スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

Amazon VPC セキュリティグループとネットワーク ACL の設定および管理方法を教えてください。

所要時間2分
0

Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループとネットワークアクセスコントロールリスト (ネットワーク ACL) を設定して管理したいと思います。VPC を他の AWS アカウントと共有するか、複数の VPC を管理したいと思います。

解決策

**注:**きめ細かなアクセス制御にはセキュリティグループを使用し、より広範なアクセスにはネットワーク ACL を使用するのがベストプラクティスです。

Amazon VPC セキュリティグループを設定する

セキュリティグループルールを設定するときは、アプリケーションとサービスの機能に必要なトラフィックのみを許可してください。

必要に応じて、複数のセキュリティグループを使用して、さまざまなタイプのアクセスルールを個別に管理できます。たとえば、複数のセキュリティグループを単一の Elastic Network Interface にアタッチして、ウェブトラフィックアクセス、データベースアクセス、モニタリングツールに使用できます。

必ず AWS サービス要件に基づいてルールを設定してください。たとえば、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、Linux では SSH (ポート 22) を許可し、Windows インスタンスではデフォルトの TCP (ポート 3389) を許可します。Amazon Relational Database Service (Amazon RDS) インスタンスの場合は、データベース固有のポートを許可します。

コンピュータからインスタンスに接続するインバウンドルールの例

プロトコルタイププロトコル番号ポート送信元 IP アドレス
TCP622 (SSH)ご利用のコンピュータのアドレス
TCP63389 (TCP)ご利用のコンピュータのアドレス

データベースサーバーからインスタンスに接続するインバウンドルールの例

プロトコルタイププロトコル番号ポート送信元 IP アドレス
TCP61433 (MS SQL)ご利用のコンピュータのアドレス
TCP63306 (MYSQL/Amazon Aurora)ご利用のコンピュータのアドレス

ルールを作成するときに、個々のプライベート IP アドレスや CIDR 範囲の代わりに、他のセキュリティグループを参照することもできます。

セキュリティグループを複数の VPC に関連付ける

デフォルトでは、セキュリティグループを作成した VPC 内のリソースにのみセキュリティグループを関連付けることができます。同一 AWS リージョン内で、1 つのアカウント内の複数の VPC に対して同一セキュリティグループを使用するには、セキュリティグループを他の VPC に関連付けます。

マネージドプレフィックスリストによるネットワーク CIDR ブロックの統合と管理

プレフィックスリストを参照する場合、リソースのエントリ数のクォータには、プレフィックスリストの最大エントリ数が含まれます。たとえば、セキュリティグループルールで最大 20 エントリのプレフィックスリストを参照すると、そのエントリは 20 個のセキュリティグループルールとしてカウントされます。

ポートとプロトコルは同じでも CIDR ブロックが異なる複数のセキュリティグループルールを 1 つのルールに統合するには、カスタマーマネージドプレフィックスリストを使用します。カスタマーマネージドプレフィックスリストを更新すると、そのリストを参照するセキュリティグループルールが変更を自動的に継承します。

カスタマーマネージドプレフィックスリストを作成して、そのリストのエントリを表示します。

セキュリティグループを Organizations で共有する

AWS Organizations 組織内の複数のアカウントで VPC を共有できます。セキュリティグループを組織内の他のアカウントと共有するには、共有セキュリティグループ機能を使用します。

たとえば、メンバーアカウントは、所有者アカウントが共有 VPC サブネットの組織全体のセキュリティポリシーを満たすルールで作成したセキュリティグループを使用できます。

**注:**メンバーアカウントは共有セキュリティグループを使用できますが、ルールを変更することはできません。

ネットワーク ACL の設定

ネットワーク ACL を設定するときは次のベストプラクティスを使用してください。

  • 将来のルールに対応できるようにネットワーク ACL ルール間にギャップを設けて、既存のルールを並べ替える必要がないようにする。
  • サブネットごとに別々のネットワーク ACL を使用して、各サブネットのリソースに基づいてインバウンドトラフィックとアウトバウンドトラフィックを制御する。
  • アウトバウンドトラフィックで一時ポートを使用して、AWS サービスからの応答を許可する。

リソースへのタグ付け

セキュリティグループとネットワーク ACL の目的と関連リソースを識別しやすくするために、タグを追加してください。タグを使用すると、さまざまなチームやプロジェクトのリソースを効率的に管理および整理できます。自動化とメンテナンスのために、リソースを体系的にフィルタリングして管理できます。

関連情報

ネットワーク ACL とセキュリティグループの違い

さまざまなユースケースのセキュリティグループのルール

Amazon EC2 セキュリティグループの接続の追跡

VPC の関連付けとセキュリティグループ共有によって Amazon VPC セキュリティグループの管理を簡素化

トピック
Networking & Content Delivery
タグ
Amazon VPC
言語
日本語
AWS公式更新しました 1ヶ月前
コメントはありません

関連するコンテンツ