ネットワーク ACL とトランジットゲートウェイの動作

ネットワークアクセスコントロールリスト (NACL) は、オプションのセキュリティレイヤーです。

ネットワークアクセスコントロールリスト (NACL) のルールは、シナリオに応じて異なる方法で適用されます。

• EC2 インスタンスおよび Transit Gateway の関連付け用の同じサブネット

• EC2 インスタンスと Transit Gateway の関連付け用の異なるサブネット

EC2 インスタンスおよび Transit Gateway の関連付け用の同じサブネット

同じサブネット内に、EC2 インスタンスと Transit Gateway の関連付けがある設定について考えてみます。EC2 インスタンスから Transit Gateway へのトラフィックと、Transit Gateway からインスタンスへのトラフィックの両方に、同じネットワーク ACL が使用されます。

インスタンスから Transit Gateway へのトラフィックに対して、次のように NACL ルールが適用されています。

• アウトバウンドルールでは、評価に送信先 IP アドレスを使用します。

• インバウンドルールでは、評価に送信元 IP アドレスを使用します。

Transit Gateway からインスタンスへのトラフィックに対して、次のように NACL ルールが適用されています。

• アウトバウンドルールは評価されません。

• インバウンドルールは評価されません。

EC2 インスタンスと Transit Gateway の関連付け用の異なるサブネット

あるサブネットに EC2 インスタンスがあり、別のサブネットに Transit Gateway の関連付けがあり、各サブネットが異なるネットワーク ACL に関連付けられている設定について考えてみましょう。

EC2 インスタンスのサブネットに対して、次のようにネットワーク ACL ルールが適用されています。

• アウトバウンドルールでは、送信先 IP アドレスを使用して、インスタンスから Transit Gateway へのトラフィックを評価します。

• インバウンドルールでは、送信元 IP アドレスを使用して、Transit Gateway からインスタンスへのトラフィックを評価します。

Transit Gateway のサブネットに対して、次のように NACL ルールが適用されています。

• アウトバウンドルールでは、送信先 IP アドレスを使用して、Transit Gateway からインスタンスへのトラフィックを評価します。

• アウトバウンドルールは、インスタンスから Transit Gateway へのトラフィックの評価には使用されません。

• インバウンドルールでは、送信元 IP アドレスを使用して、インスタンスから Transit Gateway へのトラフィックを評価します。

• インバウンドルールは、Transit Gateway からインスタンスへのトラフィックの評価には使用されません。

ベストプラクティス

各 Transit Gateway VPC アタッチメントに個別のサブネットを使用します。各サブネットに対して、小さな CIDR (/28 など) を使用して、EC2 リソースのアドレスが増えるようにします。別のサブネットを使用する場合は、次の項目を設定できます。

• Transit Gateway サブネットに関連付けられているインバウンドおよびアウトバウンド NACL を開いたままにします。

• トラフィックフローに応じて、ワークロードサブネットに NACL を適用できます。

VPC アタッチメントの仕組みについての詳細は、「リソースアタッチメント」を参照してください。