Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
エンドポイントサービス用の Amazon VPC インターフェイスエンドポイントを作成するときに、セキュリティグループとネットワーク ACL を設定する方法を教えてください。
Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントを作成してエンドポイントサービスに接続するときに、セキュリティグループとネットワークアクセスコントロールリスト (ネットワーク ACL) を設定したいと考えています。
解決策
エンドポイントサービスを使用して Amazon VPC インターフェイスエンドポイントを作成すると、Amazon VPC は指定したサブネットにエラスティックネットワークインターフェイスを作成します。インターフェイスエンドポイントは、関連するサブネットのネットワーク ACL を受信します。また、インバウンドトラフィックを制御するには、セキュリティグループをインターフェイスエンドポイントに関連付ける必要があります。
Network Load Balancer をエンドポイントサービスに関連付けると、Network Load Balancer は登録されたターゲットにリクエストを転送します。Network Load Balancer は、IP アドレスがターゲットを登録したかのようにリクエストを転送します。この場合、送信元 IP アドレスはロードバランサーノードのプライベート IP アドレスです。
Amazon VPC エンドポイントサービスにアクセスできる場合は、次の設定を確認してください。
- Network Load Balancer ターゲットのインバウンドセキュリティグループルールは、Network Load Balancer ノードのプライベート IP アドレスからのトラフィックを許可している。詳細については、「考慮事項」を参照してください。
- Network Load Balancer ターゲットのネットワーク ACL ルールは、Network Load Balancer ノードのプライベート IP アドレスからのトラフィックを許可している。
インターフェイスエンドポイントに関連付けられているネットワーク ACL を検索する
次の手順を実行します。
- Amazon VPC コンソールを開きます。
- [エンドポイント] を選択し、エンドポイントの ID を選択します。
- [サブネット] ビューを選択します。
- 関連するサブネットを選択します。
- [サブネット] セクションで、サブネットに関連付けられているネットワーク ACL を書き留めます。
インターフェイスエンドポイントに関連付けたセキュリティグループを検索します。
次の手順を実行します。
- Amazon VPC コンソールを開きます。
- [エンドポイント] を選択し、エンドポイントの ID を選択します。
- [セキュリティグループ] ビューを選択します。
- 関連するセキュリティグループの ID を書き留めます。
Network Load Balancer に関連付けられているセキュリティグループを更新する
AWS PrivateLink トラフィックがインバウンドルールの対象となるかどうかを制御できます。PrivateLink トラフィックのインバウンドルールを有効にすると、トラフィックの送信元はエンドポイントインターフェイスではなく、クライアントのプライベート IP アドレスになります。
PrivateLink がロードバランサーに送信するトラフィックにインバウンドルールを使用したくない場合は、ロードバランサーを設定します。詳細については、「Network Load Balancer のセキュリティグループを更新する」を参照してください。
インターフェイスエンドポイントに関連付けられているセキュリティグループを設定する
注: セキュリティグループはステートフルです。一方向のルールを定義すると、反対方向のトラフィックが自動的に許可されます。
インバウンドルールを設定するときは、[ポート範囲] にエンドポイントサービスと同じポートを入力します。[送信元] に、開始クライアントの IP アドレスまたはネットワークを入力します。
注: インターフェイスエンドポイントに関連付けられているセキュリティグループにアウトバウンドルールを作成する必要はありません。
インターフェイスエンドポイントに関連付けられているセキュリティグループごとに、これらの手順を繰り返します。
インターフェイスエンドポイントに関連付けられるネットワーク ACL を設定する
注: ネットワーク ACL は、ステートレスです。アウトバウンドトラフィックとインバウンドトラフィックの両方のルールを定義する必要があります。
次の手順を実行します。
- ネットワーク ACL にルールを追加します。
- インバウンドルールでは、次の設定を使用してクライアントからのトラフィックを許可します。
**[ポート範囲] **に、エンドポイントサービスと同じポートを入力します。
[送信元] に、クライアントの IP アドレスまたはネットワークを入力します。 - アウトバウンドルールでは、次の設定を使用してインターフェイスエンドポイントからのリターントラフィックを許可します。
[ポート範囲] に 1024-65535 と入力します。
[送信先] に、クライアントの IP アドレスまたはネットワークを入力します。
サブネットごとに異なるネットワーク ACL を指定した場合は、インターフェイスエンドポイントに関連付けられているネットワーク ACL ごとに同じ手順を繰り返します。
注: 送信元クライアントのセキュリティグループを設定するときは、アウトバウンドルールがインターフェイスエンドポイントのプライベート IP アドレスへの接続を許可していることを確認します。クライアントのセキュリティグループのインバウンドルールを確認する必要はありません。送信元クライアントのネットワーク ACL には、次の設定を使用します。
- インバウンドルールでは、[ポート範囲] にエフェメラルポート範囲 1024-65535 を入力します。 [送信元] に、インターフェイスエンドポイントのプライベート IP アドレスを入力します。
- アウトバウンドルールでは、[ポート範囲] にエンドポイントサービスと同じポートを入力します。[送信先] に、インターフェイスエンドポイントのプライベート IP アドレスを入力します。
関連情報
インターフェイス Amazon VPC エンドポイントとカスタマーマネージドエンドポイントサービス間の接続の問題をトラブルシューティングする方法を教えてください。
セキュリティグループとネットワーク ACL でインバウンドトラフィックが許可されているのにサービスへ接続できないのはなぜですか?
- 言語
- 日本語
