DBセキュリティグループはDBインスタンスの送受信トラフィックを制御してDBインスタンスを保護する目的で使用します。ルールで指定したトラフィックは許可し、残りのトラフィックはブロックする「ポジティブセキュリティモデル(positive security model)」を使用します。DBインスタンスにDBセキュリティグループを接続しない場合、すべての送受信トラフィックが許可されません。 DBセキュリティグループを作成しても、DBインスタンスに適用しなければ、DBセキュリティグループのルールが適用されません。 DBインスタンスに多数のDBセキュリティグループを適用できます。DBセキュリティグループの主な特徴は次の通りです。
DBセキュリティグループは、名前と説明、多数のDBセキュリティルールで構成され、DBセキュリティグループの名前は下記のような制約があります。
DBインスタンスを作成する時、適用するDBセキュリティグループを選択できます。DBインスタンスに複数のDBセキュリティグループを適用できます。適用された全てのDBセキュリティグループのルールがDBインスタンスに適用されます。適用されたDBインスタンスは、DBインスタンス修正画面で自由に変更できます。
一つのDBセキュリティグループに多数のDBセキュリティルールを作成できます。DBインスタンスにDBセキュリティグループを設定すると、そのDBセキュリティグループに作成されたすべてのDBセキュリティルールが適用されます。
| 項目 | 説明 |
|---|---|
| 方向 | 受信はDBインスタンスに流入する方向を意味します。送信は、DBインスタンスから出る方向を意味します。 |
| Ether Type | EtherType IPのバージョンを意味します。IPv4、IPv6を指定できます。 |
| ポート | ルールを適用するポートを設定します。単一ポートまたはポート範囲で入力することができ、DBポートを選択できます。DBポートを選択すると、DBインスタンスのDBポートが自動的に入力されます。 |
| 遠隔 | IPアドレスの範囲を指定できます。ルールの方向が「送信」であれば目的地が遠隔、「受信」であれば出発地が遠隔です。ルールの方向によって、トラフィックの出発地と目的地が設定されたIPアドレスまたは範囲かどうかを比較します。 |
| 説明 | DBセキュリティグループルールの説明を追加できます。 |
DBセキュリティルールの作成、修正、削除などの変更が発生すると、変更内容がDBセキュリティグループと連結されたDBインスタンスに順次適用されます。DBセキュリティグループに連結されたすべてのDBインスタンスに適用されるまで、DBセキュリティグループに新たにDBセキュリティルールを追加したり、他のDBセキュリティルールを修正、削除することはできません。