セキュリティグループ
- EC2インスタンスなどに適用するファイアウォール機能。
- 許可するルールのみ定義する。
- デフォルトの設定値の場合、アウトバウンド通信はすべて許可、インバウンド通信はすべて拒否する。
- EC2インスタンスに複数のセキュリティグループの適用が可能で、設定の追加・変更は即座に反映される。
- ステートフルな制御が可能。(ルールで許可された通信の戻り通信も自動的に許可される)
ネットワークACL
- サブネット単位で設定するファイアウォール機能。
- 各ルールに番号を割り当て、番号順に許可または拒否のルールを適用する。
- VPC作成時に、デフォルトのネットワークACLがひとつ準備されており、初期設定ではすべてのトラフィックを許可。
- VPC内に作成したサブネットごとにひとつのネットワークACLを設定可能。
- 新規に作成することもでき、その場合はすべてのトラフィックを拒否。
- インバウンド、アウトバウンドそれぞれに対して、許可または拒否を明示した通信制御が可能。
- ステートレス(インバウンドとアウトバウンドに対する通信制御が必要)