翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Application Load Balancer のセキュリティグループ
Application Load Balancer のセキュリティグループは、ロードバランサーへのインバウンド/アウトバウンドのトラフィックを制御します。ロードバランサーが、リスナーポートとヘルスチェックポートの両方で、登録済みターゲットと通信できることを確認する必要があります。ロードバランサーにリスナーを追加するか、リクエストをルーティングするためにロードバランサーにより使用されるターゲットグループのヘルスチェックポートを更新する場合は必ず、ロードバランサーに関連付けられたセキュリティグループが新しいポートで両方向のトラフィックを許可することを確認する必要があります。許可しない場合、現在関連付けられているセキュリティグループのルールを編集するか、別のセキュリティグループをロードバランサーに関連付けることができます。許可するポートとプロトコルを選択することができます。たとえば、ロードバランサーが ping リクエストに応答できるよう、Internet Control Message Protocol (ICMP) 接続を開くことができます (ただし、ping リクエストは登録済みインスタンスに転送されません)。
**考慮事項**
+ ターゲットがロードバランサーからのトラフィックを確実に受信するようにするには、ターゲットに関連付けられたセキュリティグループを制限することでロードバランサーからのトラフィックのみを受信するようにします。これは、ロードバランサーのセキュリティグループを、ターゲットのセキュリティグループにおける進入ルールのソースとして設定することで実現できます。
+ Application Load Balancer が Network Load Balancer のターゲットである場合、Application Load Balancer のセキュリティグループは、接続追跡を使用して Network Load Balancer からのトラフィックに関する情報を追跡することに注意してください。これは、Application Load Balancer に設定されたセキュリティグループルールを問わず実行されます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[セキュリティグループの接続の追跡](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html)」を参照してください。
+ パス MTU 検出をサポートするため、インバウンド ICMP トラフィックを許可することをお勧めします。詳細については、「*Amazon EC2 ユーザーガイド*」の「[パス MTU 検出](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery)」を参照してください。
## 推奨ルール
インスタンスをターゲットとしたインターネット向けロードバランサーには、次のルールが推奨されます。
|
|
| **Inbound** |
| --- |
| ソース | ポート範囲 | コメント |
| 0.0.0.0/0 | *リスナー* | ロードバランサーのリスナーポートですべてのインバウンドトラフィックを許可する |
| **Outbound** |
| --- |
| 送信先 | ポート範囲 | コメント |
| *インスタンスセキュリティグループ* | *インスタンスリスナー* | インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する |
| *インスタンスセキュリティグループ* | *ヘルスチェック* | ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する |
インスタンスをターゲットとした内部ロードバランサーには、次のルールが推奨されます。
|
|
| **Inbound** |
| --- |
| ソース | ポート範囲 | コメント |
| *VPC CIDR* | *リスナー* | ロードバランサーのリスナーポートで VPC CIDR からのインバウンドトラフィックを許可する |
| **Outbound** |
| --- |
| 送信先 | ポート範囲 | コメント |
| *インスタンスセキュリティグループ* | *インスタンスリスナー* | インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する |
| *インスタンスセキュリティグループ* | *ヘルスチェック* | ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する |
ンスタンスをターゲットとする Application Load Balancer で、その Application Load Balancer 自体が Network Load Balancer のターゲットとなっている場合には、以下のルールが推奨されます。
|
|
| **Inbound** |
| --- |
| ソース | ポート範囲 | コメント |
| *クライアント IP アドレス/CIDR* | *`alb ` リスナー* | ロードバランサーのリスナーポートでインバウンドクライアントトラフィックを許可する |
| *VPC CIDR* | *`alb `リスナー* | ロードバランサーリスナーポート AWS PrivateLink で を介してインバウンドクライアントトラフィックを許可する |
| *VPC CIDR* | *`alb `リスナー* | Network Load Balancer からのインバウンドヘルスチェックトラフィックを許可する |
| **Outbound** |
| --- |
| 目的地 | ポート範囲 | コメント |
| *インスタンスセキュリティグループ* | *インスタンスリスナー* | インスタンスリスナーポートでインスタンスへのアウトバウンドトラフィックを許可する |
| *インスタンスセキュリティグループ* | *ヘルスチェック* | ヘルスチェックポートでインスタンスへのアウトバウンドトラフィックを許可する |
## 関連付けられたセキュリティグループの更新
ロードバランサーに関連付けられたセキュリティグループは、いつでも更新できます。
------
#### [ Console ]
**セキュリティグループを更新するには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションペインで、[**ロードバランサー**] を選択します。
1. ロードバランサーを選択します。
1. **[セキュリティ]** タブで、**[編集]** を選択します。
1. セキュリティグループをロードバランサーに関連付けるには、そのセキュリティグループを選択します。セキュリティグループの関連付けを削除するには、セキュリティグループの **[X]** アイコンを選択します。
1. **[Save changes]** (変更の保存) をクリックします。
------
#### [ AWS CLI ]
**セキュリティグループを更新するには**
[set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html) コマンドを使用します。
```
aws elbv2 set-security-groups \
--load-balancer-arn load-balancer-arn \
--security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
```
------
#### [ CloudFormation ]
**セキュリティグループを更新するには**
[AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) リソースを更新します。
```
Resources:
myLoadBalancer:
Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
Properties:
Name: my-alb
Type: application
Scheme: internal
Subnets:
- !Ref subnet-AZ1
- !Ref subnet-AZ2
SecurityGroups:
- !Ref mySecurityGroup
- !Ref myNewSecurityGroup
```
------