翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Application Load Balancer のセキュリティグループ
Application Load Balancer のセキュリティグループは、ロードバランサーへのインバウンド/アウトバウンドのトラフィックを制御します。ロードバランサーが、リスナーポートとヘルスチェックポートの両方で、登録済みターゲットと通信できることを確認する必要があります。ロードバランサーにリスナーを追加するか、リクエストをルーティングするためにロードバランサーにより使用されるターゲットグループのヘルスチェックポートを更新する場合は必ず、ロードバランサーに関連付けられたセキュリティグループが新しいポートで両方向のトラフィックを許可することを確認する必要があります。許可しない場合、現在関連付けられているセキュリティグループのルールを編集するか、別のセキュリティグループをロードバランサーに関連付けることができます。許可するポートとプロトコルを選択することができます。例えば、ロードバランサーの Internet Control Message Protocol (ICMP) 接続を開いて ping リクエストに応答できます (ただし、ping リクエストはどのインスタンスにも転送されません)。
推奨ルール
インターネット向けロードバランサーには、次のルールが推奨されます。
Inbound | ||
---|---|---|
Source | Port Range | Comment |
0.0.0.0/0 |
|
ロードバランサーのリスナーポートですべてのインバウンドトラフィックを許可する |
Outbound |
||
Destination | Port Range | Comment |
|
|
インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する |
|
|
ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する |
内部ロードバランサーには、次のルールが推奨されます。
Inbound | ||
---|---|---|
Source | Port Range | Comment |
|
|
ロードバランサーリスナーポートVPCCIDRで からのインバウンドトラフィックを許可する |
Outbound |
||
Destination | Port Range | Comment |
|
|
インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する |
|
|
ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する |
Network Load Balancer のターゲットとして使用される Application Load Balancer には、以下のルールが推奨されます。
Inbound | ||
---|---|---|
Source | Port Range | Comment |
|
|
ロードバランサーのリスナーポートでインバウンドクライアントトラフィックを許可する |
|
|
ロードバランサーリスナーポート AWS PrivateLink で 経由でインバウンドクライアントトラフィックを許可する |
|
|
Network Load Balancer からのインバウンドヘルスチェックトラフィックを許可する |
Outbound |
||
Destination | Port Range | Comment |
|
|
インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する |
|
|
ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する |
Application Load Balancer のセキュリティグループは、接続追跡を使用して Network Load Balancer からのトラフィックに関する情報を追跡することに注意してください。これは、Application Load Balancer に設定されたセキュリティグループルールを問わず実行されます。Amazon EC2接続の追跡の詳細については、「Amazon ユーザーガイド」の「セキュリティグループ接続の追跡」を参照してください。 EC2
ターゲットがロードバランサーからのみトラフィックを受信できるようにするには、ターゲットに関連付けられたセキュリティグループがロードバランサーからのみトラフィックを受け入れるように制限します。これは、ターゲットのセキュリティグループの進入ルールでロードバランサーのセキュリティグループをソースとして設定することで実現できます。
また、パスMTU検出をサポートするインバウンドICMPトラフィックを許可することをお勧めします。詳細については、「Amazon ユーザーガイド」の「パスMTU検出」を参照してください。 EC2
関連付けられたセキュリティグループの更新
ロードバランサーに関連付けられたセキュリティグループは、いつでも更新できます。
コンソールを使用してセキュリティグループの更新するには
で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/
。 -
ナビゲーションペインで、[ロードバランサー] を選択します。
-
ロードバランサーを選択します。
-
[セキュリティ] タブで、[編集] を選択します。
-
セキュリティグループをロードバランサーに関連付けるには、そのセキュリティグループを選択します。セキュリティグループの関連付けを削除するには、セキュリティグループの [X] アイコンを選択します。
-
[Save changes] (変更の保存) をクリックします。
を使用してセキュリティグループを更新するには AWS CLI
set-security-groups コマンドを使用します。