Application Load Balancer のセキュリティグループ - Elastic Load Balancing

Application Load Balancer のセキュリティグループ

ロードバランサーが、リスナーポートとヘルスチェックポートの両方で、登録済みターゲットと通信できることを確認する必要があります。ロードバランサーにリスナーを追加するか、リクエストをルーティングするためにロードバランサーにより使用されるターゲットグループのヘルスチェックポートを更新する場合は必ず、ロードバランサーに関連付けられたセキュリティグループが新しいポートで両方向のトラフィックを許可することを確認する必要があります。許可しない場合、現在関連付けられているセキュリティグループのルールを編集するか、別のセキュリティグループをロードバランサーに関連付けることができます。VPC では、ロードバランサーのセキュリティグループを指定することで、許可するポートとプロトコルを選択できます。たとえば、ロードバランサーが ping リクエストに応答できるよう、Internet Control Message Protocol (ICMP) 接続を開くことができます (ただし、ping リクエストは登録済みインスタンスに転送されません)。

インターネット向けロードバランサーには、次のルールが推奨されます。

Inbound
送信元 ポート範囲 コメント

0.0.0.0/0

リスナー

ロードバランサーのリスナーポートですべてのインバウンドトラフィックを許可する

Outbound

送信先 ポート範囲 コメント

インスタンスセキュリティグループ

インスタンスリスナー

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

インスタンスセキュリティグループ

ヘルスチェック

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

内部ロードバランサーには、次のルールが推奨されます。

Inbound
送信元 ポート範囲 コメント

VPC CIDR

リスナー

ロードバランサーのリスナーポートで VPC CIDR からのインバウンドトラフィックを許可する

Outbound

送信先 ポート範囲 コメント

インスタンスセキュリティグループ

インスタンスリスナー

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

インスタンスセキュリティグループ

ヘルスチェック

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

Network Load Balancer のターゲットとして使用される Application Load Balancer には、以下のルールが推奨されます。

Inbound
ソース ポート範囲 コメント

クライアント IP アドレス/CIDR

alb リスナー

ロードバランサーのリスナーポートでインバウンドクライアントトラフィックを許可する

VPC CIDR

alb リスナー

ロードバランサーのリスナーポートで AWS PrivateLink 経由のインバウンドクライアントトラフィックを許可する

VPC CIDR

alb リスナー

Network Load Balancer からのインバウンドヘルスチェックトラフィックを許可する

Outbound

送信先 ポート範囲 コメント

インスタンスセキュリティグループ

インスタンスリスナー

インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する

インスタンスセキュリティグループ

ヘルスチェック

ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する

Application Load Balancer のセキュリティグループは、接続追跡を使用して Network Load Balancer からのトラフィックに関する情報を追跡することに注意してください。これは、Application Load Balancer に設定されたセキュリティグループルールを問わず実行されます。Amazon EC2 の接続追跡に関する詳細については、Amazon EC2 Linux インスタンス用ユーザーガイドの「セキュリティグループの接続の追跡」を参照してください。

また、パス MTU 検出をサポートするため、インバウンド ICMP トラフィックを許可することをお勧めします。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「パス MTU 検出」を参照してください。

関連付けられたセキュリティグループの更新

ロードバランサーに関連付けられたセキュリティグループは、いつでも更新できます。

コンソールを使用してセキュリティグループの更新するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. セキュリティグループをロードバランサーに関連付けるには、そのセキュリティグループを選択します。セキュリティグループの関連付けを削除するには、セキュリティグループの [X] アイコンを選択します。

  6. [変更の保存] をクリックします。

AWS CLI を使用してセキュリティグループを更新するには

set-security-groups コマンドを使用します。