セキュリティグループは、グループ内のインスタンスのインバウンドおよびアウトバウンドトラフィックを制御してセキュリティを強化する仮想ファイアウォールです。セキュリティグループは、ステートフルインスペクションとパケットフィルタリングを提供します。ACL と比較して、セキュリティグループでは IP アドレスホワイトリストとブラックリストの両方を設定でき、IPv6 のインターネット制御通知プロトコル (ICMP) に一致するルールをサポートします。このトピックでは、Application Load Balancer (ALB) インスタンスをセキュリティグループに追加する際のユースケースと制限事項について説明し、ALB インスタンスをセキュリティグループに追加および削除する方法を解説します。
ユースケース
ALB インスタンスがセキュリティグループに追加されていない場合、ALB リスナーポートはデフォルトですべてのリクエストを許可します。
拒否ルールがないセキュリティグループに ALB インスタンスが追加されると、そのリスナーはデフォルトですべてのインバウンドトラフィックを許可します。特定の IP アドレスからのアクセスのみを許可する必要がある場合は、他のすべてのトラフィックをブロックするためのキャッチオールとして拒否ルールを追加する必要があります。
特定の IP アドレスから ALB インスタンスへのアクセスを許可または拒否する方法については、「セキュリティグループを使用した ALB インスタンスの IP アドレスホワイトリストまたはブラックリストの設定」をご参照ください。
プロトコルまたはポートに基づいて ALB インスタンスのアクセス制御を設定する方法については、「セキュリティグループを使用した ALB インスタンスのリスナーレベルまたはポートレベルのアクセス制御の設定」をご参照ください。
ご利用の ALB インスタンスでアクセス制御が必要であり、ALB インスタンスのインバウンドトラフィックを制御したい場合は、ALB インスタンスにセキュリティグループを追加し、サービス要件に基づいて対応するセキュリティグループルールを設定できます。
ロードバランサーのアウトバウンドトラフィックは、クライアントリクエストへの応答で構成されます。サービスが期待どおりに実行されるように、ALB インスタンスのセキュリティグループはアウトバウンドトラフィックを制限しません。セキュリティグループのアウトバウンドルールを設定する必要はありません。
ALB インスタンスが作成されると、インスタンスが存在する VPC にマネージドセキュリティグループが自動的に作成されます。このセキュリティグループは ALB インスタンスによって管理されます。このグループに対しては表示専用の権限しかありません。ALB インスタンスのマネージドセキュリティグループには、次の 2 種類のセキュリティグループルールが含まれます。
優先度 1 のルール:ALB インスタンスのローカル IP アドレスからのトラフィックを許可し、バックエンドサーバーとの通信を可能にします。
セキュリティグループルールを追加する際は、ALB インスタンスのローカル IP アドレスに対して優先度 1 の拒否ルールを追加しないことを推奨します。これにより、マネージドセキュリティグループのルールとの競合を防ぎます。これらの競合は、ALB インスタンスとバックエンドサーバー間の通信を中断させる可能性があります。Application Load Balancer (ALB) コンソールにログインし、インスタンス詳細ページでローカル IP アドレスを表示できます。
優先度 100 のルール:すべての IP アドレスからのトラフィックを許可します。つまり、ALB インスタンスがセキュリティグループに追加され、拒否ルールが設定されていない場合、ALB インスタンスのリスナーはデフォルトですべてのインバウンドトラフィックを許可します。
基本セキュリティグループまたは高度セキュリティグループには、他のすべてのトラフィックを拒否する暗黙のデフォルトルールがあります。この場合、ALB インスタンスのマネージドセキュリティグループのデフォルト許可ルールが優先されます。
制限事項
アップグレードされた ALB インスタンスは、セキュリティグループまたは ACL を使用したアクセス制御をサポートします。旧世代の ALB インスタンスは ACL のみをサポートします。セキュリティグループを使用するには、新しいインスタンスを作成するか、アカウントマネージャーに連絡して既存のインスタンスのアップグレードをリクエストしてください。
カテゴリ | セキュリティグループタイプ | 説明 |
ALB がサポートするセキュリティグループ |
|
基本セキュリティグループと高度セキュリティグループの詳細については、「基本セキュリティグループと高度セキュリティグループ」をご参照ください。 |
ALB がサポートしないセキュリティグループ | マネージドセキュリティグループ | マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。 |
機能比較
ACL とセキュリティグループはどちらも、IP アドレスホワイトリストとブラックリストに基づいてトラフィックを制御します。次の表は、ALB インスタンスにおける ACL とセキュリティグループの機能と制限事項を比較したものです。
機能 | ACL | セキュリティグループ |
設定範囲 | リスナー |
|
ホワイトリストとブラックリスト | リスナーはホワイトリストまたはブラックリストのいずれかをサポートしますが、両方はサポートしません。 | インスタンスまたはリスナーは、ホワイトリストとブラックリストの両方をサポートします。 |
IP アドレスバージョン | IPv4 アドレスをサポートします。 | IPv4 および IPv6 アドレスをサポートします。 |
制限事項 | ACL の制限事項の詳細については、「制限事項」をご参照ください。 | セキュリティグループの制限事項の詳細については、「制限事項」をご参照ください。 |
前提条件
ALB インスタンスを作成し、インスタンスのリスナーを設定済みであること。詳細については、「ALB インスタンスの作成と管理」をご参照ください。
セキュリティグループを作成し、セキュリティグループルールを追加済みであること。詳細については、「セキュリティグループの作成」および「セキュリティグループルールの追加」をご参照ください。
ALB インスタンスのセキュリティグループへの追加
ALB インスタンスをセキュリティグループに追加して、ALB インスタンスへのパブリックアクセスまたはプライベートアクセスを許可または拒否できます。
ALB コンソールにログインします。
上部のナビゲーションバーで、ALB インスタンスがデプロイされているリージョンを選択します。
インスタンス ページで、インスタンスを見つけ、その ID をクリックします。
インスタンス詳細ページで、セキュリティグループ タブをクリックし、次に セキュリティグループの追加 をクリックします。
ALB インスタンスをセキュリティグループに追加する ダイアログボックスで、1 つ以上のセキュリティグループを選択し、OK をクリックします。
新しいセキュリティグループを作成するには、セキュリティグループ ドロップダウンリストから セキュリティグループの作成 をクリックします。詳細については、「セキュリティグループの作成」をご参照ください。
左側のペインで、セキュリティグループの ID をクリックすると、インバウンド タブと アウトバンド タブでそのルールを表示できます。
セキュリティグループのインバウンドルールを変更するには、[基本情報] セクションで [セキュリティグループ ID] をクリックするか、セキュリティグループ タブの右上隅にある ECS コンソール をクリックします。セキュリティグループの詳細ページにリダイレクトされます。ECS コンソールでセキュリティグループルールを変更する方法の詳細については、「セキュリティグループルールの変更」をご参照ください。
ALB インスタンスからのセキュリティグループの削除
ALB インスタンスからセキュリティグループを削除できます。コンソールでは、一度に複数のセキュリティグループを削除することはサポートされていません。
ALB コンソールにログインします。
上部のナビゲーションバーで、ALB インスタンスがデプロイされているリージョンを選択します。
インスタンス ページで、インスタンスを見つけ、その ID をクリックします。
インスタンス詳細ページで、セキュリティグループ タブをクリックします。左側のペインで、削除するセキュリティグループの ID をクリックし、右上隅の 削除 をクリックします。
削除 ダイアログボックスで、OK をクリックします。
参考
製品チュートリアル
セキュリティグループの詳細については、「セキュリティグループ」をご参照ください。
ALB インスタンスのリスナーレベルまたはポートレベルのアクセス制御を設定する方法については、「セキュリティグループを使用した ALB インスタンスのリスナーレベルまたはポートレベルのアクセス制御の設定」をご参照ください。
特定の IP アドレスから ALB インスタンスへのアクセスを許可または拒否する方法については、「セキュリティグループを使用した ALB インスタンスの IP アドレスホワイトリストまたはブラックリストの設定」をご参照ください。
API リファレンス
LoadBalancerJoinSecurityGroup:Application Load Balancer インスタンスを 1 つ以上の既存のセキュリティグループに追加します。
LoadBalancerLeaveSecurityGroup:Application Load Balancer インスタンスからセキュリティグループを削除します。