Virtual Private Cloud:ネットワークACLの作成と管理

前提条件

• VPCとvSwitchが作成されます。 詳細については、「VPCの作成と管理」および「vSwitchの作成と管理」をご参照ください。

• VPCのIPv6ネットワークACLを作成する前に、VPCのIPv6を有効にする必要があります。

  • VPCのIPv6を有効にする方法の詳細については、「VPCのIPv6の有効化」をご参照ください。

  • IPv6ネットワークACLをサポートするリージョンの詳細については、「IPv6ネットワークACLをサポートするリージョン」をご参照ください。

使用上の注意

最大20個のIPv4ルールと20個のIPv6ルールを追加できます。 クォータを増やすには、クォータセンターに移動します。

ネットワークACLの作成

1. VPCコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

3. 上部のナビゲーションバーで、ネットワークACLを作成するリージョンを選択します。

4. ネットワークACLページで、ネットワークACLの作成をクリックします。

5. [ネットワークACLの作成] ダイアログボックスで、次のパラメーターを設定します。 テーブルに含まれていないパラメータをデフォルト値として保持するか、必要に応じて変更します。

   パラメーター	説明
   VPC	ネットワークACLを作成するVPCを選択します。 説明 VPCとネットワークACLは同じリージョンにデプロイする必要があります。

ネットワークACLにルールを追加する

ネットワークACLを作成した後、インバウンドルールをネットワークACLに追加できます。 インバウンドルールを使用して、vSwitch内のECSインスタンスにインターネット経由でアクセスできるか、プライベートネットワーク経由でアクセスできるかを制御できます。 アウトバウンドルールをネットワークACLに追加することもできます。 アウトバウンドルールを使用して、vSwitch内のECSインスタンスがインターネットまたはプライベートネットワークにアクセスできるかどうかを制御できます。

1. [ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。

2. 基本情報セクションでは、インバウンドルールまたはアウトバウンドルールを設定できます。

   • インバウンドルールの作成

     1. [インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。

     2. 以下のパラメーターを設定し、[OK] をクリックします。

        パラメーター	説明
        優先度	受信ルールの優先度。 数字が小さいほど、優先度が高くなります。 最大20のルールを作成できます。 詳細については、「ルールの優先順位」をご参照ください。
        ルール名	インバウンドルールの名前を入力します。
        タイプ	IPv6ネットワークACLを作成すると、次のタイプがサポートされます。 クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。 カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。 システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。 IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。 説明 カスタムタイプのインバウンドIPv4またはIPv6ルールのみを作成できます。
        Action	インバウンドルールのアクションを選択します。 有効な値： 許可: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを受け入れます。 拒否: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを削除します。
        プロトコルタイプ	プロトコルを選択します。 有効な値： すべて ICMP GRE TCP UDP ICMPv6 IPv6のみ選択できます。
        CIDRブロックタイプ	IPバージョンを選択します。 有効な値： IPv4 IPv6
        ソースIPアドレス	データが送信されるソースCIDRブロックを指定します。 デフォルト値: 0.0.0.0/0
        宛先ポート範囲	インバウンドルールの宛先ポート範囲を入力します。 有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。 ALL、ICMP、またはGREを選択した場合、ポート範囲は -1/-1に設定されます。 TCPまたはUDPを選択した場合、ポート範囲は1 ~ 65535です。 有効な形式: 1/200および80/80 値を -1/-1に設定しないでください。

     3. オプションです。 [インバウンドルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、インバウンドIPv4またはIPv6ルールを追加します。

   • アウトバウンドルールの作成

     1. [アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。

     2. 以下のパラメーターを設定し、[OK] をクリックします。

        パラメーター	説明
        優先度	アウトバウンドルールの優先度を設定します。 数字が小さいほど、優先度が高くなります。 最大20のルールを作成できます。 詳細については、「ルールの優先順位」をご参照ください。
        ルール名	アウトバウンドルールの名前を入力します。
        タイプ	IPv6ネットワークACLを作成すると、次のタイプがサポートされます。 クラウドサービス: デフォルトでは、優先度の高い3つの許可ルールが作成されます。 ルールを変更または削除することはできません。 カスタム: デフォルトでは、2つの許可ルールが作成されます。 ルールを変更または削除できます。 システム: デフォルトでは、優先度が最も低い2つの拒否ルールが作成されます。 ルールを変更または削除することはできません。 IPv4のみをサポートするネットワークACLを作成すると、デフォルトでIPv4タイプのカスタム許可ルールが作成されます。 説明 IPv4またはIPv6タイプのカスタムアウトバウンドルールのみを作成できます。
        Action	アウトバウンドルールのアクションを選択します。 有効な値： 許可: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスできるようにします。 拒否: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスすることを禁止します。
        プロトコル	プロトコルを選択します。 有効な値： すべて ICMP GRE TCP UDP ICMPv6 IPv6のみ選択できます。
        CIDRブロックタイプ	IPバージョンを選択します。 有効な値： IPv4 IPv6
        宛先IPアドレス	トラフィックの宛先CIDRブロックを指定します。 デフォルト値: 0.0.0.0/32
        宛先ポート範囲	アウトバウンドルールの宛先ポート範囲を入力します。 有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。

     3. オプションです。 [アウトバウンドルール] タブで、[IPv4ルールの追加] または [IPv6ルールの追加] をクリックして、インバウンドIPv4またはIPv6ルールを追加します。

クイック追加機能の使用

複数のCIDRブロックのアクセス制御を管理する必要がある場合は、クイック追加機能を使用してネットワークACLルールをすばやく追加できます。

1. [ネットワークACL] ページで、管理するネットワークACLを見つけ、そのIDをクリックします。

2. 基本情報セクションでは、複数のCIDRブロックのインバウンドルールまたはアウトバウンドルールを追加できます。

   • インバウンドルールをすばやく追加する

     1. [インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。

     2. タブの下部で、[クイック追加] をクリックします。 [クイック追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

        パラメーター	説明
        ポリシー	インバウンドルールのアクションを選択します。 有効な値： Accept: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックを受け入れます。 Drop: vSwitchに接続されているECSインスタンス宛てのネットワークトラフィックをドロップします。
        IPアドレス	データフローの1つ以上のソースIPv4 CIDRブロックを入力します。
        宛先ポート範囲	インバウンドルールの宛先ポート範囲を選択します。 有効な値: -1 から 65535 ポートの詳細については、「一般的なシナリオ」をご参照ください。 有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
        優先度	ルールの優先度を指定します。 優先度の詳細については、「概要」をご参照ください。 たとえば、優先度が1のルールの後にルールを追加するには、[add 1 Entries after] を指定します。

     3. ルール名とプロトコル (デフォルトではTCP) を指定し、[OK] をクリックします。

   • アウトバウンドルールをすばやく追加する

     1. [アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。

     2. タブの下部で、[クイック追加] をクリックします。 [クイック追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

        パラメーター	説明
        ポリシー	アウトバウンドルールのアクションを選択します。 有効な値： Accept: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスできるようにします。 Drop: vSwitchに接続されているECSインスタンスがインターネットまたはその他のプライベートネットワークにアクセスすることを禁止します。
        IPアドレス	1つ以上の宛先IPv4 CIDRブロックを入力します。
        宛先ポート範囲	アウトバウンドルールの宛先ポート範囲を選択します。 有効な値: -1 から 65535 ポートの詳細については、「一般的なシナリオ」をご参照ください。 有効な値: -1 から 65535 開始ポートと終了ポートをスラッシュ (/) で区切ります。 有効な形式: 1/200および80/80 -1/-1の値は、すべてのポートを指定します。 したがって、値を -1/-1に設定しないでください。
        優先度	ルールの優先度を指定します。 優先度の詳細については、「概要」をご参照ください。 たとえば、優先度が1のルールの後にルールを追加するには、[add 1 Entries after] を指定します。

     3. ルール名とプロトコル (デフォルトではTCP) を指定し、[OK] をクリックします。

次に何をすべきか

1. VPCコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ACL] > [ネットワークACL] を選択します。

3. 上部のナビゲーションバーで、管理するネットワークACLが属するリージョンを選択します。

4. [ネットワークACL] ページでは、必要に応じて次の操作を実行できます。

   パラメーター	説明
   ネットワークACLルールの優先順位を変更する	ネットワークACLルールは、優先度の高い順に有効になります。 数字が小さいほど、優先度が高くなります。 ビジネス要件に基づいてネットワークACLルールに優先順位を付けることができます。 ネットワークACLのIDをクリックします。 基本情報ページでは、インバウンドルールとアウトバウンドルールの優先順位を変更できます。 インバウンドルールの優先度の変更 [インバウンドルール] タブをクリックし、[インバウンドルールの管理] をクリックします。 インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。 アウトバウンドルールの優先度の変更 [アウトバウンドルール] タブをクリックし、[アウトバウンドルールの管理] をクリックします。 インバウンドルールを上下にドラッグアンドドロップし、[OK] をクリックします。
   ネットワークACLをvSwitchに関連付ける	ネットワークACLをvSwitchに関連付ける前に、次の要件が満たされていることを確認してください。 ネットワークACLが作成され、ネットワークACLルールが追加されます。 vSwitchとネットワークACLは同じVPCに属している必要があります。 ネットワークACLを見つけて、アクション列でvSwitch と関連付けるをクリックします。 バインド済みリソースタブで、vSwitch と関連付けるをクリックします。 vSwitch と関連付けるダイアログボックスで、関連付けるvSwitchを選択し、OKをクリックします。 ネットワークACLとvSwitchは同じVPCに属している必要があります。 vSwitchは、1つのネットワークACLにのみ関連付けることができます。
   vSwitchからネットワークACLの関連付けを解除する	vSwitchからネットワークACLの関連付けを解除できます。 ネットワークACLがvSwitchとの関連付けを解除されると、ネットワークACLはvSwitchに接続されているECSインスタンスを流れるトラフィックを制御しなくなります。 ネットワークACLを見つけて、アクション列でvSwitch と関連付けるをクリックします。 バインド済みリソースタブ、vSwitchを見つけ、アクション列でバインド解除をクリックします。 ネットワーク ACL のバインド解除メッセージで、OK をクリックします。
   ネットワークACLの削除	ネットワークACLを削除する前に、vSwitchからネットワークACLの関連付けを解除する必要があります。 ネットワークACLを見つけて、アクション列で削除をクリックします。 ネットワーク ACL の削除メッセージで、OK をクリックします。

関連ドキュメント

• CreateNetworkAcl: ネットワークACLを作成します。

• UpdateNetworkAclEntries: ネットワークACLルールを更新します。

• AssociateNetworkAcl: ネットワークACLをvSwitchに関連付けます。

• UnassociateNetworkAcl: vSwitchからネットワークACLの関連付けを解除します。

• DeleteNetworkAcl: ネットワークACLを削除します。