Amazon Virtual Private Cloud
ユーザーガイド

VPC に推奨されるネットワーク ACL ルール

VPC ウィザードを利用すると、Amazon VPC.の一般的なシナリオを簡単に実装できます。ドキュメントの説明どおりにこのシナリオを実装した場合、デフォルトのネットワークアクセスコントロールリスト (ACL) を使用することになります。この場合、すべてのインバウンドトラフィックとアウトバウンドトラフィックが許可されます。セキュリティを強化する必要がある場合は、ネットワーク ACL を作成し、ルールを追加できます。詳細については、「ネットワーク ACL」を参照してください。

各シナリオに対して以下のルールをお勧めします。

考慮事項

  • 例として一時ポート範囲 32768 ~ 65535 を使用するか、NAT ゲートウェイの 1024 ~ 65535 を使用します。設定に適した範囲を選択する必要があります。詳細については、「一時ポート」を参照してください。

  • サブネット内のホスト間の最大送信単位 (MTU) が異なる場合、パス MTU 検出が正常に機能し、パケットの損失を防ぐために、次のインバウンドおよびアウトバウンドルールを追加する必要があります。[カスタム ICMP ルール] (タイプ) および [送信先に到達できません]、[断片化が必要で、DF フラグが設定されました] (ポート範囲: タイプ 3、コード 4) を選択します。トレースルートを使用する場合は、次のルールも追加します。[カスタム ICMP ルール] (タイプ)、[時間超過]、[TTL 伝送期限切れ] (ポート範囲: タイプ 11、コード 0) を選択します。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「EC2 インスタンスの最大ネットワーク送信単位 (MTU)」を参照してください。

シナリオ 1 に推奨されるルール

シナリオ 1 は、インターネットトラフィックを送受信できるインスタンスを含む単一のサブネットです。詳細については、「シナリオ 1: 単一のパブリックサブネットを持つ VPC」を参照してください。

次の表に、推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

任意の IPv4 アドレスからのインバウンド HTTP トラフィックを許可します。

110

0.0.0.0/0

TCP

443

許可

任意の IPv4 アドレスからのインバウンド HTTPS トラフィックを許可します。

120

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

22

許可

(インターネットゲートウェイを介した) ホームネットワークからのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

3389

許可

(インターネットゲートウェイを介した) ホームネットワークからのインバウンド RDP トラフィックを許可します。

140

0.0.0.0/0

TCP

32768-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

110

0.0.0.0/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

120

0.0.0.0/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド応答を許可します (例えば、サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供など)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv4 トラフィックを拒否します (変更不可)。

IPv6 に推奨されるルール

IPv6 がサポートされているシナリオ 1 を実装し、関連付けられた IPv6 CIDR ブロックを持つ VPC とサブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバウンド IPv6 トラフィックを制御する必要があります。

ネットワーク ACL の IPv6 固有のルールを以下に示します (上記のルールは含まない)。

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

許可

任意の IPv6 アドレスからのインバウンド HTTP トラフィックを許可します。

160

::/0

TCP

443

許可

任意の IPv6 アドレスからのインバウンド HTTPS トラフィックを許可します。

170

ホームネットワークの IPv6 アドレス範囲

TCP

22

許可

(インターネットゲートウェイを介した) ホームネットワークからのインバウンド SSH トラフィックを許可します。

180

ホームネットワークの IPv6 アドレス範囲

TCP

3389

許可

(インターネットゲートウェイを介した) ホームネットワークからのインバウンド RDP トラフィックを許可します。

190

::/0

TCP

32768-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

130

::/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

140

::/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

150

::/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド応答を許可します (例えば、サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供など)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

シナリオ 2 に推奨されるルール

シナリオ 2 は、インターネットトラフィックを送受信できるインスタンスを含むパブリックサブネットと、インターネットからのトラフィックを直接受信できないプライベートサブネットです。ただし、プライベートサブネットは、パブリックサブネットの NAT ゲートウェイまたは NAT インスタンスを介して、インターネットに対するアウトバウンドトラフィックを開始すること (および応答を受信すること) はできます。詳細については、「シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC (NAT)」を参照してください。

このシナリオの場合、パブリックサブネット用のネットワーク ACL とは別に、プライベートサブネット用のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。これらのルールは、このシナリオのセキュリティグループルールとほとんど同じです。

パブリックサブネット用の ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

任意の IPv4 アドレスからのインバウンド HTTP トラフィックを許可します。

110

0.0.0.0/0

TCP

443

許可

任意の IPv4 アドレスからのインバウンド HTTPS トラフィックを許可します。

120

ホームネットワークのパブリック IP アドレスの範囲

TCP

22

許可

(インターネットゲートウェイを介した) ホームネットワークからのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのパブリック IP アドレスの範囲

TCP

3389

許可

(インターネットゲートウェイを介した) ホームネットワークからのインバウンド RDP トラフィックを許可します。

140

0.0.0.0/0

TCP

1024-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

110

0.0.0.0/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

120

10.0.1.0/24

TCP

1433

許可

プライベートサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

140

0.0.0.0/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド応答を許可します (例えば、サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供など)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

150

10.0.1.0/24

TCP

22

許可

(SSH 拠点から) プライベートサブネットのインスタンスへのアウトバウンド SSH アクセスを許可します (該当する場合)。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv4 トラフィックを拒否します (変更不可)。

プライベートサブネット用の ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

10.0.0.0/24

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、プライベートサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

120

10.0.0.0/24

TCP

22

許可

SSH 拠点からのインバウンド SSH トラフィックを許可します (該当する場合)。

130

10.0.0.0/24

TCP

3389

許可

パブリックサブネット内の Microsoft Terminal Services ゲートウェイからのインバウンド TDP トラフィックを許可します.

140

0.0.0.0/0

TCP

1024-65535

許可

送信元がプライベートサブネットであるリクエストについて、パブリックサブネットの NAT デバイスからのインバウンドリターントラフィックを許可します。

正しい一時ポートの選択の詳細については、このトピックの冒頭にある注意点を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

110

0.0.0.0/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

120

10.0.0.0/24

TCP

32768-65535

許可

パブリックサブネットに対するアウトバウンド応答 (例: プライベートサブネット内の DB サーバーと通信するパブリックサブネット内のウェブサーバーに対する応答) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv4 トラフィックを拒否します (変更不可)。

IPv6 に推奨されるルール

IPv6 がサポートされているシナリオ 2 を実装し、IPv6 CIDR ブロックが関連付けられた VPC とサブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバウンド IPv6 トラフィックを制御する必要があります。

ネットワーク ACL の IPv6 固有のルールを以下に示します (上記のルールは含まない)。

パブリックサブネット用の ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

許可

任意の IPv6 アドレスからのインバウンド HTTP トラフィックを許可します。

160

::/0

TCP

443

許可

任意の IPv6 アドレスからのインバウンド HTTPS トラフィックを許可します。

170

ホームネットワークの IPv6 アドレス範囲

TCP

22

許可

(インターネットゲートウェイを介した) ホームネットワークからの IPv6 経由のインバウンド SSH トラフィックを許可します。

180

ホームネットワークの IPv6 アドレス範囲

TCP

3389

許可

(インターネットゲートウェイを介した) ホームネットワークからの IPv6 経由のインバウンド RDP トラフィックを許可します。

190

::/0

TCP

1024-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

160

::/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

170

::/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します

180

2001:db8:1234:1a01::/64

TCP

1433

許可

プライベートサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

200

::/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド応答を許可します (例えば、サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供など)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

210

2001:db8:1234:1a01::/64

TCP

22

許可

(SSH 拠点から) プライベートサブネットのインスタンスへのアウトバウンド SSH アクセスを許可します (該当する場合)。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

プライベートサブネット用の ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

2001:db8:1234:1a00::/64

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、プライベートサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

170

2001:db8:1234:1a00::/64

TCP

22

許可

パブリックサブネット内の SSH 拠点からのインバウンド SSH トラフィックを許可します (該当する場合)。

180

2001:db8:1234:1a00::/64

TCP

3389

許可

パブリックサブネット内の Microsoft Terminal Services ゲートウェイからのインバウンド RDP トラフィックを許可します (該当する場合)。

190

::/0

TCP

1024-65535

許可

送信元がプライベートサブネットであるリクエストについて、Egress-Only インターネットゲートウェイからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

130

::/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

140

::/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

150

2001:db8:1234:1a00::/64

TCP

32768-65535

許可

パブリックサブネットに対するアウトバウンド応答 (例: プライベートサブネット内の DB サーバーと通信するパブリックサブネット内のウェブサーバーに対する応答) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

シナリオ 3 に推奨されるルール

シナリオ 3 は、インターネットトラフィックを送受信できるインスタンスがあるパブリックサブネットと、AWS Site-to-Site VPN 接続でホームネットワークとのみ通信できるインスタンスがある、VPN のみのサブネットです。詳細については、「シナリオ 3: パブリックサブネット、プライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC」を参照してください。

このシナリオの場合、パブリックサブネット用のネットワーク ACL とは別に、VPN のみのサブネット用のネットワーク ACL があります。次の表に、各 ACL に推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。

パブリックサブネット用の ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTP トラフィックを許可する。

110

0.0.0.0/0

TCP

443

許可

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTPS トラフィックを許可する。

120

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

22

許可

(インターネットゲートウェイを介した) ホームネットワークからウェブサーバーへのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのパブリック IPv4 アドレスの範囲

TCP

3389

許可

(インターネットゲートウェイを介した) ホームネットワークからウェブサーバーへのインバウンド RDP トラフィックを許可します

140

0.0.0.0/0

TCP

32768-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv4 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

110

0.0.0.0/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

120

10.0.1.0/24

TCP

1433

許可

VPN のみのサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

140

0.0.0.0/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド IPv4 応答を許可します (例: サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供)

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンドトラフィックを拒否します (変更不可能)。

VPN のみのサブネットの ACL 設定

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

10.0.0.0/24

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、VPN のみのサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

120

ホームネットワークのプライベート IPv4 アドレスの範囲

TCP

22

許可

(仮想プライベートゲートウェイを介した) ホームネットワークからのインバウンド SSH トラフィックを許可します。

130

ホームネットワークのプライベート IPv4 アドレスの範囲

TCP

3389

許可

(仮想プライベートゲートウェイを介した) ホームネットワークからのインバウンド RDP トラフィックを許可します。

140

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

(仮想プライベートゲートウェイを介した) ホームネットワークのクライアントからのインバウンドリターントラフィックを許可します

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンドトラフィックを拒否します (変更不可能)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

ホームネットワークのプライベート IP アドレスの範囲

すべて

すべて

許可

サブネットからホームネットワークへのすべてのアウトバウンドトラフィック (仮想プライベートゲートウェイ経由) を許可します。このルールはルール 120 も含んでいます。ただし、特定のプロトコルタイプとポート番号を使用して、このルールの適用範囲を絞り込むことができます。このルールの適用範囲を絞り込む場合、アウトバウンド応答がブロックされないようにするには、ネットワーク ACL にルール 120 を含める必要があります。

110

10.0.0.0/24

TCP

32768-65535

許可

パブリックサブネットのウェブサーバーに対するアウトバウンド応答を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

120

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

ホームネットワーク内のクライアントへのアウトバウンド応答 (仮想プライベートゲートウェイ経由) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンドトラフィックを拒否します (変更不可能)。

IPv6 に推奨されるルール

IPv6 がサポートされているシナリオ 3 を実装し、IPv6 CIDR ブロックが関連付けられた VPC とサブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバウンド IPv6 トラフィックを制御する必要があります。

ネットワーク ACL の IPv6 固有のルールを以下に示します (上記のルールは含まない)。

パブリックサブネット用の ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

許可

任意の IPv6 アドレスからのインバウンド HTTP トラフィックを許可します。

160

::/0

TCP

443

許可

任意の IPv6 アドレスからのインバウンド HTTPS トラフィックを許可します。

170

ホームネットワークの IPv6 アドレス範囲

TCP

22

許可

(インターネットゲートウェイを介した) ホームネットワークからの IPv6 経由のインバウンド SSH トラフィックを許可します。

180

ホームネットワークの IPv6 アドレス範囲

TCP

3389

許可

(インターネットゲートウェイを介した) ホームネットワークからの IPv6 経由のインバウンド RDP トラフィックを許可します。

190

::/0

TCP

1024-65535

許可

リクエストに応答しているか、送信元がサブネットである、インターネット上のホストからのインバウンドリターントラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

許可

サブネットからインターネットへのアウトバウンド HTTP トラフィックを許可します.

160

::/0

TCP

443

許可

サブネットからインターネットへのアウトバウンド HTTPS トラフィックを許可します.

170

2001:db8:1234:1a01::/64

TCP

1433

許可

プライベートサブネット内のデータベースサーバーに対するアウトバウンド MS SQL アクセスを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

190

::/0

TCP

32768-65535

許可

インターネット上のクライアントに対するアウトバウンド応答を許可します (例えば、サブネット内のウェブサーバーを訪問するユーザーに対するウェブページの提供など)。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

VPN 専用サブネットの ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

2001:db8:1234:1a00::/64

TCP

1433

許可

パブリックサブネット内のウェブサーバーから、プライベートサブネット内の MS SQL サーバーに対する読み取りと書き込みを許可します.

このポート番号は一例に過ぎません。他の例として、MySQL/Aurora へのアクセスの 3306、PostgreSQL へのアクセスの 5432、Amazon Redshift へのアクセスの 5439、Oracle へのアクセスの 1521 などがあります。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

130

2001:db8:1234:1a00::/64

TCP

32768-65535

許可

パブリックサブネットに対するアウトバウンド応答 (例: プライベートサブネット内の DB サーバーと通信するパブリックサブネット内のウェブサーバーに対する応答) を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。

シナリオ 4 に推奨されるルール

シナリオ 4 は、AWS Site-to-Site VPN 接続でホームネットワークとのみ通信できるインスタンスがある、単一のサブネットです。詳細については、「シナリオ 4: 1 つのプライベートサブネットのみ、および AWS Site-to-Site VPN アクセスを持つ VPC」を参照してください。

次の表に、推奨されるルールを示します。これらのルールでは、明示的に必要なトラフィックを除き、すべてのトラフィックをブロックします。

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

ホームネットワークのプライベート IP アドレスの範囲

TCP

22

許可

ホームネットワークからサブネットに対するインバウンド SSH トラフィックを許可します.

110

ホームネットワークのプライベート IP アドレスの範囲

TCP

3389

許可

ホームネットワークからサブネットに対するインバウンド RDP トラフィックを許可します.

120

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

送信元がサブネットであるリクエストからのインバウンドリターン トラフィックを許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンドトラフィックを拒否します (変更不可能)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

ホームネットワークのプライベート IP アドレスの範囲

すべて

すべて

許可

サブネットからホームネットワークに対するすべてのアウトバンドトラフィックを許可します.このルールはルール 120 も含んでいます。ただし、特定のプロトコルタイプとポート番号を使用して、このルールの適用範囲を絞り込むことができます。このルールの適用範囲を絞り込む場合、アウトバウンド応答がブロックされないようにするには、ネットワーク ACL にルール 120 を含める必要があります。

120

ホームネットワークのプライベート IP アドレスの範囲

TCP

32768-65535

許可

ホームネットワークのクライアントに対するアウトバウンド応答を許可します。

この範囲は一例に過ぎません。設定に使用する正しい一時ポートの選択の詳細については、「一時ポート」を参照してください。

*

0.0.0.0/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンドトラフィックを拒否します (変更不可能)。

IPv6 に推奨されるルール

IPv6 がサポートされているシナリオ 4 を実装し、関連付けられた IPv6 CIDR ブロックを持つ VPC とサブネットを作成した場合は、別のルールをネットワーク ACL に追加して、インバウンドおよびアウトバウンド IPv6 トラフィックを制御する必要があります。

このシナリオでは、データベースサーバーは、IPv6 経由で VPN 通信に到達することはできません。したがって、ネットワーク ACL ルールを追加する必要はありません。以下は、サブネット間の IPv6 トラフィックを拒否するデフォルトルールです。

VPN 専用サブネットの ACL ルール

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのインバウンド IPv6 トラフィックを拒否します (変更不可)。

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

*

::/0

すべて

すべて

拒否

前のルールでまだ処理されていないすべてのアウトバウンド IPv6 トラフィックを拒否します (変更不可)。