リクエストからのアクセスを制御するには、プロトコル、ポート、IP アドレスに基づくアクセスの制御を実現するためにセキュリティグループを設定できます。本トピックでは、Network Load Balancer (NLB) インスタンスをセキュリティグループに追加および削除する方法について説明します。また、セキュリティグループの利用シーンおよび使用制限についても説明します。
シナリオ
セキュリティグループに NLB インスタンスが追加される前は、NLB インスタンスのリスナー ポートがデフォルトですべてのリクエストを受け入れます。
NLB NLB インスタンスを、拒否ルールを含まないセキュリティグループに追加すると、NLB NLB インスタンスのリスナーポートはデフォルトですべてのリクエストを受け入れます。 NLB インスタンスへのアクセスを特定の IP アドレスからのみ許可したい場合は、少なくとも 1 つの拒否ルールを作成する必要があります。
NLB インスタンスへの特定の IP アドレスからのリクエストを拒否または許可する方法については、「セキュリティグループをブラックリストまたはホワイトリストとして使用」をご参照ください。
プロトコルおよびポートに基づくきめ細かなアクセス制御の設定方法については、「リスナーまたはポートに基づいて NLB インスタンスへのアクセスをセキュリティグループで制御」をご参照ください。
NLB インスタンスにアクセスの制御の要件があり、NLB インスタンスへのインバウンドトラフィックを制御したい場合は、NLB インスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。
NLB インスタンスのアウトバウンドトラフィックとは、ユーザーからのリクエストに対する応答を指します。サービスへの影響を防ぐため、NLB セキュリティグループでは、アウトバウンドトラフィックを制限しません。セキュリティグループに対してアウトバウンドルールを設定する必要はありません。
NLB インスタンスを作成すると、システムは自動的に NLB インスタンスが配置されている VPC 内にマネージドセキュリティグループを作成します。このセキュリティグループは NLB インスタンスによって管理されるため、詳細を確認することはできますが、変更はできません。マネージドセキュリティグループには、以下の種類のセキュリティグループルールが含まれます:
優先度 1 のルール:NLB インスタンスが使用するローカル IP アドレスを許可するルールであり、インスタンスとバックエンドサーバー間の通信およびヘルスチェックを可能にします。
NLB インスタンスのローカル IP アドレスを拒否する優先度 1 のセキュリティグループルールを追加しないことを推奨します。このようなルールを追加すると、NLB インスタンスとバックエンドサーバー間の通信が妨げられる可能性があります。NLB インスタンスのローカル IP アドレスを確認するには、NLB コンソールにログインしてください。
優先度 100 のルール:すべての IP アドレスを許可するルールです。拒否ルールが設定されていない場合、このセキュリティグループ内の NLB インスタンスは、リスナーを使用してすべてのリクエストをチェックします。
デフォルトのアクセス制御ルール(非表示)には、基本セキュリティグループおよび高度セキュリティグループのいずれにおいても「すべてのリクエストを拒否」するルールが含まれています。この場合、NLB インスタンス用のマネージドセキュリティグループにおけるデフォルトの許可ルールが有効になります。
制限事項
項目 | セキュリティグループの種類 | 説明 |
NLB でサポートされるセキュリティグループ |
|
基本セキュリティグループおよび高度セキュリティグループの詳細については、「基本セキュリティグループと高度セキュリティグループ」をご参照ください。 |
NLB でサポートされないセキュリティグループ | マネージドセキュリティグループ | マネージドセキュリティグループの詳細については、「マネージドセキュリティグループ」をご参照ください。 |
前提条件
NLB インスタンスが作成済みであり、そのインスタンスにリスナーが設定されています。詳細については、「NLB インスタンスの作成および管理」をご参照ください。
セキュリティグループが作成済みであり、セキュリティグループルールが追加されています。詳細については、「セキュリティグループの作成」および「セキュリティグループルールの追加」をご参照ください。
インスタンスをセキュリティグループに追加
セキュリティグループに NLB インスタンスを追加することで、その NLB インスタンスがインターネットまたはプライベートネットワークと通信することを許可または禁止できます。
まず、NLB コンソールにログインします。
-
上部のナビゲーションバーから、NLB インスタンスが展開されているリージョンを選択します。
インスタンスページで、管理対象の NLB インスタンスの ID をクリックします。インスタンスの詳細タブで、セキュリティグループタブをクリックします。
セキュリティグループ タブで、セキュリティグループの追加 をクリックします。セキュリティグループに NLB インスタンスを追加する ダイアログボックスで、1 つ以上のセキュリティグループを選択し、OK をクリックします。
最大で 4 つのセキュリティグループに NLB インスタンスを追加できます。セキュリティグループを作成するには、セキュリティグループの作成 を セキュリティグループ ドロップダウンリストからクリックします。詳細については、「セキュリティグループの作成」をご参照ください。
左側のナビゲーションウィンドウで、管理対象のセキュリティグループの ID をクリックします。インバウンドポリシーまたはアウトバウンドポリシータブをクリックして、セキュリティグループルールを確認できます。
セキュリティグループのインバウンドルールを変更するには、基本情報セクション内のセキュリティグループ ID をクリックするか、セキュリティグループタブの右上隅にある ECS コンソールをクリックして、セキュリティグループの詳細ページに移動します。ECS コンソールでセキュリティグループルールを変更する方法については、「セキュリティグループルールの変更」をご参照ください。
NLB インスタンスをセキュリティグループから削除
ビジネス要件に基づいて、NLB インスタンスをセキュリティグループから削除できます。コンソールでは、一度に複数のセキュリティグループから NLB インスタンスを削除することはできません。
まず、NLB コンソールにログインします。
-
上部のナビゲーションバーから、NLB インスタンスが展開されているリージョンを選択します。
インスタンスページで、管理対象の NLB インスタンスの ID をクリックします。インスタンスの詳細タブで、セキュリティグループタブをクリックします。
セキュリティグループタブで、管理対象のセキュリティグループの ID をクリックし、右上隅の 削除 をクリックします。
削除メッセージで、OK をクリックします。
参考資料
マネージドセキュリティグループや高度セキュリティグループなどのセキュリティグループの種類については、「セキュリティグループの種類」をご参照ください。
プロトコルおよびポートに基づくきめ細かなアクセス制御の設定方法については、「リスナーまたはポートに基づいて NLB インスタンスへのアクセスをセキュリティグループで制御」をご参照ください。
NLB インスタンスへの特定の IP アドレスからのアクセスを拒否または許可する方法については、「セキュリティグループをブラックリストまたはホワイトリストとして使用」をご参照ください。
LoadBalancerJoinSecurityGroup:NLB インスタンスをセキュリティグループに追加します。
LoadBalancerLeaveSecurityGroup:NLB インスタンスをセキュリティグループから削除します。