ネットワークサービス
アクセス制御
◉セキュリティグループとネットワークACL
インバウンド通信とアウトバウンド通信を設定するファイアウォール機能
| 項目 | セキュリティグループ | ネットワークACL |
|---|---|---|
| 適用範囲 | インスタンス単位 | サブネット単位 |
| デフォルトの動作 | インバウンド:全拒否 アウトバウンド:全許可 | インバウンド:全許可 アウトバウンド:全許可 |
| ルールの評価 | 全てのルールに適用 | ルールの番号順で適用 |
| ステータス | ステートフル | ステートレス |
◎セキュリティグループ
特徴
- インバウンド/アウトバウンドの種別/プロトコル/ポート範囲/アクセス元/アクセス先IPなどのルールのみ定義する
- EC2インスタンスに複数のセキュリティグループの適用が可能
- セキュリティグループの設定追加/変更は即時反映
ステートフルな制御 ルールで許可された通信の戻りの通信も自動的に許可される
◎ネットワークACL
特徴
- VPC内に構成したサブネットごとに一つのネットワークACLを設定可能
- VPC作成時にデフォルトのネットワークACLが準備されている
- 新規にネットワークACL(カスタムネットワークACL)を作成できるが、その時の初期設定は全てのトラフィックを拒否
- 異なるサブネット間の通信の許可または拒否を明示した制御が可能
ステートレスな制御 アウトバウンドとインバウンド通信それぞれに対する通信制御の設定が必要
