Oracle Cloud Infrastructureドキュメント

セキュリティ・リストの作成

仮想クラウド・ネットワーク(VCN)にセキュリティ・リストを作成します。

セキュリティ・リストは、パケット・レベルでトラフィックを制御するために使用される仮想ファイアウォールです。セキュリティ・リストの機能に関する重要な情報は、セキュリティ・リストに関する項を参照してください。

セキュリティ・リストでは、セキュリティ・ルールが使用されます。セキュリティ・ルールの動作に関する重要な情報、およびセキュリティ・リストとネットワーク・セキュリティ・グループ(オプションの仮想ファイアウォール)の一般的な比較については、セキュリティ・ルールを参照してください。

サブネットを作成するとき、少なくとも1つのセキュリティ・リストを関連付ける必要があります。これは、VCNのデフォルト・セキュリティ・リストか、すでに作成した別のセキュリティ・リスト(最大数についてはサービス制限を参照)のいずれかです。いつでもサブネットが使用するセキュリティ・リストを変更できます。

オプションで、作成時にセキュリティ・リストにわかりやすい名前を割り当てることができます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をセキュリティ・リストに自動的に割り当てます。詳細は、リソース識別子を参照してください。

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 目的のVCNの名前をクリックします。
    3. 「リソース」で、「セキュリティ・リスト」をクリックします。
    4. 「セキュリティ・リストの作成」をクリックします。
    5. 次の情報を入力します:
      • 名前: セキュリティ・リストのわかりやすい名前。名前は必ずしも一意であるとはかぎりません。また、後でコンソールで変更できます(ただし、APIで変更できます)。機密情報を入力しないでください。
      • コンパートメントで作成:セキュリティ・リストの作成先のコンパートメント(現在作業しているコンパートメントと異なる場合)。
    6. イングレス・ルールまたはエグレス・ルールのいずれかを追加します(ルールの例は、ネットワーキング・シナリオを参照してください):
      • 「+別のイングレス・ルール」または「+別のエグレス・ルール」をクリックします。
      • ルールをステートフルにするか、ステートレスにするかを選択します(Stateful Versus Stateless Rulesを参照)。デフォルトでは、特に指定しないかぎりルールはステートフルです。

      • ソースCIDR (イングレスの場合)または宛先CIDR (エグレスの場合)のいずれかを入力します。たとえば、0.0.0.0/0を使用してすべてのIPアドレスを指定します。ルールに指定する他の典型的なCIDRは、オンプレミス・ネットワークや特定のサブネットのCIDRブロックです。サービス・ゲートウェイを使用したトラフィックを許可するセキュリティ・リスト・ルールを設定する場合は、かわりにタスク3: (オプション)セキュリティ・ルールの更新を参照してください。

      • IPプロトコル(TCP、UDP、ICMPなど)を選択するか、「すべてのプロトコル」を選択します。

      • プロトコルに応じて、詳細を入力します:

        • TCPまたはUDPを選択した場合は、ソース・ポート範囲と宛先ポート範囲を入力します。「すべて」を入力すると、すべてのポートを指定できます。特定のポートを許可する場合は、ポート番号(たとえば、SSHの場合は22、RDPの場合は3389)またはポート範囲(20–22など)を入力します。
        • ICMPを選択した場合は、「すべて」を入力すると、すべてのタイプとコードを指定できます。特定のICMPタイプを許可する場合は、タイプとオプション・コードをカンマで区切って入力します(3,4など)。タイプに許可する複数のコードがある場合は、コードごとに別のルールを作成します。
      • セキュリティ・リスト・ルールの管理に役立つルールのオプションの説明を入力します。
    7. リストに追加するルールごとに、前述のステップを繰り返します。
    8. オプションで、「タグ付けオプションの表示」をクリックし、セキュリティ・リストにタグを割り当てます。リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後から適用できます。
    9. 終了したら、「セキュリティ・リストの作成」をクリックします。

    セキュリティ・リストが作成され、選択したコンパートメントの「セキュリティ・リスト」ページに表示されます。これで、サブネットの作成時または更新時に、このセキュリティ・リストを指定できます。

    セキュリティ・リスト内のすべてのルールを表示する場合、リスト内のステートレス・ルールはステートフル・ルールの上に表示されます。リスト内のステートレス・ルールはステートフル・ルールよりも優先されます。つまり、サブネットに関連付けられているすべてのセキュリティ・リストでステートレス・ルールとステートフル・ルールの両方に一致するトラフィックがある場合は、ステートレス・ルールが優先され、接続はトラッキングされません。

  • セキュリティ・リストを作成するには、network security-list createコマンドおよび必要なパラメータを使用します:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateSecurityList操作を実行して、セキュリティ・リストを作成します。