リクエストからのアクセスを規制するために、プロトコル、ポート、およびIPアドレスに基づいてアクセス制御を実装するようにセキュリティグループを構成できます。 このトピックでは、Network Load Balancer (NLB) インスタンスをセキュリティグループに追加し、NLBインスタンスをセキュリティグループから削除する方法について説明します。 このトピックでは、セキュリティグループの使用シナリオと制限についても説明します。
シナリオ
NLBインスタンスがセキュリティグループに追加される前に、NLBインスタンスのリスナーポートはデフォルトですべてのリクエストを受け入れます。
NLBインスタンスがDenyルールを含まないセキュリティグループに追加されると、NLBインスタンスのリスナーポートはデフォルトですべてのリクエストを受け入れます。 特定のIPアドレスからNLBインスタンスへのリクエストのみを許可する場合は、拒否ルールも作成する必要があります。
特定のIPアドレスからNLBインスタンスへのリクエストを拒否または許可する方法の詳細については、「Use security groups as blacklists or whitelists」をご参照ください。
プロトコルとポートに基づいてアクセス制御を構成する方法の詳細については、「セキュリティグループを使用してリスナーとポートに基づいてきめ細かいアクセス制御を実装する」をご参照ください。
NLBインスタンスにアクセス制御要件があり、NLBインスタンスへのインバウンドトラフィックを制御する場合は、NLBインスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。
NLBインスタンスのアウトバウンドトラフィックは、ユーザーリクエストに返される応答を参照します。 サービスが影響を受けないようにするため、NLBセキュリティグループはアウトバウンドトラフィックを制限しません。 セキュリティグループのアウトバウンドルールを設定する必要はありません。
制限事項
項目 | セキュリティグループタイプ | 説明 |
NLBでサポートされているセキュリティグループ |
|
基本セキュリティグループと高度なセキュリティグループの詳細については、「基本セキュリティグループと高度なセキュリティグループ」をご参照ください。 |
NLBでサポートされていないセキュリティグループ | 管理されたセキュリティグループ | マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。 |
前提条件
NLBインスタンスが作成され、リスナーがインスタンスに設定されます。 詳細については、「NLBインスタンスの作成と管理」をご参照ください。
セキュリティグループが作成され、セキュリティグループルールが追加されます。 詳細については、「セキュリティグループの作成」および「セキュリティグループルールの追加」をご参照ください。
セキュリティグループにインスタンスを追加
NLBインスタンスをセキュリティグループに追加して、NLBインスタンスがインターネットまたはプライベートネットワークと通信することを許可または禁止することができます。
NLBコンソールにログインします。
上部のナビゲーションバーで、NLBインスタンスがデプロイされています。
インスタンス ページで、管理するNLBインスタンスのIDをクリックします。 インスタンスの詳細 タブで、[セキュリティグループ] タブをクリックします。
[セキュリティグループ] タブで、[セキュリティグループの作成] をクリックします。 [セキュリティグループにNLBインスタンスを追加] ダイアログボックスで、1つ以上のセキュリティグループを選択し、[OK] をクリックします。
最大4つのセキュリティグループにNLBインスタンスを追加できます。 セキュリティグループを作成するには、[セキュリティグループ] ドロップダウンリストから [セキュリティグループの作成] をクリックします。 詳細については、「セキュリティグループの作成」をご参照ください。
左側のナビゲーションウィンドウで、管理するセキュリティグループのIDをクリックします。 [インバウンドポリシー] または [アウトバウンドポリシー] タブをクリックして、セキュリティグループルールを表示できます。
セキュリティグループのインバウンドルールを変更するには、[基本情報] セクションのセキュリティグループIDをクリックするか、[セキュリティグループ] タブの右上隅にある [ECSコンソール] をクリックして [セキュリティグループルール] ページに移動します。 Elastic Compute Service (ECS) コンソールでセキュリティグループルールを変更する方法の詳細については、「セキュリティグループルールの変更」をご参照ください。
セキュリティグループからNLBインスタンスを削除する
ビジネス要件に基づいて、セキュリティグループからNLBインスタンスを削除できます。 コンソールで一度に複数のセキュリティグループからNLBインスタンスを削除することはできません。
NLBコンソールにログインします。
上部のナビゲーションバーで、NLBインスタンスがデプロイされています。
インスタンス ページで、管理するNLBインスタンスのIDをクリックします。 インスタンスの詳細 タブで、[セキュリティグループ] タブをクリックします。
セキュリティグループタブで、管理するセキュリティグループのIDをクリックし、右上隅の削除をクリックします。
削除メッセージで、OKをクリックします。
関連ドキュメント
セキュリティグループの詳細については、「セキュリティグループ」をご参照ください。
プロトコルとポートに基づいてきめ細かいアクセス制御を構成する方法の詳細については、「セキュリティグループを使用してリスナーとポートに基づいてきめ細かいアクセス制御を実装する」をご参照ください。
特定のIPアドレスからNLBインスタンスへのアクセスを拒否または許可する方法の詳細については、「Use security groups as blacklists or whitelists」をご参照ください。
LoadBalancerJoinSecurityGroup: セキュリティグループにNLBインスタンスを追加します。
LoadBalancerLeaveSecurityGroup: セキュリティグループからNLBインスタンスを削除します。