ネットワークアクセス制御リスト (ACL) を使用すると、仮想プライベートクラウド (VPC) のアクセス制御を実装できます。 ネットワークACLルールを作成し、ネットワークACLをvSwitchに関連付けることができます。 これにより、vSwitchにアタッチされているElastic Compute Service (ECS) インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。

概要

機能のリリースとサポート対象リージョン

地域リージョン
アジア太平洋中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (杭州) 、中国 (上海) 、中国 (南京-地方) 、中国 (福州-地方) 、中国 (深セン) 、中国 (河原) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、インド (ムンバイ)
ヨーロッパ&アメリカドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア)
中東UAE (ドバイ)

機能

  • ネットワークACLは、ネットワークACLが関連付けられているvSwitchにアタッチされているECSインスタンスのインバウンドおよびアウトバウンドネットワークトラフィックをフィルタリングするために使用されます。 Server Load Balancer (SLB) インスタンスによってECSインスタンスに転送されたネットワークトラフィックもフィルタリングされます。
    説明 次のシナリオでは、ECSインスタンスのネットワークトラフィックはネットワークACLによってフィルタリングされません。ECSインスタンスはセカンダリelastic network interface (ENI) に関連付けられ、セカンダリENIはelastic IPアドレス (EIP) に関連付けられています。 詳細については、「カットスルーモードでEIPをセカンダリENIに関連付ける」をご参照ください。
  • ネットワークACLはステートレスです。 トラフィックを許可するインバウンドルールを設定する場合は、対応するアウトバウンドルールも設定する必要があります。 そうしないと、システムは要求に応答しない可能性があります。
  • ルールを含まないネットワークACLを作成すると、すべてのインバウンドトラフィックとアウトバウンドトラフィックが拒否されます。
  • ネットワークACLがvSwitchに関連付けられている場合、ネットワークACLはvSwitchにアタッチされているECSインスタンス間で転送されるトラフィックをフィルタリングしません。

説明

ネットワークACLにルールを追加したり、ルールを削除したりできます。 ルールへの変更は、関連付けられたvSwitchに自動的に同期されます。 デフォルトでは、インバウンドルールとアウトバウンドルールは、新しく作成されたネットワークACLに自動的に追加されます。 これらのルールにより、関連するvSwitchを介して送信されるすべてのインバウンドおよびアウトバウンドネットワークトラフィックが許可されます。 デフォルトのルールを削除できます。 次の表に、デフォルトのインバウンドルールとアウトバウンドルールを示します。

  • デフォルトの受信ルール
    効果的な注文プロトコルソースIPアドレス宛先ポート範囲操作種類
    1すべて0.0.0.0/0-1/-1Acceptカスタム
  • デフォルトの送信ルール
    効果的な注文プロトコル宛先IPアドレス宛先ポート範囲操作種類
    1すべて0.0.0.0/0-1/-1Acceptカスタム
ネットワークACLのルールには、次のパラメータが含まれます。
  • 有効な順序: ルールの優先順位。 値が小さいほど優先度が高くなります。 システムは、優先度の高い順に要求をルールと照合します。 ルール1は最も高い優先度を有する。 リクエストがルールと一致する場合、システムはルールをリクエストに適用し、他のルールを無視します。

    たとえば、次のルールがネットワークACLに追加され、IPアドレス172.16.0.1宛てのリクエストがECSインスタンスから送信されます。 この場合、要求は規則2および3に一致する。 ルール2は、ルール3よりも高い優先度を有する。 したがって、システムはルール2を適用する。 ルール2のアクションに基づいて、要求は拒否される。

    効果的な注文プロトコル宛先IPアドレス宛先ポート範囲操作種類
    1すべて10.0.0.0/8-1/-1Acceptカスタム
    2すべて172.16.0.0/12-1/-1不可カスタム
    3すべて172.16.0.0/12-1/-1Acceptカスタム
  • Action: 特定のトラフィックに対して実行されるアクション。 有効な値: Accept and Drop.
  • Protocol: トラフィックのプロトコル。 有効な値:
    • ALL: すべてのプロトコル。 ALLを選択した場合、ポート範囲を指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
    • ICMP: インターネット制御メッセージプロトコル (ICMP) 。 ICMPを選択した場合、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
    • GRE: 汎用ルーティングカプセル化 (GRE) 。 GREを選択した場合、ポート範囲は指定できません。 ポート範囲は -1/-1に設定され、すべてのポートを指定します。
    • TCP: 伝送制御プロトコル (TCP) 。 TCPを選択した場合、ポート範囲は1/200または80/80形式で指定できます。 -1/-1は指定できません。 ポートの有効値: 1〜65535。
    • UDP: UDP (User Datagram Protocol) 。 UDPを選択した場合、ポート範囲は1/200または80/80形式で指定できます。 -1/-1は指定できません。 ポートの有効値: 1〜65535。
  • 送信元IPアドレス: インバウンドトラフィックが送信される送信元IPアドレス。 このパラメーターは、インバウンドルールを設定した場合にのみ使用できます。
  • 宛先IPアドレス: アウトバウンドトラフィックが送信される宛先IPアドレス。 このパラメーターは、アウトバウンドルールを設定した場合にのみ使用できます。
  • 宛先ポート範囲: インバウンドルールが適用される宛先ポートの範囲。
  • 宛先ポート範囲: アウトバウンドルールが適用される宛先ポートの範囲。

ネットワークACLとセキュリティグループの比較

ネットワークACLは関連するvSwitchを介して送信されるデータを制御し、セキュリティグループは関連するECSインスタンスを介して送信されるデータを制御します。 次の表に、ネットワークACLとセキュリティグループの違いを示します。

機能ネットワークACLセキュリティグループ
適用範囲VSwitch ECS インスタンス
返送されたトラフィックの状況ステートレス: 返されるトラフィックは、インバウンドルールで許可する必要があります。 ステートフル: 返されるトラフィックは自動的に許可され、ルールの影響を受けません。
ルールが評価されるかどうかシステムは、優先度の降順でルールに対して要求を照合します。 すべてのルールが一致するわけではありません。 システムは、ルールが適用される前に、要求をすべてのルールと照合します。
ECSインスタンスとの関連付けECSインスタンスが属するvSwitchは、1つのネットワークACLにのみ関連付けることができます。 各ECSインスタンスは、複数のセキュリティグループに追加できます。

次の図は、ネットワーク ACL とセキュリティ・グループを適用して、ネットワーク・セキュリティを確保する方法を示しています。

ネットワークACLとセキュリティグループの適用方法

制限事項

項目制限調整の可否
各 VPC で作成可能なネットワーク ACL の数200不可
1 つの vSwitch に関連付け可能なネットワーク ACL の数1
1 つのネットワーク ACL に追加可能なルールの数
  • インバウンドルール:20
  • アウトバウンドルール:20

クォータを増やすには、[クォータ管理] ページに移動します。 詳細については、「クォータの管理」をご参照ください。

ネットワーク ACL をサポートしない VPC次のインスタンスファミリーの ECS インスタンスを含む VPC:

ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4。

詳細については、「VPC の高度な機能」をご参照ください。

高度なネットワーク機能をサポートしていない Elastic Compute Service (ECS) インスタンスをアップグレードまたはリリースします。
説明 VPC に、左記の ECSインスタンスファミリーの 1 つが含まれ、ネットワーク ACL 機能が有効になっている場合は、ネットワーク ACL 機能が正常に機能するように ECS インスタンスをアップグレードまたはリリースする必要があります。

手順

手順

詳細については、「ネットワークACLの操作」をご参照ください。