セキュリティグループは、セキュリティグループ内のインスタンスへのインバウンドトラフィックとインスタンスからのアウトバウンドトラフィックを制御してインスタンスのセキュリティを向上させる仮想ファイアウォールの一種です。セキュリティグループはデータパケットを検出してフィルタリングでき、同時に IP アドレスのホワイトリストとブラックリストをサポートします。セキュリティグループは ICMP(IPv6)もサポートしています。このトピックでは、セキュリティグループに ALB インスタンスを追加する際のシナリオと制限事項について説明します。また、セキュリティグループに ALB インスタンスを追加する方法とセキュリティグループから ALB インスタンスを削除する方法についても説明します。
シナリオ
ALB インスタンスがセキュリティグループに追加される前は、ALB インスタンスのリスナーポートはデフォルトですべてのリクエストを許可します。
後続のALB インスタンスが拒否ルールを含まないセキュリティグループに追加された後、ALB インスタンスのリスナーポートはデフォルトですべてのリクエストを許可します。特定の IP アドレスからのリクエストのみを ALB インスタンスに許可する場合は、拒否ルールも作成する必要があります。
特定の IP アドレスからのアクセスを許可または拒否する方法の詳細については、「セキュリティグループをブラックリストまたはホワイトリストとして使用する」をご参照ください。
プロトコルとポートに基づいてアクセス制御を設定する方法の詳細については、「リスナーとポートに基づいてアクセス制御を実装するために ALB インスタンスのセキュリティグループを設定する」をご参照ください。
ALB インスタンスにアクセス制御要件があり、ALB インスタンスへのインバウンドトラフィックを制御する場合は、ALB インスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。
ALB アウトバウンドトラフィックとは、ユーザーに返される応答パケットのことです。サービスの継続性を確保するために、ALB セキュリティグループはアウトバウンドパケットをブロックしません。アウトバウンドルールを作成する必要はありません。
ALB インスタンスが作成されると、インスタンスが存在する VPC 内にマネージドセキュリティグループが自動的に作成されます。ALB はセキュリティグループを管理します。表示はできますが、操作はできません。ALB 用のマネージドセキュリティグループには、次の種類のセキュリティグループルールが含まれています。
優先度が 1 のルール: これらのルールは、ALB インスタンスのローカル IP アドレスを許可して、ALB とバックエンドサーバー間の通信を有効にするために使用されます。
セキュリティグループを作成する場合は、優先度が 1 の拒否ルールに ALB のローカル IP アドレスを追加しないことをお勧めします。追加すると、セキュリティグループルールが ALB のマネージドセキュリティグループと競合し、ALB とバックエンドサーバー間の通信が中断される可能性があります。ALB インスタンスのローカル IP アドレスを表示するには、ALB コンソールにログインし、ALB インスタンスの詳細ページに移動します。
優先度が 100 のルール: これらのルールは、すべての IP アドレスを許可するために使用されます。これは、拒否ルールのないセキュリティグループに追加された ALB インスタンスの場合、ALB インスタンスのリスナーポートがすべてのリクエストを許可することを意味します。
同時に、ベーシックセキュリティグループとアドバンストセキュリティグループの両方のデフォルトのアクセス制御ルールには、すべてのリクエストを拒否するルールが含まれています。ベーシックまたはアドバンストセキュリティグループとマネージドセキュリティグループの両方が ALB インスタンスで機能する場合、マネージドセキュリティグループのデフォルトの許可ルールは、ベーシックまたはアドバンストセキュリティグループのルールよりも優先されます。
制限事項
アップグレードされた ALB インスタンスは、セキュリティグループとアクセス制御リスト(ACL)の両方をサポートして受信トラフィックを制御しますが、アップグレードされていない ALB インスタンスは ACL のみサポートします。ALB にセキュリティグループを使用する場合は、デフォルトでアップグレードバージョンである ALB インスタンスを作成するか、アカウントマネージャーに連絡して既存のアップグレードされていないインスタンスのアップグレードを申請してください。
カテゴリ | セキュリティグループの種類 | 説明 |
カテゴリ | セキュリティグループの種類 | 説明 |
ALBALB |
|
ベーシックセキュリティグループとアドバンストセキュリティグループの詳細については、「ベーシックセキュリティグループとアドバンストセキュリティグループ」をご参照ください。 |
ALBALB | マネージドセキュリティグループ | マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。 |
機能比較
ACL とセキュリティグループはどちらも、IP アドレスのブラックリストとホワイトリストを設定することでアクセスを規制します。次の表は、2 つの機能を比較したものです。
前提条件
ALB インスタンスが作成され、ALB インスタンスのリスナーが作成されていること。詳細については、「ALB インスタンスの作成と管理」をご参照ください。
セキュリティグループが作成され、セキュリティグループルールがセキュリティグループに追加されていること。詳細については、「セキュリティグループを作成する」および「セキュリティグループルールを追加する」をご参照ください。
セキュリティグループに ALB インスタンスを追加する
ALB インスタンスがインターネットまたはプライベートネットワークにアクセスすることを許可または禁止するには、ALB インスタンスをセキュリティグループに追加します。
- ALB コンソールにログインします。
上部のナビゲーションバーで、ALB インスタンスがデプロイされているリージョンを選択します。
[インスタンス] ページで、管理する ALB インスタンスの ID をクリックします。
インスタンスの詳細ページで、[セキュリティグループ] タブをクリックし、[セキュリティグループの作成] をクリックします。
[セキュリティグループに ALB インスタンスを追加] ダイアログボックスで、1 つ以上のセキュリティグループを選択し、[OK] をクリックします。
ALB インスタンスは最大 4 つのセキュリティグループに追加できます。セキュリティグループを作成するには、[セキュリティグループ] ドロップダウンリストから [セキュリティグループの作成] をクリックします。詳細については、「セキュリティグループを作成する」をご参照ください。
左側のナビゲーションツリーで、使用する セキュリティの ID をクリックし、[インバウンドポリシー] タブまたは [アウトバウンドポリシー] タブをクリックして、セキュリティグループルールを表示します。
インバウンドセキュリティグループルールを変更するには、[基本情報] セクションの セキュリティグループ ID をクリックするか、[セキュリティグループ] タブの右上隅にある [ECS コンソール] をクリックします。その後、詳細ページでルールを変更できます。ECS コンソールでセキュリティグループルールを変更する方法の詳細については、「セキュリティグループルールを変更する」をご参照ください。
セキュリティグループから ALB インスタンスを削除する
ALB インスタンスでセキュリティグループが不要になった場合は、セキュリティグループから ALB インスタンスを削除できます。ALB インスタンスは、一度に 1 つのセキュリティグループからのみ削除できます。
- ALB コンソールにログインします。
上部のナビゲーションバーで、ALB インスタンスがデプロイされているリージョンを選択します。
[インスタンス] ページで、管理する ALB インスタンスの ID をクリックします。
[インスタンスの詳細] ページで、[セキュリティグループ] タブをクリックします。左側のナビゲーションツリーで、セキュリティグループ ID をクリックし、右上隅にある [削除] をクリックします。
[削除] メッセージで、[OK] をクリックします。
関連情報
ユーザーガイド
セキュリティグループの詳細については、「セキュリティグループ」をご参照ください。
プロトコルとポートに基づいてアクセス制御を設定する方法の詳細については、「リスナーとポートに基づいてアクセス制御を実装するために ALB インスタンスのセキュリティグループを設定する」をご参照ください。
特定の IP アドレスからのアクセスを許可または拒否する方法の詳細については、「セキュリティグループをブラックリストまたはホワイトリストとして使用する」をご参照ください。
API リファレンス
LoadBalancerJoinSecurityGroup: セキュリティグループに ALB インスタンスを追加します。
LoadBalancerLeaveSecurityGroup: セキュリティグループから ALB インスタンスを削除します。
