• さんずいの漢
  　AWS初心者。中年男性。
• クラウド・D・ルフィ
  　自由すぎるけど本質を突くクラウドにちょっと詳しい海賊の船長。AWSの冒険を導く新世代のクラウド海賊。

EC2作る時に登場したセキュリティグループってなに？

セキュリティグループってのはな、船の見張りみたいなもんだ！どんな奴が船に乗り込んでいいか決めるんだよ！麦わらの一味だけ乗せて、海軍は追い返すみたいな感じだな！
なるほど…知らないやつが船に乗ってきたら危ないよな。許可したやつだけ船に乗せたい！
そうなんだ。正確にいうと、ネットワークと通信するENI（Elastic Network Interface）をもつリソース単位でセキュリティグループが必要だぜ。
まあ、細かいことは気にすんな。ネットワークを見張る門番って感じだ。みんなが出かけている間、変な奴が船に入ってこないように見張るゾロみたいなもんだ！

じゃあ、さっそく作っていくぞ。まず、AWSのマネジメントコンソールにログインするんだ！そしたら「EC2」ってとこを探すんだぞ！
EC2を検索して・・・EC2見つけた！

よし！次は左側のメニューを見てくれ。「ネットワーク&セキュリティ」ってとこがあって、その下に「セキュリティグループ」ってのがあるはずだ！
あった、あった。クリックすればいいのか？

そうだ！そしたら「セキュリティグループを作成」ってボタンがあるから、それを押すんだ！

ポチっとな…おお、なんか画面が出てきたぞ。
へへっ！いい感じだな！じゃあ次は名前をつけるぞ。「セキュリティグループ名」ってとこに好きな名前を入れてくれ。
じゃあ「test-sg」にしようかな。
いいぞ！VPCは…デフォルトのやつでいいぞ！
VPC…よくわからんが、そのままにしとくよ。
一応、説明しておくぞ！ここで設定するVPCは、そのセキュリティグループがどのVPCに所属するのか、だ。EC2と同じVPCになるぞ。東の海(VPC1)にいる船(EC2)の見張り(セキュリティグループ)は東の海(VPC1)にいるよな。東の海(VPC1)にいる船(EC2)なのに見張り(セキュリティグループ)は西の海(VPC2)にいるってことはないはずだ！

※すまねぇ。上の画像では説明欄は空欄だが、なにかを入力しないと作成できねぇみたいだ。説明文を入力してくれ！

で、ここからが大事だ！下にスクロールすると「インバウンドルール」ってのがあるだろ？
あるよ！
そこで「ルールを追加」を押すんだ！これが船に誰を乗せるか決めるとこなんだよ！仲間なのか、海軍なのか、海賊なのか、見分けるんだ！

押したよ。タイプとか、ポート範囲とか出てきた。
よし！例えばHTTPを許可したいなら、タイプで「HTTP」を選ぶんだ。そしたら自動的にポート80になるぞ！ポートっつうのは、船の入口みたいなもんだな。ポート0から65535、つまり合計65536個の入口があるぞ。65536個も入口がある船、ワクワクしねぇか？サウザンドサニー号よりすげぇ数だぜ！
ちなみに、手段や用途によって使うポートがなんとなく決まっているぞ。タイプ「SSH」ならポート22、みたいにな。あえて違うポート番号に設定しても大丈夫だけど、手段や用途によって「なんとなく決まっている」ポート番号を使うのが無難だな！
例：
SSH: 22
HTTP: 80
HTTPS: 443

ソースってのは何だい？
ソースはな、どこからの接続を許可するか、だ！自分のIPだけにしたいなら「マイIP」を選べ！そうすりゃお前だけが入れる！
マイIPにした。これでいいのか？
完璧だ！〇.〇.〇.〇/〇っていう表示がでてきただろ？それがお前が今つかっているIPアドレスだ！だけどマイIPは通信環境によって変わる場合があるから注意だ！

ちなみに、ソースはもっと複雑な設定ができるぞ！鍛え上げられた見聞色の覇気みたいに強力だ！詳しい説明はここではしねぇ！それなりの修行(勉強)が必要だ！

アウトバウンドルールっていうのは全部許可でOKだ！最初から設定されている0.0.0.0/0ってやつは全部OKってことだ！船から出ていく奴は自由にしてどうぞ！ってことだな。ナミが買い物に行くのを止めたりしねぇだろ？

わかった。じゃあこれで作成を…
ちょっと待て！大事なことがある！このセキュリティグループは、今追加したHTTPの通信「だけ」を許可するってことなんだ。他の手段（SSHとかHTTPSとか）は全部ブロックされるぞ！
つまり、HTTP以外は通らないってことか？
その通り！それがセキュリティグループの力だ！必要な奴だけ通して、他は全部ブロックする！海軍だって簡単には侵入できねぇぞ！海軍のしつこいケムリンも追い返せるぜ！
なるほどな…じゃあ作成ボタン押すぞ。

押せ押せ！…よし！できたな！正常に作成されたってのが表示されたら、EC2>セキュリティグループの画面から、セキュリティグループ一覧で確認だ。セキュリティグループ名に今作ったやつがあればokだ！

できたみたいだ。で、これがちゃんと動いてるか確認するにはどうすればいいんだ？
このセキュリティグループをEC2インスタンスにくっつけてみるんだ！

EC2を作成するときのセキュリティグループに、今つくったセキュリティグループが選択肢に表示されるぞ！

すでにあるEC2に紐づけたい場合は、対象のEC2を選択した状態でインスタンスの状態->セキュリティ->セキュリティグループを変更、で選べるぞ。

EC2に紐づけたら、EC2に対してHTTP接続は成功するけど、それ以外は繋がらねぇはずだぞ！実際に敵が来た時にちゃんと追い返せるか試すんだ！
HTTP通信とHTTPS通信で試してみるか…
ブラウザで http://EC2のパブリックIP
ブラウザで https://EC2のパブリックIP

※パブリックIPは、EC2作成時に設定できます。ネットワーク設定の編集より、パブリックIPの自動割り当てを有効化することで使えます。（EC2作成後に設定する方法もあります）

なんか画面が失敗ってなる・・

あ、EC2にいろいろ設定が必要だ・・・それは次回だな！とりあえず、今回のセキュリティグループを作ってみた、は終了だ！
ちゃんとできたのかわからないからモヤモヤする・・・
よし、次は動作確認のために、EC2にWebサーバーを設定してみる！だ！

この記事でのポイントまとめ:

マネジメントコンソール → EC2 → セキュリティグループ → 作成
実際のインスタンスにアタッチして動作確認