Oracle Cloud Infrastructureドキュメント

セキュリティ・リストの作成

Virtual Cloud Network (VCN)でセキュリティ・リストを作成します。

セキュリティ・リストは、パケット・レベルでトラフィックを制御するために使用される仮想ファイアウォールです。セキュリティ・リストの機能に関する重要な情報は、セキュリティ・リストを参照してください。

セキュリティ・リストでは、セキュリティ・ルールが使用されます。セキュリティ・ルールがどのように機能するか、およびセキュリティ・リストとネットワーク・セキュリティ・グループ(オプションの仮想ファイアウォール)の一般的な比較の詳細は、セキュリティ・ルールを参照してください。

サブネットを作成するとき、少なくとも1つのセキュリティ・リストを関連付ける必要があります。VCNのデフォルト・セキュリティ・リストか、すでに作成済の別のセキュリティ・リスト(最大数については、サービス制限を参照)のいずれかになります。いつでもサブネットが使用するセキュリティ・リストを変更できます。

オプションとして、作成時にセキュリティ・リストに追加できます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をセキュリティ・リストに自動的に割り当てます。詳細は、リソース識別子を参照してください。

    1. 「Virtual Cloud Networks」リスト・ページで、操作するVCNを選択します。If you need help finding the list page or the VCN, see Listing VCNs.
    2. 詳細ページで、表示されるオプションに応じて、次のいずれかのアクションを実行します。
      • 「セキュリティ」タブで、「セキュリティ・リスト」セクションに移動します。
      • 「リソース」で、「セキュリティ・リスト」を選択します。
    3. 「セキュリティ・リストの作成」を選択します。
    4. セキュリティ・リストのわかりやすい名前を入力します。一意である必要はありません。機密情報を入力しないでください。
    5. セキュリティ・リストを作成するコンパートメントを確認します。必要に応じて別のコンパートメントを選択します。
    6. イングレス・ルールまたはエグレス・ルールのいずれかを追加します(ルールの例は、ネットワーキング・シナリオを参照してください):
      • 「+別のイングレス・ルール」または「+別のエグレス・ルール」のいずれかを選択します。
      • ルールがステートフルかステートレスかを選択します(ステートレス・ルールとのステートフル比較を参照)。デフォルトでは、特に指定しないかぎりルールはステートフルです。

      • ソースCIDR (イングレスの場合)または宛先CIDR (エグレスの場合)のいずれかを入力します。たとえば、0.0.0.0/0を使用してすべてのIPアドレスを指定します。ルールに指定する他の典型的なCIDRは、オンプレミス・ネットワークや特定のサブネット のCIDRブロック です。サービス・ゲートウェイを使用したトラフィックを許可するセキュリティ・リスト・ルールを設定する場合は、かわりにタスク3: (オプション)セキュリティ・ルールの更新を参照してください。CIDR表記法の詳細は、RFC1817およびRFC1519を参照してください。

      • IPプロトコル(TCP、UDP、ICMPなど)を選択するか、「すべてのプロトコル」を選択します。

      • プロトコルに応じて、詳細を入力します:

        • TCPまたはUDPを選択した場合は、ソース・ポート範囲と宛先ポート範囲を入力します。「すべて」を入力すると、すべてのポートをカバーできます。特定のポートを許可するには、ポート番号(たとえば、SSHは22、RDPの場合は3389)またはポート範囲(20–22など)を入力します。
        • ICMPを選択した場合は、「すべて」を入力すると、すべてのタイプとコードを指定できます。特定のICMPタイプを許可するには、タイプとオプションのコードをカンマで区切って入力します(たとえば、「3,4」)。タイプに許可するコードが複数ある場合は、コードごとに別々のルールを作成します。
      • セキュリティ・リスト・ルールの管理に役立つルールのオプションの説明を入力します。
    7. 別のセキュリティ・ルールを追加するには、「+別のルール」を選択してルールの情報を入力します。追加するルールごとに繰り返します。
    8. (オプション)「タグ」セクションを開き、タグをセキュリティ・リストに割り当てます。リソースを作成する権限を持つ場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する許可が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
    9. 完了したら、「セキュリティ・リストの作成」を選択します。

    セキュリティ・リストが作成され、選択したコンパートメントの「セキュリティ・リスト」ページに表示されます。これで、サブネットの作成時または更新時に、このセキュリティ・リストを指定できます。

    セキュリティ・リスト内のすべてのルールを表示する場合、リスト内のステートレス・ルールが最初に表示され、その後、ステートフル・ルールが表示されます。リスト内のステートレス・ルールはステートフル・ルールよりも優先されます。たとえば、サブネットに関連付けられているすべてのセキュリティ・リストでステートレス・ルールとステートフル・ルールの両方に一致するトラフィックがある場合、ステートレス・ルールが優先され、接続をトラッキングしません。

  • セキュリティ・リストを作成するには、network security-list createコマンドと必要なパラメータを使用します:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateSecurityList操作を実行して、セキュリティ・リストを作成します。