概要

調査していたECSサービスにセキュリティグループがアタッチされていないことが判明し、どのような挙動になるのか調べていたところ、VPCのdefault security groupを利用するようだった。

The IDs of the security groups associated with the task or service. If you don't specify a security group, the default security group for the VPC is used.

https://docs.aws.amazon.com/cli/latest/reference/ecs/describe-services.html

タスクまたはサービスに関連付けられたセキュリティグループ。セキュリティグループを指定しないと、VPC のデフォルトのセキュリティグループが使用されます。

https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/service_definition_parameters.html

AWS CLIでの確認

aws ecs describe-services --cluster hoge --services bar | jq '.services[].networkConfiguration'

一方でdefaultのセキュリティグループは削除はできない。ただし、ルールは変更できる。

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/default-security-group.html

したがって、セキュリティグループのルール消して、
defaultのセキュリティグループはAWS Configで監視するような運用にするのが理想ではあると思う。

https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/vpc-default-security-group-closed.html