セキュリティグループ

セキュリティグループは、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールします。
VPC 内でインスタンスを起動した場合、そのインスタンスには最大 5 つのセキュリティグループを割り当てることができます。
セキュリティグループは、サブネットレベルでなくインスタンスレベルで動作します。
このため、VPC 内のサブネット内のインスタンスごとに異なるセキュリティグループのセットに割り当てることができます。
起動時に特定のグループを指定しないと、インスタンスは VPC のデフォルトのセキュリティグループに自動的に割り当てられます。
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

セキュリティグループの基本

• VPC あたりで作成可能なセキュリティグループの数、各セキュリティグループに追加できるルールの数、ネットワークインターフェイスに関連付けることができるセキュリティグループの数に制限があります。
  • VPC 当たりのセキュリティグループの数 (リージョン別)：500
  • セキュリティグループ当たりのインバウンドルールまたはアウトバウンドルールの数：50
  • ネットワークインターフェイス当たりのセキュリティグループ：5
• 許可ルールを指定できます。拒否ルールは指定できません。
• インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定できます。
• セキュリティグループを作成するときには、インバウンドルールはありません。
  したがって、インバウンドトラフィックは、インバウンドルールをセキュリティグループに追加するまで許可されません。
• デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。
  ルールを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できます。
  セキュリティグループにアウトバウンドルールがない場合、アウトバウンドトラフィックは許可されません。
• セキュリティグループはステートフルです。
  インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループルールにかかわらず、流れることができます。
  許可されたインバウンドトラフィックに対する応答（戻りのトラフィック）は、アウトバウンドルールにかかわらずアウト側に対し通過することができます。
• セキュリティグループに関連付けられたインスタンスの相互通信は、それを許可するルールを追加するまで許可されません (例外: デフォルトのセキュリティグループについては、このルールがデフォルトで指定されています)。
• セキュリティグループはネットワークインターフェイスに関連付けられます。
  インスタンスを起動した後で、インスタンスに関連付けられたセキュリティグループを変更できます。
  これにより、プライマリネットワークインターフェイス (eth0) に関連付けられたセキュリティグループが変更されます。
  あらゆるネットワークインターフェイスに関連付けられているセキュリティグループも変更できます。