すべてのプロダクト
Search

このプロダクト

    Server Load Balancer:SLB のアクセス制御機能の操作

    ドキュメントセンター

    Server Load Balancer:SLB のアクセス制御機能の操作

    最終更新日:May 13, 2025

    リソースのセキュリティを確保するために、アクセス制御ポリシーを使用してリソースへのアクセスを規制し、承認されたユーザーのみがリソースにアクセスできるようにすることができます。このトピックでは、Server Load Balancer(SLB)のアクセス制御機能について説明します。

    概要

    SLB では、次のタイプのアクセス制御ポリシーがサポートされています。

    • ACL

      Application Load Balancer(ALB)と Classic Load Balancer(CLB)のリスナーにアクセス制御リスト(ACL)を設定できます。クライアントからのリクエストをきめ細かく許可または拒否するインバウンドルールを作成できます。異なるリスナーにホワイトリストまたはブラックリストを設定できます。

      詳細については、「ALB のアクセス制御」および「CLB のアクセス制御」をご参照ください。

    • セキュリティグループ

      セキュリティグループは、インバウンドトラフィックとアウトバウンドトラフィックを管理し、リソースのセキュリティを向上させるための仮想ファイアウォールとして使用されます。セキュリティグループは、ステートフル パケット インスペクション(SPI)とパケットフィルタリング機能を提供します。

      ALB インスタンスと Network Load Balancer(NLB)インスタンスをセキュリティグループに追加できます。ALB インスタンスまたは NLB インスタンスにアクセス制御要件があり、ALB インスタンスまたは NLB インスタンスへのインバウンドトラフィックを制御する場合、ALB インスタンスまたは NLB インスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。

    ACL

    ALB インスタンスと CLB インスタンスの場合、異なるリスナーにホワイトリストまたはブラックリストを設定できます。

    • ブラックリストとして:ACL 内の IP アドレスまたは CIDR ブロックからのすべてのリクエストが拒否されます。

      • 該当するシナリオ:特定の IP アドレスからのすべてのリクエストをブロックします。

    セキュリティグループ

    ALB インスタンスまたは NLB インスタンスがセキュリティグループに追加される前は、ALB インスタンスまたは NLB インスタンスのリスナーポートはデフォルトですべてのリクエストを受け入れます。

    ALB インスタンスまたは NLB インスタンスにアクセス制御要件があり、ALB インスタンスまたは NLB インスタンスへのインバウンドトラフィックを制御する場合、ALB インスタンスまたは NLB インスタンスをセキュリティグループに追加し、ビジネス要件に基づいてセキュリティグループルールを設定できます。

    重要

    • ALB インスタンスまたは NLB インスタンスのアウトバウンドトラフィックとは、ユーザーリクエストに返される応答のことです。サービスが影響を受けないように、ALB または NLB セキュリティグループはアウトバウンドトラフィックを制限しません。セキュリティグループのアウトバウンドルールを設定する必要はありません。

    • ALB インスタンスまたは NLB インスタンスが作成されると、システムは ALB インスタンスまたは NLB インスタンスが存在する VPC にマネージド セキュリティグループを自動的に作成します。このセキュリティグループは ALB インスタンスまたは NLB インスタンスによって制御されるため、詳細を表示することはできますが、変更することはできません。マネージド セキュリティグループには、次のタイプのセキュリティグループルールが含まれています。

      • 優先度 1 のルール:これらのルールは、ALB インスタンスまたは NLB インスタンスがバックエンドサーバーとの通信、およびヘルスチェックを有効にするために使用するローカル IP アドレスを許可します。

        ALB インスタンスまたは NLB インスタンスのローカル IP アドレスを拒否する優先度 1 のセキュリティグループルールを追加しないことをお勧めします。このような競合が発生すると、ALB インスタンスまたは NLB インスタンスとバックエンドサーバー間の通信が中断される可能性があります。ALB コンソールまたはNLB コンソールにログインして、ALB インスタンスまたは NLB インスタンスのローカル IP アドレスを確認できます。

      • 優先度 100 のルール:これらのルールはすべての IP アドレスを許可します。設定された拒否ルールがない場合、このセキュリティグループの ALB インスタンスまたは NLB インスタンスは、リスナーを使用してすべてのリクエストをチェックします。

      • 基本セキュリティグループまたは高度なセキュリティグループのデフォルトのアクセス制御ルール(非表示)には、すべてのリクエストを拒否するルールが含まれています。この場合、ALB インスタンスまたは NLB インスタンスのマネージド セキュリティグループのデフォルトの許可ルールが有効になります。

    ALB セキュリティグループの設定の詳細については、以下をご参照ください。

    NLB セキュリティグループの設定の詳細については、以下をご参照ください。