リソースのセキュリティを確保するために、アクセス制御ポリシーを使用してリソースへのアクセスを規制し、許可されたユーザーのみがリソースにアクセスできるようにすることができます。 このトピックでは、Server Load Balancer (SLB) のアクセス制御機能について説明します。
概要
SLBでは、次のタイプのアクセス制御ポリシーがサポートされています。
ACL
Application Load Balancer (ALB) およびClassic Load Balancer (CLB) のリスナーのアクセス制御リスト (ACL) を設定できます。 受信ルールを作成して、クライアントからの要求を許可または拒否することができます。 異なるリスナーにホワイトリストまたはブラックリストを設定できます。
詳細については、「ALBのアクセス制御」および「CLBのアクセス制御」をご参照ください。
セキュリティグループ
セキュリティグループは、インバウンドトラフィックとアウトバウンドトラフィックを管理し、リソースセキュリティを向上させるための仮想ファイアウォールとして使用されます。 セキュリティグループは、SPI (Stateful Packet Inspection) およびパケットフィルタリング機能を提供します。
Network Load Balancer (NLB) インスタンスをセキュリティグループに追加できます。 NLBインスタンスにアクセス制御要件があり、NLBインスタンスへのインバウンドトラフィックを制御する場合は、NLBインスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。
ACL
ALBインスタンスとCLBインスタンスの場合、異なるリスナーにホワイトリストまたはブラックリストを設定できます。
ホワイトリスト: ACLのIPアドレスまたはCIDRブロックからのリクエストのみが転送されます。 ホワイトリストは、特定のIPアドレスからのリクエストのみを許可するシナリオに適用されます。
不適切に設定されたホワイトリストは、サービスの可用性に影響します。 リスナーにホワイトリストが設定されている場合、ホワイトリストに追加されたIPアドレスからのリクエストのみがリスナーによって転送されます。 ホワイトリストが設定されているが、IPアドレスがホワイトリストに追加されていない場合、リスナーはすべてのリクエストを転送します。
ブラックリスト: ACLで指定されたIPアドレスまたはCIDRブロックからのすべてのリクエストは拒否されます。 ブラックリストは、特定のIPアドレスからのアクセスをブロックするシナリオに適用されます。
ブラックリストがリスナーに設定されているが、IPアドレスがブラックリストに追加されていない場合、リスナーはすべてのリクエストを転送します。
セキュリティグループ
NLBインスタンスがセキュリティグループに追加される前に、NLBインスタンスのリスナーポートはデフォルトですべてのリクエストを受け入れます。
NLBインスタンスにアクセス制御要件があり、NLBインスタンスへのインバウンドトラフィックを制御する場合は、NLBインスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。
NLBインスタンスのアウトバウンドトラフィックは、ユーザーリクエストに返される応答を参照します。 サービスが影響を受けないようにするため、NLBセキュリティグループはアウトバウンドトラフィックを制限しません。 セキュリティグループのアウトバウンドルールを設定する必要はありません。
セキュリティグループにNLBインスタンスを追加する方法の詳細については、以下のトピックを参照してください。