すべてのプロダクト
Search
ドキュメントセンター

Server Load Balancer:ALB インスタンスのセキュリティグループへの追加

最終更新日:Apr 21, 2026

セキュリティグループは、グループ内のインスタンスのインバウンドおよびアウトバウンドトラフィックを制御してセキュリティを強化する仮想ファイアウォールです。セキュリティグループは、ステートフルインスペクションとパケットフィルタリングを提供します。ACL と比較して、セキュリティグループでは IP アドレスホワイトリストとブラックリストの両方を設定でき、IPv6 のインターネット制御通知プロトコル (ICMP) に一致するルールをサポートします。このトピックでは、Application Load Balancer (ALB) インスタンスをセキュリティグループに追加する際のユースケースと制限事項について説明し、ALB インスタンスをセキュリティグループに追加および削除する方法を解説します。

ユースケース

ご利用の ALB インスタンスでアクセス制御が必要であり、ALB インスタンスのインバウンドトラフィックを制御したい場合は、ALB インスタンスにセキュリティグループを追加し、サービス要件に基づいて対応するセキュリティグループルールを設定できます。

重要
  • ロードバランサーのアウトバウンドトラフィックは、クライアントリクエストへの応答で構成されます。サービスが期待どおりに実行されるように、ALB インスタンスのセキュリティグループはアウトバウンドトラフィックを制限しません。セキュリティグループのアウトバウンドルールを設定する必要はありません。

  • ALB インスタンスが作成されると、インスタンスが存在する VPC にマネージドセキュリティグループが自動的に作成されます。このセキュリティグループは ALB インスタンスによって管理されます。このグループに対しては表示専用の権限しかありません。ALB インスタンスのマネージドセキュリティグループには、次の 2 種類のセキュリティグループルールが含まれます。

    • 優先度 1 のルール:ALB インスタンスのローカル IP アドレスからのトラフィックを許可し、バックエンドサーバーとの通信を可能にします。

      セキュリティグループルールを追加する際は、ALB インスタンスのローカル IP アドレスに対して優先度 1 の拒否ルールを追加しないことを推奨します。これにより、マネージドセキュリティグループのルールとの競合を防ぎます。これらの競合は、ALB インスタンスとバックエンドサーバー間の通信を中断させる可能性があります。Application Load Balancer (ALB) コンソールにログインし、インスタンス詳細ページでローカル IP アドレスを表示できます。

    • 優先度 100 のルール:すべての IP アドレスからのトラフィックを許可します。つまり、ALB インスタンスがセキュリティグループに追加され、拒否ルールが設定されていない場合、ALB インスタンスのリスナーはデフォルトですべてのインバウンドトラフィックを許可します。

      基本セキュリティグループまたは高度セキュリティグループには、他のすべてのトラフィックを拒否する暗黙のデフォルトルールがあります。この場合、ALB インスタンスのマネージドセキュリティグループのデフォルト許可ルールが優先されます。

制限事項

重要

アップグレードされた ALB インスタンスは、セキュリティグループまたは ACL を使用したアクセス制御をサポートします。旧世代の ALB インスタンスは ACL のみをサポートします。セキュリティグループを使用するには、新しいインスタンスを作成するか、アカウントマネージャーに連絡して既存のインスタンスのアップグレードをリクエストしてください。

カテゴリ

セキュリティグループタイプ

説明

ALB がサポートするセキュリティグループ

  • 基本セキュリティグループ

  • 高度セキュリティグループ

  • セキュリティグループは VPC タイプのグループであり、ALB インスタンスと同じ VPC に属している必要があります。

  • ALB インスタンスに関連付けられるセキュリティグループとルールの数は、ECS セキュリティグループのクォータによって制限されます。

  • ALB インスタンスは、同じタイプのセキュリティグループにのみ追加できます。インスタンスを基本セキュリティグループと高度セキュリティグループに同時に追加することはできません。

    ALB インスタンスが基本セキュリティグループに追加されている場合に高度セキュリティグループに追加するには、まず関連付けられているすべての基本セキュリティグループから ALB インスタンスを削除する必要があります。逆の場合も同様です。

基本セキュリティグループと高度セキュリティグループの詳細については、「基本セキュリティグループと高度セキュリティグループ」をご参照ください。

ALB がサポートしないセキュリティグループ

マネージドセキュリティグループ

マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。

機能比較

ACL とセキュリティグループはどちらも、IP アドレスホワイトリストとブラックリストに基づいてトラフィックを制御します。次の表は、ALB インスタンスにおける ACL とセキュリティグループの機能と制限事項を比較したものです。

機能

ACL

セキュリティグループ

設定範囲

リスナー

  • インスタンス

  • リスナー。ポート固有のセキュリティグループルールを設定でき、これは ALB インスタンスのリスナーレベルで有効になります。

ホワイトリストとブラックリスト

リスナーはホワイトリストまたはブラックリストのいずれかをサポートしますが、両方はサポートしません。

インスタンスまたはリスナーは、ホワイトリストとブラックリストの両方をサポートします。

IP アドレスバージョン

IPv4 アドレスをサポートします。

IPv4 および IPv6 アドレスをサポートします。

制限事項

ACL の制限事項の詳細については、「制限事項」をご参照ください。

セキュリティグループの制限事項の詳細については、「制限事項」をご参照ください。

前提条件

ALB インスタンスのセキュリティグループへの追加

ALB インスタンスをセキュリティグループに追加して、ALB インスタンスへのパブリックアクセスまたはプライベートアクセスを許可または拒否できます。

  1. ALB コンソールにログインします。

  2. 上部のナビゲーションバーで、ALB インスタンスがデプロイされているリージョンを選択します。

  3. インスタンス ページで、インスタンスを見つけ、その ID をクリックします。

  4. インスタンス詳細ページで、セキュリティグループ タブをクリックし、次に セキュリティグループの追加 をクリックします。

  5. ALB インスタンスをセキュリティグループに追加する ダイアログボックスで、1 つ以上のセキュリティグループを選択し、OK をクリックします。

    新しいセキュリティグループを作成するには、セキュリティグループ ドロップダウンリストから セキュリティグループの作成 をクリックします。詳細については、「セキュリティグループの作成」をご参照ください。

  6. 左側のペインで、セキュリティグループの ID をクリックすると、インバウンド タブと アウトバンド タブでそのルールを表示できます。

    セキュリティグループのインバウンドルールを変更するには、[基本情報] セクションで [セキュリティグループ ID] をクリックするか、セキュリティグループ タブの右上隅にある ECS コンソール をクリックします。セキュリティグループの詳細ページにリダイレクトされます。ECS コンソールでセキュリティグループルールを変更する方法の詳細については、「セキュリティグループルールの変更」をご参照ください。

ALB インスタンスからのセキュリティグループの削除

ALB インスタンスからセキュリティグループを削除できます。コンソールでは、一度に複数のセキュリティグループを削除することはサポートされていません。

  1. ALB コンソールにログインします。

  2. 上部のナビゲーションバーで、ALB インスタンスがデプロイされているリージョンを選択します。

  3. インスタンス ページで、インスタンスを見つけ、その ID をクリックします。

  4. インスタンス詳細ページで、セキュリティグループ タブをクリックします。左側のペインで、削除するセキュリティグループの ID をクリックし、右上隅の 削除 をクリックします。

  5. 削除 ダイアログボックスで、OK をクリックします。

参考

製品チュートリアル

API リファレンス