目的
- ネットワークACLとセキュリティグループの違いを理解する
- どちらを使うべきか判断できるようになる
- AWS認定試験(CLF・SAAなど)の頻出ポイントを押さえる
セキュリティグループとネットワークACLの違い
| 項目 | セキュリティグループ | ネットワークACL |
|---|---|---|
| 適用範囲 | EC2などのリソース単位 | サブネット単位 |
| 制御対象 | インスタンスへの通信 | サブネットを出入りする通信 |
| ステート | ステートフル | ステートレス |
| ALLOWルール | ○ | ○ |
| DENYルール | × | ○ |
| 戻り通信 | 自動的に許可 | 明示的な許可が必要 |
| ルール評価 | すべてのルールを評価し、一致する許可ルールがあれば許可する | ルール番号の小さい順に評価し、最初に一致したルールを適用 |
デフォルト設定の違い
- セキュリティグループ
| 種類 | デフォルト |
|---|---|
| インバウンド | すべて拒否 |
| アウトバウンド | すべて許可 |
- ネットワークACL
| 種類 | デフォルト |
|---|---|
| インバウンド | すべて許可 |
| アウトバウンド | すべて許可 |
セキュリティグループとネットワークACLの使い分け
セキュリティグループを利用するケース
- EC2からRDSへの接続を許可する
- 特定サーバ間の通信を許可する
EC2などのAWSリソース単位でのきめ細かい設定するときに利用する。
ネットワークACLを利用するケース
- 特定IPアドレスを拒否したい
- サブネット全体でアクセス制御したい
- ネットワーク境界で追加の制御を行いたい
特に 拒否(DENY)設定が必要な場合 に利用する。
参考リンク