Application Load Balancer (ALB) で詳細なアクセス制御を実装する場合、ALB リスナーのアクセス制御機能を有効にし、アクセスを許可または拒否するインバウンドルールを構成できます。 この方法により、リクエストの転送を管理し、ネットワークサービスのセキュリティと効率性を確保できます。
ACL
アクセス制御リスト (ACL) は、ホワイトリストまたはブラックリストとして機能できます。 リスナーごとにホワイトリストまたはブラックリストを構成できます。
ホワイトリストは、指定された IP アドレスまたは CIDR ブロックのみが ALB インスタンスにアクセスすることを許可します。 ホワイトリストに含まれる IP アドレスまたは CIDR ブロックからのリクエストのみが転送されます。 ホワイトリストは、特定の IP アドレスのみが ALB にアクセスできるようにする場合に適用されます。
ホワイトリストが不適切に構成されていると、リスクが発生する可能性があります。 リスナーにホワイトリストが構成されている場合、ホワイトリストに追加されている IP アドレスからのリクエストのみがリスナーによって転送されます。 リスナーのホワイトリストを有効にしても、ホワイトリストに IP アドレスが追加されていない場合、リスナーはすべてのリクエストを転送します。
ブラックリストは、指定された IP アドレスまたは CIDR ブロックが ALB インスタンスにアクセスすることを禁止します。 ブラックリストに含まれる IP アドレスまたは CIDR ブロックからのリクエストは拒否されます。 ブラックリストは、特定の IP アドレスからのアクセスを拒否する場合に適用されます。
リスナーのブラックリストを有効にしても、ブラックリストに IP アドレスが追加されていない場合、リスナーはすべてのリクエストを転送します。
制限
項目 | クォータ |
ACL |
|
ACL エントリ |
|
前提条件
ALB インスタンスが作成され、ALB インスタンスのリスナーが作成されています。 詳細については、「ALB インスタンスを使用して IPv4 サービスを提供する」をご参照ください。
アクセス制御リスト (ACL) と ALB インスタンスは同じリージョンに作成されます。
手順
ACL を作成する
アクセス制御を有効にする前に、ACL を作成する必要があります。
ALB コンソール にログインします。
上部のナビゲーションバーで、ACL を作成するリージョンを選択します。
左側のナビゲーションウィンドウで、[ALB] > [アクセス制御] を選択します。
概要 ページで、アクセス制御リストの作成 をクリックします。
アクセス制御リストの作成 ダイアログボックスで、次のパラメーターを構成し、[OK] をクリックします。
パラメーター
説明
ACL 名
ネットワーク ACL の名前を入力します。
タグとリソースグループ
[タグキー] パラメーターと [タグ値] パラメーターを構成します。
タグを指定した後、[アクセス制御] ページでタグ別に ACL をフィルタリングできます。
[リソースグループ] ドロップダウンリストから リソースグループ を選択します。
ACL にエントリを追加する
ACL を作成した後、ACL にエントリを追加できます。 ACL エントリは、リクエストが ALB インスタンスに送信される送信元 IP アドレスまたは CIDR ブロックを指定します。 各 ACL に複数のエントリを追加できます。
ALB コンソール にログインします。
左側のナビゲーションウィンドウで、[ALB] > [アクセス制御] を選択します。
概要 ページで、管理する ACL を見つけ、[アクション] 列の 管理 をクリックします。
ACL 詳細ページの [エントリ] タブで、次のいずれかの方法を使用してエントリを追加します。
単一の IP アドレスまたは CIDR ブロックを追加する
[エントリの追加] をクリックします。 [ACL エントリの追加] ダイアログボックスで、[IP/CIDR ブロック] パラメーターと [備考] パラメーターを構成します。 次に、[追加] をクリックします。
複数の IP アドレスまたは CIDR ブロックを一度に追加する
[ACL エントリの追加] をクリックします。 [ACL エントリの追加] ダイアログボックスで、複数の IP アドレスまたは CIDR ブロックと備考を追加します。 次に、[追加] をクリックします。
説明一度に複数のエントリを追加する場合は、次の項目に注意してください。
1 行に 1 つのエントリを入力します。 ENTER キーを押して新しい行を開始します。
縦棒 (|) を使用して、エントリ内の IP アドレスまたは CIDR ブロックと備考を区切ります。 たとえば、192.168.1.0/24|備考 と入力できます。
一度に最大 20 個のエントリを追加できます。
エントリを追加した後、ビジネス要件に基づいて次の操作を実行します。
[エントリ] 列に追加した IP アドレスまたは CIDR ブロックを表示します。
エントリを削除します。 削除するエントリを見つけて、[アクション] 列の [削除] をクリックします。 削除するエントリを選択し、リストの下にある [削除] をクリックすることもできます。
エントリをエクスポートするには、リストの右上隅にある
アイコンをクリックしてすべてのエントリをエクスポートするか、エクスポートするエントリを選択して アイコンをクリックします。
アクセス制御を有効にする
リスナーのホワイトリストまたはブラックリストとして ACL を指定できます。 アクセス制御を有効にする前に、ALB インスタンスのリスナーが作成されていることを確認してください。
ALB コンソール にログインします。
上部のナビゲーションバーで、ACL を作成するリージョンを選択します。
インスタンス ページで、アクセス制御を有効にする ALB インスタンスの ID をクリックします。
リスナー タブをクリックし、次のいずれかの方法を使用してアクセス制御を有効にします。
管理するリスナーを見つけて、[アクセス制御] 列の [有効化] をクリックします。
管理するリスナーを見つけて、リスナー ID をクリックするか、[アクション] 列の [詳細の表示] をクリックします。 [リスナーの詳細] タブの [アクセス制御] セクションで、[アクセス制御] をオンにします。
[アクセス制御の有効化] ダイアログボックスで、次の表に示すパラメーターを構成し、[保存] をクリックします。
パラメーター
説明
アクセス制御モード
アクセス制御モードを選択します。 有効な値:
ホワイトリスト: 指定された IP アドレスまたは CIDR ブロックからのアクセスを許可します。
ブラックリスト: 指定された IP アドレスまたは CIDR ブロックからのアクセスを拒否します。
ACL を選択
ACL を選択します。
ACL を選択した後、[選択したエントリの表示] をクリックして、選択した ACL のエントリを表示できます。
アクセス制御を無効にする
リスナーにアクセス制御が不要になった場合は、リスナーのアクセス制御を無効にできます。
ALB コンソール にログインします。
インスタンス ページで、アクセス制御を無効にする ALB インスタンスの ID をクリックします。
[リスナー] タブで、次のいずれかの方法を使用してアクセス制御を無効にします。
アクセス制御を無効にするリスナーを見つけて、[アクセス制御] 列の [無効化] をクリックします。
アクセス制御を無効にするリスナーを見つけて、リスナー ID または [アクション] 列の [詳細の表示] をクリックします。 [リスナーの詳細] タブの [アクセス制御] セクションで、[アクセス制御] をオフにします。
表示されるメッセージで、[OK] をクリックします。
参照
CreateAcl: ACL を作成します。
AddEntriesToAcl: ACL にエントリを追加します。
RemoveEntriesFromAcl: ACL からエントリを削除します。
AssiocateAclsWithListener: リスナーに ACL を関連付けます。
DissociateAclsFromListener: リスナーから ACL の関連付けを解除します。