 09:22

1についてのソースは 0.0.0.0/0 でした。

kazuyakunnn

2021/08/09 09:25 編集

結論、RDPとSSHだけに絞りたいんですが、その場合１のセキュリティグループが存在していると、どんなユーザーでもEC2にアクセスしてしまうリスクがあると思ったので消したほうが良いですかね？

maisumakun

2021/08/09 09:25

> どちらが優先されるのかが疑問なんですよねどうしてそれを考える必要があるのですか？ OR条件なので、「どれか」にあてはまれば通す、その理解だけで問題ないと考えますが、「どれが適用されたか」を考えないといけない特別な事情があるのでしょうか？

kazuyakunnn

2021/08/09 09:26 編集

特に特別な事情とかは無いです。疑問に思っただけですね。 AWSのネットワークACLとは違い実行される優先度は無い感じですか？

maisumakun

2021/08/09 09:30

通過と拒否を組み合わせる、あるいはどれに当てはまったかで処理を振り分けるというのであれば優先順位も必要ですが、許可するものを積み重ねるだけである以上、優先順位は（仮にあったとしても）何の意味も持ちません。なぜそこにこだわるのでしょうか？

kazuyakunnn

2021/08/09 09:32 編集

任意のIPアドレスのみのSSHとRDP接続を許したいんですよね。それ以外のIPアドレスからのアクセスは一切許可したくありません。この場合ですと、0.0.0.0/0のルールは消したほうがいいですかね？ソースが0.0.0.0/0に設定されている場合、すべてのIPアドレスからアクセスできますよという認識です。

maisumakun

2021/08/09 09:32

> RDPとSSHだけに絞りたいんですが、その場合１のセキュリティグループが存在していると、どんなユーザーでもEC2にアクセスしてしまうリスクがあると思ったので消したほうが良いですかね？ RDPやSSHのユーザー制限の問題は、それぞれのサーバが担うものです。他のポートを開けているかどうかは（それ自体が不必要なのも間違いないですが）また別問題です。

maisumakun

2021/08/09 09:35

> この場合ですと、0.0.0.0/0のルールは消したほうがいいですかね？ソースが0.0.0.0/0に設定されている場合、すべてのIPアドレスからアクセスできますよという認識です。はい、その認識で問題ありません。

kazuyakunnn

2021/08/09 09:39 編集

一番聞きたいところですが、今回の画像の場合、任意のIPアドレス以外のすべてのIPアドレスからRDPやSSHを含むすべてのポート・プロトコルへのアクセスが可能という（1のルールが存在している為。）認識であっていますでしょうか？

maisumakun

2021/08/09 09:39

はい。

kazuyakunnn

2021/08/09 09:40

1が存在している事で、セキュリティ面でリスクがあるという認識でよいですか？

maisumakun

2021/08/09 09:43

そうですね、不必要なポートを開けているのはリスクにしかならないです（もちろん、「EC2サイドでも弾く」などしていれば直接的な脅威となるリスクは低いですが）。

kazuyakunnn

2021/08/09 09:44

だいぶ理解できました！ありがとうございます。

kazuyakunnn

2021/08/09 09:48 編集

最後の疑問点ですが、例えば私が設定した任意のIPからの通信が行われた場合、2と３が実行される感じですか？ ※2と3は同じ任意のIPアドレス１のすべてのユーザーからすべてのポート・プロトコルへのアクセスを許可するルールが存在している事で、2と3のルールを設定している意味が無くね？と思ったのですが、認識あっていますかね？

maisumakun

2021/08/09 09:51

そうですね、2や3のルールがあろうがなかろうが、1のルールがすべてを許可してしまえば最終結果は「すべて許可」です。

kazuyakunnn

2021/08/09 09:52

めちゃくちゃ疑問解けました！下手な質問に真摯に答えて下さり、ありがとうございました。

行動規範の内容に同意します