すべてのプロダクト
Search
ドキュメントセンター

Server Load Balancer:ALBインスタンスをセキュリティグループに追加する

最終更新日:Dec 10, 2024

セキュリティグループは、インバウンドおよびアウトバウンドのネットワークトラフィックを制御してインスタンスのセキュリティを向上させる仮想ファイアウォールの一種です。 セキュリティグループは、データパケットを検出してフィルタリングし、IPアドレスホワイトリストとブラックリストを同時にサポートできます。 セキュリティグループはICMP (IPv6) もサポートしています。 このトピックでは、ALBインスタンスをセキュリティグループに追加するシナリオと制限について説明します。 このトピックでは、セキュリティグループにALBインスタンスを追加および削除する方法についても説明します。

シナリオ

セキュリティグループがALBでサポートされた後に作成されたApplication Load Balancer (ALB) インスタンスを使用すると、セキュリティグループまたはアクセス制御リスト (ACL) を使用してアクセスを規制できます。 セキュリティグループがALBによってサポートされる前に作成されたALBインスタンスでは、ACLのみを使用してアクセスを規制できます。

次のシナリオでは、ALBインスタンスをセキュリティグループに追加できます。

ALBインスタンスにアクセス制御要件があり、ALBインスタンスへのインバウンドトラフィックを制御する場合は、ALBインスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。

重要
  • ALBアウトバウンドトラフィックは、ユーザーに返される応答パケットを指します。 サービスの継続性を確保するため、ALBセキュリティグループは送信パケットをブロックしません。 アウトバウンドルールを作成する必要はありません。

  • セキュリティグループを作成するときは、優先度が1の拒否ルールにALBのローカルIPアドレスを追加しないことを推奨します。 そうしないと、セキュリティグループルールがALBの管理セキュリティグループと競合し、ALBとバックエンドサーバー間の通信が中断される可能性があります。 ALBインスタンスのローカルIPアドレスを表示するには、ALBコンソールにログインし、ALBインスタンスの詳細ページに移動します。

制限事項

重要

デフォルトでは、セキュリティグループは使用できません。 セキュリティグループを使用するには、アカウントマネージャーに連絡してください。

カテゴリ

セキュリティグループタイプ

説明

サポートされているセキュリティグループALB

  • 基本的なセキュリティグループ

  • 高度なセキュリティグループ

  • セキュリティグループは仮想プライベートクラウド (VPC) にある必要があり、セキュリティグループとALBインスタンスは同じVPCにある必要があります。

  • ALBインスタンスは、最大4つのセキュリティグループに追加できます。同じタイプである必要があります。 同じALBインスタンスを基本セキュリティグループと高度セキュリティグループに同時に追加することはできません。

    基本セキュリティグループ内のALBインスタンスを高度なセキュリティグループに追加するには、ALBインスタンスを高度なセキュリティグループに追加する前に、基本セキュリティグループからALBインスタンスを削除します。 高度なセキュリティグループにALBインスタンスを追加するには、まずすべての基本的なセキュリティグループからALBインスタンスを削除します。

基本セキュリティグループと高度なセキュリティグループの詳細については、「基本セキュリティグループと高度なセキュリティグループ」をご参照ください。

セキュリティグループがサポートされていませんALB

管理セキュリティグループ

マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。

機能の比較

ACLとセキュリティグループはどちらも、IPアドレスブラックリストとホワイトリストを設定してアクセスを規制します。 次の表は、2つの機能を比較しています。

項目

ACL

セキュリティグループ

設定可能

リスナー。

  • インスタンス。

  • リスナー。 アクセス制御は、リスナーとポートに基づいて設定できます。

ブラックリストとホワイトリスト

リスナーにホワイトリストまたはブラックリストを設定できます。

インスタンスまたはリスナーのブラックリストとホワイトリストの両方を設定できます。

IPバージョン

IPv4アドレスをサポートします。

IPv4アドレスとIPv6アドレスの両方をサポートします。

制限事項

ACLの制限については、「制限」をご参照ください。

セキュリティグループの制限については、「制限」をご参照ください。

前提条件

ALBインスタンスをセキュリティグループに追加する

ALBインスタンスのインターネットまたはプライベートネットワークへのアクセスを許可または禁止するには、ALBインスタンスをセキュリティグループに追加します。

  1. ALBコンソールにログインします。

  2. 上部のナビゲーションバーで、ALBインスタンスがデプロイされています。

  3. インスタンスページで、管理するALBインスタンスのIDをクリックします。

  4. インスタンスの詳細ページで、セキュリティグループタブをクリックします。

  5. [セキュリティグループ] タブで、[セキュリティグループの作成] をクリックします。 [セキュリティグループにALBインスタンスを追加] ダイアログボックスで、1つ以上のセキュリティグループを選択し、[OK] をクリックします。

    ALBインスタンスは、最大4つのセキュリティグループに追加できます。 セキュリティグループを作成するには、[セキュリティグループ] ドロップダウンリストから [セキュリティグループの作成] をクリックします。 詳細については、「セキュリティグループの作成」をご参照ください。

  6. 左側のナビゲーションツリーで、セキュリティのIDを使用して、をクリックします。インバウンドポリシーまたはアウトバウンドポリシータブでセキュリティグループルールを表示します。

    インバウンドセキュリティグループルールを変更するには、[基本情報] セクションの [セキュリティグループID] をクリックするか、[セキュリティグループ] タブの右上隅にある [ECSコンソール] をクリックします。 次に、詳細ページでルールを変更できます。 Elastic Compute Service (ECS) コンソールでセキュリティグループルールを変更する方法の詳細については、「セキュリティグループルールの変更」をご参照ください。

セキュリティグループからALBインスタンスを削除する

ALBインスタンスがセキュリティグループを使用しなくなった場合は、セキュリティグループからALBインスタンスを削除できます。 ALBインスタンスは、一度に1つのセキュリティグループからのみ削除できます。

  1. ALBコンソールにログインします。

  2. 上部のナビゲーションバーで、ALBインスタンスがデプロイされています。

  3. [インスタンス] ページで、管理するALBインスタンスのIDをクリックします。 [インスタンスの詳細] ページで、[セキュリティグループ] タブをクリックします。

  4. 左側のナビゲーションツリーで、セキュリティグループIDをクリックし、削除右上隅にあります。

  5. 削除メッセージで、OKをクリックします。

関連ドキュメント