パブリックサブネットとプライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC - Amazon Virtual Private Cloud

パブリックサブネットとプライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC

このシナリオの設定には、パブリックサブネットとプライベートサブネットを持つ Virtual Private Cloud (VPC)、および IPsec VPN トンネルを介した独自のネットワークとの通信を有効にする仮想プライベートゲートウェイが含まれます。このシナリオは、ネットワークをクラウドに拡張し、さらに、VPC からインターネットに直接アクセスする必要がある場合にお勧めします。このシナリオを使用すると、スケーラブルなウェブフロントエンドを持つ多階層のアプリケーションをパブリックサブネットで実行し、IPsec AWS Site-to-Site VPN 接続で自ネットワークに接続されているプライベートサブネット内にデータを保存できます。

このシナリオは、オプションで IPv6 にも設定することができます。VPC ウィザードを使用して、IPv6 CIDR ブロックを関連付けた VPC およびサブネットを作成できます。サブネット内に起動されたインスタンスは、IPv6 アドレスを取得できます。現時点では、Site-to-Site VPN での IPv6 通信はサポートされていません。ただし、VPC 内のインスタンスは IPv6 で互いに通信でき、パブリックサブネット内のインスタンスは IPv6 でインターネット経由で通信できます。IPv4 アドレスと IPv6 アドレスの詳細については、「VPC の IP アドレス指定」を参照してください。

EC2 インスタンスソフトウェアの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の 「Linux インスタンスでのユーザーアカウントの管理」を参照してください。

概要

次の図は、このシナリオの設定に重要なコンポーネントを示しています。


				シナリオ 3 の図: パブリックサブネットとプライベートサブネット、および VPN アクセスを持つ VPC
重要

このシナリオでは、Site-to-Site VPN 接続側でカスタマーゲートウェイデバイスを設定する方法については、AWS Site-to-Site VPN ユーザーガイド の「カスタマーゲートウェイデバイス」を参照してください。

このシナリオの設定には、以下の項目が含まれています。

  • IPv4 CIDR ブロックサイズが /16 (例: 10.0.0.0/16) の Virtual Private Cloud (VPC)。65,536 個のプライベート IPv4 アドレスを提供します。

  • IPv4 CIDR ブロックサイズが /24 (例: 10.0.0.0/24) のパブリックサブネット。256 個のプライベート IPv4 アドレスを提供します。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。

  • IPv4 CIDR ブロックサイズが /24 (例: 10.0.1.0/24) の VPN 専用サブネット。256 個のプライベート IPv4 アドレスを提供します。

  • インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。

  • VPC と自ネットワークの間の Site-to-Site VPN 接続。この Site-to-Site VPN 接続は、Site-to-Site VPN 接続の Amazon 側にある仮想プライベートゲートウェイと、Site-to-Site VPN 接続のお客様側にあるカスタマーゲートウェイで構成されています。

  • プライベート IPv4 アドレスがサブネットの範囲内 (例: 10.0.0.5 と 10.0.1.5) であるインスタンス。インスタンスが VPC 内で相互に、かつ他のインスタンスと通信できるようにします。

  • Elastic IP アドレス (例: 198.51.100.1) を持つパブリックサブネットのインスタンス。Elastic IP アドレスは、インターネットからインスタンスにアクセスできるようにするパブリック IPv4 アドレスです。インスタンスには、起動時に Elastic IP アドレスではなくパブリック IPv4 アドレスを割り当てることができます。VPN のみのサブネットのインスタンスは、インターネットからの受信トラフィックを受け取る必要がないバックエンドサーバーです。ただし、ネットワークからのトラフィックを送受信できます。

  • パブリックサブネットに関連付けられているカスタムルートテーブル。このルートテーブルには、サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネットのインスタンスがインターネットと直接通信できるようにするエントリが含まれます。

  • VPN のみのサブネットに関連付けられているメインルートテーブル。ルートテーブルには、サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネットのインスタンスがネットワークと直接通信できるようにするエントリが含まれます。

サブネットの詳細については、「VPC とサブネット」および「VPC の IP アドレス指定」を参照してください。インターネットゲートウェイの詳細については、「インターネットゲートウェイ」を参照してください。AWS Site-to-Site VPN 接続の詳細については、AWS Site-to-Site VPN ユーザーガイドの「AWS Site-to-Site VPN とは」を参照してください。

IPv6 の概要

オプションでこのシナリオの IPv6 を有効にできます。上記のコンポーネントに加えて、この設定には、次に示す情報が含まれます。

  • VPC に関連付けられたサイズ /56 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/56)。AWS の CIDR は自動的に割り当てられます。独自にアドレス範囲を選択することはできません。

  • パブリックサブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。IPv6 CIDR のサイズを選択することはできません。

  • VPN 専用サブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a01::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。IPv6 CIDR のサイズを選択することはできません。

  • サブネットの範囲からのインスタンスに割り当てられていた IPv6 アドレス (例: 2001:db8:1234:1a00::1a)。

  • カスタムエントリテーブル内のルートテーブルエントリ。パブリックサブネットのインスタンスが IPv6 を使用して相互通信したり、インターネット経由で直接通信したりできるようにします。

  • メインルートテーブルのルートテーブル エントリ。VPN のみのサブネットのインスタンスが、IPv6 を使用して相互に通信できるようにします。


					パブリックサブネットと VPN 専用サブネットを持つ IPv6 対応 VPC

ルーティング

VPC には暗示的なルーターがあります (このシナリオの設定図を参照)。このシナリオでは、VPC ウィザードによって、VPN のみのサブネットで使用されるメインルートテーブルを更新し、カスタムルートテーブルを作成してパブリックサブネットに関連付けます。

VPN のみのサブネットのインスタンスはインターネットに直接接続することはできません。インターネット宛てのトラフィックはすべて、まず仮想プライベートゲートウェイを経由してネットワークに向かいます。そこでは、ファイアウォールと企業のセキュリティポリシーが適用されます。インスタンスが AWS 宛てのトラフィック(Amazon S3 または Amazon EC2 API へのリクエストなど)を送信する場合、リクエストは仮想プライベートゲートウェイを介してネットワークに向かい、AWS に到達する前にインターネットに達する必要があります。現時点では、Site-to-Site VPN 接続での IPv6 通信はサポートされていません。

ヒント

ネットワークからのトラフィックで、パブリックサブネットのインスタンスの Elastic IP アドレスに向かうものはすべて、仮想プライベートゲートウェイではなく、インターネットを経由します。代わりに、ネットワークからのトラフィックでパブリックサブネットに向かうものが仮想プライベートゲートウェイを経由できるように、ルートとセキュリティグループのルールを設定することができます。

Site-to-Site VPN 接続は、静的にルーティングされる Site-to-Site VPN 接続または動的にルーティングされる Site-to-Site VPN 接続 (BGP を使用) のいずれかとして設定されます。静的なルーティングを選択すると、Site-to-Site VPN 接続を作成するときに、ネットワークの IP プレフィックスを手動で入力するように求められます。動的なルーティングを選択すると、IP プレフィックスは、BGP を使用して VPC の仮想プライベートゲートウェイに自動的にアドバタイズされます。

以下の表は、このシナリオのルートテーブルを示しています。

メインルートテーブル

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによって、VPC 内のインスタンスが IPv4 を使用して相互に通信できるようになります。2 番目のエントリは、仮想プライベートゲートウェイ (例: vgw-1a2b3c4d) を介してプライベートサブネットからご利用のネットワークに他のすべての IPv4 サブネットトラフィックをルーティングします。

送信先 ターゲット

10.0.0.0/16

ローカル

0.0.0.0/0

vgw-id

カスタムルートテーブル

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによって、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、インターネットゲートウェイ (例: igw-1a2b3c4d) を介してパブリックサブネットからインターネットに他のすべての IPv4 サブネットトラフィックをルーティングします。

送信先 ターゲット

10.0.0.0/16

ローカル

0.0.0.0/0

igw-id

代替ルーティング

プライベートサブネットのインスタンスからインターネットにアクセスする場合、パブリックサブネットでネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを作成し、サブネットのインターネット宛てのトラフィックが NAT デバイスに向かうようにルーティングを設定することもできます。これにより、VPN のみのサブネットのインスタンスから、インターネットゲートウェイ経由でリクエストを送信できるようになります (例: ソフトウェアをアップデートする場合)。

NAT デバイスの手動設定の詳細については、「NAT」を参照してください。VPC ウィザードを使用した NAT デバイスの設定については、「パブリックサブネットとプライベートサブネットを持つ VPC (NAT)」を参照してください。

プライベートサブネットのインターネット宛てのトラフィックが NAT デバイスにアクセスできるようにするには、メインルートテーブルを次のように更新する必要があります。

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。2 行目のエントリは、カスタマーネットワーク (この場合、ローカルネットワークの IP アドレスは 172.16.0.0/12 とします) 向けのサブネットトラフィックを仮想プライベートゲートウェイにルーティングします。3 番目のエントリは、他のすべてのサブネットトラフィックを NAT ゲートウェイに送信します。

送信先 ターゲット

10.0.0.0/16

ローカル

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

IPv6 のルーティング

IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、IPv6 トラフィックの別のルートをルートテーブルに含める必要があります。VPC 内の IPv6 通信を有効化した場合のシナリオのルートテーブルを次の表に示します。

メインルートテーブル

2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルトルートです。

送信先 ターゲット

10.0.0.0/16

ローカル

2001:db8:1234:1a00::/56

ローカル

0.0.0.0/0

vgw-id

カスタムルートテーブル

2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルトルートです。4 番目のエントリは、他のすべての IPv6 サブネットトラフィックをインターネットゲートウェイにルーティングします。

送信先 ターゲット

10.0.0.0/16

ローカル

2001:db8:1234:1a00::/56

ローカル

0.0.0.0/0

igw-id

::/0

igw-id

セキュリティ

AWS では、セキュリティグループネットワーク ACL という 2 つの機能を使用して、VPC のセキュリティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドトラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用することもできます。詳細については、「Amazon VPC のネットワーク間トラフィックプライバシー」を参照してください。

シナリオ 3 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネットワーク ACL を使用する場合は、「パブリックサブネットとプライベートサブネットおよび AWS Site-to-Site VPN アクセスを持つ VPC の推奨ネットワーク ACL ルール」を参照してください。

VPC には、デフォルトのセキュリティグループが用意されています。VPC 内に起動されるインスタンスは、起動時に別のセキュリティグループを指定しないと、デフォルトのセキュリティグループに自動的に関連付けられます。このシナリオでは、デフォルトのセキュリティグループを使用するのではなく、以下のセキュリティグループを作成することをお勧めします。

  • WebServerSG: パブリックサブネットでウェブサーバーを起動するときに、このセキュリティグループを指定します。

  • DBServerSG: VPN のみのサブネットでデータベースサーバーを起動するときに、このセキュリティグループを指定します。

セキュリティグループに割り当てられたインスタンスのサブネットは様々です。ただし、このシナリオでは、各セキュリティグループがインスタンスの役割の種類に対応しており、役割ごとにインスタンスが特定のサブネットに属さなければなりません。したがって、このシナリオでは、1 つのセキュリティグループに割り当てられたインスタンスはすべて、同じサブネットに属しています。

次の表では、WebServerSG セキュリティグループの推奨ルールについて説明します。このルールにより、ウェブサーバーがインターネットトラフィックを受信したり、ご利用のネットワークから SSH や RDP トラフィックを受信したりできます。また、ウェブサーバーは VPN のみのサブネットで、データベースサーバーへのリクエストの読み取り/書き込みを開始し、インターネットにトラフィックを送信できます (たとえば、ソフトウェアの更新プログラムを取得するなど)。ウェブサーバーがその他のアウトバウンド通信を開始しないため、デフォルトのアウトバウンドルールは削除されます。

注記

グループには SSH アクセスと RDP アクセスの両方、および Microsoft SQL Server アクセスと MySQL アクセスの両方が含まれます。この場合は、Linux (SSH および MySQL) または Windows (RDP および Microsoft SQL Server) に対するルールのみで十分かもしれません。

WebServerSG: 推奨ルール
インバウンド
送信元 プロトコル ポート範囲 コメント

0.0.0.0/0

TCP

80

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTP アクセスを許可する。

0.0.0.0/0

TCP

443

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTPS アクセスを許可する。

ネットワークのパブリック IP アドレス範囲

TCP

22

ネットワークから Linux インスタンスへのインバウンド SSH アクセス (インターネットゲートウェイ経由) を許可します。

ネットワークのパブリック IP アドレス範囲

TCP

3389

ネットワークから Windows インスタンスへのインバウンド RDP アクセス (インターネットゲートウェイ経由) を許可します。

アウトバウンド

DBServerSG セキュリティグループの ID

TCP

1433

DBServerSG に割り当てられたデータベースサーバーへのアウトバウンド Microsoft SQL Server アクセスを許可する.

DBServerSG セキュリティグループの ID

TCP

3306

DBServerSG に割り当てられたデータベースサーバーへのアウトバウンド MySQL アクセスを許可する.

0.0.0.0/0

TCP

80

インターネットへのアウトバウンド HTTP アクセスを許可する。

0.0.0.0/0

TCP

443

インターネットへのアウトバウンド HTTPS アクセスを許可する。

次の表では、DBServerSG セキュリティグループの推奨ルールについて説明します。このルールにより、ウェブサーバーからの Microsoft SQL Server と MySQL の読み取りおよび書き込みリクエストと、ご利用のネットワークからの SSH および RDP トラフィックが許可されます。また、データベースサーバーは、インターネットへのトラフィックを開始することもできます (ルートテーブルは、そのトラフィックを仮想プライベートゲートウェイを介して送信します)。

DBServerSG: 推奨ルール
インバウンド
送信元 プロトコル ポート範囲 コメント

WebServerSG セキュリティグループの ID

TCP

1433

WebServerSG セキュリティグループに関連付けられたウェブサーバーからのインバウンド Microsoft SQL Server アクセスを許可する。

WebServerSG セキュリティグループの ID

TCP

3306

WebServerSG セキュリティグループに関連付けられたウェブサーバーからのインバウンド MySQL Server アクセスを許可する。

ネットワークの IPv4 アドレス範囲

TCP

22

ネットワークから Linux インスタンスへのインバウンド SSH トラフィック (仮想プライベートゲートウェイ経由) を許可します。

ネットワークの IPv4 アドレス範囲

TCP

3389

ネットワークから Windows インスタンスへのインバウンド RDP トラフィック (仮想プライベートゲートウェイ経由) を許可します。

アウトバウンド

送信先 プロトコル ポート範囲 コメント

0.0.0.0/0

TCP

80

仮想プライベートゲートウェイを介したインターネットへのアウトバウンド IPv4 HTTP アクセス (例: ソフトウェアアップデート) を許可する。

0.0.0.0/0

TCP

443

仮想プライベートゲートウェイを介したインターネットへのアウトバウンド IPv4 HTTPS アクセス (例: ソフトウェアアップデート) を許可する。

(オプション) VPC のデフォルトのセキュリティグループには、割り当てられたインスタンス間で相互に通信することを自動的に許可するルールがあります。そのような通信をカスタムセキュリティグループに許可するには、以下のルールを追加する必要があります。

インバウンド
送信元 プロトコル ポート範囲 コメント

セキュリティグループの ID

すべて

すべて

このセキュリティグループに割り当てられた他のインスタンスからのインバウンドトラフィックを許可する。

アウトバウンド
送信先 プロトコル ポート範囲 コメント
セキュリティグループの ID すべて すべて このセキュリティグループに割り当てられた他のインスタンスへのアウトバウンドトラフィックを許可する。

IPv6 のセキュリティグループルール

IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、別のルールを WebServerSG および DBServerSG セキュリティグループに追加して、インバウンドおよびアウトバウンドの IPv6 トラフィックを制御する必要があります。このシナリオでは、ウェブサーバーは、IPv6 経由ですべてのインターネットトラフィックを受信したり、IPv6 経由でローカルネットワークから SSH または RDP トラフィックを受信したりできます。また、インターネットへのアウトバウンド IPv6 トラフィックを開始することもできます。データベースサーバーは、アウトバウンド IPv6 トラフィックを開始することはできません。したがって、セキュリティグループルールを追加する必要はありません。

WebServerSG セキュリティグループの IPv6 固有ルールを次に示します (上記のルールは含まない)。

インバウンド
送信元 プロトコル ポート範囲 コメント

::/0

TCP

80

任意の IPv6 アドレスからウェブサーバーへのインバウンド HTTP アクセスを許可する。

::/0

TCP

443

任意の IPv6 アドレスからウェブサーバーへのインバウンド HTTPS アクセスを許可する。

ネットワークの IPv6 アドレス範囲

TCP

22

(Linux インスタンス) ネットワークからの IPv6 経由のインバウンド SSH アクセスを許可する。

ネットワークの IPv6 アドレス範囲

TCP

3389

(Windows インスタンス) ネットワークからの IPv6 経由のインバウンド RDP アクセスを許可する

アウトバウンド
送信先 プロトコル ポート範囲 コメント
::/0 TCP HTTP 任意の IPv6 アドレスへのアウトバウンド HTTP アクセスを許可します
::/0 TCP HTTPS 任意の IPv6 アドレスへのアウトバウンド HTTPS アクセスを許可します

シナリオ 3 を実装する

シナリオ 3 を実装するには、カスタマーゲートウェイに関する情報を取得し、VPC ウィザードを使用して VPC を作成します。VPC ウィザードでは、カスタマーゲートウェイと仮想プライベートゲートウェイを使用して Site-to-Site VPN 接続が作成されます。

この手順には、VPC の IPv6 通信を有効化して設定するオプションのステップが含まれます。VPC 内で IPv6 を使用する場合は、上記のステップを実行する必要はありません。

カスタマーゲートウェイを準備するには

  1. カスタマーゲートウェイデバイスとして使用するデバイスを決めます。詳細については、AWS Site-to-Site VPN ユーザーガイド の「カスタマーゲートウェイデバイス」を参照してください。

  2. カスタマーゲートウェイデバイスの外部インターフェイスのインターネットルーティングが可能な IP アドレスを取得します。このアドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。

  3. 静的にルーティングされる Site-to-Site VPN 接続を作成する場合は、Site-to-Site VPN 接続全体で仮想プライベートゲートウェイにアドバタイズする内部 IP 範囲の (CIDR 表記の) リストを取得します。詳細については、AWS Site-to-Site VPN ユーザーガイドの「ルートテーブルと VPN ルートの優先度」を参照してください。

IPv4 で VPC ウィザードを使用する方法については、「Amazon VPC の IPv4 の使用開始」を参照してください。

IPv6 で VPC ウィザードを使用する方法については、「Amazon VPC の IPv6 の使用開始」を参照してください。

パブリックサブネットとプライベートサブネットおよび AWS Site-to-Site VPN アクセスを持つ VPC の推奨ネットワーク ACL ルール

このシナリオでは、パブリックサブネット用のネットワーク ACL と、VPN 専用サブネット用の別のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。

パブリックサブネット用の ACL ルール
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTP トラフィックを許可する。

110

0.0.0.0/0

TCP

443

許可

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTPS トラフィックを許可する。

120

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

22

許可

(インターネットゲートウェイを介した)ホームネットワークからウェブサーバーへのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

3389

許可

(インターネットゲートウェイを介した)ホームネットワークからウェブサーバーへのインバウンド RDP トラフィックを許可します。

140

0.0.0.0/0

TCP

32768-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

110

0.0.0.0/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

120

10.0.1.0/24

TCP

1433

許可

VPN のみのサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

140

0.0.0.0/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド IPv4 応答を許可します(例: サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンドトラフィックを拒否します (変更不可能)。

VPN のみのサブネットの ACL 設定
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

10.0.0.0/24

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、VPN のみのサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

120

ホームネットワークのプライベート IPv4 アドレスの範囲

TCP

22

許可

(仮想プライベートゲートウェイを介した) ホームネットワークからのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのプライベート IPv4 アドレスの範囲

TCP

3389

許可

(仮想プライベートゲートウェイを介した) ホームネットワークからのインバウンド RDP トラフィックを許可します。

140

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

(仮想プライベートゲートウェイを介した)ホームネットワークのクライアントからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンドトラフィックを拒否します (変更不可能)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

ホームネットワークのプライベート IP アドレスの範囲

すべて

すべて

許可

サブネットからホームネットワークへのすべてのアウトバウンドトラフィック (仮想プライベートゲートウェイ経由) を許可します。このルールはルール 120 も含んでいます。ただし、特定のプロトコルタイプとポート番号を使用して、このルールの適用範囲を絞り込むことができます。このルールの適用範囲を絞り込む場合、アウトバウンド応答がブロックされないようにするには、ネットワーク ACL にルール 120 を含める必要があります。

110

10.0.0.0/24

TCP

32768-65535

許可

パブリックサブネットのウェブサーバーに対するアウトバウンド応答を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

120

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

ホームネットワーク内のクライアントへのアウトバウンド応答 (仮想プライベートゲートウェイ経由) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンドトラフィックを拒否します (変更不可能)。

IPv6 に推奨されるネットワーク ACL ルール

IPv6 サポートを実装し、関連付けられた IPv6 CIDR ブロックを持つ VPC とサブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバウンド IPv6 トラフィックを制御する必要があります。

ネットワーク ACL の IPv6 固有のルールを以下に示します(上記のルールは含みません)。

パブリックサブネット用の ACL ルール
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

許可

任意の IPv6 アドレスからのインバウンド HTTP トラフィックを許可します。

160

::/0

TCP

443

許可

任意の IPv6 アドレスからのインバウンド HTTPS トラフィックを許可します。

170

ホームネットワークの IPv6 アドレス範囲

TCP

22

許可

(インターネットゲートウェイを介した)ホームネットワークからの IPv6 経由のインバウンド SSH トラフィックを許可します。

180

ホームネットワークの IPv6 アドレス範囲

TCP

3389

許可

(インターネットゲートウェイを介した)ホームネットワークからの IPv6 経由のインバウンド RDP トラフィックを許可します。

190

::/0

TCP

1024-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

160

::/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

170

2001:db8:1234:1a01::/64

TCP

1433

許可

プライベートサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

190

::/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド応答を許可します(たとえば、サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供など)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

VPN 専用サブネットの ACL ルール
Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

2001:db8:1234:1a00::/64

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、プライベートサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

130

2001:db8:1234:1a00::/64

TCP

32768-65535

許可

パブリックサブネットに対するアウトバウンド応答 (例: プライベートサブネット内の DB サーバーと通信するパブリックサブネット内のウェブサーバーに対する応答) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。