おっさん社内SEエンジニアの勉強ブログ

勉強記録のブログとなります。

SAA学習-VPC-セキュリティグループとNACL

今回のテーマ:セキュリティグループとNACL

主要サービスの公式資料

セキュリティグループ: docs.aws.amazon.com

ネットワーク ACL docs.aws.amazon.com

セキュリティグループ

ネットワークACL(NACL)

  • サブネットに対するトラフィック制御するファイアーウォール機能

セキュリティグループとネットワークACLの違い

セキュリティグループ ネットワークACL
・サーバー単位で適用
ステートフル:インバウンドのみ設定すればアウトバウンドも許可
・許可のみをIn/Outで指定
・デフォルトでは同じセキュリティグループ内通信のみ許可
・全てのルールを適用
VPC/サブネット単位で適用
ステートレス:インバウンド設定だけではアウトバンドは許可されない
・許可と拒否をIn/Outで指定
・デフォルトではすべての通信を許可
・番号の順序通りに適用

cf)インバウンド:外部からの接続
cf)アウトバウンド:外部への接続

ネットワークACLの設定

  • マネージメントコンソール-VPC-セキュリティ-ネットワークACLを選択し、ネットワークACLをクリック

f:id:In-houseSE:20210303081754p:plain

  • 名前は任意、VPCは適用したいVPCを記入および選択し、ネットワークACLを作成をクリック

f:id:In-houseSE:20210303082109p:plain

cf)VPCを作成した場合との違い

  • VPCを作成した後のNACLルールの違い:デフォルトでAllowがあるかどうか

インバウンドルール: f:id:In-houseSE:20210303082420p:plain

アウトバウンドルール: f:id:In-houseSE:20210303082436p:plain

サブネットの関連付け: f:id:In-houseSE:20210303082504p:plain

  • カスタムで作成した後のNACLのルール

インバウンドルール: f:id:In-houseSE:20210303082615p:plain

アウトバウンドルール: f:id:In-houseSE:20210303082632p:plain

サブネットの関連付け: f:id:In-houseSE:20210303082649p:plain

  • ルールの編集は該当するNACLを選択し、インバウンドルールをクリック

f:id:In-houseSE:20210303082911p:plain

  • ルール番号、タイプ、送信元および許可するか拒否するか選択し、変更を保存をクリック

f:id:In-houseSE:20210303083059p:plain

  • 戻りの設定が必要なので、該当するNACLを選択し、アウトバウンドルールをクリック

f:id:In-houseSE:20210303083438p:plain

  • ルール番号、タイプ、送信元および許可するか拒否するか選択し、変更を保存をクリック

Point:戻りの通信許可する場合、クライアントPCが使用するエフェラルトポートを指定する必要があります。

f:id:In-houseSE:20210303083702p:plain

  • NACLを適用するサブネットを指定する必要があるため、 サブネットの関連付けを編集をクリック

f:id:In-houseSE:20210303085941p:plain

  • 該当するサブネットをすべて選択し、変更を保存をクリック

f:id:In-houseSE:20210303090039p:plain

今回のテーマは以上です。

補足:
インスタンスのアップデート作業時でNACLの制限でアップデートができないときがあるため、
その際はインバウンドルールにエフェラルトポート(1024-65535)の許可を入れておくことがあります。