SAA学習-VPC-セキュリティグループとNACL
今回のテーマ:セキュリティグループとNACL
主要サービスの公式資料
セキュリティグループ: docs.aws.amazon.com
ネットワーク ACL: docs.aws.amazon.com
セキュリティグループ
ネットワークACL(NACL)
- サブネットに対するトラフィック制御するファイアーウォール機能
セキュリティグループとネットワークACLの違い
| セキュリティグループ | ネットワークACL |
|---|---|
| ・サーバー単位で適用 ・ステートフル:インバウンドのみ設定すればアウトバウンドも許可 ・許可のみをIn/Outで指定 ・デフォルトでは同じセキュリティグループ内通信のみ許可 ・全てのルールを適用 |
・VPC/サブネット単位で適用 ・ステートレス:インバウンド設定だけではアウトバンドは許可されない ・許可と拒否をIn/Outで指定 ・デフォルトではすべての通信を許可 ・番号の順序通りに適用 |
cf)インバウンド:外部からの接続
cf)アウトバウンド:外部への接続
ネットワークACLの設定
cf)VPCを作成した場合との違い
- VPCを作成した後のNACLルールの違い:デフォルトでAllowがあるかどうか
インバウンドルール:
アウトバウンドルール:
サブネットの関連付け:
- カスタムで作成した後のNACLのルール
インバウンドルール:
アウトバウンドルール:
サブネットの関連付け:
- ルールの編集は該当するNACLを選択し、インバウンドルールをクリック
- ルール番号、タイプ、送信元および許可するか拒否するか選択し、変更を保存をクリック
- 戻りの設定が必要なので、該当するNACLを選択し、アウトバウンドルールをクリック
- ルール番号、タイプ、送信元および許可するか拒否するか選択し、変更を保存をクリック
Point:戻りの通信許可する場合、クライアントPCが使用するエフェラルトポートを指定する必要があります。
- NACLを適用するサブネットを指定する必要があるため、 サブネットの関連付けを編集をクリック
- 該当するサブネットをすべて選択し、変更を保存をクリック
今回のテーマは以上です。
補足:
インスタンスのアップデート作業時でNACLの制限でアップデートができないときがあるため、
その際はインバウンドルールにエフェラルトポート(1024-65535)の許可を入れておくことがあります。
