Application Load Balancer のセキュリティグループ

Application Load Balancer のセキュリティグループは、ロードバランサーへのインバウンド/アウトバウンドのトラフィックを制御します。ロードバランサーが、リスナーポートとヘルスチェックポートの両方で、登録済みターゲットと通信できることを確認する必要があります。ロードバランサーにリスナーを追加するか、リクエストをルーティングするためにロードバランサーにより使用されるターゲットグループのヘルスチェックポートを更新する場合は必ず、ロードバランサーに関連付けられたセキュリティグループが新しいポートで両方向のトラフィックを許可することを確認する必要があります。許可しない場合、現在関連付けられているセキュリティグループのルールを編集するか、別のセキュリティグループをロードバランサーに関連付けることができます。許可するポートとプロトコルを選択することができます。たとえば、ロードバランサーが ping リクエストに応答できるよう、Internet Control Message Protocol (ICMP) 接続を開くことができます (ただし、ping リクエストは登録済みインスタンスに転送されません)。

考慮事項

ターゲットがロードバランサーからのトラフィックを確実に受信するようにするには、ターゲットに関連付けられたセキュリティグループを制限することでロードバランサーからのトラフィックのみを受信するようにします。これは、ロードバランサーのセキュリティグループを、ターゲットのセキュリティグループにおける進入ルールのソースとして設定することで実現できます。
Application Load Balancer が Network Load Balancer のターゲットである場合、Application Load Balancer のセキュリティグループは接続追跡を使用して、Network Load Balancer からのトラフィックに関する情報を追跡します。これは、Application Load Balancer に設定されたセキュリティグループルールを問わず実行されます。詳細については、「Amazon EC2 ユーザーガイド」の「セキュリティグループの接続の追跡」を参照してください。
パス MTU 検出をサポートするために、インバウンド ICMP トラフィックを許可することをお勧めします。詳細については、「Amazon EC2 ユーザーガイド」の「パス MTU 検出」を参照してください。

推奨ルール

インスタンスをターゲットとするインターネット向けロードバランサーには、次のルールをお勧めします。

Inbound
ソース	ポート範囲	コメント
0.0.0.0/0	`リスナー`	ロードバランサーのリスナーポートですべてのインバウンドトラフィックを許可する
Outbound
送信先	ポート範囲	コメント
`インスタンスセキュリティグループ`	`インスタンスリスナー`	インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する
`インスタンスセキュリティグループ`	`ヘルスチェック`	ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

インスタンスをターゲットとする内部ロードバランサーには、次のルールをお勧めします。

Inbound
ソース	ポート範囲	コメント
`VPC CIDR`	`リスナー`	ロードバランサーのリスナーポートで VPC CIDR からのインバウンドトラフィックを許可する
Outbound
送信先	ポート範囲	コメント
`インスタンスセキュリティグループ`	`インスタンスリスナー`	インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する
`インスタンスセキュリティグループ`	`ヘルスチェック`	ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

Network Application Load Balancer Load Balancer には、次のルールをお勧めします。

Inbound
ソース	ポート範囲	コメント
`クライアント IP アドレス/CIDR`	`alb リスナー`	ロードバランサーのリスナーポートでインバウンドクライアントトラフィックを許可する
`VPC CIDR`	`alb リスナー`	ロードバランサーリスナーポート AWS PrivateLink でを介してインバウンドクライアントトラフィックを許可する
`VPC CIDR`	`alb リスナー`	Network Load Balancer からのインバウンドヘルスチェックトラフィックを許可する
Outbound
デスティネーション	ポート範囲	コメント
`インスタンスセキュリティグループ`	`インスタンスリスナー`	インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する
`インスタンスセキュリティグループ`	`ヘルスチェック`	ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

関連付けられたセキュリティグループの更新

ロードバランサーに関連付けられたセキュリティグループは、いつでも更新できます。

Console

セキュリティグループを更新するには

Amazon EC2 コンソールの https://console.aws.amazon.com/ec2/ を開いてください。
ナビゲーションペインで、[ロードバランサー] を選択します。
ロードバランサーを選択します。
[セキュリティ] タブで、[編集] を選択します。
セキュリティグループをロードバランサーに関連付けるには、そのセキュリティグループを選択します。セキュリティグループの関連付けを削除するには、セキュリティグループの [X] アイコンを選択します。
[Save changes] (変更の保存) をクリックします。

AWS CLI

セキュリティグループを更新するには

set-security-groups コマンドを使用します。


aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d

CloudFormation

セキュリティグループを更新するには

AWS::ElasticLoadBalancingV2::LoadBalancer リソースを更新します。


Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アベイラビリティーゾーンの更新

IP アドレスタイプの更新