Application Load Balancer (ALB) の詳細なアクセス制御を実装する場合は、ALBリスナーのアクセス制御機能を有効にし、アクセスを許可または拒否するインバウンドルールを設定できます。 これにより、リクエスト転送を管理し、ネットワークサービスのセキュリティと効率を確保できます。
ACL
ACLは、ホワイトリストまたはブラックリストとして機能します。 さまざまなリスナーにホワイトリストまたはブラックリストを設定できます。
ホワイトリストでは、指定されたIPアドレスまたはCIDRブロックのみがALBインスタンスにアクセスできます。 ホワイトリスト内のIPアドレスまたはCIDRブロックからのリクエストのみが転送されます。 ホワイトリストは、特定のIPアドレスのみにALBへのアクセスを許可するシナリオに適用されます。
ホワイトリストが不適切に設定されている場合、リスクが発生する可能性があります。 リスナーにホワイトリストが設定されている場合、ホワイトリストに追加されたIPアドレスからのリクエストのみがリスナーによって転送されます。 リスナーのホワイトリストを有効にしても、IPアドレスがホワイトリストに追加されていない場合、リスナーはすべてのリクエストを転送します。
ブラックリストは、指定されたIPアドレスまたはCIDRブロックによるALBインスタンスへのアクセスを禁止します。 ブラックリストのIPアドレスまたはCIDRブロックからの要求は拒否されます。 ブラックリストは、特定のIPアドレスからのアクセスを拒否するシナリオに適用されます。
リスナーのブラックリストを有効にしても、ブラックリストにIPアドレスが追加されていない場合、リスナーはすべてのリクエストを転送します。
制限事項
項目 | クォータ |
リスナー |
|
ACL |
|
前提条件
ALBインスタンスが作成され、ALBインスタンスのリスナーが作成されます。 詳細については、「ALBインスタンスを使用したIPv4サービスの提供」をご参照ください。
アクセス制御リスト (ACL) とALBインスタンスは同じリージョンに作成されます。
手順
ACLの作成
アクセス制御を有効にする前に、ACLを作成する必要があります。
ALBコンソールにログインします。
上部のナビゲーションバーで、ACLを作成するリージョンを選択します。
左側のナビゲーションウィンドウで、ALB >を選択します。
概要ページで、アクセス制御リストの作成をクリックします。
アクセス制御リストの作成ダイアログボックスで、以下のパラメーターを設定し、OKをクリックします。
パラメーター
説明
ACL名
ネットワークACLの名前を入力します。
リソースグループ
リソースグループを選択してください。
タグ
[タグキー] および [タグ値] パラメーターを設定します。
タグを指定した後、アクセス制御ページでタグでACLをフィルタリングできます。
ACLにエントリを追加する
ACLを作成した後、ACLにエントリを追加できます。 ACLエントリは、リクエストをALBインスタンスに送信する送信元IPアドレスまたはCIDRブロックを指定します。 各ACLに複数のエントリを追加できます。
ALBコンソールにログインします。
左側のナビゲーションウィンドウで、ALB >を選択します。
概要ページで、管理するACLを見つけて、管理で、操作列を作成します。
[ACLの詳細] ページの [エントリ] タブで、次のいずれかの方法でエントリを追加します。
単一のIPアドレスまたはCIDRブロックを追加する
エントリの追加をクリックします。 [ACLエントリの追加] ダイアログボックスで、[IP/CIDRブロック] および [備考] パラメーターを設定します。 次に、[追加] をクリックします。
一度に複数のIPアドレスまたはCIDRブロックを追加する
[ACLエントリの追加] をクリックします。 [ACLエントリの追加] ダイアログボックスで、複数のIPアドレスまたはCIDRブロックと備考を追加します。 次に、[追加] をクリックします。
説明一度に複数のエントリを追加する場合は、次の項目に注意してください。
行ごとに1つのエントリを入力します。 ENTERキーを押して新しい行を開始します。
エントリ内の備考からIPアドレスまたはCIDRブロックを区切るには、縦棒 (|) を使用します。 たとえば、192.168.1.0/24 | 備考と入力できます。
一度に最大20のエントリを追加できます。
エントリを追加したら、ビジネス要件に基づいて次の操作を実行します。
エントリ列で追加したIPアドレスまたはCIDRブロックを表示します。
エントリを削除します。 削除するエントリを見つけて、[操作] 列の [削除] をクリックします。 削除するエントリを選択して、リストの下の [削除] をクリックすることもできます。
エントリをエクスポートするには、リストの右上隅にある
アイコンをクリックしてすべてのエントリをエクスポートするか、エクスポートするエントリを選択してアイコンをクリックします。
アクセス制御の有効化
ACLをリスナーのホワイトリストまたはブラックリストとして指定できます。 アクセス制御を有効にする前に、ALBインスタンスのリスナーが作成されていることを確認してください。
ALBコンソールにログインします。
上部のナビゲーションバーで、ACLを作成するリージョンを選択します。
インスタンスページのIDをクリックし、ALBアクセス制御を有効にするインスタンス。
リスナー タブをクリックし、次のいずれかの方法を使用してアクセス制御を有効にします。
管理するリスナーを見つけて、[アクセス制御] 列の [有効化] をクリックします。
管理するリスナーを見つけてリスナーIDをクリックするか、[操作] 列の [詳細の表示] をクリックします。 [リスナーの詳細] タブで、[アクセス制御] セクションの [アクセス制御] をオンにします。
[アクセス制御の有効化] ダイアログボックスで、次の表に示すパラメーターを設定し、[保存] をクリックします。
パラメーター
説明
アクセス制御モード
アクセス制御モードを選択します。 有効な値:
ホワイトリスト: 指定したIPアドレスまたはCIDRブロックからのアクセスを許可します。
ブラックリスト: 指定したIPアドレスまたはCIDRブロックからのアクセスを拒否します。
ACLの選択
ACLを選択します。
ACLを選択した後、[選択したエントリの表示] をクリックして、選択したACLのエントリを表示できます。
アクセス制御の無効化
リスナーがアクセス制御を必要としなくなった場合は、リスナーのアクセス制御を無効にできます。
ALBコンソールにログインします。
インスタンスページのIDをクリックし、ALBアクセス制御を無効にするインスタンス。
リスナータブで、アクセス制御を無効にするリスナーを見つけ、リスナーIDまたは詳細を表示で、アクション列を作成します。
アクセス制御のセクションリスナー詳細タブで、アクセス制御をオフにします。
表示されるメッセージで、[OK] をクリックします。
関連ドキュメント
CreateAcl: ACLを作成します。
AddEntriesToAcl: ACLにエントリを追加します。
RemoveEntriesFromAcl: ACLからエントリを削除します。
AssiocateAclsWithListener: ACLをリスナーに関連付けます。
DissociateAclsFromListener: ACLとリスナーの関連付けを解除します。