DBセキュリティグループは、DBインスタンスの送受信トラフィックを制御してDBインスタンスを保護する目的で使用します。ルールで指定したトラフィックは許可し、残りのトラフィックはブロックする「ポジティブセキュリティモデル(positive security model)」を使用します。DBインスタンスにDBセキュリティグループを接続しない場合、すべての送受信トラフィックが許可されません。DBセキュリティグループを作成しても、DBインスタンスに適用しなければ、DBセキュリティグループのルールが適用されません。 DBインスタンスに複数のDBセキュリティグループを適用できます。DBセキュリティグループの主な特徴は下記の通りです。
DBセキュリティグループは名前と説明、多数のDBセキュリティルールで構成され、DBセキュリティグループの名前は下記のような制約があります。
DBインスタンスを作成する時、適用するDBセキュリティグループを選択できます。DBインスタンスに複数のDBセキュリティグループを適用できます。適用されたすべてのDBセキュリティグループのルールがDBインスタンスに適用されます。適用されたDBインスタンスはDBインスタンス修正画面で自由に変更できます。
1つのDBセキュリティグループに 多数のDBセキュリティルールを作成できます。DBインスタンスにDBセキュリティグループを設定すると、当該DBセキュリティグループに作成されたすべてのDBセキュリティルールが 適用されます。
| 項目 | 説明 |
|---|---|
| 方向 | 受信はDBインスタンスに流入する方向を意味します。送信はDBインスタンスから出る方向を意味します。 |
| Ether Type | EtherType IPのバージョンを意味します。IPv4、IPv6を指定できます。 |
| ポート | ルールを適用するポートを設定します。単一ポートまたはポート範囲で入力することができ、DBポートを選択できます。DBポートを選択すると、DBインスタンスのDBポートが自動的に入力されます。 |
| 遠隔 | IPアドレス範囲を指定できます。ルールの方向が「送信」であれば目的地が遠隔で、「受信」であれば出発地が遠隔です。 ルールの方向によってトラフィックの出発地と目的地が設定されたIPアドレスや 範囲かどうかを比較します。 |
| 説明 | DBセキュリティグループルールの説明を追加できます。 |
DBセキュリティルールの作成、修正、削除などの変更が発生すると、変更がDBセキュリティグループと連結されたDBインスタンスに順次適用されます。DBセキュリティグループに接続されたすべてのDBインスタンスに適用されるまで、DBセキュリティグループに新規にDBセキュリティルールを追加したり、他のDBセキュリティルールを修正、削除することはできません。