Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティグループって何? 使い方を基礎から学ぼう!

shonansurvivors
March 20, 2021
Technology
2
1.6k

セキュリティグループって何? 使い方を基礎から学ぼう!

JAWS DAYS 2021で実施した、セキュリティグループのハンズオン資料です。

shonansurvivors

March 20, 2021
Tweet

More Decks by shonansurvivors

See All by shonansurvivors
クロステナントアクセスを要件とするsmartroundのマルチテナントSaaSアーキテクチャ
shonansurvivors
0
93
CodeBuildで動かすecspresso
shonansurvivors
1
1.4k
GitHub ActionsのGitHub-hosted Larger Runnersと他サービスと
shonansurvivors
0
270
EC2からのECS移行においてIaCとCDをどう変えたか
shonansurvivors
16
5.4k
S3とCloudWatch Logsの見直しから始めるコスト削減 / Cost saving S3 and CloudWatch Logs
shonansurvivors
2
1.6k
プロダクトと組織の成長を見据えたスマートラウンドの AWSマルチアカウント戦略/AWS Multi Account Strategy
shonansurvivors
5
3.9k
信頼性の階層の一段目を積み上げる/Monitoring Dashboard
shonansurvivors
3
2.5k
スタートアップ入社4日目までに考えたAWSのセキュリティ向上/ Startup AWS Security
shonansurvivors
3
4.2k
Building and deploying a web application on Fargate with Terraform
shonansurvivors
5
1.5k

Other Decks in Technology

See All in Technology
DevOpsDays Taipei 2023 行前攻略
devopstaiwan
0
370
Renovate を使った ライブラリアップデート 仕組み化の取り組み
andpad
0
230
20230829_ccoe_seminar_session_3
hiashisan
0
310
電動マイクロモビリティのシェアサービス「LUUP」におけるEnabling SLOの実践
grimoh
1
190
Code Review Challenge: An example of a solution
line_developers
PRO
1
210
Create the DTO System of your Dreams: stateOptions + entityClass
weaverryan
1
490
Customer-Centricity Unleashed: Transforming Businesses with LINE Tech
linedevth
0
140
Microservices - Where are my Transactions and my Consitency????
ewolff
2
150
スタートアップのためのアジャイルプラクティス -論文100本ノック- #xpjug / Agile Practice for Startup - Papers -
kyonmm
PRO
0
130
Dive Into The Cutting-edge LINE API Innovations
linedevth
1
360
Fivetranでデータ移動を自動化する
hankehly
0
150
1,800万人が利用する『家族アルバム みてね』におけるK8s基盤のアップグレード戦略と継続的改善 / FamilyAlbum's upgrade strategy and continuous improvement for K8s infrastructure
kohbis
0
220

Featured

See All Featured
Building Adaptive Systems
keathley
29
1.6k
We Have a Design System, Now What?
morganepeng
40
6.3k
Support Driven Design
roundedbygravity
91
9.2k
Debugging Ruby Performance
tmm1
68
11k
Music & Morning Musume
bryan
38
5.1k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
Facilitating Awesome Meetings
lara
37
5.1k
4 Signs Your Business is Dying
shpigford
172
21k
Fireside Chat
paigeccino
18
2.2k
A Tale of Four Properties
chriscoyier
150
21k
KATA
mclloyd
13
11k
The Brand Is Dead. Long Live the Brand.
mthomps
48
5.1k

Transcript

  1. JAWS DAYS 2021

    セキュリティグループって何?

    使い方を基礎から学ぼう!

    JAWS-UG 初心者支部


    View Slide

  2. #jawsdays2021_F / #jawsdays2021 / #jawsug
    自己紹介


    
 ● 山原 崇史

    ● JAWS-UG初心者支部 運営メンバー

    ● 某Web系企業のSRE

    ● Twitter : @shonansurvivors

    2


    View Slide

  3. #jawsdays2021_F / #jawsdays2021 / #jawsug
    本日のゴール


    
 ● AWSの仮想ファイアウォールであるセキュリティグループを使って、任意の通信を許
    可/拒否できるようになる

    3


    View Slide

  4. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ハンズオン全体の流れ


    
 1. ハンズオン用の環境を構築する

    2. ハンズオン用環境の構成図の解説

    3. 各ケースに沿ったセキュリティグループを作成、使用してみる

    a. IPアドレスを限定せず、Webサービスを利用させるケース 

    b. 特定のIPアドレスに対してのみ、Webサービスを利用させるケース 

    c. 特定のリソース同士を相互に通信可能とさせるケース 

    4. ハンズオン用環境を削除する

    4


    View Slide

  5. ハンズオン用の環境を構築する
    5

    View Slide

  6. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ハンズオン用環境構築の流れ


    
 1. CloudShellの起動

    2. CloudFormation用ファイルのダウンロード

    3. CloudFormationの実行

    6


    View Slide

  7. #jawsdays2021_F / #jawsdays2021 / #jawsug
    CloudShellの起動 - 目的 -


    
本ハンズオン用の環境構築では、GitやAWS CLIというものを使用します。

    GitやAWS CLIは、準備をすればお手元のPC(WindowsやMac)でも

    使用することはできます。

    しかし、本ハンズオンでは、受講者のみなさんがPC環境の差異を理由に

    つまずくことの無いよう、AWSのCloudShellを利用することにします。

    CloudShellはブラウザから利用可能で、GitやAWS CLIがインストール済みとなっていま
    す。

    7


    View Slide

  8. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]CloudShellの起動


    
 ● マネジメントコンソール(以下、マネコン)へのログイン

    ○ 以下のURLから、ご自身のAWSアカウントにログインしてください 

    ■ https://xxxxxxxxxxxx.signin.aws.amazon.com/console 

    ■ xxxxxxxxxxxxxの部分は、ご自身のアカウントID (12桁) またはアカウントエイリアスとなりま
    す。

    ● CloudShellの起動

    ○ 画面右上に表示されている、以下のマークをクリックし、CloudShellを起動してください 

    8


    View Slide

  9. #jawsdays2021_F / #jawsdays2021 / #jawsug
    CloudFormationの実行 - 目的 -


    
CloudFormationは、所定の形式のファイルを読み込み、その内容に従って

    AWSの各種リソースを自動で作成してくれる、AWSのサービスです。

    本ハンズオンではCloudFormation用のファイルを別途用意してありますので、これを
    使ってAWS上に環境を構築します。

    9


    View Slide

  10. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]CloudFormationの実行 1/2


    
 ● CloudFormation用ファイルのダウンロード

    ○ ここでは、GitHub上に存在する本ハンズオン用のCloudFormation用ファイルを 

    ダウンロードします。 

    ○ CloudShellの画面に、以下コマンドを貼り付けてエンターキーを押してください。 


    10

    git clone https://github.com/shonansurvivors/security-group-hands-on.git

    View Slide

  11. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]CloudFormationの実行 2/2


    
 ● CloudFormationの実行

    ○ ここでは、先ほどダウンロードしたファイルを使って、ハンズオン用の環境を構築します。 

    ○ CloudShellの画面に、以下コマンドを貼り付けてエンターキーを押してください。 


    ● 環境構築が完了するまで4〜5分程度かかるので、

    その間に解説を先に進めます。


    11

    aws cloudformation create-stack --stack-name jaws-sg --template-body file://security-group-hands-on/cloudformation.yml

    View Slide

  12. ハンズオン用環境の構成図の解説
    12

    View Slide

  13. #jawsdays2021_F / #jawsdays2021 / #jawsug
    構成図解説 1/5

    こちらが、今回のハンズオ
    ンで使用する環境の構成
    図です。

    13


    View Slide

  14. #jawsdays2021_F / #jawsdays2021 / #jawsug
    構成図解説 2/5

    この2台のEC2はWebサー
    バーの役割を持ちます。

    「Hello JAWS!」という内容
    の画面を表示するように
    設定済みです。

    14


    View Slide

  15. #jawsdays2021_F / #jawsdays2021 / #jawsug
    構成図解説 3/5

    2台のEC2の手前にあるの
    はALB(アプリケーション
    ロードバランサー)です。

    ユーザーからのアクセスを
    2台のEC2に振り分け(負
    荷分散)します。

    15


    View Slide

  16. #jawsdays2021_F / #jawsdays2021 / #jawsug
    構成図解説 4/5

    ALBの手前にあるのはイ
    ンターネットゲートウェイで
    す。

    インターネットとの通信の
    出入り口となります。

    16


    View Slide

  17. #jawsdays2021_F / #jawsdays2021 / #jawsug
    構成図解説 5/5

    つまり、ユーザーのブラウ
    ザからALBにアクセスする
    と、どちらかのEC2が返却
    する「Hello JAWS!」が表示
    されることになります。

    17

    または

    View Slide

  18. 各ケースに沿った
    セキュリティグループを作成、
    使用してみる
    18

    View Slide

  19. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ケース1


    
IPアドレスを限定せず、誰でもWebサービスにアクセス(HTTP通信)できる

    19


    View Slide

  20. #jawsdays2021_F / #jawsdays2021 / #jawsug
    構成図によるケース1の解説

    「Hello JAWS!」を表示する
    ためにブラウザでALBにア
    クセスします。

    ALBにアクセスするには、
    ALBのDNS名をブラウザ
    のアドレスバーに入力しま
    す。

    20


    View Slide

  21. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBのDNS名を調べる 1/3


    
 ● マネコンの検索欄にEC2と入力し、EC2を選んでください

    (ALBはEC2の画面に存在します)。

    21


    View Slide

  22. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBのDNS名を調べる 2/3

    ● EC2ダッシュボード画面から、ロードバランサーを選択してください。

    22


    View Slide

  23. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ● jaws-sg-albという名前のALBの説明タブにDNS名が表示されています。

    ● これをコピーしてください。

    [作業]ALBのDNS名を調べる 3/3

    23

    ここをクリックするとコピーできます

    View Slide

  24. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBにアクセスする

    ● マネコンが表示されているタブとは別のタブで、

    アドレスバーにALBのDNS名 + /jaws.htmlと入力してください

    ○ 例 : jaws-sg-alb-0123456789.ap-northeast-1.elb.amazonaws.com/jaws.html 

    ● しかし、ブラウザには何も表示されないはずです

    ● このURLにはハンズオンで繰り返しアクセスするので

    画面は閉じずにそのままにしておいてください

    24


    View Slide

  25. #jawsdays2021_F / #jawsdays2021 / #jawsug
    アクセスできない理由

    アクセスできない理由は、
    ALBのセキュリティグルー
    プが、インターネットからの
    通信を拒否しているためで
    す。

    この通信を許可するセ
    キュリティグループを作成
    します。

    25


    View Slide

  26. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを作成する 1/7


    
 ● マネコンの検索欄にEC2と入力し、EC2を選んでください

    (セキュリティグループはEC2またはVPCの画面で作成できます)。

    26


    View Slide

  27. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを作成する 2/7

    ● EC2ダッシュボード画面から、セキュリティグループを選択してください。

    27


    View Slide

  28. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを作成する 3/7

    ● 右上のセキュリティグループを作成ボタンを押してください。

    28


    View Slide

  29. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを作成する 4/7

    1. セキュリティグループ名と説明欄は
    何でも良いのですが、それぞれ
    jaws-sg-webと入力してください

    2. VPCは、jaws-sg-vpcを選んでくださ
    い

    3. インバウンドルールのパネルのルー
    ルを追加ボタンを押してください


    29


    View Slide

  30. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを作成する 5/7

    1. タイプ欄では許可する通信の種類を指定します。

    ここではHTTPを選択してください。

    2. ソース欄では許可するIPアドレスの範囲を指定します。

    ここでは0.0.0.0/0を選択してください。これは全IPアドレスを意味します。

    30


    View Slide

  31. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを作成する 6/7

    ● 前ページまでの入力が終わったら、右下のセキュリティグループを作成ボタンを押
    してください。

    31


    View Slide

  32. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを作成する 7/7

    ● 以下のような画面が表示されればセキュリティグループの作成は完了です

    32


    View Slide

  33. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを付ける 1/3

    1. 左側のメニューの上部のEC2ダッシュボードを押してください

    2. 次にロードバランサーを選択してください

    33


    View Slide

  34. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを付ける 2/3

    ● jaws-sg-albという名前のALBが選択された状態で、アクションボタンを押し、セキュ
    リティグループの編集を選択してください


    34


    View Slide

  35. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを付ける 3/3

    1. jaws-sg-webのチェックボックスにチェックを入れてください

    2. 次に保存ボタンを選択してください

    35


    View Slide

  36. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBにアクセスする

    ● 再びブラウザでALBのDNS名 + /jaws.htmlにアクセスしてください

    ○ 例 : jaws-sg-alb-0123456789.ap-northeast-1.elb.amazonaws.com/jaws.html 

    ● 以下のようにHello JAWS!と表示されれば成功です

    36


    View Slide

  37. #jawsdays2021_F / #jawsdays2021 / #jawsug
    アクセスできた理由

    ALBのセキュリティグルー
    プが全てのIPアドレスから
    のHTTP通信を許可するよ
    うになったため、「Hello
    JAWS!」が表示されるよう
    になりました。

    37

    または

    View Slide

  38. #jawsdays2021_F / #jawsdays2021 / #jawsug
    セキュリティグループ以外に必要な条件 1/4

    なお、VPC内のリソース
    (ALBやEC2など)が、イン
    ターネットからの通信を受
    け付けるためには、セキュ
    リティグループ以外にも設
    定が必要なものがありま
    す

    38

    VPC

    View Slide

  39. #jawsdays2021_F / #jawsdays2021 / #jawsug
    セキュリティグループ以外に必要な条件 2/4

    VPCに、インターネット
    ゲートウェイが設置されて
    いること

    39


    View Slide

  40. #jawsdays2021_F / #jawsdays2021 / #jawsug
    セキュリティグループ以外に必要な条件 3/4

    リソース(今回でいうと
    ALB)の属するサブネットの
    ルートテーブルにおいて、
    VPC外のIPアドレスに対す
    る通信の向き先がインター
    ネットゲートウェイになって
    いること

    40


    View Slide

  41. #jawsdays2021_F / #jawsdays2021 / #jawsug
    セキュリティグループ以外に必要な条件 4/4

    リソース(今回でいうと
    ALB)の属するサブネットと
    関連付けられているネット
    ワークACLにおいて、VPC
    外との通信が拒否されて
    いないこと

    41


    View Slide

  42. #jawsdays2021_F / #jawsdays2021 / #jawsug
    インターネットからの通信受付に必要な条件


    ✅ VPCに、インターネットゲートウェイを設置

    ✅ ルートテーブルにおいて、VPC外のIPアドレスに対する通信の向き先が

    インターネットゲートウェイとなっている

    ✅ ネットワークACLにおいて、VPC外との通信を許可(AWSのデフォルト設定)


    ✅ セキュリティグループにおいて、VPC外のIPアドレスからの通信を許可

    42

    ハンズオン環境構築用のCloudFormationであらかじめ設定済み
    本ハンズオンで、みなさん自身で設定したこと

    View Slide

  43. ケース1 終了
    43

    View Slide

  44. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ケース2


    
特定のIPアドレスからのみ、Webサービスにアクセス(HTTP通信)できる

    44

    社内関係者だけをアクセスさせたいサイトや、
    開発者だけをアクセスさせたい検証用サイトなどを想定

    View Slide

  45. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ケース2 前編


    
まず最初は、アクセスできない側を体験することにします

    45


    View Slide

  46. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 1/5


    
 ● マネコンの検索欄にEC2と入力し、EC2を選んでください

    (セキュリティグループはEC2またはVPCの画面にあります)。

    46


    View Slide

  47. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 2/5

    ● EC2ダッシュボード画面から、セキュリティグループを選択してください。

    47


    View Slide

  48. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 3/5

    1. jaws-sg-webのチェックボックスにチェックを入れてください

    2. 右上のアクションを押し、インバウンドルールを編集を選択してください

    48


    View Slide

  49. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 4/5

    1. まず、0.0.0.0/0のバツボタンを押して削除してください



    2. 次に、適当なIPアドレスとして、192.0.2.1/32を入力してください

    49


    View Slide

  50. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 5/5

    ● 前ページまでの入力が終わったら、右下のルールを保存ボタンを押してください

    50


    View Slide

  51. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBにアクセスする

    ● ブラウザでALBのDNS名 + /jaws.htmlにアクセスしてください

    ○ 例 : jaws-sg-alb-0123456789.ap-northeast-1.elb.amazonaws.com/jaws.html 

    ● しかし、ブラウザには何も表示されないはずです

    51


    View Slide

  52. #jawsdays2021_F / #jawsdays2021 / #jawsug
    アクセスできない理由

    アクセスできない理由は、
    ALBのセキュリティグルー
    プが「皆さんのPCがイン
    ターネットと通信する時に
    使用されているIPアドレ
    ス」からのHTTP通信を拒
    否するようになったためで
    す

    52


    View Slide

  53. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ケース2 後編


    
続いて、アクセスできる側を体験します

    53


    View Slide

  54. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 1/3

    1. jaws-sg-webのチェックボックスにチェックを入れてください

    2. 右上のアクションを押し、インバウンドルールを編集を選択してください

    54


    View Slide

  55. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 2/3

    1. まず、192.0.2.1/32のバツボタンを押して削除してください



    2. 次にマイIPを選択してください。

    55


    View Slide

  56. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループ設定変更 3/3

    ● マイIPを選択すると「あなたのPCがインターネットと通信する時に使用されているIP
    アドレス」が自動入力されます

    ● そのままルールを保存ボタンを押してください

    56

    👈 あなたのIPアドレス

    View Slide

  57. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBにアクセスする

    ● ブラウザでALBのDNS名 + /jaws.htmlにアクセスしてください

    ○ 例 : jaws-sg-alb-0123456789.ap-northeast-1.elb.amazonaws.com/jaws.html 

    ● 以下のようにHello JAWS!と表示されれば成功です

    57


    View Slide

  58. #jawsdays2021_F / #jawsdays2021 / #jawsug
    アクセスできた理由

    ALBのセキュリティグルー
    プが「あなたのPCがイン
    ターネットと通信する時に
    使用されているIPアドレ
    ス」からのHTTP通信を許
    可するようになったため
    「Hello JAWS!」が表示され
    るようになりました。

    58

    または

    View Slide

  59. ケース2 終了
    59

    View Slide

  60. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ケース3

    特定のリソース同士を、相
    互に通信可能とする

    60


    View Slide

  61. ケース3はもう実現済みです。
    何故そうなっているのか、
    設定を確認していきましょう。
    61

    View Slide

  62. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ALBからEC2への通信について

    ALBからは、2台あるEC2
    それぞれに通信が可能と
    なっています。

    通信を受ける側のEC2の
    セキュリティグループはど
    うなっているのでしょう
    か?

    確認してみます。

    62

    または

    View Slide

  63. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 1/7


    
 ● まず、EC2の設定を確認します。

    そのために、マネコンの検索欄にEC2と入力し、EC2を選んでください。

    63


    View Slide

  64. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 2/7

    ● EC2ダッシュボード画面から、実行中のインスタンスを選択してください。

    64


    View Slide

  65. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 3/7

    ● まず、jaws-sg-private-ec2-aにチェックを入れてください。

    65


    View Slide

  66. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 3/7

    ● 次にセキュリティタブを選択し、表示されているセキュリティグループのIDをクリック
    してください。

    これが、このEC2に付けられているセキュリティグループとなります。

    66


    View Slide

  67. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 4/7

    ● jaws-sg-private-ec2-aに付けられているセキュリティグループの情報が

    表示されます。なお、セキュリティグループの名前はdefaultです。

    67


    View Slide

  68. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 5/7

    ● インバウンドルールでは、タイプがすべてのトラフィックとなっており、

    HTTPに限らず、全ての通信種類が許可されています。

    68


    View Slide

  69. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 6/7

    ● ソース欄には許可するアクセス元を指定しますが、IPアドレスではなく、

    セキュリティグループのIDが表示されています。

    69


    View Slide

  70. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]EC2のセキュリティグループ確認 7/7

    ● ソース欄に表示されているセキュリティグループのIDは、

    このセキュリティグループ自身のIDです。

    70

    同じID

    View Slide

  71. それって、つまりどういうこと?
    71

    View Slide

  72. #jawsdays2021_F / #jawsdays2021 / #jawsug
    EC2のセキュリティグループの解説

    private-ec2-aにはdefault
    という名前のセキュリティ
    グループが付けられてい
    ますが、同じセキュリティ
    グループが付けられてい
    る他のリソースと通信でき
    ることになります。

    72

    default

    View Slide

  73. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ALBのセキュリティグループについて

    続いて、ALBのセキュリ
    ティグループがどうなって
    いるか確認します。

    73


    View Slide

  74. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBのセキュリティグループ確認 1/4


    
 ● マネコンの検索欄にEC2と入力し、EC2を選んでください

    (ALBはEC2の画面に存在します)。

    74


    View Slide

  75. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBのセキュリティグループ確認 2/4 

    ● EC2ダッシュボード画面から、ロードバランサーを選択してください。

    75


    View Slide

  76. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ● jaws-sg-albという名前のALBが選択された状態で、

    説明タブの下の方を見てみてください。

    [作業]ALBのセキュリティグループ確認 3/4

    76


    View Slide

  77. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ● jaws-sg-albにはdefaultという名前のセキュリティグループが付いています

    ● これは、private-ec2-aに付いていたものと同じセキュリティグループです


    [作業]ALBのセキュリティグループ確認 4/4

    77


    View Slide

  78. #jawsdays2021_F / #jawsdays2021 / #jawsug
    EC2とALBのセキュリティグループ解説 1/3

    private-ec2-aと、ALBに
    は、同じセキュリティグ
    ループが付けられていまし
    た。


    78

    default
    default

    View Slide

  79. #jawsdays2021_F / #jawsdays2021 / #jawsug
    EC2とALBのセキュリティグループ解説 2/3

    そして、このセキュリティグ
    ループは、アクセス許可元
    として自分自身のセキュリ
    ティグループIDが指定され
    ています。

    つまり、private-ec2-aと
    ALBは相互に通信が可能
    となっています。

    79

    default
    default

    View Slide

  80. #jawsdays2021_F / #jawsdays2021 / #jawsug
    EC2とALBのセキュリティグループ解説 3/3

    ちなみにprivate-ec2-bに
    も同じセキュリティグルー
    プが付けられています。

    よって、VPC内のリソース
    は相互に通信可能となっ
    ています(AWSのデフォル
    ト設定)。


    80

    default
    default
    default

    View Slide

  81. 本当にそうなのか確認してみる
    81

    View Slide

  82. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ケース3 後編

    ALBに付けられている
    defaultのセキュリティグ
    ループを外してみます。

    すると、EC2はALBからの
    通信を受け付けず、「Hello
    JAWS!」が表示されなくな
    るはずです。


    82

    default
    default
    default
    または

    View Slide

  83. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを外す 1/4


    
 ● マネコンの検索欄にEC2と入力し、EC2を選んでください

    (ALBはEC2の画面に存在します)。

    83


    View Slide

  84. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを外す 2/4

    1. 左側のメニューの上部のEC2ダッシュボードを押してください

    2. 次にロードバランサーを選択してください

    84


    View Slide

  85. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを外す 3/4

    ● jaws-sg-albという名前のALBが選択された状態で、アクションボタンを押し、セキュ
    リティグループの編集を選択してください


    85


    View Slide

  86. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを外す 4/4

    1. defaultのチェックボックスのチェックを外してください

    2. 次に保存ボタンを選択してください

    86


    View Slide

  87. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]ALBにアクセスする

    ● ブラウザでALBのDNS名 + /jaws.htmlにアクセスしてください

    ○ 例 : jaws-sg-alb-0123456789.ap-northeast-1.elb.amazonaws.com/jaws.html 

    ● 「Hello JAWS!」が表示されなければ、想定通りです

    87


    View Slide

  88. #jawsdays2021_F / #jawsdays2021 / #jawsug
    アクセスできない理由

    ALBに付けられている
    defaultのセキュリティグ
    ループを外したことで、
    EC2はALBからの通信を
    受け付けず、

    「Hello JAWS!」が表示され
    なくなりました。


    88

    default
    default
    default
    または

    View Slide

  89. ケース3 終了
    89

    View Slide

  90. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ハンズオン全体まとめ


    
 ● セキュリティグループは、仮想のファイアウォール機能

    ● インバウンドルールにおいて、アクセスを許可する通信を指定できる

    ● タイプ欄では許可する通信の種類を指定する

    ○ HTTPと指定すればHTTPを許可 

    ○ すべてのトラフィックと指定すれば全ての通信種類を許可 

    ● ソース欄では許可する通信元を指定する

    ○ 0.0.0.0/0と指定すれば、インターネットなどVPC外からの通信を許可 

    ○ xxx.xxx.xxx.xxx/32と指定すれば、IPアドレスxxx.xxx.xxx.xxxからの通信を許可 

    ○ セキュリティグループIDを指定すれば、そのセキュリティグループが付けられた 

    他のリソースからの通信を許可 

    90


    View Slide

  91. ハンズオン用環境を削除する
    91

    View Slide

  92. #jawsdays2021_F / #jawsdays2021 / #jawsug
    ハンズオン用環境削除の流れ


    
 1. CloudShellの起動

    2. CloudFormation(以下、CFn)で構築した環境の削除の開始

    3. セキュリティグループ jaws-sg-webの削除

    4. CFnで構築した環境が削除されたことを確認

    92


    View Slide

  93. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]CFnで構築した環境の削除開始


    
 ● (もしCloudShellの画面を閉じていたら)CloudShellの起動

    ○ 画面右上に表示されている、以下のマークをクリックし、CloudShellを起動してください 



    ● CloudShellの画面に以下コマンドを貼り付けてエンターキーを

    押してください

    93

    aws cloudformation delete-stack --stack-name jaws-sg

    View Slide

  94. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを削除する 1/4


    
 ● マネコンの検索欄にEC2と入力し、EC2を選んでください

    (セキュリティグループはEC2またはVPCの画面で作成できます)。

    94


    View Slide

  95. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを削除する 2/4

    ● EC2ダッシュボード画面から、セキュリティグループを選択してください。

    95


    View Slide

  96. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを削除する 3/4

    ● jaws-sg-webのチェックボックスにチェックを入れてください

    ● 右上のアクションを押し、下の方にあるセキュリティグループを削除を選択してくだ
    さい


    96


    View Slide

  97. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]セキュリティグループを削除する 4/4

    ● 以下の画面が表示されたら、削除ボタンを選択してください。




    (もしこのような画面が表示されない場合は、数秒待ってから前のページの手順をもう一
    度試してみてください)

    97


    View Slide

  98. #jawsdays2021_F / #jawsdays2021 / #jawsug
    [作業]CFn構築環境が削除されたことを確認


    
 ● CloudShellの画面に以下コマンドを貼り付けてエンターキーを

    押してください


    ● 以下のようにjaws-sg does not existと表示されれば削除は成功しています

    98

    aws cloudformation describe-stacks --stack-name jaws-sg
    An error occurred (ValidationError) when calling the DescribeStacks operation: Stack with id jaws-sg does not exist

    View Slide

  99. お疲れさまでした!
    99

    View Slide