ネットワーク ACL とトランジットゲートウェイの動作 - Amazon Virtual Private Cloud

ネットワーク ACL とトランジットゲートウェイの動作

ネットワークアクセスコントロールリスト (NACL) は、オプションのセキュリティレイヤーです。

ネットワークアクセスコントロールリスト (NACL) のルールは、シナリオに応じて異なる方法で適用されます。

  • EC2 ネットワークインターフェイスのワークロードとトランジットゲートウェイの関連付けに同じサブネットがある場合。

  • EC2 ネットワークインターフェイスのワークロードとトランジットゲートウェイの関連付けに異なるサブネットがある場合。

EC2 ネットワークインターフェイスのワークロードとトランジットゲートウェイの関連付けに対する同じサブネット

EC2 ネットワークインターフェイスのワークロードとトランジットゲートウェイの関連付けが同じサブネットを持つ設定について考えます。同じルートテーブルが、アウトバウンドトラフィックとインバウンドトラフィック (個々の EC2 インスタンスからトランジットゲートウェイへのトラフィック、およびトランジットゲートウェイから VPC へのトラフィック) の両方に使用されます。

NACL ルールは、個々の EC2 インスタンスからトランジットゲートウェイへのトラフィックに対して次のように適用されます。

  • アウトバウンドルールでは、評価に送信先 IP アドレスを使用します。

  • インバウンドルールでは、評価に送信元 IP アドレスを使用します。

NACL ルールは、トランジットゲートウェイから VPC へのトラフィックに対して次のように適用されます。

  • インバウンドルールとアウトバウンドルールは評価されません。

EC2 ネットワークインターフェイスのワークロードとトランジットゲートウェイの関連付けが異なるサブネット

EC2 ネットワークインターフェイスのワークロードとトランジットゲートウェイ関連付けが異なるサブネットを持つ設定について考えます。この設定では、各サブネットは異なる NACL に関連付けられています。

NACL ルールは、個々の EC2 インスタンスからトランジットゲートウェイへのトラフィックに対して次のように適用されます。

  • EC2 インスタンスサブネットのアウトバウンドルールでは、評価に送信先 IP アドレスを使用します。

  • トランジットゲートウェイサブネットのインバウンドルールでは、評価に送信元 IP アドレスを使用します。

  • トランジットゲートウェイサブネットのアウトバウンドルールは評価されません。

NACL ルールは、トランジットゲートウェイから VPC へのトラフィックに対して次のように適用されます。

  • トランジットゲートウェイサブネットのアウトバウンドルールでは、評価に送信先 IP アドレスを使用します。

  • トランジットゲートウェイサブネットのインバウンドルールは評価されません。

  • EC2 インスタンスサブネットのインバウンドルールでは、評価に送信元 IP アドレスを使用します。

ベストプラクティス

各トランジットゲートウェイ VPC アタッチメントに個別のサブネットを使用します。各サブネットに対して、小さな CIDR (/28 など) を使用して、EC2 リソースのアドレスが増えるようにします。別のサブネットを使用する場合は、次の項目を設定できます。

  • トランジットゲートウェイサブネットに関連付けられているインバウンドおよびアウトバウンド NACL を開いたままにします。

  • トラフィックフローに応じて、ワークロードサブネットに NACL を適用できます。