Amazon Virtual Private Cloud (Amazon VPC) で、セキュリティグループのクォータを増やしたいです。
簡単な説明
Amazon Elastic Compute Cloud (Amazon EC2) インスタンス内の Elastic ネットワークインターフェイスの数により、各セキュリティグループでの最大ルール数が決まります。ネットワークインターフェイスには、1,000 個のルール、5 個のセキュリティグループという最大クォータが適用されます。各セキュリティグループでは、60 件のインバウンドルールと 60 件のアウトバウンドルール (合計 120 件) を使用できます。デフォルトでは、各ネットワークインターフェイスには、最大 300 件のインバウンドルールと 300 件のアウトバウンドルールを設定できます。
解決策
次のベストプラクティスを実施して構成を最適化してください。
- 可能な場合はルールを組み合わせます。
- 広範囲の CIDR ブロックまたは小規模なセキュリティグループを使用します。
- 各ネットワークインターフェイスで使用するセキュリティグループの数を減らします。
- フローログとネットワークアクセスコントロールリスト (ネットワーク ACL) を使用して、セキュリティグループを使用せずにトラフィックをフィルタリングします。
上記の対応を行っても、各セキュリティグループのルール数をデフォルトの最大数より増やす必要がある場合は、クォータの増加をリクエストしてください。
重要: 各セキュリティグループのルール数を増やした場合も、ネットワークインターフェイスでのクォータである 1,000 ルールを維持する必要があります。各ネットワークインターフェイスでセキュリティグループの数を減らす必要が生じる場合があります。
たとえば、各セキュリティグループでのルール数を 250 に増やした場合は、セキュリティグループは 4 個のみ作成できます。それ以外の場合、1000 ルールのクォータを超過します。
中断を最小限に抑えるために、セキュリティグループを変更する際は、アプリケーションを確認してテストすることをおすすめします。
関連情報
Amazon VPC のクォータ
セキュリティグループのルール