メニュー
Amazon Virtual Private Cloud
ユーザーガイド

ネットワーク ACL

ネットワークアクセスコントロールリスト (ACL) は、1 つ以上のサブネットのインバウンドトラフィックとアウトバウンドトラフィックを制御するファイアウォールとして動作する、VPC 用のセキュリティのオプションレイヤーです。セキュリティの追加レイヤーを VPC に追加するには、セキュリティグループと同様のルールを指定したネットワーク ACL をセットアップできます。セキュリティグループとネットワーク ACL の違いの詳細については、「セキュリティグループとネットワーク ACL の比較」を参照してください。

ネットワーク ACL の基本

ネットワーク ACL について知っておく必要がある基本的な情報を以下に示します。

  • VPC には、変更可能なデフォルトのネットワーク ACL が自動的に設定されます。デフォルトでは、すべてのインバウンドおよびアウトバウンドの IPv4 トラフィックと、IPv6 トラフィック (該当する場合) が許可されます。

  • カスタムネットワーク ACL を作成し、サブネットと関連付けることができます。デフォルトでは、各カスタムネットワーク ACL は、ルールを追加するまですべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否します。

  • VPC 内の各サブネットにネットワーク ACL を関連付ける必要があります。ネットワーク ACL に明示的にサブネットを関連付けない場合、サブネットはデフォルトのネットワーク ACL に自動的に関連付けられます。

  • 1 つのネットワーク ACL を複数のサブネットに関連付けることができます。ただし、1 つのサブネットは一度に 1 つのネットワーク ACL にのみ関連付けることができます。サブネットとネットワーク ACL を関連付けると、以前の関連付けは削除されます。

  • ネットワーク ACL には、低い番号から順に評価される番号付きのルールリストが含まれ、ネットワーク ACL に関連付けられたサブネットのインバウンドトラフィックまたはアウトバウンドトラフィックが許可されるかどうかを指定します。ルールに使用できる最も高い番号は 32766 です。まずは 100 の倍数のルール番号を付けたルールを作成することをお勧めします。こうすると、後で必要になったときに新しいルールを挿入できます。

  • ネットワーク ACL には個別のインバウンドルールとアウトバウンドルールがあり、各ルールでトラフィックを許可または拒否できます。

  • ネットワーク ACL はステートレスです。許可されているインバウンドトラフィックに対する応答は、アウトバウンドトラフィックのルールに従います (その逆の場合も同様です)。

作成できるネットワーク ACL の数の詳細については、「Amazon VPC の制限」を参照してください。

ネットワーク ACL ルール

デフォルトのネットワーク ACL に対してルールの追加または削除を行うことができます。また、VPC に合わせて追加のネットワーク ACL を作成することができます。ネットワーク ACL に対してルールの追加または削除を行うと、変更内容は、その ACL に関連付けられているサブネットに自動的に適用されます。

次に、ネットワーク ACL ルールの一部を示します。

  • ルール番号。ルールは、最も低い番号のルールから評価されます。ルールがトラフィックに一致すると、それと相反するより高い数値のルールの有無にかかわらず、すぐに適用されます。

  • プロトコル。標準のプロトコル番号を持つ任意のプロトコルを指定できます。詳細については、「プロトコル番号」を参照してください。プロトコルとして ICMP を指定する場合、任意またはすべての ICMP タイプとコードを指定できます。

  • [インバウンドルールのみ] トラフィックの送信元 (CIDR の範囲) と送信先 (リッスン) ポートまたはポートの範囲。

  • [アウトバウンドルールのみ] トラフィックの送信先 (CIDR の範囲) と送信先ポートまたはポートの範囲。

  • 指定したトラフィックに関する許可または拒否の選択。

デフォルトのネットワーク ACL

デフォルトのネットワーク ACL は、すべてのトラフィックが、関連するサブネットを出入りすることを許可するように設定されます。各ネットワーク ACL にも、ルール番号がアスタリスクのルールが含まれます。このルールによって、パケットが他のいずれの番号のルールとも一致しない場合は、確実に拒否されます。このルールを変更または削除することはできません。

IPv4 のみをサポートする VPC のデフォルトネットワーク ACL の例を以下に示します。

インバウンド
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否

100

すべての IPv4 トラフィック

すべて

すべて

0.0.0.0/0

許可

*

すべての IPv4 トラフィック

すべて

すべて

0.0.0.0/0

拒否

アウトバウンド
ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否

100

すべての IPv4 トラフィック

すべて

すべて

0.0.0.0/0

許可

*

すべての IPv4 トラフィック

すべて

すべて

0.0.0.0/0

拒否

IPv6 CIDR ブロックを持つ VPC を作成するか、IPv6 CIDR ブロックを既存の VPC と関連付ける場合は、すべての IPv6 トラフィックがサブネット間を流れるようにするルールが自動的に追加されます。また、ルール番号がアスタリスクのルールが追加されます。このルールにより、パケットが他のいずれのルールとも一致しない場合は、確実に拒否されます。このルールを変更または削除することはできません。IPv4 または IPv6 をサポートする VPC のデフォルトネットワーク ACL の例を以下に示します。

注記

デフォルトのネットワーク ACL のインバウンドルールを変更した場合は、IPv6 ブロックを VPC と関連付けても、インバウンド IPv6 トラフィックを許可するルールが自動的に追加されることはありません。同様に、アウトバウンドルールを変更した場合、アウトバウンド IPv6 を許可するルールが自動的に追加されることはありません。

インバウンド
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否

100

すべての IPv4 トラフィック

すべて

すべて

0.0.0.0/0

許可

101

すべての IPv6 トラフィック

すべて

すべて

::/0

許可

*

すべてのトラフィック

すべて

すべて

0.0.0.0/0

拒否

*

すべての IPv6 トラフィック

すべて

すべて

::/0

拒否

アウトバウンド
ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否

100

すべてのトラフィック

すべて

すべて

0.0.0.0/0

許可

101

すべての IPv6 トラフィック

すべて

すべて

::/0

許可

*

すべてのトラフィック

すべて

すべて

0.0.0.0/0

拒否

*

すべての IPv6 トラフィック

すべて

すべて

::/0

拒否

カスタムネットワーク ACL

IPv4 のみをサポートする VPC のカスタムネットワーク ACL の例を以下のテーブルに示します。この ACL には、HTTP および HTTPS のインバウンドトラフィック (インバウンドルール 100 および 110) を許可するルールが含まれます。そのインバウンドトラフィックに対する応答を可能にする、対応するアウトバウンドルールがあります (一時ポート 49152~65535 を対象とするアウトバウンドルール 120)。適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート」を参照してください。

ネットワーク ACL には、SSH および RDP からサブネットに対するトラフィックを許可するインバウンドルールも含まれます。アウトバウンドルール 120 は、サブネットに送信される応答を可能にします。

ネットワーク ACL には、サブネットからの HTTP および HTTPS のアウトバウンドトラフィックを許可するアウトバウンドルール (100 および 110) があります。そのアウトバウンドトラフィックに対する応答を可能にする、対応するインバウンドルールがあります (一時ポート 49152~65535 を対象とするインバウンドルール 140)。

注記

各ネットワーク ACL には、ルール番号がアスタリスクのデフォルトルールが含まれます。このルールによって、パケットが他のいずれのルールとも一致しない場合は、確実に拒否されます。このルールを変更または削除することはできません。

インバウンド
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否 コメント

100

HTTP

TCP

80

0.0.0.0/0

許可

任意の IPv4 アドレスからのインバウンド HTTP トラフィックを許可します。

110

HTTPS

TCP

443

0.0.0.0/0

許可

任意の IPv4 アドレスからのインバウンド HTTPS トラフィックを許可します。

120

SSH

TCP

22

192.0.2.0/24

許可

(インターネットゲートウェイを介した) ホームネットワークのパブリック IPv4 アドレスの範囲からのインバウンド SSH トラフィックを許可します。

130

RDP

TCP

3389

192.0.2.0/24

許可

(インターネットゲートウェイを介した) ホームネットワークのパブリック IPv4 アドレスの範囲からウェブサーバーに対するインバウンド RDP トラフィックを許可します。

140

カスタム TCP

TCP

49152~65535

0.0.0.0/0

許可

(送信元がサブネットであるリクエストに対する) インターネットからのインバウンドリターン IPv4 トラフィックを許可します。

適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート」を参照してください。

*

すべてのトラフィック

すべて

すべて

0.0.0.0/0

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

アウトバウンド
ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 コメント

100

HTTP

TCP

80

0.0.0.0/0

許可

サブネットからインターネットへのアウトバウンド IPv4 HTTP トラフィックを許可します。

110

HTTPS

TCP

443

0.0.0.0/0

許可

サブネットからインターネットへのアウトバウンド IPv4 HTTPS トラフィックを許可します。

120

カスタム TCP

TCP

49152~65535

0.0.0.0/0

許可

インターネット上のクライアントに対するアウトバウンド IPv4 応答を許可します (例: サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供)。

適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート」を参照してください。

*

すべてのトラフィック

すべて

すべて

0.0.0.0/0

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv4 トラフィックを拒否します (変更不可)。

パケットがサブネットに送信されると、サブネットが関連付けられている ACL の進入ルールと照合して評価されます (ルールリストの一番上から順に一番下まで評価されます)。パケットが SSL ポート (443) あての場合の評価方法は次のとおりです。パケットは最初に評価されるルール (ルール 100) と一致しません。また、2 番目のルール (110) とは一致します。このルールでは、サブネットに送信されるパケットを許可します。パケットがポート 139 (NetBIOS) あての場合、先頭の 2 つのルールは一致しませんが、最終的に * ルールによってパケットが拒否されます。

正当に幅広い範囲のポートを開く必要があり、その範囲内の特定のポートは拒否したい場合は、拒否ルールを追加します。このとき、テーブル内で、幅広い範囲のポートトラフィックを許可するルールよりも先に拒否ルールを配置します。

重要

Elastic Load Balancing では、バックエンドインスタンスのサブネットに、ソースが 0.0.0.0/0 であるかサブネットの CIDR であるすべてのトラフィックに追加した拒否ルールを適用するネットワーク ACL がある場合、ロードバランサーはインスタンスのヘルスチェックを実行できません。ロードバランサーとバックエンドインスタンスに推奨されるネットワーク ACL ルールの詳細については、Classic Load Balancer ガイド の「VPC のロードバランサーのネットワーク ACL」を参照してください。

IPv6 CIDR ブロックと関連付けた VPC のカスタムネットワーク ACL の同一例を以下のテーブルに示します。このネットワーク ACL には、すべての IPv6 HTTP および HTTPS トラフィックのルールが含まれます。この場合、IPv4 トラフィックの既存のルールに新しいルールが追加されました。ただし、IPv4 ルールよりも高い数値でルールを追加することもできます。IPv4 トラフィックと IPv6 トラフィックは異なります。したがって、IPv4 トラフィックのルールはいずれも IPv6 トラフィックに適用することはできません。

インバウンド
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否 コメント

100

HTTP

TCP

80

0.0.0.0/0

許可

任意の IPv4 アドレスからのインバウンド HTTP トラフィックを許可します。

105

HTTP

TCP

80

::/0

許可

任意の IPv6 アドレスからのインバウンド HTTP トラフィックを許可します。

110

HTTPS

TCP

443

0.0.0.0/0

許可

任意の IPv4 アドレスからのインバウンド HTTPS トラフィックを許可します。

115

HTTPS

TCP

443

::/0

許可

任意の IPv6 アドレスからのインバウンド HTTPS トラフィックを許可します。

120

SSH

TCP

22

192.0.2.0/24

許可

(インターネットゲートウェイを介した) ホームネットワークのパブリック IPv4 アドレスの範囲からのインバウンド SSH トラフィックを許可します。

130

RDP

TCP

3389

192.0.2.0/24

許可

(インターネットゲートウェイを介した) ホームネットワークのパブリック IPv4 アドレスの範囲からウェブサーバーに対するインバウンド RDP トラフィックを許可します。

140

カスタム TCP

TCP

49152~65535

0.0.0.0/0

許可

(送信元がサブネットであるリクエストに対する) インターネットからのインバウンドリターン IPv4 トラフィックを許可します。

適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート」を参照してください。

145

カスタム TCP TCP 49152-65535 ::/0 許可

(送信元がサブネットであるリクエストに対する) インターネットからのインバウンドリターン IPv6 トラフィックを許可します。

適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート」を参照してください。

*

すべてのトラフィック

すべて

すべて

0.0.0.0/0

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

*

すべてのトラフィック

すべて

すべて

::/0

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

アウトバウンド
ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 コメント

100

HTTP

TCP

80

0.0.0.0/0

許可

サブネットからインターネットへのアウトバウンド IPv4 HTTP トラフィックを許可します。

105

HTTP

TCP

80

::/0

許可

サブネットからインターネットへのアウトバウンド IPv6 HTTP トラフィックを許可します。

110

HTTPS

TCP

443

0.0.0.0/0

許可

サブネットからインターネットへのアウトバウンド IPv4 HTTPS トラフィックを許可します。

115

HTTPS

TCP

443

::/0

許可

サブネットからインターネットへのアウトバウンド IPv6 HTTPS トラフィックを許可します。

120

カスタム TCP

TCP

49152~65535

0.0.0.0/0

許可

インターネット上のクライアントに対するアウトバウンド IPv4 応答を許可します (例: サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供)。

適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート」を参照してください。

125

カスタム TCP

TCP

49152-65535

::/0

許可

インターネット上のクライアントに対するアウトバウンド IPv6 応答を許可します (例: サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供)。

適切な一時ポートの範囲を選択する方法の詳細については、「一時ポート」を参照してください。

*

すべてのトラフィック

すべて

すべて

0.0.0.0/0

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv4 トラフィックを拒否します (変更不可)。

*

すべてのトラフィック

すべて

すべて

::/0

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

一時ポート

前のセクションでは、ネットワーク ACL の例に 49152~65535 という一時ポートの範囲を使用しています。ただし、使用または通信しているクライアントの種類によっては、ネットワーク ACL に別の範囲を使用してもかまいません。

リクエストを開始するクライアントは、一時ポートの範囲を選択します。範囲は、クライアントのオペレーティングシステムによって変わります。多くの Linux カーネル (Amazon Linux カーネルを含む) は、ポート 32768~61000 を使用します。Elastic Load Balancing が送信元のリクエストは、ポート 1024~65535 を使用します。Windows Server 2003 を介する Windows オペレーティングシステムは、ポート 1025~5000 を使用します。Windows Server 2008 以降のバージョンでは、ポート 49152~65535 を使用します。NAT ゲートウェイはポート 1024~65535 を使用します。たとえば、インターネット上の Windows XP クライアントから、お使いの VPC のウェブサーバーにリクエストが送信される場合、ネットワーク ACL には、ポート 1025~5000 あてのトラフィックを可能にするアウトバウンドルールを用意する必要があります。

VPC 内のインスタンスが、リクエストを開始するクライアントの場合、ネットワーク ACL には、インスタンス (Amazon Linux、Windows Server 2008 など) の種類に固有の一時ポートあてのトラフィックを可能にするインバウンドルールを用意する必要があります。

実際に、VPC 内のパブリックに面したインスタンスに対して、トラフィックを開始することができる多様なクライアントを対象にするには、一時ポート 1024~65535 を開くことができます。ただし、その範囲内で悪意のあるポートのトラフィックを拒否するルールを ACL を追加することもできます。このとき、テーブル内で、幅広い範囲の一時ポートを開く許可ルールよりも先に拒否ルールを配置します。

ネットワーク ACL の操作

ここでは、Amazon VPC コンソールを使用してネットワーク ACL を操作する方法について説明します。

ネットワーク ACL の関連付けの確認

Amazon VPC コンソールを使用して、サブネットに関連付けられているネットワーク ACL を確認することができます。ネットワーク ACL を複数のサブネットに関連付けて、ネットワーク ACL に関連付けられているサブネットを確認することもできます。

To determine which network ACL is associated with a subnet

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Subnets, and then select the subnet.

    The network ACL associated with the subnet is included in the Network ACL tab, along with the network ACL's rules.

To determine which subnets are associated with a network ACL

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Network ACLs. The Associated With column indicates the number of associated subnets for each network ACL.

  3. Select a network ACL.

  4. In the details pane, choose Subnet Associations to display the subnets associated with the network ACL.

ネットワーク ACL を作成する

VPC のカスタムネットワーク ACL を作成できます。デフォルトでは、作成するネットワーク ACL により、ルールを追加するまですべてのインバウンドおよびアウトバウンドトラフィックがブロックされ、明示的に関連付けるまではサブネットと関連付けられません。

To create a network ACL

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Network ACLs.

  3. Choose Create Network ACL.

  4. In the Create Network ACL dialog box, optionally name your network ACL, and then select the ID of your VPC from the VPC list, and choose Yes, Create.

ルールの追加と削除

ACL のルールの追加または削除を行うと、その ACL に関連付けられたすべてのサブネットに変更が反映されます。サブネット内のインスタンスを削除して再作成する必要はありません。短時間で変更が反映されます。

Amazon EC2 API またはコマンドラインツールを使用している場合は、ルールを変更することはできません。ルールを追加および削除できるのみです。Amazon VPC コンソールを使用している場合は、既存のルールのエントリを変更できます (コンソールによってルールが削除され、新しいルールが追加されます)。ACL のルールの順序を変更する必要がある場合は、新しいルール番号を指定した新しいルールを追加してから、元のルールを削除します。

To add rules to a network ACL

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Network ACLs.

  3. In the details pane, choose either the Inbound Rules or Outbound Rules tab, depending on the type of rule that you need to add, and then choose Edit.

  4. In Rule #, enter a rule number (for example, 100). The rule number must not already be used in the network ACL. We process the rules in order, starting with the lowest number.

    ヒント

    We recommend that you leave gaps between the rule numbers (such as 100, 200, 300), rather than using sequential numbers (101, 102, 103). This makes it easier add a new rule without having to renumber the existing rules.

  5. Select a rule from the Type list. For example, to add a rule for HTTP, choose HTTP. To add a rule to allow all TCP traffic, choose All TCP. For some of these options (for example, HTTP), we fill in the port for you. To use a protocol that's not listed, choose Custom Protocol Rule.

  6. (Optional) If you're creating a custom protocol rule, select the protocol's number and name from the Protocol list. For more information, see IANA List of Protocol Numbers.

  7. (Optional) If the protocol you've selected requires a port number, enter the port number or port range separated by a hyphen (for example, 49152-65535).

  8. In the Source or Destination field (depending on whether this is an inbound or outbound rule), enter the CIDR range that the rule applies to.

  9. From the Allow/Deny list, select ALLOW to allow the specified traffic or DENY to deny the specified traffic.

  10. (Optional) To add another rule, choose Add another rule, and repeat steps 4 to 9 as required.

  11. When you are done, choose Save.

To delete a rule from a network ACL

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Network ACLs, and then select the network ACL.

  3. In the details pane, select either the Inbound Rules or Outbound Rules tab, and then choose Edit. Choose Remove for the rule you want to delete, and then choose Save.

サブネットをネットワーク ACL と関連付ける

ネットワーク ACL のルールを特定のサブネットに適用するには、サブネットをネットワーク ACL と関連付ける必要があります。1 つのネットワーク ACL を複数のサブネットに関連付けることができます。ただし、1 つのサブネットは 1 つのネットワーク ACL にのみ関連付けることができます。特定の ACL に関連付けられていないサブネットは、デフォルトでデフォルトのネットワーク ACL と関連付けられます。

To associate a subnet with a network ACL

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Network ACLs, and then select the network ACL.

  3. In the details pane, on the Subnet Associations tab, choose Edit. Select the Associate check box for the subnet to associate with the network ACL, and then choose Save.

ネットワーク ACL とサブネットの関連付けの解除

これにより、カスタムネットワーク ACL の関連付けをサブネット — から解除することができ、サブネットはデフォルトのネットワーク ACL と自動的に関連付けられます。

To disassociate a subnet from a network ACL

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Network ACLs, and then select the network ACL.

  3. In the details pane, choose the Subnet Associations tab.

  4. Choose Edit, and then deselect the Associate check box for the subnet. Choose Save.

サブネットのネットワーク ACL の変更

サブネットに関連付けられているネットワーク ACL を変更できます。例えば、サブネットを作成すると、初期状態で、そのサブネットにはデフォルトのネットワーク ACL が関連付けられます。このサブネットには、作成したカスタムネットワーク ACL を関連付けることができます。

サブネットのネットワーク ACL を変更した後は、サブネット内のインスタンスを削除して再作成する必要はありません。短時間で変更が反映されます。

To change a subnet's network ACL association

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Subnets, and then select the subnet.

  3. Choose the Network ACL tab, and then choose Edit.

  4. Select the network ACL to associate the subnet with from the Change to list, and then choose Save.

ネットワーク ACL の削除

ネットワーク ACL に関連付けられているサブネットがない場合にのみ、そのネットワーク ACL を削除できます。デフォルトのネットワーク ACL は削除できません。

To delete a network ACL

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. In the navigation pane, choose Network ACLs.

  3. Select the network ACL, and then choose Delete.

  4. In the confirmation dialog box, choose Yes, Delete.

例: サブネットのインスタンスへのアクセスの制御

この例では、サブネットのインスタンスは相互に通信でき、信頼されたリモートコンピュータからアクセス可能です。リモートコンピュータは、ローカルネットワークのコンピュータ、または管理タスクを実行するためにインスタンスへの接続に使用する別のサブネットまたは VPC にあるインスタンスとすることができます。セキュリティグループルールとネットワーク ACL ルールでは、リモートコンピュータの IP アドレス (172.31.1.2/32) からのアクセスを許可します。インターネットまたは他のネットワークからのその他のトラフィックはすべて拒否されます。

 セキュリティグループと NACL の使用

すべてのインスタンスは、以下のルールで同じセキュリティグループ (sg-1a2b3c4d) を使用します。

インバウンドルール
プロトコルタイプ プロトコル ポート範囲 送信元 コメント
すべてのトラフィック すべて すべて sg-1a2b3c4d 同じセキュリティグループに関連付けられたインスタンスがお互いに通信できるようにします。
TCP SSH 22 172.31.1.2/32 リモートコンピュータからのインバウンド SSH アクセスを許可します。インスタンスが Windows コンピュータである場合、このルールでは代わりにポート 3389 に RDP プロトコルを使用する必要があります。
アウトバウンドルール
プロトコルタイプ プロトコル ポート範囲 送信先 コメント
すべてのトラフィック すべて すべて sg-1a2b3c4d 同じセキュリティグループに関連付けられたインスタンスがお互いに通信できるようにします。

サブネットは、以下のルールがあるネットワーク ACL に関連付けられます。

インバウンドルール
ルール番号 タイプ プロトコル ポート範囲 送信元 許可/拒否 コメント
100 SSH TCP 22 172.31.1.2/32 許可 リモートコンピュータからのインバウンドトラフィックを許可します。インスタンスが Windows コンピュータである場合、このルールでは代わりにポート 3389 に RDP プロトコルを使用する必要があります。
* すべてのトラフィック すべて すべて 0.0.0.0/0 拒否 前のルールと一致する他のすべてのインバウンドトラフィックを拒否します。
アウトバウンドルール
ルール番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 コメント
100 カスタム TCP TCP 1024-65535 172.31.1.2/32 許可 リモートコンピュータに対するアウトバウンド応答を許可します。ネットワーク ACL はステートレスであるため、インバウンドリクエストの応答トラフィックを許可するには、このルールが必要です。
* すべてのトラフィック すべて すべて 0.0.0.0/0 拒否 前のルールと一致しない他のすべてのアウトバウンドトラフィックを拒否します。

このシナリオでは、インスタンスのセキュリティグループまたはセキュリティグループルールを変更し、防衛のバックアップレイヤーとしてネットワーク ACL を持つことができます。ネットワーク ACL ルールはサブネット内のすべてのインスタンスに適用されるため、誤ってセキュリティグループルールを過度に制限の低いものにした場合、ネットワーク ACL ルールで継続的に 1 つの IP アドレスからのみアクセスが許可されます。たとえば、次のルールでは前のルールよりも制限が低くなり、すべての IP アドレスからのインバウンド SSH アクセスが許可されます。

インバウンドルール
タイプ プロトコル ポート範囲 送信元 コメント
すべてのトラフィック すべて すべて sg-1a2b3c4d 同じセキュリティグループに関連付けられたインスタンスがお互いに通信できるようにします。
SSH TCP 22 0.0.0.0/0 すべての IP アドレスからの SSH アクセスを許可します。
アウトバウンドルール
タイプ プロトコル ポート範囲 送信先 コメント
すべてのトラフィック すべて すべて 0.0.0.0/0 すべてのアウトバウンドトラフィックを許可します。

ただし、サブネット内の他のインスタンスおよびリモートコンピュータのみが、このインスタンスにアクセスできます。ネットワーク ACL ルールでは、リモートコンピュータからのものを除き、引き続きサブネットへのすべてのインバウンドトラフィックがブロックされます。

API とコマンドの概要

このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンドラインインターフェイスの詳細および利用できる API の一覧については、「Amazon VPC へのアクセス」を参照してください。

VPC のネットワーク ACL を作成する

1 つまたは複数のネットワーク ACL について説明する

ルールをネットワーク ACL に追加する

ネットワーク ACL からルールを削除する

ネットワーク ACL の既存のルールを置換する

ネットワーク ACL の関連付けを置換する

ネットワーク ACL を削除する