EC2 インスタンスで特定の IP を許可またはブロックする方法を教えてください。

簡単な説明

EC2 インスタンスの特定の IP アドレスを許可またはブロックするには、仮想プライベートクラウド (VPC) のネットワークアクセスコントロールリスト (ACL) またはセキュリティグループルールを使用します。ネットワーク ACL とセキュリティグループルールは、IP アドレスによるリソースへのアクセスを許可またはブロックするファイアウォールの役割を果たします。ネットワーク ACL は、インバウンドトラフィックとアウトバウンドトラフィックをサブネットレベルで制御します。ネットワーク ACL はサブネットレベルで機能するため、ルールは関連するサブネットのすべてのインスタンスに適用されます。セキュリティグループルールは、関連付けられた Amazon EC2 インスタンスのファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルで制御します。

ネットワーク ACL はステートレスです。つまり、ルールでは戻りトラフィックを明示的に許可する必要があります。セキュリティグループのルールは、ルールに関係なく自動的に戻りトラフィックを許可します。

解決策

ネットワーク ACL を使用して特定の IP アドレスを許可またはブロックする

注: 以下の手順では、ネットワーク ACL の操作方法の概要を説明します。詳細な手順については、「ネットワーク ACL との動作」を参照してください。

ネットワーク ACL を作成する

1. Amazon VPC コンソールを開きます。

2. [ネットワーク ACL] を選択します。

3. [ネットワーク ACL の作成] を選択します。

4. [ネットワーク ACL の作成] ダイアログボックスで、ネットワーク ACL に名前を付け (オプション) 、[VPC] リストから VPC の ID を選択します。

5. [はい、作成します] を選択します。

ネットワーク ACL にルールを追加する

1. Amazon VPC コンソールを開きます。

2. [ネットワーク ACL] を選択します。

3. 詳細ペインで、追加するルールのタイプに応じて [インバウンドルール] タブまたは [アウトバウンドルール] タブを選択します。次に、[編集] を選択します。

4. [ルール番号] にルール番号 (例「100」 ) を入力します。ルール番号は、ネットワーク ACL で使用されていない番号を指定してください。ルールは小さい番号から順番に処理されます。

   **注:**連続した番号 (101、102、103など) を使用するよりも、番号と番号の間を空ける (100、200、300 など) の方がベストプラクティスです。これにより、既存のルールに番号を付け直さなくても、新しいルールを簡単に追加できます。

5. [タイプ] リストからルールを選択します。たとえば、HTTP のルールを追加するには、[HTTP] を選択します。すべての TCP トラフィックを許可するルールを追加するには、[すべての TCP] を選択します。これらのオプションの一部 (HTTP など) では、ポートが自動的に追加されます。リストにないプロトコルを使用するには、[カスタムプロトコルルール] を選択します。

6. (オプション) カスタムプロトコルルールを作成する場合は、[プロトコル] リストからプロトコルの番号と名前を選択します。詳細については、「IANA プロトコル番号一覧」を参照してください。

7. (オプション) 選択したプロトコルにポート番号が必要な場合は、ポート番号またはポート範囲をハイフンで区切って入力します (49152-65535 など)。

8. [ソース] または [宛先] フィールド (インバウンドルールかアウトバウンドルールかによって異なります) に、ルールが適用される CIDR 範囲を入力します。

9. [許可/拒否] リストから、[許可] を選択して指定のトラフィックを許可するか、[拒否] を選択して指定のトラフィックを拒否します。

10. (オプション) 別のルールを追加するには、[別のルールを追加] を選択し、必要に応じてステップ 4～9 を繰り返します。

11. 完了したら、[保存] を選択します。

サブネットをネットワーク ACL に関連付ける

1. Amazon VPC コンソールを開きます。

2. [ネットワーク ACL] を選択してネットワーク ACL を選択します。

3. 詳細ペインの [サブネットの関連付け] タブで、[編集] を選択します。ネットワーク ACL に関連付けるサブネットの [関連付ける] チェックボックスを選択し、[保存] を選択します。

セキュリティグループを使用して、特定の IP アドレスを許可またはブロックする

注: 以下の手順では、セキュリティグループの操作方法の概要を説明します。デフォルトのセキュリティグループを変更する方法、新しいグループを作成する方法、ルールを追加する方法、およびセキュリティグループをサブネット内の 1 つ以上のインスタンスに関連付ける方法の詳細については、「セキュリティグループを使用する」を参照してください。

1. Amazon VPC コンソールを開きます。

2. [セキュリティグループ] を選択します。

3. [セキュリティグループの作成] を選択します。

4. セキュリティグループの名前と説明を入力します。セキュリティグループの名前と説明は、作成後に変更することはできません。

5. [VPC] で、VPC を選択します。

6. セキュリティグループのルールは、今すぐ追加することも、後で追加することもできます。詳細については、「セキュリティグループへのルールの追加」を参照してください。

7. タグは今すぐ追加することも、後で追加することもできます。タグを追加するには、[新しいタグを追加] を選択し、タグのキーと値を入力します。

8. [セキュリティグループの作成] を選択します。

セキュリティグループを作成したら、インスタンスを起動するときに EC2 インスタンスに割り当てたり、インスタンスに現在割り当てられているセキュリティグループを変更したりできます。詳細については、「定義済みのパラメータを使用したインスタンスの起動」 または「インスタンスのセキュリティグループの変更」を参照してください。

関連情報

Amazon VPC でのインターネットワークトラフィックのプライバシー

ネットワーク ACL を使用してサブネットへのトラフィックを制御する

セキュリティグループを使用してリソースへのトラフィックを制御する