Network Load Balancer のセキュリティグループを更新する - Elastic Load Balancing

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Network Load Balancer のセキュリティグループを更新する

セキュリティグループを Network Load Balancer に関連付けて、Network Load Balancer へのインバウント/アウトバウンドのトラフィックを制御できます。インバウンドトラフィックを許可するポート、プロトコル、ソース、およびアウトバウンドトラフィックを許可するポート、プロトコル、および送信先を指定します。Network Load Balancer にセキュリティグループを割り当てないと、すべてのクライアントトラフィックが Network Load Balancer リスナーに到達し、すべてのトラフィックが Network Load Balancer を離れる可能性があります。

ターゲットに関連付けられたセキュリティグループに、Network Load Balancer に関連付けられたセキュリティグループを参照するルールを追加できます。これにより、クライアントは Network Load Balancer を介してターゲットへトラフィックを送信できるようになりますが、直接ターゲットへ送信することはできません。ターゲットに関連付けられたセキュリティ グループで Network Load Balancer に関連付けられたセキュリティグループが参照されることで、Network Load Balancer に対してクライアント IP の保存を有効にしている場合でも、ターゲットは Network Load Balancer からのトラフィックを確実に受信できます。

インバウンドセキュリティグループルールによってブロックされたトラフィックに対しては料金が発生しません。

考慮事項

  • Network Load Balancer を作成するときに、セキュリティグループを Network Load Balancer に関連付けることができます。セキュリティグループを関連付けずに Network Load Balancer を作成した場合、後でセキュリティグループを Network Load Balancer に関連付けることはできません。Network Load Balancer を作成するときに、セキュリティグループを Network Load Balancer に関連付けることをお勧めします。

  • セキュリティグループを関連付けて Network Load Balancer を作成した後は、Network Load Balancer に関連付けられたセキュリティグループはいつでも変更できます。

  • ヘルスチェックにはアウトバウンドルールが適用されますが、インバウンドルールは適用されません。アウトバウンドルールがヘルスチェックトラフィックをブロックしないようにする必要があります。そうしないと、Network Load Balancer はターゲットに異常があると見なします。

  • PrivateLink トラフィックがインバウンドルールの対象となるかどうかを制御できます。 PrivateLink トラフィックでインバウンドルールを有効にすると、トラフィックの送信元はエンドポイントインターフェイスではなく、クライアントのプライベート IP アドレスになります。

以下に示すように、Network Load Balancer に関連付けられているセキュリティグループのインバウンドルールでは、指定されたアドレス範囲からのトラフィックのみが許可されます。これが内部 Network Load Balancer である場合は、VPC CIDR からのトラフィックのみを許可する VPC 範囲をソースとして指定できます。これがインターネット上のどこからでもトラフィックを受け入れる必要があるインターネット向け Network Load Balancer の場合は、ソースとして 0.0.0.0/0 を指定できます。

インバウンド
プロトコル ソース ポート範囲 コメント
protocol client IP address range listener port リスナーポートでソース CIDR からのインバウンドトラフィックを許可する
ICMP 0.0.0.0/0 すべて インバウンド ICMP トラフィックが MTU または Path MTU Discovery † をサポートできるようにします

† 詳細については、「Amazon MTU ユーザーガイド」の「パスワード検出」を参照してください。 EC2

アウトバウンド
プロトコル デスティネーション ポート範囲 コメント
すべて どこでも すべて すべてのアウトバウンドトラフィックを許可します

Network Load Balancer に sg-111112222233333 というセキュリティグループがあるとします。ターゲットインスタンスに関連付けられているセキュリティグループで次のルールを使用して、Network Load Balancer からのトラフィックのみを受け付けるようにします。ターゲットがターゲットポートとヘルスチェックポートの両方で Network Load Balancer からのトラフィックを確実に受信できるようにする必要があります。詳細については、「ターゲットセキュリティグループ」を参照してください。

インバウンド
プロトコル ソース ポート範囲 コメント
protocol sg-111112222233333 target port ターゲットポートの Network Load Balancer からのインバウンドトラフィックを許可します
protocol sg-111112222233333 health check ヘルスチェックポートで Network Load Balancer からの受信トラフィックを許可します
アウトバウンド
プロトコル デスティネーション ポート範囲 コメント
すべて どこでも すべて すべてのアウトバウンドトラフィックを許可します

関連付けられたセキュリティグループの更新

Network Load Balancer の作成時に少なくとも 1 つのセキュリティグループを Network Load Balancer に関連付けていた場合は、その Network Load Balancer のセキュリティグループをいつでも更新できます。

コンソールを使用してセキュリティグループの更新するには
  1. EC2 で Amazon https://console.aws.amazon.com/ec2/ コンソールを開きます。

  2. ナビゲーションペインの [ロードバランシング] で [ロードバランサー] を選択します。

  3. Network Load Balancer を選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. セキュリティグループを Network Load Balancer に関連付けるには、そのセキュリティグループを選択します。セキュリティグループを Network Load Balancer から削除するには、そのセキュリティグループを選択解除します。

  6. [Save changes] (変更の保存) をクリックします。

を使用してセキュリティグループを更新するには AWS CLI

set-security-groups コマンドを使用します。

セキュリティ設定の更新

デフォルトでは、Network Load Balancer に送信されるすべてのトラフィックにインバウンドセキュリティグループのルールが適用されます。ただし、 を介して Network Load Balancer に送信されるトラフィックにこれらのルールを適用したくない場合があります。このトラフィックは AWS PrivateLink、重複する IP アドレスから発生する可能性があります。この場合、Network Load Balancer に送信されるトラフィックにインバウンドルールを適用しないように Network Load Balancer を設定できます AWS PrivateLink。

コンソールを使用してセキュリティ設定を更新するには
  1. EC2 で Amazon https://console.aws.amazon.com/ec2/ コンソールを開きます。

  2. ナビゲーションペインの [ロードバランシング] で [ロードバランサー] を選択します。

  3. Network Load Balancer を選択します。

  4. [セキュリティ] タブで、[編集] を選択します。

  5. セキュリティ設定で、 PrivateLink トラフィックでインバウンドルールを適用する をクリアします。

  6. [Save changes] (変更の保存) をクリックします。

を使用してセキュリティ設定を更新するには AWS CLI

set-security-groups コマンドを使用します。

Network Load Balancer のセキュリティグループを監視する

SecurityGroupBlockedFlowCount_Inbound および SecurityGroupBlockedFlowCount_Outbound CloudWatch メトリクスを使用して、Network Load Balancer セキュリティグループによってブロックされているフローの数をモニタリングします。ブロックされたトラフィックは他のメトリックには反映されません。詳細については、「Network Load Balancer の CloudWatch メトリクス」を参照してください。

VPC フローログを使用して、Network Load Balancer セキュリティグループによって承諾または拒否されたトラフィックをモニタリングします。詳細については、「Amazon VPC ユーザーガイド」の「Word フローログ」を参照してください。 VPC