Elastic Load Balancer にセキュリティグループをアタッチするにはどうすればよいですか?

最終更新日: 2022 年 8 月 3 日

セキュリティグループを設定して Elastic Load Balancing (ELB) ロードバランサーにアタッチするにはどうすればよいですか?

解決方法

Classic Load Balancer を使用している場合は、「コンソールを使用したクラスターセキュリティグループの管理」または「AWS CLI を使用したセキュリティグループの管理」の指示に従ってください。

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください

Application Load Balancer を使用している場合は、Application Load Balancer のセキュリティグループの指示に従ってください。

Network Load Balancer を使用している場合、セキュリティグループは Network Load Balancer に関連付けられていないため、ターゲットインスタンスのセキュリティグループを更新してください。

  • ターゲットタイプが IP で、ターゲットグループプロトコルが TCP/TLS/UDP/TCP_UDP-TCP/TLS の場合、プロトコルはデフォルトでソース IP としてロードバランサーのプライベート IP になります。つまり、ターゲットセキュリティグループでロードバランサーのプライベート IP を許可リストに登録することがベストプラクティスです。UDP/TCP_UDP はデフォルトでクライアント IP アドレスを保持します。これは、ターゲットのセキュリティグループのクライアント IP を許可リストに登録することがベストプラクティスであることを意味します。

    注意:[クライアント IP の保持] が有効になっておらず、ターゲットセキュリティグループがロードバランサーのプライベート IP を許可リストに登録している場合、すべての受信トラフィックがサービスにアクセスすることを許可することになります。サービスが特定の CIDR 範囲にアクセス制限されるように設計されている場合は、ネットワークアクセスコントロールリスト (ネットワーク ACL) を使用して特定の CIDR を許可リストに登録し、残りの CIDR を拒否します。または、後で説明するように、クライアント IP の保持をアクティブにして、ターゲットセキュリティグループに制限を設定することもできます。

  • ターゲットタイプがインスタンスで、ターゲットグループプロトコルが TCP/TLS/UDP/TCP_UDP の場合、Network Load Balancer のデフォルトの動作ではクライアント IP アドレスが保持されます。クライアント IP の保持設定がデフォルト値のままである場合は、ターゲットセキュリティグループのクライアント IP アドレスを許可リストに登録することをお勧めします。

必要に応じて、ターゲットグループ属性「preserve_client_ip.enabled」を設定して、TCP/TLS ターゲットグループのデフォルトのクライアント IP 保持動作を変更できます。 UDP/TCP_UDP プロトコルターゲットグループに対してこの動作を変更することはできません。クライアント IP 保持がアクティブか非アクティブかに応じて (選択した構成に基づく)、ターゲットセキュリティグループで許可されている IP CIDR を調整するのがベストプラクティスです。クライアント IP の保存がアクティブになっている場合は、クライアント IP アドレスを許可リストに登録するのがベストプラクティスです。アクティブでない場合は、ロードバランサーのプライベート IP アドレスを許可リストに登録するのがベストプラクティスです。ネットワークロードバランサのクライアント IP 保持動作の詳細については、「Network Load Balancer のターゲットグループ」 を参照してください。

注: Classic Load Balancer または Application Load Balancer のそれぞれに必ず最低 1 つはセキュリティグループを関連付けて、そのセキュリティグループが必ずロードバランサーと関連付けられたバックエンドインスタンスの間の接続を許可するようにしてください。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?