セキュリティグループを使用して AWS リソースへのトラフィックを制御する
セキュリティグループは、関連付けられたリソースに到達するトラフィックおよびリソースから離れるトラフィックを制御します。例えば、セキュリティグループを EC2 インスタンスに関連付けると、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックが制御されます。セキュリティグループは、作成された VPC 内のリソースにのみ関連付けることができます。
VPC を作成すると、デフォルトのセキュリティグループが使用されます。VPC ごとに追加のセキュリティグループを作成できます。
セキュリティグループは追加料金なしで使用できます。
次の図は、2 つのアベイラビリティーゾーン、1 つのインターネットゲートウェイ、1 つの Application Load Balancer のサブネットを使用する VPC を示しています。各アベイラビリティーゾーンには、ウェブサーバー用のパブリックサブネットと、データベースサーバー用のプライベートサブネットがあります。ロードバランサー、ウェブサーバー、データベースサーバーには個別のセキュリティグループがあります。ロードバランサーのセキュリティグループにルールを追加して、インターネットからの HTTP および HTTPS トラフィックを許可することができます。ウェブサーバーのセキュリティグループにルールを追加して、ロードバランサーからのトラフィックのみを許可することができます。データベースサーバーのセキュリティグループにルールを追加して、ウェブサーバーからのデータベースリクエストのみを許可することができます。
セキュリティグループとネットワーク ACL の違いについては、「セキュリティグループとネットワーク ACL を比較する」を参照してください。
