Application Load Balancer のセキュリティグループ - Elastic Load Balancing
推奨ルール関連付けられたセキュリティグループの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Application Load Balancer のセキュリティグループ

Application Load Balancer のセキュリティグループは、ロードバランサーへのインバウンド/アウトバウンドのトラフィックを制御します。ロードバランサーが、リスナーポートとヘルスチェックポートの両方で、登録済みターゲットと通信できることを確認する必要があります。ロードバランサーにリスナーを追加するか、リクエストをルーティングするためにロードバランサーにより使用されるターゲットグループのヘルスチェックポートを更新する場合は必ず、ロードバランサーに関連付けられたセキュリティグループが新しいポートで両方向のトラフィックを許可することを確認する必要があります。許可しない場合、現在関連付けられているセキュリティグループのルールを編集するか、別のセキュリティグループをロードバランサーに関連付けることができます。許可するポートとプロトコルを選択することができます。例えば、ロードバランサーの Internet Control Message Protocol (ICMP) 接続を開いて ping リクエストに応答できます (ただし、ping リクエストはどのインスタンスにも転送されません)。

インターネット向けロードバランサーには、次のルールが推奨されます。

Inbound
Source Port Range Comment

0.0.0.0/0

listener

ロードバランサーのリスナーポートですべてのインバウンドトラフィックを許可する

Outbound

Destination Port Range Comment

instance security group

instance listener

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

instance security group

health check

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

内部ロードバランサーには、次のルールが推奨されます。

Inbound
Source Port Range Comment

VPC CIDR

listener

ロードバランサーリスナーポートVPCCIDRで からのインバウンドトラフィックを許可する

Outbound

Destination Port Range Comment

instance security group

instance listener

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

instance security group

health check

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

Network Load Balancer のターゲットとして使用される Application Load Balancer には、以下のルールが推奨されます。

Inbound
Source Port Range Comment

client IP addresses/CIDR

alb listener

ロードバランサーのリスナーポートでインバウンドクライアントトラフィックを許可する

VPC CIDR

alb listener

ロードバランサーリスナーポート AWS PrivateLink で 経由でインバウンドクライアントトラフィックを許可する

VPC CIDR

alb listener

Network Load Balancer からのインバウンドヘルスチェックトラフィックを許可する

Outbound

Destination Port Range Comment

instance security group

instance listener

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

instance security group

health check

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

Application Load Balancer のセキュリティグループは、接続追跡を使用して Network Load Balancer からのトラフィックに関する情報を追跡することに注意してください。これは、Application Load Balancer に設定されたセキュリティグループルールを問わず実行されます。Amazon EC2接続の追跡の詳細については、「Amazon ユーザーガイド」の「セキュリティグループ接続の追跡」を参照してください。 EC2

ターゲットがロードバランサーからのみトラフィックを受信できるようにするには、ターゲットに関連付けられたセキュリティグループがロードバランサーからのみトラフィックを受け入れるように制限します。これは、ターゲットのセキュリティグループの進入ルールでロードバランサーのセキュリティグループをソースとして設定することで実現できます。

また、パスMTU検出をサポートするインバウンドICMPトラフィックを許可することをお勧めします。詳細については、「Amazon ユーザーガイド」の「パスMTU検出」を参照してください。 EC2

関連付けられたセキュリティグループの更新

ロードバランサーに関連付けられたセキュリティグループは、いつでも更新できます。

コンソールを使用してセキュリティグループの更新するには

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで、[ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. セキュリティグループをロードバランサーに関連付けるには、そのセキュリティグループを選択します。セキュリティグループの関連付けを削除するには、セキュリティグループの [X] アイコンを選択します。

  6. [Save changes] (変更の保存) をクリックします。

を使用してセキュリティグループを更新するには AWS CLI

set-security-groups コマンドを使用します。