セキュリティグループを使用して Lattice VPC のトラフィックを制御する - Amazon VPC Lattice
マネージドプレフィックスリスト「セキュリティグループのルール」セキュリティグループの管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループを使用して Lattice VPC のトラフィックを制御する

AWS セキュリティグループは仮想ファイアウォールとして機能し、関連付けられているエンティティとの間のネットワークトラフィックを制御します。VPC Lattice を使用すると、セキュリティグループを作成し、 VPCをサービスネットワークに接続するVPC関連付けに割り当てて、サービスネットワークに追加のネットワークレベルのセキュリティ保護を適用できます。VPC エンドポイントを使用して VPCをサービスネットワークに接続する場合は、VPCエンドポイントにセキュリティグループを割り当てることもできます。同様に、作成したリソースゲートウェイにセキュリティグループを割り当てて、 のリソースへのアクセスを有効にすることができますVPC。

マネージドプレフィックスリスト

VPC Lattice には、サービスネットワーク関連付けを使用して をサービスネットワークに接続するときに、Lattice VPC ネットワーク経由でトラフィックVPCをルーティングするために使用される IP アドレスを含むマネージドプレフィックスリストが用意されていますVPC。セキュリティグループルールで Lattice VPC マネージドプレフィックスリストを参照できます。これにより、トラフィックはクライアントから Lattice VPC サービスネットワークを経由して Lattice VPC サービスターゲットに流れることができます。

例えば、米国西部 (オレゴン) リージョン () にターゲットとして登録されたEC2インスタンスがあるとしますus-west-2。VPC Lattice マネージドプレフィックスリストからのインバウンドHTTPSアクセスを許可するルールをインスタンスセキュリティグループに追加して、このリージョンの Lattice VPC トラフィックがインスタンスに到達できるようにします。セキュリティグループから他のすべてのインバウンドルールを削除すると、Lattice VPC 以外のトラフィックがインスタンスに到達するのを防ぐことができます。

Lattice VPC のマネージドプレフィックスリストの名前は次のとおりです。

  • com.amazonaws.region.vpc-lattice

  • com.amazonaws.region.ipv6.vpc-lattice

詳細については、「Amazon VPCユーザーガイド」のAWS「 マネージドプレフィックスリスト」を参照してください。

Windows クライアント

VPC Lattice プレフィックスリストのアドレスは、リンクローカルアドレスとルーティング不可能なパブリックアドレスです。Windows クライアントから Lattice VPC に接続する場合は、Windows クライアントの設定を更新して、Lattice VPC が使用するリンクローカルアドレスをクライアントのプライマリ IP アドレスに転送する必要があります。Windows クライアントの設定を更新するコマンドの例を次に示します。169.254.171.0 は、Lattice VPC で使用されるリンクローカルアドレスです。

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

「セキュリティグループのルール」

セキュリティグループの有無にかかわらず VPC Lattice を使用しても、既存のVPCセキュリティグループの設定には影響しません。ただし、独自のセキュリティグループをいつでも追加できます。

主な考慮事項

  • クライアントのセキュリティグループルールは、Lattice VPC へのアウトバウンドトラフィックを制御します。

  • ターゲットのセキュリティグループルールは、ヘルスチェックトラフィックを含め、Lattice VPC からターゲットへのインバウンドトラフィックを制御します。

  • サービスネットワークと 間の関連付けのセキュリティグループルールは、どのクライアントが Lattice VPC サービスネットワークにアクセスできるかVPCを制御します。

  • リソースゲートウェイのセキュリティグループルールは、リソースゲートウェイからリソースへのアウトバウンドトラフィックを制御します。

リソースゲートウェイからデータベースリソースに流れるトラフィックの推奨アウトバウンドルール

リソースゲートウェイから リソースにトラフィックを流れるには、開いているポートのアウトバウンドルールと、リソースの受け入れられたリスナープロトコルを作成する必要があります。

デスティネーション プロトコル ポート範囲 コメント
CIDR range for resource TCP 3306 リソースゲートウェイからデータベースへのトラフィックを許可する
サービスネットワークとVPC関連付けに推奨されるインバウンドルール

クライアントからサービスネットワークに関連付けられたサービスVPCsにトラフィックを流れるには、サービスのリスナーポートとリスナープロトコルのインバウンドルールを作成する必要があります。

ソース プロトコル ポート範囲 コメント
VPC CIDR listener listener クライアントから Lattice VPC へのトラフィックを許可する
クライアントインスタンスから Lattice VPC に流れるトラフィックの推奨アウトバウンドルール

デフォルトで、セキュリティグループはすべてのアウトバウンドトラフィックを許可します。ただし、カスタムアウトバウンドルールがある場合は、クライアントインスタンスが Lattice VPC サービスネットワークに関連付けられているすべてのサービスに接続できるように、リスナーポートとプロトコルの Lattice VPC プレフィックスへのアウトバウンドトラフィックを許可する必要があります。Lattice のプレフィックスリストの ID VPC を参照することで、このトラフィックを許可できます。

デスティネーション プロトコル ポート範囲 コメント
ID of the VPC Lattice prefix list listener listener クライアントから Lattice VPC へのトラフィックを許可する
Lattice VPC からターゲットインスタンスに流れるトラフィックに推奨されるインバウンドルール

トラフィックは Lattice VPC から流れるため、クライアントセキュリティグループをターゲットのセキュリティグループのソースとして使用することはできません。Lattice のプレフィックスリストの ID VPC を参照できます。

ソース プロトコル ポート範囲 コメント
ID of the VPC Lattice prefix list target target Lattice VPC からターゲットへのトラフィックを許可する
ID of the VPC Lattice prefix list health check health check Lattice VPC からターゲットへのヘルスチェックトラフィックを許可する

VPC 関連付けのセキュリティグループを管理する

を使用して、 のセキュリティグループ AWS CLI を表示、追加、または更新VPCして、 ネットワーク関連付けをサービスできます。を使用する場合は AWS CLI、コマンドがプロファイル用に AWS リージョン 設定された で実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

開始する前に、サービスネットワークVPCに追加する VPCと同じ にセキュリティグループが作成されていることを確認します。詳細については、「Amazon VPCユーザーガイド」の「セキュリティグループを使用してリソースへのトラフィックを制御する」を参照してください。

コンソールを使用してVPC関連付けを作成するときにセキュリティグループを追加するには

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインの VPCLattice で、サービスネットワークを選択します。

  3. サービスネットワークの名前を選択して、その詳細ページを開きます。

  4. VPC 関連付け タブで、VPC関連付けの作成 を選択し、VPC関連付けの追加 を選択します。

  5. VPC と最大 5 つのセキュリティグループを選択します。

  6. [Save changes] (変更の保存) をクリックします。

コンソールを使用して既存のVPC関連付けのセキュリティグループを追加または更新するには

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインの VPCLattice で、サービスネットワークを選択します。

  3. サービスネットワークの名前を選択して、その詳細ページを開きます。

  4. VPC 関連付けタブで、関連付けのチェックボックスを選択し、アクションセキュリティグループの編集を選択します。

  5. 必要に応じて、セキュリティグループを追加または削除します。

  6. [Save changes] (変更の保存) をクリックします。

を使用してVPC関連付けを作成するときにセキュリティグループを追加するには AWS CLI

create-service-network-vpc-association コマンドを使用して、VPC関連付けVPCの の ID と追加するセキュリティグループの ID を指定します。

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

成功すると、コマンドは以下のような出力を返します。

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
を使用して既存のVPC関連付けのセキュリティグループを追加または更新するには AWS CLI

update-service-network-vpc-association コマンドを使用して、サービスネットワークの ID とセキュリティグループの IDs を指定します。このセキュリティグループは以前に関連付けられたセキュリティグループを上書きします。リストを更新するときに、1 つ以上のセキュリティグループを定義してください。

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
警告

すべてのセキュリティグループを削除することはできません。代わりに、まずVPC関連付けを削除してから、セキュリティグループなしでVPC関連付けを再作成する必要があります。VPC 関連付けを削除するときは注意してください。これはトラフィックがそのサービスネットワーク内のサービスに到達することを防いでいます。