Network Load Balancer のセキュリティグループを更新する - エラスティックロードバランシング
考慮事項例: クライアントトラフィックのフィルタリング例: Network Load Balancer からのトラフィックのみを受け入れる関連付けられたセキュリティグループの更新セキュリティ設定の更新Network Load Balancer のセキュリティグループを監視する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Network Load Balancer のセキュリティグループを更新する

セキュリティグループを Network Load Balancer に関連付けて、Network Load Balancer へのインバウント/アウトバウンドのトラフィックを制御できます。インバウンドトラフィックを許可するポート、プロトコル、ソース、およびアウトバウンドトラフィックを許可するポート、プロトコル、および送信先を指定します。Network Load Balancer にセキュリティグループを割り当てないと、すべてのクライアントトラフィックが Network Load Balancer リスナーに到達し、すべてのトラフィックが Network Load Balancer を離れる可能性があります。

ターゲットに関連付けられたセキュリティグループに、Network Load Balancer に関連付けられたセキュリティグループを参照するルールを追加できます。これにより、クライアントは Network Load Balancer を介してターゲットへトラフィックを送信できるようになりますが、直接ターゲットへ送信することはできません。ターゲットに関連付けられたセキュリティ グループで Network Load Balancer に関連付けられたセキュリティグループが参照されることで、Network Load Balancer に対してクライアント IP の保存を有効にしている場合でも、ターゲットは Network Load Balancer からのトラフィックを確実に受信できます。

インバウンドセキュリティグループルールによってブロックされたトラフィックに対しては料金が発生しません。

考慮事項

  • Network Load Balancer を作成するときに、セキュリティグループを Network Load Balancer に関連付けることができます。セキュリティグループを関連付けずに Network Load Balancer を作成した場合、後でセキュリティグループを Network Load Balancer に関連付けることはできません。Network Load Balancer を作成するときに、セキュリティグループを Network Load Balancer に関連付けることをお勧めします。

  • セキュリティグループを関連付けて Network Load Balancer を作成した後は、Network Load Balancer に関連付けられたセキュリティグループはいつでも変更できます。

  • ヘルスチェックにはアウトバウンドルールが適用されますが、インバウンドルールは適用されません。アウトバウンドルールがヘルスチェックトラフィックをブロックしないようにする必要があります。そうしないと、Network Load Balancer はターゲットに異常があると見なします。

  • PrivateLink トラフィックがインバウンドルールの対象となるかどうかを制御できます。PrivateLink トラフィックのインバウンドルールを有効にすると、トラフィックの送信元はエンドポイントのインターフェイスではなく、クライアントのプライベート IP アドレスになります。

以下に示すように、Network Load Balancer に関連付けられているセキュリティグループのインバウンドルールでは、指定されたアドレス範囲からのトラフィックのみが許可されます。これが内部の Network Load Balancer の場合には、VPC CIDR 範囲をソースとして指定して、特定の VPC からのトラフィックのみを許可できます。これがインターネット上のどこからでもトラフィックを受け入れる必要があるインターネット向け Network Load Balancer の場合は、ソースとして 0.0.0.0/0 を指定できます。

インバウンド
プロトコル ソース ポート範囲 コメント
protocol クライアント IP アドレス範囲 リスナーポート リスナーポート上の CIDR からのインバウンドトラフィックを許可します
ICMP 0.0.0.0/0 すべて インバウンド ICMP トラフィックが MTU またはパス MTU ディスカバリー † をサポートできるようにします †

† 詳細については、「Amazon EC2 ユーザーガイド」の「パス MTU 検出」を参照してください。

アウトバウンド
プロトコル デスティネーション ポート範囲 コメント
すべて どこでも すべて すべてのアウトバウンドトラフィックを許可します

Network Load Balancer に sg-111112222233333 というセキュリティグループがあるとします。ターゲットインスタンスに関連付けられているセキュリティグループで次のルールを使用して、Network Load Balancer からのトラフィックのみを受け付けるようにします。ターゲットがターゲットポートとヘルスチェックポートの両方で Network Load Balancer からのトラフィックを確実に受信できるようにする必要があります。詳細については、「ターゲットセキュリティグループ」を参照してください。

インバウンド
プロトコル ソース ポート範囲 コメント
protocol sg-111112222233333 ターゲットポート ターゲットポートの Network Load Balancer からのインバウンドトラフィックを許可します
protocol sg-111112222233333 ヘルスチェック ヘルスチェックポートで Network Load Balancer からの受信トラフィックを許可します
アウトバウンド
プロトコル デスティネーション ポート範囲 コメント
すべて どこでも いずれか すべてのアウトバウンドトラフィックを許可します

関連付けられたセキュリティグループの更新

Network Load Balancer の作成時に少なくとも 1 つのセキュリティグループを Network Load Balancer に関連付けていた場合は、その Network Load Balancer のセキュリティグループをいつでも更新できます。

コンソールを使用してセキュリティグループの更新するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインの [ロードバランシング] で [ロードバランサー] を選択します。

  3. Network Load Balancer を選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. セキュリティグループを Network Load Balancer に関連付けるには、そのセキュリティグループを選択します。セキュリティグループを Network Load Balancer から削除するには、そのセキュリティグループを選択解除します。

  6. [Save changes] (変更の保存) をクリックします。

を使用してセキュリティグループを更新するには AWS CLI

set-security-groups コマンドを使用します。

セキュリティ設定の更新

デフォルトでは、Network Load Balancer に送信されるすべてのトラフィックにインバウンドセキュリティグループのルールが適用されます。ただし、 を介して Network Load Balancer に送信されるトラフィックにこれらのルールを適用したくない場合があります。このトラフィックは AWS PrivateLink、重複する IP アドレスから発信される場合があります。この場合、Network Load Balancer に送信されるトラフィックにインバウンドルールを適用しないように Network Load Balancer を設定できます AWS PrivateLink。

コンソールを使用してセキュリティ設定を更新するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインの [ロードバランシング] で [ロードバランサー] を選択します。

  3. Network Load Balancer を選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. [セキュリティ設定] で、[PrivateLink トラフィックにインバウンドルールを適用する] をオフにします。

  6. [Save changes] (変更の保存) をクリックします。

を使用してセキュリティ設定を更新するには AWS CLI

set-security-groups コマンドを使用します。

Network Load Balancer のセキュリティグループを監視する

SecurityGroupBlockedFlowCount_Inbound および SecurityGroupBlockedFlowCount_Outbound CloudWatch メトリクスを使用して、Network Load Balancer のセキュリティ グループによってブロックされているフローの数を監視します。ブロックされたトラフィックは他のメトリックには反映されません。詳細については、「Network Load Balancer の CloudWatch メトリクス」を参照してください。

VPC フローログを使用して、Network Load Balancer のセキュリティグループによって承認または拒否されたトラフィックを監視します。詳細については、Amazon VPC ユーザーガイドの VPC フローログを参照してください。