Oracle Cloud Infrastructureドキュメント

セキュリティ・リストの作成

Virtual Cloud Network (VCN)でセキュリティ・リストを作成します。

セキュリティ・リストは、パケット・レベルでトラフィックを制御するために使用される仮想ファイアウォールです。セキュリティ・リストの機能に関する重要な情報は、セキュリティ・リストを参照してください。

セキュリティ・リストでは、セキュリティ・ルールが使用されます。セキュリティ・ルールがどのように機能するか、およびセキュリティ・リストとネットワーク・セキュリティ・グループ(オプションの仮想ファイアウォール)の一般的な比較の詳細は、セキュリティ・ルールを参照してください。

サブネットを作成するとき、少なくとも1つのセキュリティ・リストを関連付ける必要があります。これは、VCNのデフォルト・セキュリティ・リストか、すでに作成されている別のセキュリティ・リスト(最大数についてはサービス制限を参照)のいずれかです。いつでもサブネットが使用するセキュリティ・リストを変更できます。

オプションとして、作成時にセキュリティ・リストに追加できます。一意である必要はなく、後で変更できます。Oracleは、Oracle Cloud ID (OCID)と呼ばれる一意の識別子をセキュリティ・リストに自動的に割り当てます。詳細は、リソース識別子を参照してください。

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 目的のVCNの名前をクリックします。
    3. 「リソース」で、「セキュリティ・リスト」をクリックします。
    4. 「セキュリティ・リストの作成」をクリックします。
    5. 次の情報を入力します:
      • 名前: セキュリティ・リストのわかりやすい名前。名前は必ずしも一意である必要はありませんが、後でコンソールで変更できます(ただし、APIで変更できます)。機密情報の入力は避けてください。
      • コンパートメントで作成:セキュリティ・リストを作成するコンパートメント(現在作業しているコンパートメントとは異なる場合)。
    6. イングレス・ルールまたはエグレス・ルールのいずれかを追加します(ルールの例は、ネットワーキング・シナリオを参照してください):
      • 「+別のイングレス・ルール」または「+別のエグレス・ルール」をクリックします。
      • ルールがステートフルかステートレスかを選択します(ステートフル・ルールとステートレス・ルールを参照)。デフォルトでは、特に指定しないかぎりルールはステートフルです。

      • ソースCIDR (イングレスの場合)または宛先CIDR (エグレスの場合)のいずれかを入力します。たとえば、0.0.0.0/0を使用してすべてのIPアドレスを指定します。ルールに指定する他の典型的なCIDRは、オンプレミス・ネットワークや特定のサブネットのCIDRブロックです。サービス・ゲートウェイを使用したトラフィックを許可するセキュリティ・リスト・ルールを設定する場合は、かわりにタスク3: (オプション)セキュリティ・ルールの更新を参照してください。

      • IPプロトコル(TCP、UDP、ICMPなど)を選択するか、「すべてのプロトコル」を選択します。

      • プロトコルに応じて、詳細を入力します:

        • TCPまたはUDPを選択した場合は、ソース・ポート範囲と宛先ポート範囲を入力します。「すべて」を入力すると、すべてのポートを指定できます。特定のポートを許可する場合は、ポート番号(たとえば、SSHの場合は22、RDPの場合は3389)またはポート範囲(20–22など)を入力します。
        • ICMPを選択した場合は、「すべて」を入力すると、すべてのタイプとコードを指定できます。特定のICMPタイプを許可する場合は、タイプとオプション・コードをカンマで区切って入力します(3,4など)。タイプに複数のコードを許可する場合は、コードごとに別々のルールを作成します。
      • セキュリティ・リスト・ルールの管理に役立つルールのオプションの説明を入力します。
    7. リストに追加するルールごとに、前述のステップを繰り返します。
    8. オプションで、「タグ付けオプションの表示」をクリックし、セキュリティ・リストにタグを割り当てます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に連絡してください。タグは後で適用できます。
    9. 終了したら、「セキュリティ・リストの作成」をクリックします。

    セキュリティ・リストが作成され、選択したコンパートメントの「セキュリティ・リスト」ページに表示されます。これで、サブネットの作成時または更新時に、このセキュリティ・リストを指定できます。

    セキュリティ・リスト内のすべてのルールを表示する場合、リスト内のステートレス・ルールはステートフル・ルールの上に表示されます。リスト内のステートレス・ルールはステートフル・ルールよりも優先されます。つまり、サブネットに関連付けられているすべてのセキュリティ・リストでステートレス・ルールとステートフル・ルールの両方に一致するトラフィックがある場合は、ステートレス・ルールが優先され、接続はトラッキングされません。

  • セキュリティ・リストを作成するには、network security-list createコマンドと必要なパラメータを使用します:

    oci network security-list create --compartment-id compartment-ocid --vcn-id vcn-ocid [--egress-security-rules | --ingress-security-rules] rules... [OPTIONS]

    CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンド・リファレンスを参照してください。

  • CreateSecurityList操作を実行して、セキュリティ・リストを作成します。