セキュリティグループを使用して VPC Lattice のトラフィックを制御する

フォーカスモード

セキュリティグループを使用して VPC Lattice のトラフィックを制御する - Amazon VPC Lattice

マネージドプレフィックスリスト「セキュリティグループのルール」セキュリティグループの管理

AWS セキュリティグループは仮想ファイアウォールとして機能し、関連付けられているエンティティとの間のネットワークトラフィックを制御します。VPC Lattice を使用すると、セキュリティグループを作成し、VPC をサービスネットワークに接続する VPC 関連付けに割り当てて、サービスネットワークに追加のネットワークレベルのセキュリティ保護を適用できます。VPC エンドポイントを使用して VPC をサービスネットワークに接続する場合は、VPC エンドポイントにセキュリティグループを割り当てることもできます。同様に、VPC 内のリソースへのアクセスを有効にするために作成したリソースゲートウェイにセキュリティグループを割り当てることができます。

マネージドプレフィックスリスト

VPC Lattice には、サービスネットワーク関連付けを使用して VPC をサービスネットワークに接続するときに、VPC Lattice ネットワーク経由でトラフィックをルーティングするために使用される IP アドレスを含むマネージドプレフィックスリストが用意されています。これらの IPsは、プライベートリンクローカル IPsまたはルーティング不可能なパブリック IPs。

セキュリティグループルールで VPC Lattice マネージドプレフィックスリストを参照できます。これにより、トラフィックはクライアントから VPC Lattice サービスネットワークを経由して VPC Lattice サービスターゲットに流れます。

例えば、EC2 インスタンスが米国西部 (オレゴン) リージョン (us-west-2) でターゲットとして登録されているとします。VPC Lattice マネージドプレフィックスリストからのインバウンド HTTPS アクセスを許可するルールをインスタンスのセキュリティグループに追加すると、このリージョンの VPC Lattice トラフィックがインスタンスに到達できるようになります。セキュリティグループから他のすべてのインバウンドルールを削除すると、VPC Lattice 以外のトラフィックがインスタンスに到達することを防げます。

VPC Lattice のマネージドプレフィックスリストの名前は次のとおりです。

com.amazonaws.region.vpc-lattice
com.amazonaws.region.ipv6.vpc-lattice

詳細については、「Amazon VPC ユーザーガイド」の「AWSマネージドプレフィックスリストの提供」を参照してください。

Windows クライアント

VPC Lattice プレフィックスリストのアドレスは、リンクローカルアドレスとルーティング不可能なパブリックアドレスです。Windows クライアントから VPC Lattice に接続する場合は、Windows クライアントの設定を更新して、マネージドプレフィックスリストの IP アドレスをクライアントのプライマリ IP アドレスに転送する必要があります。以下は、Windows クライアントの設定を更新するコマンドの例です。 169.254.171.0は、マネージドプレフィックスリストのアドレスの 1 つです。


C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

「セキュリティグループのルール」

VPC Lattice をセキュリティグループと一緒に使用してもしなくても、既存の VPC セキュリティグループの設定には影響しません。ただし、独自のセキュリティグループをいつでも追加できます。

主な考慮事項

クライアントのセキュリティグループルールは、VPC Lattice へのアウトバウンドトラフィックを制御します。
ターゲットのセキュリティグループルールは、ヘルスチェックトラフィックを含め、VPC Lattice からターゲットへのインバウンドトラフィックを制御します。
サービスネットワークと VPC の関連付けに関するセキュリティグループルールは、VPC Lattice サービスネットワークにアクセスできるクライアントを制御します。
リソースゲートウェイのセキュリティグループルールは、リソースゲートウェイからリソースへのアウトバウンドトラフィックを制御します。

リソースゲートウェイからデータベースリソースに流れるトラフィックの推奨アウトバウンドルール

リソースゲートウェイからリソースにトラフィックを流れるには、開いているポートのアウトバウンドルールと、リソースの受け入れ済みリスナープロトコルを作成する必要があります。

デスティネーション	プロトコル	ポート範囲	コメント
`リソースの CIDR 範囲`	`TCP`	`3306`	リソースゲートウェイからデータベースへのトラフィックを許可する

サービスネットワークと VPC の関連付けの推奨されるインバウンドルール

クライアント VPCs からサービスネットワークに関連付けられたサービスにトラフィックを流れるには、サービスのリスナーポートとリスナープロトコルのインバウンドルールを作成する必要があります。

ソース	プロトコル	ポート範囲	コメント
`VPC CIDR`	`listener`	`listener`	クライアントから VPC Lattice へのトラフィックを許可する

クライアントインスタンスから VPC Lattice に流れるトラフィックの推奨されるアウトバウンドルール

デフォルトで、セキュリティグループはすべてのアウトバウンドトラフィックを許可します。ただし、カスタムアウトバウンドルールがある場合は、クライアントインスタンスが VPC Lattice サービスネットワークに関連付けられているすべてのサービスに接続できるように、リスナーポートとプロトコルの VPC Lattice プレフィックスへのアウトバウンドトラフィックを許可する必要があります。VPC Lattice のプレフィックスリストの ID を参照することで、このトラフィックを許可できます。

デスティネーション	プロトコル	ポート範囲	コメント
`VPC Lattice プレフィックスリストの ID`	`listener`	`listener`	クライアントから VPC Lattice へのトラフィックを許可する

VPC Lattice からターゲットインスタンスに流れるトラフィックの推奨されるインバウンドルール

トラフィックは VPC Lattice から流れるため、クライアントセキュリティグループをターゲットのセキュリティグループのソースとして使用することはできません。VPC Lattice のプレフィックスリストの ID を参照できます。

ソース	プロトコル	ポート範囲	コメント
`VPC Lattice プレフィックスリストの ID`	`target`	`target`	VPC Lattice からターゲットへのトラフィックを許可する
`VPC Lattice プレフィックスリストの ID`	`health check`	`health check`	VPC Lattice からターゲットへのヘルスチェックトラフィックを許可する

VPC の関連付けのセキュリティグループを管理する

を使用して、VPC のセキュリティグループ AWS CLI を表示、追加、または更新して、ネットワークの関連付けをサービスできます。を使用する場合は AWS CLI、コマンドがプロファイル用に AWS リージョン設定されたで実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに --region パラメータを使用します。

開始する前に、サービスネットワークに追加する VPC と同じ VPC でセキュリティグループを作成していることを確認します。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループを使用してリソースへのトラフィックを制御する」を参照してください。

コンソールを使用して VPC の関連付け作成時にセキュリティグループを追加する方法

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインの [VPC Lattice] で、[サービスネットワーク] を選択します。
サービスネットワークの名前を選択して、その詳細ページを開きます。
[VPC の関連付け] タブで [VPC の関連付けを作成]、[Add VPC association] の順に選択します。
VPC と最大 5 つのセキュリティグループを選択します。
[Save changes] (変更の保存) をクリックします。

コンソールを使用して既存の VPC の関連付けのセキュリティグループを追加または更新する方法

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインの [VPC Lattice] で、[サービスネットワーク] を選択します。
サービスネットワークの名前を選択して、その詳細ページを開きます。
[VPC の関連付け] タブで関連付けのチェックボックスをオンにして、[アクション] 、[セキュリティグループの編集] の順に選択します。
必要に応じて、セキュリティグループを追加または削除します。
[Save changes] (変更の保存) をクリックします。

を使用して VPC 関連付けを作成するときにセキュリティグループを追加するには AWS CLI

create-service-network-vpc-association コマンドを使用して、VPC の関連付けの VPC の ID と追加するセキュリティグループの ID を指定します。


aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

成功すると、コマンドは以下のような出力を返します。


{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}

AWS CLIを使用して既存の VPC の関連付けのセキュリティグループを追加または更新する方法

update-service-network-vpc-association コマンドを使用して、サービスネットワークの ID とセキュリティグループの ID を指定します。このセキュリティグループは以前に関連付けられたセキュリティグループを上書きします。リストを更新するときに、1 つ以上のセキュリティグループを定義してください。


aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example

警告

すべてのセキュリティグループを削除することはできません。まず VPC の関連付けを削除し、次にセキュリティグループなしで VPC の関連付けを再度作成する必要があります。VPC の関連付けを削除する際は慎重に行ってください。これはトラフィックがそのサービスネットワーク内のサービスに到達することを防いでいます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

認証ポリシー

ネットワーク ACL

次のトピック

ネットワーク ACL

前のトピック:

認証ポリシー

ヘルプが必要ですか?

このページの内容

このページは役に立ちましたか?

フィードバックを送信

プライバシーサイト規約 Cookie の設定

Cookie の設定を選択する

Cookie の設定をカスタマイズする

Essential

Performance

Functional

Advertising

Cookie の設定を保存できません