セキュリティグループ
AWSの仮想ファイアウォールサービス
- インバウンドルール:拒否ルールの設定はできず、許可ルールを設定する。
より広い範囲のIPアドレスが許可される。 - アウトバウンドルール:デフォルトではすべてのトラフィックを許可
- 設定単位はENI単位
- IPアドレスだけではなく、CIDRやセキュリティグループ単位でも許可ルールを設定できる。
- アウトバウンドルールを許可すれば、インバウンドは気にしなくてもいい。(ステートフル・インスペクション型)
ネットワークACL
サブネット単位で設定するファイルウォール
- デフォルトではすべてのトラフィックを許可
- ステートレス・インスペクション型:アウトバウンドの通信を許可した場合、インバウンドにも明示的な許可が必要
- 低い番号のルールが先に評価され、マッチした時点でそのルールのアクションが適用される。
- 許可ルールを適用した後に、拒否ルールを適用する。