ネットワーク ACL の動作
以下のタスクでは、Amazon VPC コンソールを使用してネットワーク ACL を操作する方法を示しています。
タスク
1. ネットワーク ACL の関連付けの確認
Amazon VPC コンソールを使用して、サブネットに関連付けられているネットワーク ACL を確認することができます。ネットワーク ACL を複数のサブネットに関連付けて、ネットワーク ACL に関連付けられているサブネットを確認することもできます。
サブネットと関連付けられているネットワーク ACL を確認するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [Subnets] を選択し、サブネットを選択します。
サブネットに関連付けられているネットワーク ACL は、ネットワーク ACL のルールと共に [Network ACL] タブに表示されます。
ネットワーク ACL に関連付けられたサブネットを決定するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインの [Network ACLs] を選択します。[Associated With] 列には、各ネットワーク ACL に関連付けられているサブネットの数が表示されます。
-
ネットワーク ACL を選択します。
-
詳細ペインで [Subnet Associations (サブネットの関連付け)] を選択して、ネットワーク ACL に関連付けられているサブネットを表示します。
2. ネットワーク ACL の作成
VPC のカスタムネットワーク ACL を作成できます。デフォルトでは、作成するネットワーク ACL により、ルールを追加するまですべてのインバウンドおよびアウトバウンドトラフィックがブロックされ、明示的に関連付けるまではサブネットと関連付けられません。
ネットワーク ACL を作成するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインの [Network ACLs] を選択します。
-
[Create Network ACL] を選択します。
-
[Create Network ACL (ネットワーク ACL の作成)] ダイアログボックスで、オプションでネットワーク ACL に名前を付けて、[VPC] リストから VPC の ID を選択します。続いて、[Yes, Create (はい、作成します)] を選択します。
3. ルールの追加と削除
ACL のルールの追加または削除を行うと、その ACL に関連付けられたすべてのサブネットに変更が反映されます。サブネット内のインスタンスを終了して再起動する必要はありません。変更は短期間で有効になります。
重要
ルールを同時に追加したり削除したりする場合は、十分に注意してください。ネットワーク ACL ルールは、VPC に出入りできるネットワークトラフィックのタイプを定義します。インバウンドルールまたはアウトバウンドルールを削除し、Amazon VPC クォータ で許可されている数より多くのエントリを追加した場合、削除対象として選択されたエントリは削除されますが、新しいエントリは追加されません。これにより、予期しない接続の問題が発生し、意図せずに VPC とのアクセスが妨げられる可能性があります。
Amazon EC2 API またはコマンドラインツールを使用している場合は、ルールを変更できません。ルールの追加と削除のみを行うことができます。Amazon VPC コンソールを使用している場合は、既存のルールのエントリを変更できます。コンソールは既存のルールを削除し、新しいルールを追加します。ACL のルールの順序を変更する必要がある場合は、新しいルール番号を指定した新しいルールを追加してから、元のルールを削除します。
ルールをネットワーク ACL に追加するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインの [Network ACLs] を選択します。
-
詳細ペインで、追加する必要があるルールの種類に応じて、[Inbound Rules] タブまたは [Outbound Rules] タブを選択し、[Edit] を選択します。
-
[Rule #] にルール番号 (100 など) を入力します。ネットワーク ACL にすでに使用されているルール番号は使用できません。ルールは、最も低い番号から順に処理されます。
ルール番号は、連続番号 (101、102、103 など) を使用せずに、間を空けておくことをお勧めします (100、200、300 など)。こうすることで、既存のルールに番号を振り直さなくても、新しいルールを簡単に追加できるようになります。
-
[Type] リストからルールを選択します。たとえば、HTTP のルールを追加するには、[HTTP] を選択します。すべての TCP トラフィックを許可するルールを追加するには、[All TCP] を選択します。これらのオプションの一部 (HTTP など) については、ポートが自動入力されます。表示されていないプロトコルを使用するには、[Custom Protocol Rule] を選択します。
-
(オプション) カスタムプロトコルルールを作成する場合は、[Protocol] リストからプロトコルの番号または名前を選択します。詳細については、「プロトコル番号の IANA リスト
」を参照してください。 -
(オプション)選択したプロトコルにポート番号が必要な場合、ポート番号またはハイフンで区切ったポート番号の範囲(49152-65535 など)を入力します。
-
インバウンドルールかアウトバウンドルールかに応じて、[Source] または [Destination] フィールドに、ルールを適用する CIDR の範囲を入力します。
-
[Allow/Deny] リストから、指定したトラフィックを許可するには [ALLOW]、指定したトラフィックを拒否するには [DENY] を選択します。
-
(オプション) 別のルールを追加するには、[Add another rule] を選択し、必要に応じてステップ 4~9 を繰り返します。
-
完了したら、[Save ] を選択します。
ネットワーク ACL からルールを削除するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [Network ACLs] を選択してから、ネットワーク ACL を選択します。
-
詳細ペインで、[Inbound Rules] タブまたは [Outbound Rules] タブを選択してから、[Edit] を選択します。削除するルールの [Remove] を選択し、[Save] を選択します。
4. サブネットとネットワーク ACL の関連付け
ネットワーク ACL のルールを特定のサブネットに適用するには、サブネットをネットワーク ACL と関連付ける必要があります。ネットワーク ACL を複数のサブネットに関連付けることができます。ただし、サブネットに関連付けることができるネットワーク ACL は 1 つだけです。特定の ACL に関連付けられていないサブネットは、デフォルトでデフォルトのネットワーク ACL と関連付けられます。
サブネットをネットワーク ACL と関連付けるには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [Network ACLs] を選択してから、ネットワーク ACL を選択します。
-
詳細ペインの [Subnet Associations] タブで、[Edit] を選択します。ネットワーク ACL に関連付けるサブネットの [Associate] チェックボックスをオンにしてから、[Save] を選択します。
5. ネットワーク ACL とサブネットの関連付けの解除
サブネットからカスタムネットワーク ACL の関連付けを解除できます。サブネットがカスタムネットワーク ACL から関連付けが解除されると、そのサブネットはデフォルトのネットワーク ACL に自動的に関連付けられます。
サブネットとネットワーク ACL の関連付けを解除するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [Network ACLs] を選択してから、ネットワーク ACL を選択します。
-
詳細ペインの [Subnet Associations] タブを選択します。
-
[Edit] を選択して、サブネットの [Associate] チェックボックスをオフにします。[Save] を選択します。
6. サブネットのネットワーク ACL の変更
サブネットに関連付けられているネットワーク ACL を変更できます。例えば、サブネットを作成すると、初期状態で、そのサブネットにはデフォルトのネットワーク ACL が関連付けられます。このサブネットには、作成したカスタムネットワーク ACL を関連付けることができます。
サブネットのネットワーク ACL を変更した後、サブネット内のインスタンスを終了して再起動する必要はありません。変更は短期間で有効になります。
サブネットのネットワーク ACL の関連付けを変更するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで [Subnets] を選択し、サブネットを選択します。
-
[Network ACL] タブを選択し、[Edit] を選択します。
-
[Change to (変更する)] リストからサブネットを関連付けるネットワーク ACL を選択して、[Save (保存)] を選択します。
7. ネットワーク ACL を削除する
ネットワーク ACL に関連付けられているサブネットがない場合にのみ、そのネットワーク ACL を削除できます。デフォルトのネットワーク ACL は削除できません。
ネットワーク ACL を削除するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインの [Network ACLs] を選択します。
-
ネットワーク ACL を選択し、[Delete] を選択します。
-
確認ダイアログボックスで、[Yes, Delete] を選択します。
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンドラインインターフェイスの詳細および利用できる API の一覧については、「Amazon EC2 の使用」を参照してください。
VPC のネットワーク ACL を作成する
create-network-acl(AWS CLI)
New-EC2NetworkAcl(AWS Tools for Windows PowerShell)
1 つまたは複数のネットワーク ACL について説明する
describe-network-acls(AWS CLI)
Get-EC2NetworkAcl(AWS Tools for Windows PowerShell)
ルールをネットワーク ACL に追加する
create-network-acl-entry(AWS CLI)
New-EC2NetworkAclEntry(AWS Tools for Windows PowerShell)
ネットワーク ACL からルールを削除する
delete-network-acl-entry(AWS CLI)
Remove-EC2NetworkAclEntry(AWS Tools for Windows PowerShell)
ネットワーク ACL の既存のルールを置換する
replace-network-acl-entry(AWS CLI)
Set-EC2NetworkAclEntry(AWS Tools for Windows PowerShell)
ネットワーク ACL の関連付けを置換する
replace-network-acl-association(AWS CLI)
Set-EC2NetworkAclAssociation(AWS Tools for Windows PowerShell)
ネットワーク ACL を削除する
delete-network-acl(AWS CLI)
Remove-EC2NetworkAcl(AWS Tools for Windows PowerShell)
Firewall Manager を使用してネットワーク ACL を管理する
AWS Firewall Manager は、複数のアカウントおよび複数のサブネット間でネットワーク ACL の管理およびメンテナンスタスクを簡略化します。Firewall Manager を使用して、組織内のアカウントとサブネットをモニタリングし、定義したネットワーク ACL の設定を自動的に適用できます。Firewall Manager は、組織全体を保護する場合や、中央管理者アカウントで自動的に保護する新しいサブネットを頻繁に追加する場合に特に便利です。
Firewall Manager のネットワーク ACL ポリシーでは、単一の管理者アカウントを使用して、組織全体で使用するネットワーク ACL で定義する最小ルールセットを設定、モニタリング、および管理できます。組織内のどのアカウントとサブネットが Firewall Manager ポリシーの範囲内にあるかを指定します。Firewall Manager により、範囲内のサブネットにおけるネットワーク ACL のコンプライアンスステータスが報告されます。また、非準拠のネットワーク ACL が自動的に修正され、準拠している状態になるように設定できます。
Firewall Manager を使用してネットワーク ACL を管理する方法の詳細については、「AWS Firewall Manager デベロッパーガイド」の以下のリソースを参照してください。