リクエストからのアクセスを規制するために、プロトコル、ポート、および IP アドレスに基づいてアクセス制御を実装するようにセキュリティグループを設定できます。このトピックでは、Network Load Balancer(NLB)インスタンスをセキュリティグループに追加する方法と、セキュリティグループから NLB インスタンスを削除する方法について説明します。また、セキュリティグループの使用シナリオと制限についても説明します。
シナリオ
NLB インスタンスがセキュリティグループに追加される前は、NLB インスタンスのリスナーポートはデフォルトですべてのリクエストを受け入れます。
NLB インスタンスが拒否ルールを含まないセキュリティグループに追加された後、NLB インスタンスのリスナーポートはデフォルトですべてのリクエストを受け入れます。特定の IP アドレスからのリクエストのみを NLB インスタンスに許可する場合は、少なくとも 1 つの拒否ルールを作成する必要があります。
特定の IP アドレスから NLB インスタンスへのリクエストを拒否または許可する方法の詳細については、「セキュリティグループをブラックリストまたはホワイトリストとして使用する」をご参照ください。
プロトコルとポートに基づいてアクセス制御を設定する方法の詳細については、「セキュリティグループを使用してポートに基づいてアクセスを制御する」をご参照ください。
NLB インスタンスにアクセス制御要件があり、NLB インスタンスへのインバウンドトラフィックを制御する場合は、NLB インスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。
NLB インスタンスのアウトバウンドトラフィックとは、ユーザーリクエストに対して返される応答のことです。サービスが影響を受けないように、NLB セキュリティグループはアウトバウンドトラフィックを制限しません。セキュリティグループのアウトバウンドルールを設定する必要はありません。
NLB インスタンスが作成されると、システムは NLB インスタンスが存在する VPC にマネージドセキュリティグループを自動的に作成します。このセキュリティグループは NLB インスタンスによって制御されるため、詳細を表示することはできますが、変更することはできません。マネージドセキュリティグループには、次のタイプのセキュリティグループルールが含まれています。
優先度 1 のルール: これらのルールは、NLB インスタンスがバックエンドサーバーとの通信やヘルスチェックを有効にするために使用するローカル IP アドレスを許可します。
NLB インスタンスのローカル IP アドレスを拒否する優先度 1 のセキュリティグループルールを追加しないことをお勧めします。このような競合が発生すると、NLB インスタンスとバックエンドサーバー間の通信が中断される可能性があります。NLB コンソールにログインして、NLB インスタンスのローカル IP アドレスを確認できます。
優先度 100 のルール: これらのルールはすべての IP アドレスを許可します。設定された拒否ルールがない場合、このセキュリティグループの NLB インスタンスはリスナーを使用してすべてのリクエストをチェックします。
基本セキュリティグループまたは高度なセキュリティグループのデフォルトのアクセス制御ルール(非表示)には、すべてのリクエストを拒否するルールが含まれています。この場合、NLB インスタンスのマネージドセキュリティグループのデフォルトの許可ルールが有効になります。
制限
項目 | セキュリティグループタイプ | 説明 |
NLB でサポートされているセキュリティグループ |
|
基本セキュリティグループと高度なセキュリティグループの詳細については、「基本セキュリティグループと高度なセキュリティグループ」をご参照ください。 |
NLB でサポートされていないセキュリティグループ | マネージドセキュリティグループ | マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。 |
前提条件
NLB インスタンスが作成され、リスナーがインスタンス用に設定されています。詳細については、「NLB インスタンスの作成と管理」をご参照ください。
セキュリティグループが作成され、セキュリティグループルールが追加されています。詳細については、「セキュリティグループを作成する」および「セキュリティグループルールを追加する」をご参照ください。
インスタンスをセキュリティグループに追加する
NLB インスタンスをセキュリティグループに追加して、NLB インスタンスがインターネットまたはプライベートネットワークと通信することを許可または禁止できます。
NLB コンソールにログインします。
上部のナビゲーションバーで、NLB インスタンスがデプロイされているリージョンを選択します。
インスタンス ページで、管理する NLB インスタンスの ID をクリックします。インスタンスの詳細 タブで、[セキュリティグループ] タブをクリックします。
[セキュリティグループ] タブで、[セキュリティグループの作成] をクリックします。[NLB インスタンスをセキュリティグループに追加] ダイアログボックスで、1 つ以上のセキュリティグループを選択し、[OK] をクリックします。
NLB インスタンスは最大 4 つのセキュリティグループに追加できます。セキュリティグループを作成するには、[セキュリティグループ] ドロップダウンリストから [セキュリティグループの作成] をクリックします。詳細については、「セキュリティグループを作成する」をご参照ください。
左側のナビゲーションウィンドウで、管理するセキュリティグループの ID をクリックします。[インバウンドポリシー] タブまたは [アウトバウンドポリシー] タブをクリックして、セキュリティグループルールを表示できます。
セキュリティグループのインバウンドルールを変更するには、[基本情報] セクションでセキュリティグループ ID をクリックするか、[セキュリティグループ] タブの右上隅にある [ECS コンソール] をクリックして、[セキュリティグループルール] ページに移動します。ECS コンソールでセキュリティグループルールを変更する方法の詳細については、「セキュリティグループルールを変更する」をご参照ください。
NLB インスタンスをセキュリティグループから削除する
ビジネス要件に基づいて、NLB インスタンスをセキュリティグループから削除できます。コンソールでは、NLB インスタンスを複数のセキュリティグループから一度に削除することはできません。
NLB コンソールにログインします。
上部のナビゲーションバーで、NLB インスタンスがデプロイされているリージョンを選択します。
インスタンス ページで、管理する NLB インスタンスの ID をクリックします。インスタンスの詳細 タブで、[セキュリティグループ] タブをクリックします。
[セキュリティグループ] タブで、管理するセキュリティグループの ID をクリックし、右上隅にある [削除] をクリックします。
[削除] メッセージで、[OK] をクリックします。
参照
マネージドセキュリティグループや高度なセキュリティグループなどのセキュリティグループタイプの詳細については、「セキュリティグループタイプ」をご参照ください。
プロトコルとポートに基づいてきめ細かいアクセス制御を設定する方法の詳細については、「セキュリティグループを使用してポートに基づいてアクセスを制御する」をご参照ください。
特定の IP アドレスから NLB インスタンスへのアクセスを拒否または許可する方法の詳細については、「セキュリティグループをブラックリストまたはホワイトリストとして使用する」をご参照ください。
LoadBalancerJoinSecurityGroup: NLB インスタンスをセキュリティグループに追加します。
LoadBalancerLeaveSecurityGroup: NLB インスタンスをセキュリティグループから削除します。