セキュリティグループは、インスタンスのセキュリティを保護する仮想ファイアウォールです。ステートフルインスペクションとパケットフィルタリング機能により、セキュリティグループは、関連付けられているインスタンスとの間のトラフィックを制御します。
アップグレードされた ALB インスタンスは、セキュリティグループとアクセス制御リスト(ACL)の両方をサポートして受信トラフィックを制御しますが、アップグレードされていない ALB インスタンスは ACL のみサポートします。セキュリティグループを使用するには、新しい ALB インスタンスを作成するか、アカウントマネージャーに連絡して既存の ALB インスタンスをアップグレードしてください。
セキュリティグループの概要
セキュリティグループは、マネージドセキュリティグループとカスタムセキュリティグループに分類されます。マネージドセキュリティグループはクラウドサービスによって作成および管理され、表示のみが可能で、変更、削除、またはインスタンスの追加はできません。カスタムセキュリティグループは、ユーザーが作成するセキュリティグループであり、容量とセキュリティポリシーに基づいて、ベーシックセキュリティグループとアドバンストセキュリティグループに分けられます。
ALB インスタンスを作成すると、ALB インスタンスの仮想プライベートクラウド(VPC)にマネージドセキュリティグループが自動的に作成されます。この ALB マネージドセキュリティグループには、次のルールが含まれています。
ALB インスタンスのローカル IP アドレスへの受信トラフィックを許可する、優先度 1 のルール。ローカル IP アドレスは、バックエンドサーバーのヘルスチェックに使用されます。
すべての受信トラフィックを許可する、優先度 100 のルール。
すべての送信トラフィックを許可する、優先度 1 のルール。
マネージドセキュリティグループのみを使用すると、ALB インスタンスのすべての受信トラフィックと送信トラフィックが許可されます。アクセス制御を実現するには、カスタムセキュリティグループに追加します。
ルールのしくみ
ALB インスタンスがカスタムセキュリティグループに追加されている場合:
許可ルールのみを設定した場合、すべての受信トラフィックと送信トラフィックが引き続き許可されます。
優先度の高い許可ルールと、すべての IP アドレスを拒否する優先度の低い拒否ルールを設定した場合、指定した IP アドレスとの間のトラフィックのみが許可されます。
拒否ルールのみを設定した場合、指定した IP アドレスとの間のトラフィックは拒否されます。
セキュリティグループルールをカスタマイズすることで、特定の IP アドレスからのアクセスを許可または拒否したり、プロトコルとポートに基づいてアクセスを許可または拒否したりできます。
制限事項
ALB インスタンスのカスタムセキュリティグループには、次の制限が適用されます。
ALB インスタンスの VPC で動作する必要があります。
ALB インスタンスに関連付けることができるカスタムセキュリティグループの数は、Elastic Compute Service(ECS)インスタンスの 1 つの弾性ネットワークインターフェース(ENI)に対するセキュリティグループクォータから 1 を引いた数です。1 はマネージドセキュリティグループによって使用されます。
ALB インスタンスに関連付けることができるルールの数は、1 つの ECS インスタンス ENI に対するルールクォータからマネージドセキュリティグループのルールの数を引いた数です。
1 つの ALB インスタンスは、ベーシックまたはアドバンストのいずれかのタイプのカスタムセキュリティグループにのみ追加できます。ALB インスタンスのセキュリティグループタイプを変更するには、まず関連付けられているすべてのセキュリティグループから ALB インスタンスを削除してから、別のタイプのセキュリティグループに追加します。
考慮事項
送信トラフィックには、ALB がバックエンドサーバーに転送するリクエストと、ALB がクライアントに送り返すレスポンスが含まれます。サービス中断を回避するために、ALB インスタンスのセキュリティグループに送信ルールを設定しないことをお勧めします。
ALB インスタンスのローカル IP アドレスとの間のトラフィックを拒否する、優先度 1 の拒否ルールを設定しないことをお勧めします。このようなルールは、ALB インスタンスとバックエンドサーバー間のヘルスチェック通信をブロックします。
セキュリティグループと ACL の比較
セキュリティグループと ACL はどちらも、ALB インスタンスの IP アドレスブラックリストまたはホワイトリストとして機能しますが、次の点が異なります。
セキュリティグループ:
インスタンスごと、またはリスナーごと(許可する特定のポートを選択した場合)にトラフィックを制御します。
特定の IP アドレスを許可し、他の IP アドレスを拒否します。
IPv4 トラフィックと IPv6 トラフィックの両方の制御をサポートします。
ACL:
リスナーごとにトラフィックを制御します。
ホワイトリストまたはブラックリストに登録する IP アドレスのリストを設定します。
IPv4 トラフィックのみの制御をサポートします。
セキュリティグループに ALB インスタンスを追加する
前提条件
ALB インスタンスが作成されている。
セキュリティグループが作成され、セキュリティグループルールが設定されている。
コンソール
ALB コンソール - インスタンス に移動します。
上部のナビゲーションバーで、リージョンを選択します。
ALB インスタンスの ID をクリックします。
インスタンスの詳細ページで、[セキュリティグループ] タブをクリックします。
[セキュリティグループの作成] をクリックします。
[セキュリティグループに ALB を追加] ダイアログボックスで、関連付けるセキュリティグループを 1 つ以上選択します。[リソースグループ] を設定して、目的のセキュリティグループをフィルタリングします。[セキュリティグループ] ドロップダウンリストで、[セキュリティグループの作成] をクリックして、ECS コンソールで新しいセキュリティグループを作成します。セキュリティグループを選択したら、[OK] をクリックします。
[セキュリティグループ] タブで、ALB インスタンスに関連付けられているセキュリティグループの設定を確認します。左上隅の [セキュリティグループの作成] をクリックして、ALB インスタンスをさらにセキュリティグループに追加します。
セキュリティグループのルールを更新するには、右上隅の [ECS コンソール] をクリックするか、[基本情報] セクションのセキュリティグループ ID をクリックし、セキュリティグループの詳細ページでルールを編集します。
API
LoadBalancerJoinSecurityGroup オペレーションを呼び出します。
セキュリティグループから ALB インスタンスを削除する
コンソール
ALB コンソール - インスタンス に移動します。
上部のナビゲーションバーで、リージョンを選択します。
ALB インスタンスの ID をクリックします。
インスタンスの詳細ページで、[セキュリティグループ] タブをクリックします。
管理するセキュリティグループの名前または ID をクリックし、右上隅の [削除] をクリックします。
[削除] ダイアログボックスで、[OK] をクリックします。
API
LoadBalancerLeaveSecurityGroup オペレーションを呼び出します。