セキュリティグループのトラブルシューティング

ここでは、セキュリティグループの作成後に疎通トラブルが発生した場合のトラブルシューティングの方法を説明します。


許可ルールに該当する通信が疎通できないケース


[STEP1]セキュリティグループが原因であるか、それ以外が原因となっているかを切り分けする

該当のポートについて、あらかじめ用意されているセキュリティグループである(permit-any)を適用し、その他のセキュリティグループをすべて外します。

  • 疎通成功:[STEP2]に進んでください。
  • 疎通失敗:セキュリティグループが原因ではありません。通信経路上にあるそのほかの要素について、設定に問題がないか確認してください。

[STEP2]許可したいセキュリティグループを再度適用する

許可したいセキュリティグループのルールについて、誤りがないか再度確認してください。
該当のポートから、[STEP1]で追加したセキュリティグループ(permit-any)を外し、許可したいセキュリティグループのみをポートに適用します。
  • 疎通成功:トラブルシューティング完了です。

  • 疎通失敗:下記の情報を添えてお問い合わせください。

    • 通信要件の情報
      • 送信元IPアドレス、送信先IPアドレス
      • プロトコル(TCP/UDP、ポート番号)
      • 通信の経路(どこからどこへの通信を試したか)
    • 疎通対象の情報
      • セキュリティグループを適用したサーバーインスタンスのID、および、ポートのID
      • 適用したセキュリティグループのID

通信できないようにしたい通信が疎通してしまうケース


[STEP1]ルールの設定にpermit-anyが存在しないことを確認

あらかじめ用意されているセキュリティグループである(permit-any)がポートに適用されていると、すべての通信が許可されます。
現在ポートに適用されているセキュリティグループの一覧に(permit-any)が存在している場合は、ポートから外し、再度通信拒否ができるかを確認してください。

  • 拒否成功:トラブルシューティング完了です。
  • 拒否失敗:[STEP2]のトラブルシューティング方法もお試しください。

[STEP2]ルールが存在しないセキュリティグループのみを適用

原因切り分けのため下記のとおり、ルールが存在しないセキュリティグループのみを適用します。
 1.新しいセキュリティグループを作成します。(作成直後の状態ではルールは存在しません。必ず新規で作成してください)
 2.上記1で作成したセキュリティグループをポートに適用します。
 3.そのほかのセキュリティグループをすべてポートから外します。

  • 拒否成功:再度、許可したい通信のルールを一つずつ追加して、お試しください。

  • 拒否失敗:下記の情報を添えてお問い合わせください。

    • 通信要件の情報
      • 送信元IPアドレス、送信先IPアドレス
      • プロトコル(TCP/UDP、ポート番号)
      • 通信の経路(どこからどこへの通信を試したか)
    • 疎通対象の情報
      • セキュリティグループを適用したサーバーインスタンスのID、および、ポートのID
      • 適用したセキュリティグループのID