AWSのセキュリティグループに関して。
AWSには標準でセキュリティグループという概念があり、それぞれのインスタンスに対して、アクセスするパケットをポート番号で制御でき、この定義をセキュリティグループと言います。(EC2とRDSで設定可)
いわば標準のファイアウォールのようなものになります。
決められることは大きく以下の3つです。
- どこから(特定IPからだけなど、もちろん任意も可能)
- どこに対して(このインスタンス自体がアクセスできる先も制御できます)
- どのポートを許可/遮断するか
例えば下記のようなパターンですね。
Webサーバー
特定IPのみから22番ポートと8080番ポートへの通信を許可
DBサーバー
特定IPのみから3306番ポートへの通信を許可
上記を特定のパターンとして定義しておき、保存しておきます。ポリシーと近い概念でしょうか。
特にDBはセキュリティを強化する必要があるのでWEBサーバーと特定IPのみにしておけば良いでしょう。
ちなみにどこからの設定を「インバウンド」、どこへを「アウトバウンド」といいます。
参考
Amazon Web Servicesではじめる新米プログラマのためのクラウド超入門 (CodeZine BOOKS) (日本語)