Network Load Balancer のセキュリティグループ - Elastic Load Balancing

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Network Load Balancer のセキュリティグループ

セキュリティグループを Network Load Balancer に関連付けて、ロードバランサーロードバランサーへのインバウント/アウトバウンドのトラフィックを制御できます。インバウンドトラフィックを許可するポート、プロトコル、ソース、およびアウトバウンドトラフィックを許可するポート、プロトコル、および送信先を指定します。ロードバランサーにセキュリティグループを割り当てないと、すべてのクライアントトラフィックがロードバランサーリスナーに到達し、すべてのトラフィックがロードバランサーを離れる可能性があります。

ターゲットに関連付けられたセキュリティグループに、Network Load Balancer に関連付けられたセキュリティグループを参照するルールを追加できます。これにより、クライアントはロードバランサーを介してターゲットへトラフィックを送信できるようになりますが、直接ターゲットへ送信することはできません。ターゲットに関連付けられたセキュリティ グループで Network Load Balancer に関連付けられたセキュリティグループが参照されることで、ロードバランサーに対して クライアント IP の保存 を有効にしている場合でも、ターゲットはロードバランサからのトラフィックを確実に受信できます。

インバウンドセキュリティグループルールによってブロックされたトラフィックに対しては料金が発生しません。

考慮事項

  • Network Load Balancer を作成するときに、セキュリティグループを Network Load Balancer に関連付けることができます。セキュリティグループを関連付けずに Network Load Balancer を作成した場合、後でセキュリティグループをロードバランサーに関連付けることはできません。ロードバランサーを作成するときに、セキュリティグループをロードバランサーに関連付けることをお勧めします。

  • セキュリティグループを関連付けて Network Load Balancer を作成した後は、ロードバランサーに関連付けられたセキュリティグループはいつでも変更できます。

  • ヘルスチェックにはアウトバウンドルールが適用されますが、インバウンドルールは適用されません。アウトバウンドルールがヘルスチェックトラフィックをブロックしないようにする必要があります。そうしないと、ロードバランサーはターゲットに異常があると見なします。

  • PrivateLink トラフィックがインバウンドルールの対象となるかどうかを制御できます。 PrivateLink トラフィックのインバウンドルールを有効にすると、トラフィックの送信元はエンドポイントインターフェイスではなく、クライアントのプライベート IP アドレスになります。

以下に示すように、Network Load Balancer に関連付けられているセキュリティグループのインバウンドルールでは、指定されたアドレス範囲からのトラフィックのみが許可されます。これが内部のロード バランサーの場合には、VPC CIDR 範囲をソースとして指定して、特定の VPC からのトラフィックのみを許可できます。これがインターネット上のどこからでもトラフィックを受け入れる必要があるインターネット向けロードバランサーの場合は、ソースとして 0.0.0.0/0 を指定できます。

インバウンド
[プロトコル] ソース ポート範囲 コメント
protocol クライアント IP アドレス範囲 リスナーポート リスナーポート上の CIDR からのインバウンドトラフィックを許可します
ICMP 0.0.0.0/0 すべて インバウンド ICMP トラフィックが MTU またはパス MTU ディスカバリー † をサポートできるようにします †

† 詳細については、「Amazon EC2 ユーザーガイド」の「パス MTU 検出」を参照してください。 Amazon EC2

アウトバウンド
[プロトコル] デスティネーション ポート範囲 コメント
すべて どこでも すべて すべてのアウトバウンドトラフィックを許可します

Network Load Balancer に sg-111112222233333 というセキュリティグループがあるとします。ターゲットインスタンスに関連付けられているセキュリティグループで次のルールを使用して、Network Load Balancer からのトラフィックのみを受け付けるようにします。ターゲットがターゲットポートとヘルスチェックポートの両方でロードバランサーからのトラフィックを確実に受信できるようにする必要があります。詳細については、「ターゲットセキュリティグループ」を参照してください。

インバウンド
[プロトコル] ソース ポート範囲 コメント
protocol sg-111112222233333 ターゲットポート ターゲットポートのロードバランサーからのインバウンドトラフィックを許可します
protocol sg-111112222233333 ヘルスチェック ヘルスチェックポートでロードバランサーからの受信トラフィックを許可します
アウトバウンド
[プロトコル] デスティネーション ポート範囲 コメント
すべて どこでも すべて すべてのアウトバウンドトラフィックを許可します

関連付けられたセキュリティグループの更新

ロードバランサーの作成時に少なくとも 1 つのセキュリティグループをロードバランサーに関連付けていた場合は、そのロードバランサーのセキュリティグループをいつでも更新できます。

コンソールを使用してセキュリティグループの更新するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインの [ロードバランシング] で [ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. セキュリティグループをロードバランサーに関連付けるには、そのセキュリティグループを選択します。セキュリティグループをロードバランサーから削除するには、そのセキュリティグループを選択解除します。

  6. [変更の保存] をクリックします。

を使用してセキュリティグループを更新するには AWS CLI

set-security-groups コマンドを使用します。

セキュリティ設定の更新

デフォルトでは、ロードバランサーに送信されるすべてのトラフィックにインバウンドセキュリティグループのルールが適用されます。ただし、これらのルールは AWS PrivateLink、重複する IP アドレスから発信される可能性がある を介してロードバランサーに送信されるトラフィックに適用したくない場合があります。この場合、 を介してロードバランサーに送信されるトラフィックにインバウンドルールを適用しないようにロードバランサーを設定できます AWS PrivateLink。

コンソールを使用してセキュリティ設定を更新するには
  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインの [ロードバランシング] で [ロードバランサー] を選択します。

  3. ロードバランサーを選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. セキュリティ設定 で PrivateLink トラフィック にインバウンドルールを適用する をクリアします

  6. [変更の保存] をクリックします。

を使用してセキュリティ設定を更新するには AWS CLI

set-security-groups コマンドを使用します。

ロードバランサーのセキュリティグループを監視する

SecurityGroupBlockedFlowCount_Inbound および SecurityGroupBlockedFlowCount_Outbound CloudWatch メトリクスを使用して、ロードバランサーのセキュリティグループによってブロックされているフローの数をモニタリングします。ブロックされたトラフィックは他のメトリックには反映されません。詳細については、「CloudWatch Network Load Balancer の メトリクス」を参照してください。

VPC フローログを使用して、ロードバランサーのセキュリティグループによって承認または拒否されたトラフィックを監視します。詳細については、Amazon VPC ユーザーガイドの VPC フローログを参照してください。