EC2 インスタンスでウェブサイトをホストしています。ユーザーに HTTP (80) または HTTPS (443) での接続を許可するにはどうすればよいですか?
最終更新日: 2017 年 12 月 18 日
EC2 インスタンスでウェブサイトをホストし、ユーザーが HTTP (ポート 80) または HTTPS (ポート 443) で自分のウェブサイトに接続できるようにしたいと思います。どうすればできますか?
解決方法
ポート 80 および 443 のトラフィックを許可するには、関連付けられたセキュリティグループとネットワークアクセスコントロールリスト (ネットワーク ACL) を設定する必要があります。
セキュリティグループのルール
HTTP トラフィックの場合は、送信元アドレス 0.0.0.0/0 からのポート 80 のインバウンドルールを追加します。HTTPS トラフィックの場合は、送信元アドレス 0.0.0.0/0 からのポート 443 のインバウンドルールを追加します。これらのインバウンドルールによって、IPv4 アドレスからのトラフィックが許可されるようになります。IPv6 トラフィックを許可するには、送信元アドレス ::/0 から同じポートにインバウンドルールを追加します。セキュリティグループの作成または変更の詳細については、セキュリティグループの使用を参照してください。
セキュリティグループはステートフルであるため、インスタンスからユーザーへの戻りトラフィックは自動的に許可されるため、セキュリティグループのアウトバウンドルールを変更する必要はありません。
次の例は、ポート 80 と 443 で IPv4 トラフィックと IPv6 トラフィックの両方を許可するセキュリティグループルールを示しています。
インバウンドルール
| タイプ | プロトコル | ポート範囲 | 送信元 |
|---|---|---|---|
| HTTP (80) | TCP (6) | 80 | 0.0.0.0/0 |
| HTTP (80) | TCP (6) | 80 | ::/0 |
| HTTPS (443) | TCP (6) | 443 | 0.0.0.0/0 |
| HTTPS (443) | TCP (6) | 443 | ::/0 |
ネットワーク ACL
デフォルトのネットワーク ACL では、すべてのインバウンドトラフィックとアウトバウンドトラフィックが許可されます。より制限されたルールでカスタムネットワーク ACL を使用する場合は、ポート 80 および 443 でトラフィックを明示的に許可します。ネットワーク ACL はステートレスであるため、インバウンドルールとアウトバウンドルールの両方を追加して、ウェブサイトへの接続を有効にします。ネットワーク ACL ルールの変更の詳細については、ネットワーク ACL を参照してください。
注意: ユーザーが IPv6 経由で接続し、Amazon Virtual Private Cloud (Amazon VPC) に IPv6 CIDR ブロックが関連付けられている場合は、デフォルトのネットワーク ACL では、すべてのインバウンドおよびアウトバウンド IPv6 トラフィックを許可するルールが自動的に追加されます。
次の例は、ポート 80 および 443 でトラフィックを許可するカスタムネットワーク ACL を示しています。
インバウンドルール
| ルール # | タイプ | プロトコル | ポート範囲 | 送信元 | 許可/拒否 |
|---|---|---|---|---|---|
| 100 | HTTP (80) | TCP (6) | 80 | 0.0.0.0/0 | ALLOW |
| 101 | HTTPS (443) | TCP (6) | 443 | 0.0.0.0/0 | ALLOW |
| 102 | HTTP (80) | TCP (6) | 80 | ::/0 | ALLOW |
| 103 | HTTPS (443) | TCP (6) | 443 | ::/0 | ALLOW |
| * | ALL Traffic | ALL | ALL | ::/0 | DENY |
| * | ALL Traffic | ALL | ALL | 0.0.0.0/0 | DENY |
アウトバウンドルール
| ルール # | タイプ | プロトコル | ポート範囲 | 送信先 | 許可/拒否 |
|---|---|---|---|---|---|
| 100 | カスタム TCP ルール | TCP (6) | 1024-65535 | 0.0.0.0/0 | ALLOW |
| 101 | カスタム TCP ルール | TCP (6) | 1024-65535 | ::/0 | ALLOW |
| * | ALL Traffic | ALL | ALL | ::/0 | DENY |
| * | ALL Traffic | ALL | ALL | 0.0.0.0/0 | DENY |
注意: 前のセキュリティグループとネットワーク ACL の設定例を一緒に使用すると、すべてのインターネットユーザーがウェブサイトに接続できます。ウェブサイトの所有者または管理者が EC2 インスタンスから他のウェブサイトにアクセスする場合は、次の設定を許可する必要があります。
- ポート 80 またはポート 443 で送信先 IP アドレスへのトラフィックを許可するネットワーク ACL アウトバウンドルール
- 一時ポート (1024-65535) でのトラフィックを許可するネットワーク ACL インバウンドルール
- アウトバウンドトラフィックを許可するセキュリティグループのルール