+++
title = "セキュリティグループの作成"
weight = 10
+++


### VPC 用のセキュリティグループを作成

マネジメントコンソール上部の **「サービス」** から **<a href="https://console.aws.amazon.com/vpc/home?region=us-west-2" target="_blank" rel="noopener noreferrer">VPC</a>** のページを開き、左のメニューから **「セキュリティ」 → 「セキュリティグループ」** を選択します。セキュリティグループの一覧が表示されたら、**「セキュリティグループを作成」** ボタンをクリックします。

#### 1. ロードバランサー用のセキュリティグループを作成

以下のパラメータを入力して、ロードバランサー用のセキュリティグループを作成します：

| セキュリティグループ名     | 説明      		 | VPC                             |
| ---------------------- | ---------------- |----------------------------------|
| LB-SG                  | Load balancer security group  | 事前準備で作成した VPC を選択 （例：TargetVPC）  |

![create-lb-sg](/ecs/create-lb-sg.ja.png)

**「インバウンドルール」** セクションで、**「ルールを追加」** ボタンをクリックし、 
ユーザーが任意の場所から HTTP、HTTPS でウェブサイトにアクセスできるよう、ルールを追加します。

| タイプ    | プロトコル      								   | ソース            |
| ---------------------- | ---------------- |----------------|
| HTTP                | TCP            | 任意の場所   |
| HTTPS               | TCP            | 任意の場所   |

![edit-lb-sg](/ecs/edit-lb-sg.ja.png)

**「セキュリティグループを作成」** ボタンをクリックし、セキュリティグループを作成します。

#### 2. Elastic Container Service (ECS) タスク用のセキュリティグループを作成

画面上部の **「セキュリティグループ」** から、セキュリティグループの一覧画面に戻ります。  
再度 **「セキュリティグループを作成」** ボタンをクリックし、ECS タスク用のセキュリティグループを作成します：

| セキュリティグループ名    | 説明      								   | VPC            |
| ---------------------- | ---------------- |----------------------------------|
| ECS-Tasks-SG           | Allow communication between the LB and the ECS Tasks| 事前準備で作成した VPC を選択 （例：TargetVPC）  |

**「インバウンドルール」** セクションで、**「ルールを追加」** ボタンをクリックし、 
Application Load Balancer と ECS タスク間の通信を許可するルールを追加します。

| タイプ                  | プロトコル         | ソース            |
| ---------------------- | ---------------- |----------------|
| すべての TCP            | TCP               | カスタム → LB-SG   |

![edit-task-sg](/ecs/edit-task-sg.ja.png)

**「セキュリティグループを作成」** ボタンをクリックし、セキュリティグループを作成します。

#### 3. Elastic File System (EFS) 用のセキュリティグループを作成

画面上部の **「セキュリティグループ」** から、セキュリティグループの一覧画面に戻ります。  
再度 **「セキュリティグループを作成」** ボタンをクリックし、Amazon EFS 用のセキュリティグループを作成します：

| セキュリティグループ名     | 説明             | VPC            |
| ---------------------- | ---------------- |----------------------------------|
| EFS-SG  | Allow communication between ECS tasks and EFS  | 事前準備で作成した VPC を選択 （例：TargetVPC）  |

**「インバウンドルール」** セクションで、**「ルールを追加」** ボタンをクリックし、ECS タスクと Amazon EFS 間の通信を許可するルールを追加します。
Web サーバーの EFS へのアクセスは、EFS ボリュームをマウントして、Web アプリケーションの静的コンテンツをコピーするために、
一時的に有効化します（後で削除します）。

| タイプ    | プロトコル    | ソース            |
| -------- | ----------- |----------------|
| NFS      | TCP         | カスタム → ECS-Tasks-SG  |
| NFS      | TCP         | カスタム → Web サーバーに割り当てられているセキュリティグループ  |

![edit-efs-sg](/ecs/edit-efs-sg.ja.png)

{{% notice tip %}}
Web サーバーに割り当てられているセキュリティグループを確認するには、
AWS マネジメントコンソール上部の **「サービス」** から **<a href="https://console.aws.amazon.com/ec2/v2/home?region=us-west-2" target="_blank" rel="noopener noreferrer">EC2</a>** のページを開き、**Webserver** インスタンスを選択します。
インスタンスに割り当てられている**セキュリティグループ**名をクリックし、**セキュリティグループ ID** を確認します。
{{% /notice %}}

**「セキュリティグループを作成」** ボタンをクリックし、セキュリティグループを作成します。


### データベース用のセキュリティグループの変更

画面上部の **「セキュリティグループ」** から、セキュリティグループの一覧画面に戻ります。  
Amazon Elastic Container Service (ECS) タスクとターゲットデータベース間の通信を可能にするため、
ECS-Tasks-SG からポート3306 (MySQL) に対するトラフィックを許可するよう、
データベース用のセキュリティグループ (DB-SG) を変更します。

| タイプ    | プロトコル      								   | ソース            |
| ---------------------- | ---------------- |----------------|
| MySQL                | TCP            | カスタム → ECS-Tasks-SG   |

![update-db-sg](/ecs/update-db-sg.ja.png)