#まえがき
SAA-S02の試験対策となります。
#前提知識
掲題の機能が提供される目的としては以下の内容となるようです。
「ネットワークレベル(IP, TCP/UDP レベル) で通信を許可 / 拒否し、トラフィックを制御するファイアウォールとして機能する。」
いずれもファイアウォール(パケットフィルタリング)機能にあたり、上記だけを見ると同じもののように見えますね。
#では何が異なるのか
対象や設定評価の方式が微妙に異なるようです。
| セキュリティグループ | ネットワークACL | |
|---|---|---|
| 紐付け対象 | インスタンス | サブネット |
| ルール設定 | 許可ルールのみ | 許可 / 拒否ルール |
| ステート | ステートフル 戻りの設定は不要 |
ステートレス 両方向の設定が必要 |
| デフォルト | インバウンド通信は拒否 | 双方向に許可 |
例えば、インスタンス間(A→B)のhttp通信が行われる場合、以下のルートを通るようです。
| 通信方向 | 適用 | |
|---|---|---|
| インスタンスA | アウトバウンド | ネットワークACL |
| サブネットA | アウトバウンド | セキュリティグループ |
| サブネットB | インバウンド | セキュリティグループ |
| インスタンスB | インバウンド | ネットワークACL |
#Tips
・同一サブネット内の通信
→セキュリティグループが適用される。
・サブネット間の通信
→ネットワークACLが通信の往復に適用される。
・両者に重複するルールが存在する場合はいずれも許可されていないと通信できない。