セキュリティグループは、インバウンドおよびアウトバウンドのネットワークトラフィックを制御してインスタンスのセキュリティを向上させる仮想ファイアウォールの一種です。 セキュリティグループは、データパケットを検出してフィルタリングし、IPアドレスホワイトリストとブラックリストを同時にサポートできます。 セキュリティグループはICMP (IPv6) もサポートしています。 このトピックでは、ALBインスタンスをセキュリティグループに追加するシナリオと制限について説明します。 このトピックでは、セキュリティグループにALBインスタンスを追加および削除する方法についても説明します。
シナリオ
セキュリティグループがALBでサポートされた後に作成されたApplication Load Balancer (ALB) インスタンスを使用すると、セキュリティグループまたはアクセス制御リスト (ACL) を使用してアクセスを規制できます。 セキュリティグループがALBによってサポートされる前に作成されたALBインスタンスでは、ACLのみを使用してアクセスを規制できます。
次のシナリオでは、ALBインスタンスをセキュリティグループに追加できます。
ALBインスタンスがセキュリティグループに追加される前に、ALBインスタンスのリスナーポートはデフォルトですべてのリクエストを許可します。
ALBインスタンスがDenyルールを含まないセキュリティグループに追加されると、ALBインスタンスのリスナーポートはデフォルトですべてのリクエストを許可します。 特定のIPアドレスからALBインスタンスへのリクエストのみを許可する場合は、拒否ルールも作成する必要があります。
特定のIPアドレスからのアクセスを許可または拒否する方法の詳細については、「セキュリティグループをブラックリストまたはホワイトリストとして使用する」をご参照ください。
プロトコルとポートに基づいてアクセス制御を構成する方法の詳細については、「セキュリティグループを使用してリスナーとポートに基づいてアクセス制御を構成する」をご参照ください。
ALBインスタンスにアクセス制御要件があり、ALBインスタンスへのインバウンドトラフィックを制御する場合は、ALBインスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。
ALBアウトバウンドトラフィックは、ユーザーに返される応答パケットを指します。 サービスの継続性を確保するため、ALBセキュリティグループは送信パケットをブロックしません。 アウトバウンドルールを作成する必要はありません。
セキュリティグループを作成するときは、優先度が1の拒否ルールにALBのローカルIPアドレスを追加しないことを推奨します。 そうしないと、セキュリティグループルールがALBの管理セキュリティグループと競合し、ALBとバックエンドサーバー間の通信が中断される可能性があります。 ALBインスタンスのローカルIPアドレスを表示するには、ALBコンソールにログインし、ALBインスタンスの詳細ページに移動します。
制限事項
デフォルトでは、セキュリティグループは使用できません。 セキュリティグループを使用するには、アカウントマネージャーに連絡してください。
カテゴリ | セキュリティグループタイプ | 説明 |
サポートされているセキュリティグループALB |
|
基本セキュリティグループと高度なセキュリティグループの詳細については、「基本セキュリティグループと高度なセキュリティグループ」をご参照ください。 |
セキュリティグループがサポートされていませんALB | 管理セキュリティグループ | マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。 |
機能の比較
ACLとセキュリティグループはどちらも、IPアドレスブラックリストとホワイトリストを設定してアクセスを規制します。 次の表は、2つの機能を比較しています。
項目 | ACL | セキュリティグループ |
設定可能 | リスナー。 |
|
ブラックリストとホワイトリスト | リスナーにホワイトリストまたはブラックリストを設定できます。 | インスタンスまたはリスナーのブラックリストとホワイトリストの両方を設定できます。 |
IPバージョン | IPv4アドレスをサポートします。 | IPv4アドレスとIPv6アドレスの両方をサポートします。 |
制限事項 | ACLの制限については、「制限」をご参照ください。 | セキュリティグループの制限については、「制限」をご参照ください。 |
前提条件
ALBインスタンスが作成され、ALBインスタンスのリスナーが作成されます。 詳細については、「ALBインスタンスの作成」をご参照ください。
セキュリティグループが作成され、セキュリティグループルールがセキュリティグループに追加されます。 詳細については、「セキュリティグループの作成」および「セキュリティグループルールの追加」をご参照ください。
ALBインスタンスをセキュリティグループに追加する
ALBインスタンスのインターネットまたはプライベートネットワークへのアクセスを許可または禁止するには、ALBインスタンスをセキュリティグループに追加します。
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされています。
インスタンスページで、管理するALBインスタンスのIDをクリックします。
インスタンスの詳細ページで、セキュリティグループタブをクリックします。
[セキュリティグループ] タブで、[セキュリティグループの作成] をクリックします。 [セキュリティグループにALBインスタンスを追加] ダイアログボックスで、1つ以上のセキュリティグループを選択し、[OK] をクリックします。
ALBインスタンスは、最大4つのセキュリティグループに追加できます。 セキュリティグループを作成するには、[セキュリティグループ] ドロップダウンリストから [セキュリティグループの作成] をクリックします。 詳細については、「セキュリティグループの作成」をご参照ください。
左側のナビゲーションツリーで、セキュリティのIDを使用して、をクリックします。インバウンドポリシーまたはアウトバウンドポリシータブでセキュリティグループルールを表示します。
インバウンドセキュリティグループルールを変更するには、[基本情報] セクションの [セキュリティグループID] をクリックするか、[セキュリティグループ] タブの右上隅にある [ECSコンソール] をクリックします。 次に、詳細ページでルールを変更できます。 Elastic Compute Service (ECS) コンソールでセキュリティグループルールを変更する方法の詳細については、「セキュリティグループルールの変更」をご参照ください。
セキュリティグループからALBインスタンスを削除する
ALBインスタンスがセキュリティグループを使用しなくなった場合は、セキュリティグループからALBインスタンスを削除できます。 ALBインスタンスは、一度に1つのセキュリティグループからのみ削除できます。
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされています。
[インスタンス] ページで、管理するALBインスタンスのIDをクリックします。 [インスタンスの詳細] ページで、[セキュリティグループ] タブをクリックします。
左側のナビゲーションツリーで、セキュリティグループIDをクリックし、削除右上隅にあります。
削除メッセージで、OKをクリックします。
関連ドキュメント
セキュリティグループの詳細については、「セキュリティグループ」をご参照ください。
プロトコルとポートに基づいてアクセス制御を構成する方法の詳細については、「セキュリティグループを使用してリスナーとポートに基づいてアクセス制御を構成する」をご参照ください。
特定のIPアドレスからのアクセスを許可または拒否する方法の詳細については、「セキュリティグループをブラックリストまたはホワイトリストとして使用する」をご参照ください。
LoadBalancerJoinSecurityGroup: ALBインスタンスをセキュリティグループに追加します。
LoadBalancerLeaveSecurityGroup: セキュリティグループからALBインスタンスを削除します。