パブリックサブネットとプライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC - Amazon Virtual Private Cloud

パブリックサブネットとプライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC

このシナリオの設定には、パブリックサブネットとプライベートサブネットを持つ Virtual Private Cloud (VPC)、および IPsec VPN トンネルを介した独自のネットワークとの通信を有効にする仮想プライベートゲートウェイが含まれます。このシナリオは、ネットワークをクラウドに拡張し、さらに、VPC からインターネットに直接アクセスする必要がある場合にお勧めします。このシナリオを使用すると、スケーラブルなウェブフロントエンドを持つ多階層のアプリケーションをパブリックサブネットで実行し、IPsec AWS Site-to-Site VPN 接続で自ネットワークに接続されているプライベートサブネット内にデータを保存できます。

このシナリオは、オプションで IPv6 に設定することもできます。VPC ウィザードを使用して、関連する IPv6 CIDR ブロックで VPC およびサブネットを作成できます。サブネット内に起動されたインスタンスは、IPv6 アドレスを取得できます。仮想プライベートゲートウェイでは、Site-to-Site VPN 接続の IPv6 通信はサポートされていません。ただし、VPC 内のインスタンスは IPv6 で互いに通信でき、パブリックサブネット内のインスタンスは IPv6 でインターネット経由で通信できます。IPv4 アドレスと IPv6 アドレスの詳細については、「VPC の IP アドレス指定」を参照してください。

EC2 インスタンスソフトウェアの管理については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Linux インスタンスでソフトウェアを管理する」を参照してください。

Overview

次の図は、このシナリオの設定に重要なコンポーネントを示しています。


				シナリオ 3 の図: パブリックサブネットとプライベートサブネット、および VPN アクセスを持つ VPC
重要

このシナリオで、Site-to-Site VPN 接続の側でカスタマーゲートウェイデバイスを設定する方法については、AWS Site-to-Site VPN ユーザーガイドの「カスタマーゲートウェイデバイス」を参照してください。

このシナリオの設定には、以下の項目が含まれています。

  • IPv4 CIDR ブロックサイズが /16 (例: 10.0.0.0/16) の Virtual Private Cloud (VPC)。65,536 個のプライベート IPv4 アドレスを提供します。

  • IPv4 CIDR ブロックサイズが /24 (例: 10.0.0.0/24) のパブリックサブネット。256 個のプライベート IPv4 アドレスを提供します。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。

  • IPv4 CIDR ブロックサイズが /24 (例: 10.0.1.0/24) の VPN 専用サブネット。256 個のプライベート IPv4 アドレスを提供します。

  • インターネットゲートウェイ。VPC をインターネットおよび他の AWS 製品に接続します。

  • VPC とネットワークの間の Site-to-Site VPN 接続。この Site-to-Site VPN 接続は、仮想プライベートゲートウェイとカスタマーゲートウェイで構成され、前者は Site-to-Site VPN 接続の Amazon 側、後者は Site-to-Site VPN 接続のお客様側に配置されています。

  • プライベート IPv4 アドレスがサブネットの範囲内 (例: 10.0.0.5 と 10.0.1.5) であるインスタンス。インスタンスが VPC 内で相互に、かつ他のインスタンスと通信できるようにします。

  • Elastic IP アドレス (例: 198.51.100.1) を持つパブリックサブネットのインスタンス。Elastic IP アドレスは、インターネットからインスタンスにアクセスできるようにするパブリック IPv4 アドレスです。インスタンスには、起動時に Elastic IP アドレスではなくパブリック IPv4 アドレスを割り当てることができます。VPN のみのサブネットのインスタンスは、インターネットからの受信トラフィックを受け取る必要がないバックエンドサーバーです。ただし、ネットワークからのトラフィックを送受信できます。

  • パブリックサブネットに関連付けられているカスタムルートテーブル。このルートテーブルには、サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネットのインスタンスがインターネットと直接通信できるようにするエントリが含まれます。

  • VPN のみのサブネットに関連付けられているメインルートテーブル。ルートテーブルには、サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネットのインスタンスがネットワークと直接通信できるようにするエントリが含まれます。

サブネットの詳細については、「VPC とサブネット」および「VPC の IP アドレス指定」を参照してください。インターネットゲートウェイの詳細については、「インターネットゲートウェイ」を参照してください。AWS Site-to-Site VPN 接続の詳細については、AWS Site-to-Site VPN ユーザーガイドの「AWS Site-to-Site VPN とは」を参照してください。

IPv6 の概要

オプションでこのシナリオの IPv6 を有効にできます。上記のコンポーネントに加えて、この設定には、次に示す情報が含まれます。

  • VPC に関連付けられたサイズ /56 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/56)。AWS の CIDR は自動的に割り当てられます。独自にアドレス範囲を選択することはできません。

  • パブリックサブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。IPv6 CIDR のサイズを選択することはできません。

  • VPN 専用サブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a01::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。IPv6 CIDR のサイズを選択することはできません。

  • サブネットの範囲からのインスタンスに割り当てられていた IPv6 アドレス (例: 2001:db8:1234:1a00::1a)。

  • カスタムエントリテーブル内のルートテーブルエントリ。パブリックサブネットのインスタンスが IPv6 を使用して相互通信したり、インターネット経由で直接通信したりできるようにします。

  • メインルートテーブルのルートテーブル エントリ。VPN のみのサブネットのインスタンスが、IPv6 を使用して相互に通信できるようにします。


					パブリックサブネットと VPN 専用サブネットを持つ IPv6 対応 VPC

パブリックサブネット内のウェブサーバーには、次のアドレスがあります。

サーバー IPv4 アドレス Elastic IP アドレス IPv6 アドレス

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

プライベートサブネット内のデータベースサーバーには、次のアドレスがあります。

サーバー IPv4 アドレス IPv6 アドレス

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Routing

VPC には暗示的なルーターがあります (このシナリオの設定図を参照)。このシナリオでは、VPC ウィザードによって、VPN のみのサブネットで使用されるメインルートテーブルを更新し、カスタムルートテーブルを作成してパブリックサブネットに関連付けます。

VPN のみのサブネットのインスタンスはインターネットに直接接続することはできません。インターネット宛てのトラフィックはすべて、まず仮想プライベートゲートウェイを経由してネットワークに向かいます。そこでは、ファイアウォールと企業のセキュリティポリシーが適用されます。インスタンスが AWS 宛てのトラフィック (Amazon S3 や Amazon EC2 API へのリクエストなど) を送信すると、リクエストは仮想プライベートゲートウェイを介してネットワークに向かい、その後インターネットに進み、AWS に到達します。

ヒント

ネットワークからのトラフィックで、パブリックサブネットのインスタンスの Elastic IP アドレスに向かうものはすべて、仮想プライベートゲートウェイではなく、インターネットを経由します。代わりに、ネットワークからのトラフィックでパブリックサブネットに向かうものが仮想プライベートゲートウェイを経由できるように、ルートとセキュリティグループのルールを設定することができます。

Site-to-Site VPN 接続は、静的にルーティングされた Site-to-Site VPN 接続、または動的にルーティングされた Site-to-Site VPN 接続 (BGP を使用) として設定されます。静的なルーティングを選択すると、Site-to-Site VPN 接続を作成するときに、ネットワークの IP プレフィックスを手動で入力するように求められます。動的なルーティングを選択すると、IP プレフィックスは、BGP を使用して VPC の仮想プライベートゲートウェイに自動的にアドバタイズされます。

以下の表は、このシナリオのルートテーブルを示しています。

メインルートテーブル

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによって、VPC 内のインスタンスが IPv4 を使用して相互に通信できるようになります。2 番目のエントリは、仮想プライベートゲートウェイ (例: vgw-1a2b3c4d) を介してプライベートサブネットからご利用のネットワークに他のすべての IPv4 サブネットトラフィックをルーティングします。

送信先 ターゲット

10.0.0.0/16

ローカル

0.0.0.0/0

vgw-id

カスタムルートテーブル

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによって、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、インターネットゲートウェイ (例: igw-1a2b3c4d) を介してパブリックサブネットからインターネットに他のすべての IPv4 サブネットトラフィックをルーティングします。

送信先 ターゲット

10.0.0.0/16

ローカル

0.0.0.0/0

igw-id

代替ルーティング

プライベートサブネットのインスタンスからインターネットにアクセスする場合、パブリックサブネットでネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを作成し、サブネットのインターネット宛てのトラフィックが NAT デバイスに向かうようにルーティングを設定することもできます。これにより、VPN のみのサブネットのインスタンスから、インターネットゲートウェイ経由でリクエストを送信できるようになります (例: ソフトウェアをアップデートする場合)。

NAT デバイスの手動設定の詳細については、「VPC の NAT デバイス」を参照してください。VPC ウィザードを使用した NAT デバイスの設定については、「パブリックサブネットとプライベートサブネットを持つ VPC (NAT)」を参照してください。

プライベートサブネットのインターネット宛てのトラフィックが NAT デバイスにアクセスできるようにするには、メインルートテーブルを次のように更新する必要があります。

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。2 番目のエントリは、独自のローカル (カスタマー) ネットワークへのサブネットトラフィックを、仮想プライベートゲートウェイにルーティングします。この例では、ローカルネットワークの IP アドレス範囲が 172.16.0.0/12 であると仮定しています。3 番目のエントリは、他のすべてのサブネットトラフィックを NAT ゲートウェイに送信します。

送信先 ターゲット

10.0.0.0/16

ローカル

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

IPv6 のルーティング

IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、IPv6 トラフィックの別のルートをルートテーブルに含める必要があります。VPC 内の IPv6 通信を有効化した場合のシナリオのルートテーブルを次の表に示します。

メインルートテーブル

2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルトルートです。

送信先 ターゲット

10.0.0.0/16

ローカル

2001:db8:1234:1a00::/56

ローカル

0.0.0.0/0

vgw-id

カスタムルートテーブル

2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルトルートです。4 番目のエントリは、他のすべての IPv6 サブネットトラフィックをインターネットゲートウェイにルーティングします。

送信先 ターゲット

10.0.0.0/16

ローカル

2001:db8:1234:1a00::/56

ローカル

0.0.0.0/0

igw-id

::/0

igw-id

Security

AWS では、セキュリティグループネットワーク ACL という 2 つの機能を使用して、VPC のセキュリティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドトラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用することもできます。詳細については、「」を参照してくださいAmazon VPC でのインターネットワークトラフィックのプライバシー

シナリオ 3 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネットワーク ACL を使用する場合は、「パブリックサブネットとプライベートサブネットおよび AWS Site-to-Site VPN アクセスを持つ VPC の推奨ネットワーク ACL ルール」を参照してください。

VPC には、デフォルトのセキュリティグループが用意されています。VPC 内に起動されるインスタンスは、起動時に別のセキュリティグループを指定しないと、デフォルトのセキュリティグループに自動的に関連付けられます。このシナリオでは、デフォルトのセキュリティグループを使用するのではなく、以下のセキュリティグループを作成することをお勧めします。

  • WebServerSG: パブリックサブネットでウェブサーバーを起動するときに、このセキュリティグループを指定します。

  • DBServerSG: VPN のみのサブネットでデータベースサーバーを起動するときに、このセキュリティグループを指定します。

セキュリティグループに割り当てられたインスタンスのサブネットは様々です。ただし、このシナリオでは、各セキュリティグループがインスタンスの役割の種類に対応しており、役割ごとにインスタンスが特定のサブネットに属さなければなりません。したがって、このシナリオでは、1 つのセキュリティグループに割り当てられたインスタンスはすべて、同じサブネットに属しています。

次の表では、WebServerSG セキュリティグループの推奨ルールについて説明します。このルールにより、ウェブサーバーがインターネットトラフィックを受信したり、ご利用のネットワークから SSH や RDP トラフィックを受信したりできます。また、ウェブサーバーは VPN のみのサブネットで、データベースサーバーへのリクエストの読み取り/書き込みを開始し、インターネットにトラフィックを送信できます (たとえば、ソフトウェアの更新プログラムを取得するなど)。ウェブサーバーがその他のアウトバウンド通信を開始しないため、デフォルトのアウトバウンドルールは削除されます。

注記

グループには SSH アクセスと RDP アクセスの両方、および Microsoft SQL Server アクセスと MySQL アクセスの両方が含まれます。この場合は、Linux (SSH および MySQL) または Windows (RDP および Microsoft SQL Server) に対するルールのみで十分かもしれません。

インバウンド
送信元 プロトコル ポート範囲 コメント

0.0.0.0/0

TCP

80

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTP アクセスを許可する。

0.0.0.0/0

TCP

443

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTPS アクセスを許可する。

ネットワークのパブリック IP アドレス範囲

TCP

22

ネットワークから Linux インスタンスへのインバウンド SSH アクセス (インターネットゲートウェイ経由) を許可します。

ネットワークのパブリック IP アドレス範囲

TCP

3389

ネットワークから Windows インスタンスへのインバウンド RDP アクセス (インターネットゲートウェイ経由) を許可します。

アウトバウンド

DBServerSG セキュリティグループの ID

TCP

1433

DBServerSG に割り当てられたデータベースサーバーへのアウトバウンド Microsoft SQL Server アクセスを許可する.

DBServerSG セキュリティグループの ID

TCP

3306

DBServerSG に割り当てられたデータベースサーバーへのアウトバウンド MySQL アクセスを許可する.

0.0.0.0/0

TCP

80

インターネットへのアウトバウンド HTTP アクセスを許可する。

0.0.0.0/0

TCP

443

インターネットへのアウトバウンド HTTPS アクセスを許可する。

次の表では、DBServerSG セキュリティグループの推奨ルールについて説明します。このルールにより、ウェブサーバーからの Microsoft SQL Server と MySQL の読み取りおよび書き込みリクエストと、ご利用のネットワークからの SSH および RDP トラフィックが許可されます。また、データベースサーバーは、インターネットへのトラフィックを開始することもできます (ルートテーブルは、そのトラフィックを仮想プライベートゲートウェイを介して送信します)。

インバウンド
送信元 プロトコル ポート範囲 コメント

WebServerSG セキュリティグループの ID

TCP

1433

WebServerSG セキュリティグループに関連付けられたウェブサーバーからのインバウンド Microsoft SQL Server アクセスを許可する。

WebServerSG セキュリティグループの ID

TCP

3306

WebServerSG セキュリティグループに関連付けられたウェブサーバーからのインバウンド MySQL Server アクセスを許可する。

ネットワークの IPv4 アドレス範囲

TCP

22

ネットワークから Linux インスタンスへのインバウンド SSH トラフィック (仮想プライベートゲートウェイ経由) を許可します。

ネットワークの IPv4 アドレス範囲

TCP

3389

ネットワークから Windows インスタンスへのインバウンド RDP トラフィック (仮想プライベートゲートウェイ経由) を許可します。

アウトバウンド

送信先 プロトコル ポート範囲 コメント

0.0.0.0/0

TCP

80

仮想プライベートゲートウェイを介したインターネットへのアウトバウンド IPv4 HTTP アクセス (例: ソフトウェアアップデート) を許可する。

0.0.0.0/0

TCP

443

仮想プライベートゲートウェイを介したインターネットへのアウトバウンド IPv4 HTTPS アクセス (例: ソフトウェアアップデート) を許可する。

(オプション) VPC のデフォルトのセキュリティグループには、割り当てられたインスタンス間で相互に通信することを自動的に許可するルールがあります。そのような通信をカスタムセキュリティグループに許可するには、以下のルールを追加する必要があります。

インバウンド
送信元 プロトコル ポート範囲 コメント

セキュリティグループの ID

すべて

すべて

このセキュリティグループに割り当てられた他のインスタンスからのインバウンドトラフィックを許可する。

アウトバウンド
送信先 プロトコル ポート範囲 コメント
The ID of the security group All All Allow outbound traffic to other instances assigned to this security group.

IPv6 のセキュリティグループルール

IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、別のルールを WebServerSG および DBServerSG セキュリティグループに追加して、インバウンドおよびアウトバウンドの IPv6 トラフィックを制御する必要があります。このシナリオでは、ウェブサーバーは、IPv6 経由ですべてのインターネットトラフィックを受信したり、IPv6 経由でローカルネットワークから SSH または RDP トラフィックを受信したりできます。また、インターネットへのアウトバウンド IPv6 トラフィックを開始することもできます。データベースサーバーは、アウトバウンド IPv6 トラフィックを開始することはできません。したがって、セキュリティグループルールを追加する必要はありません。

WebServerSG セキュリティグループの IPv6 固有ルールを次に示します (上記のルールは含まない)。

インバウンド
送信元 プロトコル ポート範囲 コメント

::/0

TCP

80

任意の IPv6 アドレスからウェブサーバーへのインバウンド HTTP アクセスを許可する。

::/0

TCP

443

任意の IPv6 アドレスからウェブサーバーへのインバウンド HTTPS アクセスを許可する。

ネットワークの IPv6 アドレス範囲

TCP

22

(Linux インスタンス) ネットワークからの IPv6 経由のインバウンド SSH アクセスを許可する。

ネットワークの IPv6 アドレス範囲

TCP

3389

(Windows インスタンス) ネットワークからの IPv6 経由のインバウンド RDP アクセスを許可する

アウトバウンド
送信先 プロトコル ポート範囲 コメント
::/0 TCP HTTP Allow outbound HTTP access to any IPv6 address.
::/0 TCP HTTPS Allow outbound HTTPS access to any IPv6 address.

シナリオ 3 を実装する

シナリオ 3 を実装するには、カスタマーゲートウェイに関する情報を取得し、VPC ウィザードを使用して VPC を作成します。VPC ウィザードでは、カスタマーゲートウェイと仮想プライベートゲートウェイを使用して Site-to-Site VPN 接続を作成します。

この手順には、VPC の IPv6 通信を有効化して設定するオプションのステップが含まれます。VPC 内で IPv6 を使用する場合は、上記のステップを実行する必要はありません。

カスタマーゲートウェイを準備するには

  1. カスタマーゲートウェイデバイスとして使用するデバイスを決めます。詳細については、AWS Site-to-Site VPN ユーザーガイドの「カスタマーゲートウェイデバイス」を参照してください。

  2. カスタマーゲートウェイデバイスの外部インターフェイスのインターネットルーティングが可能な IP アドレスを取得します。このアドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。

  3. 静的にルーティングされた Site-to-Site VPN 接続を作成する場合は、Site-to-Site VPN 接続を介して仮想プライベートゲートウェイにアドバタイズする内部 IP 範囲のリストを (CIDR 表記で) 取得します。詳細については、AWS Site-to-Site VPN ユーザーガイドの「ルートテーブルと VPN ルーティングの優先度」を参照してください。

IPv4 で VPC ウィザードを使用する方法については、「Amazon VPC の使用を開始する」を参照してください。

IPv6 で VPC ウィザードを使用する方法については、「Amazon VPC での IPv6 の使用開始」を参照してください。

パブリックサブネットとプライベートサブネットおよび AWS Site-to-Site VPN アクセスを持つ VPC の推奨ネットワーク ACL ルール

このシナリオでは、パブリックサブネット用のネットワーク ACL と、VPN 専用サブネット用の別のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。

Inbound
ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント

100

0.0.0.0/0

TCP

80

許可

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTP トラフィックを許可する。

110

0.0.0.0/0

TCP

443

許可

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTPS トラフィックを許可する。

120

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

22

許可

(インターネットゲートウェイを介した)ホームネットワークからウェブサーバーへのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

3389

許可

(インターネットゲートウェイを介した)ホームネットワークからウェブサーバーへのインバウンド RDP トラフィックを許可します。

140

0.0.0.0/0

TCP

32768-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

Outbound
ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント

100

0.0.0.0/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

110

0.0.0.0/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

120

10.0.1.0/24

TCP

1433

許可

VPN のみのサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。別の例として、MySQL/Aurora アクセス用の 3306、PostgreSQL アクセス用の 5432、Amazon Redshift アクセス用の 5439、Oracle アクセス用の 1521 などがあります。

140

0.0.0.0/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド IPv4 応答を許可します(例: サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンドトラフィックを拒否します (変更不可能)。

Inbound
ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント

100

10.0.0.0/24

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、VPN のみのサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。別の例として、MySQL/Aurora アクセス用の 3306、PostgreSQL アクセス用の 5432、Amazon Redshift アクセス用の 5439、Oracle アクセス用の 1521 などがあります。

120

ホームネットワークのプライベート IPv4 アドレスの範囲

TCP

22

許可

(仮想プライベートゲートウェイを介した) ホームネットワークからのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのプライベート IPv4 アドレスの範囲

TCP

3389

許可

(仮想プライベートゲートウェイを介した) ホームネットワークからのインバウンド RDP トラフィックを許可します。

140

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

(仮想プライベートゲートウェイを介した)ホームネットワークのクライアントからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンドトラフィックを拒否します (変更不可能)。

Outbound
ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント

100

ホームネットワークのプライベート IP アドレスの範囲

すべて

すべて

許可

サブネットからホームネットワークへのすべてのアウトバウンドトラフィック (仮想プライベートゲートウェイ経由) を許可します。このルールはルール 120 も含んでいます。ただし、特定のプロトコルタイプとポート番号を使用して、このルールの適用範囲を絞り込むことができます。このルールの適用範囲を絞り込む場合、アウトバウンド応答がブロックされないようにするには、ネットワーク ACL にルール 120 を含める必要があります。

110

10.0.0.0/24

TCP

32768-65535

許可

パブリックサブネットのウェブサーバーに対するアウトバウンド応答を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

120

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

ホームネットワーク内のクライアントへのアウトバウンド応答 (仮想プライベートゲートウェイ経由) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンドトラフィックを拒否します (変更不可能)。

IPv6 に推奨されるネットワーク ACL ルール

IPv6 サポートを実装し、関連付けられた IPv6 CIDR ブロックを持つ VPC とサブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバウンド IPv6 トラフィックを制御する必要があります。

ネットワーク ACL の IPv6 固有のルールを以下に示します(上記のルールは含みません)。

Inbound
ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント

150

::/0

TCP

80

許可

任意の IPv6 アドレスからのインバウンド HTTP トラフィックを許可します。

160

::/0

TCP

443

許可

任意の IPv6 アドレスからのインバウンド HTTPS トラフィックを許可します。

170

ホームネットワークの IPv6 アドレス範囲

TCP

22

許可

(インターネットゲートウェイを介した)ホームネットワークからの IPv6 経由のインバウンド SSH トラフィックを許可します。

180

ホームネットワークの IPv6 アドレス範囲

TCP

3389

許可

(インターネットゲートウェイを介した)ホームネットワークからの IPv6 経由のインバウンド RDP トラフィックを許可します。

190

::/0

TCP

1024-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント

150

::/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

160

::/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

170

2001:db8:1234:1a01::/64

TCP

1433

許可

プライベートサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。別の例として、MySQL/Aurora アクセス用の 3306、PostgreSQL アクセス用の 5432、Amazon Redshift アクセス用の 5439、Oracle アクセス用の 1521 などがあります。

190

::/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド応答を許可します(たとえば、サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供など)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

Inbound
ルール番号 送信元 IP プロトコル ポート 許可/拒否 コメント

150

2001:db8:1234:1a00::/64

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、プライベートサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。別の例として、MySQL/Aurora アクセス用の 3306、PostgreSQL アクセス用の 5432、Amazon Redshift アクセス用の 5439、Oracle アクセス用の 1521 などがあります。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
ルール番号 送信先 IP プロトコル ポート 許可/拒否 コメント

130

2001:db8:1234:1a00::/64

TCP

32768-65535

許可

パブリックサブネットに対するアウトバウンド応答 (例: プライベートサブネット内の DB サーバーと通信するパブリックサブネット内のウェブサーバーに対する応答) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。