Amazon VPC のセキュリティグループルールで、クオータを増やす方法を教えてください。

簡単な説明

Amazon Elastic Compute Cloud (Amazon EC2) インスタンス内の Elastic ネットワークインターフェイスの数により、各セキュリティグループでの最大ルール数が決まります。ネットワークインターフェイスには、1,000 個のルール、5 個のセキュリティグループという最大クォータが適用されます。各セキュリティグループでは、60 件のインバウンドルールと 60 件のアウトバウンドルール (合計 120 件) を使用できます。デフォルトでは、各ネットワークインターフェイスには、最大 300 件のインバウンドルールと 300 件のアウトバウンドルールを設定できます。

解決策

次のベストプラクティスを実施して構成を最適化してください。

• 可能な場合はルールを組み合わせます。
• 広範囲の CIDR ブロックまたは小規模なセキュリティグループを使用します。
• 各ネットワークインターフェイスで使用するセキュリティグループの数を減らします。
• フローログとネットワークアクセスコントロールリスト (ネットワーク ACL) を使用して、セキュリティグループを使用せずにトラフィックをフィルタリングします。

上記の対応を行っても、各セキュリティグループのルール数をデフォルトの最大数より増やす必要がある場合は、クォータの増加をリクエストしてください。

重要: 各セキュリティグループのルール数を増やした場合も、ネットワークインターフェイスでのクォータである 1,000 ルールを維持する必要があります。各ネットワークインターフェイスでセキュリティグループの数を減らす必要が生じる場合があります。

たとえば、各セキュリティグループでのルール数を 250 に増やした場合は、セキュリティグループは 4 個のみ作成できます。それ以外の場合、1000 ルールのクォータを超過します。

中断を最小限に抑えるために、セキュリティグループを変更する際は、アプリケーションを確認してテストすることをおすすめします。

関連情報

Amazon VPC のクォータ

セキュリティグループのルール