仮想ネットワーク サービス タグ
サービス タグは、指定された Azure サービスからの IP アドレス プレフィックスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則に対する頻繁な更新の複雑さを最小限に抑えられます。
重要
サービス タグは IP ベースのアクセス制御リスト (ACL) を有効にする機能を簡素化しますが、サービス タグだけでは、サービスの性質と送信されるトラフィックを考慮せずにトラフィックをセキュリティで保護するには十分ではありません。 IP ベースの ACL の詳細については、「IP ベースのアクセス制御リスト (ACL) とは」をご覧ください。
トラフィックの性質に関する追加情報については、この記事の後半で各サービスとそのタグについて説明します。 IP ベースの ACL にサービス タグを使用するときに許可するトラフィックをよく理解していることが重要です。 お使いの環境を保護するために、追加のレベルのセキュリティを検討してください。
サービス タグを使用して、ネットワーク セキュリティ グループ、Azure Firewall、ユーザー定義ルートでのネットワーク アクセスの制御を定義できます。 セキュリティ規則とルートを作成するときに、特定の IP アドレスの代わりにサービス タグを使用します。 セキュリティ規則の適切な "ソース" または "宛先" フィールドにサービス タグ名 (ApiManagement など) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。 ルートのアドレス プレフィックスにサービス タグ名を指定することで、サービス タグによってカプセル化された任意のプレフィックスを対象としたトラフィックを目的のネクスト ホップの種類にルーティングできます。
サービス タグを使用すると、ネットワーク分離を実現し、パブリック エンドポイントを持つ Azure サービスへのアクセス時に一般のインターネットから Azure リソースを保護できます。 受信/送信ネットワーク セキュリティ グループ規則を作成して、インターネットとの間のトラフィックを拒否し、AzureCloud または他の特定の Azure サービスの利用可能なサービス タグとの間のトラフィックを許可します。
利用可能なサービス タグ
次の表には、ネットワーク セキュリティ グループの規則で使用できるすべてのサービス タグが含まれています。
各列は、タグが次を満たすかどうかを示しています。
- 受信または送信トラフィックを扱う規則に適している。
- リージョン スコープをサポートしている。
- 受信または送信トラフィックの "宛先" 規則としてのみ Azure Firewall 規則で使用可能である。
既定では、サービス タグにはクラウド全体の範囲が反映されます。 サービス タグによっては、対応する IP 範囲を指定されたリージョンに制限することで、より詳細な制御を実現することもできます。 たとえば、サービス タグ Storage はクラウド全体の Azure Storage を表していますが、Storage.WestUS を使用すると、WestUS リージョンのストレージ IP アドレスのみに範囲が限定されます。 次の表は、各サービス タグがこのようなリージョン スコープをサポートしているかどうかを示し、各タグで示されている方向は推奨事項です。 たとえば、AzureCloud タグを使用して受信トラフィックを許可することができます。 ほとんどのシナリオでは、他の Azure ユーザーによって使用される IP がサービス タグの一部として含まれるため、すべての Azure IP からのトラフィックを許可することはお勧めしません。
タグ | 目的 | 受信または送信で使用できるか | リージョン別か | Azure Firewall と共に使用できるか |
---|---|---|---|---|
ActionGroup | アクション グループ。 | 受信 | いいえ | はい |
ApiManagement | Azure API Management 専用デプロイのための管理トラフィック。 注: このタグは、リージョンごとのコントロール プレーンの Azure API Management サービス エンドポイントを表します。 このタグにより、顧客は API Management サービス上で構成された API、操作、ポリシー、NamedValues に対する管理操作を実行できるようになります。 |
受信 | はい | はい |
ApplicationInsightsAvailability | Application Insights の可用性。 | 受信 | いいえ | はい |
AppConfiguration | App Configuration。 | 送信 | いいえ | はい |
AppService | Azure App Service。 このタグは、Web アプリと関数アプリに対するアウトバウンド セキュリティ規則で推奨されています。 注: このタグには、IP ベースの SSL (アプリに割り当てられたアドレス) を使用するときに割り当てられた IP アドレスは含まれません。 |
送信 | はい | はい |
AppServiceManagement | App Service Environment 専用デプロイのための管理トラフィック。 | 両方 | いいえ | はい |
AzureActiveDirectory | Microsoft Entra ID サービス。 このタグには、ログイン、MS Graph、およびこの表に特に記載されていないその他の Entra サービスが含まれます | 送信 | いいえ | はい |
AzureActiveDirectoryDomainServices | Microsoft Entra Domain Services 専用のデプロイの管理トラフィック。 | 両方 | いいえ | はい |
AzureAdvancedThreatProtection | Microsoft Defender for Identity | 送信 | いいえ | はい |
AzureArcInfrastructure | Azure Arc 対応サーバー、Azure Arc 対応 Kubernetes、ゲスト構成トラフィック。 注: このタグは、AzureActiveDirectory、AzureTrafficManager、AzureResourceManager の各タグに依存しています。 |
送信 | いいえ | はい |
AzureAttestation | Azure Attestation。 | 送信 | いいえ | はい |
AzureBackup | Azure Backup。 注: このタグは、Storage と AzureActiveDirectory の各タグに依存します。 |
送信 | いいえ | はい |
AzureBotService | Azure Bot Service。 | 両方 | いいえ | はい |
AzureCloud | すべてのデータセンター パブリック IP アドレス。 このタグには IPv6 は含まれません。 | 両方 | はい | はい |
AzureCognitiveSearch | Azure AI Cognitive Search。 このタグでは、インデクサーベースのインデックス作成のために検索サービスによって使用されるマルチテナント実行環境の IP 範囲を指定します。 注: 検索サービス自体の IP は、このサービス タグによってカバーされていません。 Azure リソースのファイアウォール構成では、サービス タグの他、検索サービス自体の特定の IP アドレスも指定する必要があります。 |
受信 | いいえ | はい |
AzureConnectors | このタグは、Azure Logic Apps サービスへの受信 Webhook コールバックと、Azure Storage や Azure Event Hubs などの各サービスへの送信呼び出しを行う、マネージド コネクタに使用される IP アドレスを表します。 | Both | はい | はい |
AzureContainerAppsService | Azure Container Apps Service | Both | はい | いいえ |
AzureContainerRegistry | Azure Container Registry。 | 送信 | はい | はい |
AzureCosmosDB | Azure Cosmos DB。 | 送信 | はい | はい |
AzureDatabricks | Azure Databricks。 | 両方 | いいえ | はい |
AzureDataExplorerManagement | Azure Data Explorer 管理。 | 受信 | いいえ | はい |
AzureDeviceUpdate | Device Update for IoT Hub。 | 両方 | いいえ | はい |
AzureDevOps | Azure DevOps です。 | 受信 | はい | はい |
AzureDigitalTwins | Azure Digital Twins。 注: このタグ、またはこのタグによってカバーされる IP アドレスを使用すると、イベント ルート用に構成されたエンドポイントへのアクセスを制限することができます。 |
受信 | いいえ | はい |
AzureEventGrid | Azure Event Grid。 | 両方 | いいえ | はい |
AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Frontend サービス タグには、クライアントが Front Door に到達するために使用する IP アドレスが含まれます。 Azure Front Door の背後にあるサービスに接続できる送信トラフィックを制御する場合は、AzureFrontDoor.Frontend サービス タグを適用できます。 Backend サービス タグには、Azure Front Door で配信元への接続に使用される IP アドレスが含まれます。 配信元のセキュリティを構成するときに、このサービス タグを適用できます。 FirstParty は、Azure Front Door でホストされる Microsoft サービスの一部のグループ用に予約された特別なタグです。 | 両方 | はい | はい |
AzureHealthcareAPIs | このタグによってカバーされる IP アドレスを使うと、Azure Health Data Services へのアクセスを制限することができます。 | 両方 | いいえ | はい |
AzureInformationProtection | Azure Information Protection。 注: このタグは、AzureActiveDirectory、AzureFrontDoor.Frontend、AzureFrontDoor.FirstParty の各タグに依存します。 |
送信 | いいえ | はい |
AzureIoTHub | Azure IoT Hub。 | 送信 | はい | はい |
AzureKeyVault | Azure Key Vault。 注: このタグは、AzureActiveDirectory タグに依存します。 |
送信 | はい | はい |
AzureLoadBalancer | Azure インフラストラクチャのロード バランサー。 このタグは、Azure の正常性プローブの送信元となるホストの仮想 IP アドレス (168.63.129.16) に変換されます。 これにはプローブ トラフィックのみが含まれ、バックエンド リソースへの実際のトラフィックは含まれません。 Azure Load Balancer を使っていない場合は、この規則をオーバーライドできます。 | 両方 | いいえ | いいえ |
AzureMachineLearningInference | このサービス タグは、プライベート ネットワークマネージド推論シナリオでパブリック ネットワークイングレスを制限するために使用されます。 | 受信 | いいえ | はい |
AzureManagedGrafana | Azure Managed Grafana インスタンス エンドポイント。 | 送信 | いいえ | はい |
AzureMonitor | Log Analytics、Application Insights、Azure Monitor ワークスペース、AzMon、カスタム メトリック (GiG エンドポイント)。 注: Log Analytics の場合は、Storage タグも必要です。 Linux エージェントが使用されている場合は、GuestAndHybridManagement タグも必要です。 |
送信 | いいえ | はい |
AzureOpenDatasets | Azure Open Datasets。 注: このタグは、AzureFrontDoor.Frontend と Storage の各タグに依存します。 |
送信 | いいえ | はい |
AzurePlatformDNS | 基本インフラストラクチャ (既定) の DNS サービス。 このタグを使用すると、既定の DNS を無効にすることができます。 このタグを使用する場合は注意が必要です。 「Azure プラットフォームに関する考慮事項」を参照することをお勧めします。 また、このタグを使用する前にテストを実行することをお勧めします。 |
送信 | いいえ | いいえ |
AzurePlatformIMDS | Azure Instance Metadata Service (IMDS)。これは基本的なインフラストラクチャ サービスです。 このタグを使用すると、既定の IMDS を無効にすることができます。 このタグを使用する場合は注意が必要です。 「Azure プラットフォームに関する考慮事項」を参照することをお勧めします。 また、このタグを使用する前にテストを実行することをお勧めします。 |
送信 | いいえ | いいえ |
AzurePlatformLKM | Windows のライセンスまたはキー管理サービス。 このタグを使用すると、ライセンスの既定値を無効にすることができます。 このタグを使用する場合は注意が必要です。 「Azure プラットフォームに関する考慮事項」を参照することをお勧めします。 また、このタグを使用する前にテストを実行することをお勧めします。 |
送信 | いいえ | いいえ |
AzureResourceManager | Azure Resource Manager。 | 送信 | いいえ | はい |
AzureSentinel | Microsoft Sentinel。 | 受信 | いいえ | はい |
AzureSignalR | Azure SignalR。 | 送信 | いいえ | はい |
AzureSiteRecovery | Azure Site Recovery。 注: このタグは、AzureActiveDirectory、AzureKeyVault、EventHub、GuestAndHybridManagement、Storage の各タグに依存します。 |
送信 | いいえ | はい |
AzureSphere | このタグ、またはこのタグによってカバーされる IP アドレスを使用すると、Azure Sphere Security Services へのアクセスを制限することができます。 | 両方 | いいえ | はい |
AzureSpringCloud | Azure Spring Apps でホストされているアプリケーションへのトラフィックを許可します。 | 送信 | いいえ | はい |
AzureStack | Azure Stack Bridge サービス。 このタグは、リージョンごとの Azure Stack Bridge サービス エンドポイントを表します。 |
送信 | いいえ | はい |
AzureTrafficManager | Azure Traffic Manager プローブ IP アドレス。 Traffic Manager プローブ IP アドレスについて詳しくは、「Traffic Manager についてよく寄せられる質問 (FAQ)」をご覧ください。 |
受信 | いいえ | はい |
AzureUpdateDelivery | Windows 更新プログラムへのアクセスに使用される Azure Update Delivery サービス タグは非推奨としてマークされており、今後は使用停止になる予定です。 お客様は、このサービス タグに依存しないことをお勧めします。既に使用しているお客様は、次のいずれかのオプションに移行することをお勧めします。 次のドキュメントに従って Windows 10/11 デバイス用に Azure Firewall を構成します。 • Windows 11 Enterprise の接続エンドポイントの管理 • Windows 10 Enterprise バージョン 21H2 の接続エンドポイントを管理する Windows Server Update Services (WSUS) を展開する Azure で Windows VM を更新するための展開を計画する次に、 手順 2: WSUS を構成するに進んでください |
送信 | いいえ | はい |
AzureWebPubSub | AzureWebPubSub | Both | はい | はい |
BatchNodeManagement | Azure Batch 専用デプロイのための管理トラフィック。 | 両方 | はい | はい |
ChaosStudio | Azure Chaos Studio。 注: Chaos Agent で Application Insights 統合を有効にしている場合は、AzureMonitor タグも必要です。 |
両方 | いいえ | はい |
CognitiveServicesFrontend | Azure AI サービス フロントエンド ポータルのトラフィックのアドレス範囲。 | 両方 | いいえ | はい |
CognitiveServicesManagement | Azure AI サービスのトラフィックのアドレス範囲。 | 両方 | いいえ | はい |
DataFactory | Azure Data Factory | 両方 | はい | はい |
DataFactoryManagement | Azure Data Factory の管理トラフィック。 | 送信 | いいえ | はい |
Dynamics365ForMarketingEmail | Dynamics 365 のマーケティング電子メール サービスのアドレス範囲。 | 両方 | はい | はい |
Dynamics365BusinessCentral | このタグ、またはこのタグによってカバーされる IP アドレスを使用すると、Dynamics 365 Business Central Services へのアクセスを制限することができます。 | 両方 | いいえ | はい |
EOPExternalPublishedIPs | このタグは、セキュリティ/コンプライアンス センター PowerShell に使用される IP アドレスを表します。 詳細については、EXO V2 モジュールを使用したセキュリティ/コンプライアンス センター PowerShell への接続に関するページを参照してください。 | 両方 | いいえ | はい |
EventHub | Azure Event Hubs。 | 送信 | はい | はい |
GatewayManager | Azure VPN Gateway と Application Gateway 専用デプロイのための管理トラフィック。 | 受信 | いいえ | いいえ |
GuestAndHybridManagement | Azure Automation とゲスト構成。 | 送信 | いいえ | はい |
HDInsight | Azure HDInsight。 | 受信 | はい | はい |
Internet | パブリック インターネットによってアクセスできる仮想ネットワークの外部の IP アドレス空間。 このアドレス範囲には、Azure によって所有されているパブリック IP アドレス空間が含まれています。 |
両方 | いいえ | いいえ |
KustoAnalytics | Kusto Analytics。 | 両方 | いいえ | いいえ |
LogicApps | Logic Apps。 | 両方 | いいえ | はい |
LogicAppsManagement | Logic Apps の管理トラフィック。 | 受信 | いいえ | はい |
M365ManagementActivityApi | Office 365 管理アクティビティ API は、Office 365 および Microsoft Entra アクティビティ ログからのさまざまなユーザー、管理者、システム、およびポリシーアクションとイベントに関する情報を提供します。 お客様とパートナーは、この情報を使用して、操作、セキュリティ、コンプライアンスの監視ソリューションを企業向けに新たに作成したり既存のソリューションを強化したりすることができます。 注: このタグは、AzureActiveDirectory タグに依存します。 |
送信 | はい | はい |
M365ManagementActivityApiWebhook | 新しいコンテンツが利用可能になると、サブスクリプション用に構成された Webhook に通知が送信されます。 | 受信 | はい | はい |
MicrosoftAzureFluidRelay | このタグは、Azure Microsoft Fluid Relay Server に使用される IP アドレスを表します。 注: このタグは、AzureFrontDoor.Frontend タグと依存関係があります。 |
送信 | いいえ | はい |
MicrosoftCloudAppSecurity | Microsoft Defender for Cloud Apps。 | 送信 | いいえ | はい |
MicrosoftDefenderForEndpoint | Microsoft Defender for Endpoint コア サービス。 注: このサービス タグを使用するには、デバイスを合理化された接続でオンボードし、要件を満たす必要があります。 Defender for Endpoint/Server では、すべての機能をサポートするために、OneDSCollector などの追加のサービス タグが必要です。 詳細については、「Microsoft Defender for Endpoint の合理化された接続を使用したデバイスのオンボード」を参照してください |
両方 | いいえ | はい |
PowerBI | Power BI プラットフォーム バックエンド サービスと API エンドポイント。 |
両方 | いいえ | はい |
PowerPlatformInfra | このタグは、Power Platform サービスをホストするためにインフラストラクチャによって使用される IP アドレスを表します。 | Both | はい | Yes |
PowerPlatformPlex | このタグは、顧客に代わって Power Platform 拡張機能の実行をホストするためにインフラストラクチャによって使用される IP アドレスを表します。 | 両方 | はい | はい |
PowerQueryOnline | Power Query Online。 | 両方 | いいえ | はい |
スキューバ | Microsoft セキュリティ製品 (Sentinel、Defender など) 用のデータ コネクタ。 | 受信 | いいえ | いいえ |
SerialConsole | シリアル コンソール サービス タグからのブート診断ストレージ アカウントへのアクセスを制限する | 着信 | いいえ | はい |
ServiceBus | Premium サービス レベルを使用する Azure Service Bus トラフィック。 | 送信 | はい | はい |
ServiceFabric | Azure Service Fabric。 注: このタグは、リージョンごとのコントロール プレーンの Service Fabric サービス エンドポイントを表します。 これにより、顧客は VNET エンドポイントから Service Fabric クラスターの管理操作を行うことができます。 (例: https:// westus.servicefabric.azure.com)。 |
両方 | いいえ | はい |
Sql | Azure SQL Database、Azure Database for MySQL Single Server、Azure Database for PostgreSQL Single Server、Azure Database for MariaDB、Azure Synapse Analytics。 注: このタグはサービスだけを表し、サービスの特定のインスタンスは表しません。 たとえば、このタグは Azure SQL Database サービスを表しますが、特定の SQL データベースや SQL サーバーは表しません。 このタグは、SQL マネージド インスタンスには適用されません。 |
送信 | はい | はい |
SqlManagement | SQL 専用デプロイのための管理トラフィック。 | 両方 | いいえ | はい |
Storage | Azure Storage です。 注: このタグはサービスだけを表し、サービスの特定のインスタンスは表しません。 たとえば、このタグは Azure Storage サービスを表しますが、特定の Azure Storage アカウントは表しません。 |
送信 | はい | はい |
StorageSyncService | ストレージ同期サービス。 | 両方 | いいえ | はい |
StorageMover | Storage Mover。 | 送信 | はい | はい |
WindowsAdminCenter | Windows Admin Center バックエンド サービスが Windows Admin Center のお客様のインストールと通信できるようにします。 | 送信 | いいえ | はい |
WindowsVirtualDesktop | Azure Virtual Desktop (旧称 Windows Virtual Desktop)。 | 両方 | いいえ | はい |
VideoIndexer | 。 顧客が Video Indexer サービスへの NSG を開いてサービスへのコールバックを受け取ることができるように使用されます。 |
両方 | いいえ | はい |
VirtualNetwork | 仮想ネットワーク アドレス空間 (仮想ネットワークに対して定義されているすべての IP アドレスの範囲)、すべての接続されたオンプレミスのアドレス空間、ピアリングされた仮想ネットワーク、仮想ネットワーク ゲートウェイに接続された仮想ネットワーク、ホストの仮想 IP アドレス、およびユーザーが定義したルートで使用されるアドレス プレフィックス。 このタグには、既定のルートも含まれる場合もあります。 | 両方 | いいえ | 無効 |
注意
Azure Firewall でサービス タグを使用する場合、受信トラフィックと送信トラフィックに対する宛先規則のみを作成できます。 ソース規則はサポートされていません。 詳しくは、Azure Firewall サービス タグに関するドキュメントをご覧ください。
Azure サービスのサービス タグは、使用される特定のクラウドのアドレス プレフィックスを表します。 たとえば、Azure パブリック クラウドの Sql タグ値に対応する基になる IP 範囲は、21Vianet によって運営される Microsoft Azure クラウドの基になる範囲とは異なります。
Azure Storage や Azure SQL Database などのサービスの仮想ネットワーク サービス エンドポイントを実装する場合、Azure はサービスの仮想ネットワーク サブネットへのルートを追加します。 ルートのアドレス プレフィックスは、対応するサービス タグと同じアドレス プレフィックスまたは CIDR 範囲になります。
クラシック デプロイ モデルでサポートされるタグ
(Azure Resource Manager の前の) クラシック デプロイ モデルでは、前の表に示したタグのごく一部がサポートされます。 クラシック デプロイ モデルのタグは、次の表に示すように、スペルが異なります。
Resource Manager のタグ | クラシック デプロイ モデルの対応するタグ |
---|---|
AzureLoadBalancer | AZURE_LOADBALANCER |
Internet | INTERNET |
VirtualNetwork | VIRTUAL_NETWORK |
ユーザー定義ルートではサポートされていないタグ (UDR)
現在ユーザー定義ルート (UDR) で使用することができないタグの一覧を次に示します。
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
VirtualNetwork
AzureLoadBalancer
インターネット
オンプレミスのサービス タグ
現在のサービス タグと範囲情報を、オンプレミスのファイアウォール構成の一部として取得して含めることができます。 この情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 次のセクションで説明するように、プログラムまたは JSON ファイルのダウンロードを使用して、この情報を取得できます。
Service Tag Discovery API を使用する
サービス タグの現在の一覧を IP アドレス範囲の詳細と共にプログラムで取得できます。
たとえば、Storage サービス タグのすべてのプレフィックスを取得するには、次の PowerShell コマンドレットを使用できます。
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Note
- API データは、リージョンの NSG ルールで使用できるこれらのタグを表します。 API データは、JSON ダウンロード可能ファイルとは異なる可能性があるため、使用可能なサービス タグの信頼できるソースとして使用します。
- 新しいサービス タグ データがすべての Azure リージョンの API の結果に反映されるまでに、最大 4 週間かかります。 このプロセスのために、API データの結果がダウンロード可能 JSON ファイルと同期しなくなる可能性があります。これは、API データが、ダウンロード可能 JSON ファイル内のタグのサブセットを現時点で表しているためです。
- 現在のサブスクリプションに対して、認証され、読み取りアクセス許可を持つロールを持っている必要があります。
ダウンロード可能な JSON ファイルを使用してサービス タグを検出する
サービス タグの現在の一覧と IP アドレス範囲の詳細を含む JSON ファイルをダウンロードできます。 これらの一覧は、毎週更新されて公開されます。 各クラウドの場所は次のとおりです。
これらのファイル内の IP アドレス範囲は CIDR 表記です。
次の AzureCloud タグには、標準スキーマに従って書式設定された地域名が含まれていません。
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.norwaye (NorwayEast)
AzureCloud.norwayw (NorwayWest)
AzureCloud.switzerlandn (SwitzerlandNorth)
AzureCloud.switzerlandw (SwitzerlandWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.brazilse (BrazilSoutheast)
ヒント
ある公開からその次の公開に更新されたかどうかは、JSON ファイル内の changeNumber の値の増加に注目することで理解できます。 各サブセクション (たとえば Storage.WestUS) には、変更が発生するたびに増えていく固有の changeNumber があります。 ファイルの changeNumber の最上位レベルは、サブセクションのいずれかが変更されると増加します。
サービス タグ情報を解析する方法の例 (WestUS のストレージについてのすべてのアドレス範囲を取得する方法など) については、Service Tag Discovery API PowerShell のドキュメントを参照してください。
新しい IP アドレスがサービス タグに追加されると、それらは少なくとも 1 週間は Azure で使用されません。 これにより、サービス タグに関連付けられた IP アドレスを追跡する必要がある可能性のあるシステムを更新する時間が得られます。
次のステップ
- ネットワーク セキュリティ グループの作成方法を確認します。