エンドポイントサービス用の VPC インターフェイスエンドポイントを作成する場合、セキュリティグループとネットワーク ACL はどのように設定すればよいですか?

最終更新日: 2022 年 1 月 18日

エンドポイントサービスに接続するための Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントを作成したいと考えています。セキュリティグループとネットワークアクセスコントロールリスト (ACL) を設定するには、どうすれば良いですか?

簡単な説明

エンドポイントサービスを使用して Amazon VPC インターフェイスエンドポイントを作成すると、指定したサブネットの内側に Elastic Network Interface が作成されます。この VPC インターフェイスエンドポイントは、関連付けられたサブネットのネットワーク ACL を継承します。着信リクエストを保護するために、セキュリティグループをインターフェイスエンドポイントに関連付ける必要があります。

Network Load Balancer をエンドポイントサービスに関連付けると、Network Load Balancer は登録されたターゲットにリクエストを転送します。リクエストは、ターゲットが IP アドレスで登録されたかのように転送されます。この場合、発信元 IP アドレスはロードバランサーノードのプライベート IP アドレスです。Amazon VPC エンドポイントサービスにアクセスできる場合は、次のことを確認します。

  • Network Load Balancer のターゲットのインバウンドセキュリティグループルールにより、ネットワークロードバランサノードのプライベート IP アドレスからの通信が許可されます。
  • Network Load Balancer のターゲットに関連付けられたネットワーク ACL 内のルールにより、Network Load Balancer のプライベート IP アドレスからの通信が許可されます。

解決方法

インターフェイスエンドポイントに関連付けられているネットワーク ACL を探す

  1. Amazon VPC コンソールにサインインします。
  2. [エンドポイント] を選択します。
  3. エンドポイントのリストからエンドポイントの ID を選択してください。
  4. [サブネット] ビューを選択します。
  5. 関連付けられているサブネットを選択すると、Amazon VPC コンソールの [サブネット] セクションにリダイレクトされます。
  6. サブネットに関連付けられているネットワーク ACL に注意してください。

インターフェイスエンドポイントに関連付けられているセキュリティグループを探す

  1. Amazon VPC コンソールにサインインします。
  2. [エンドポイント] を選択します。
  3. エンドポイントのリストからエンドポイントの ID を選択してください。
  4. セキュリティグループビューを選択します。
  5. 関連付けられているセキュリティグループの ID に注意してください。

インターフェイスエンドポイントに関連付けられているセキュリティグループを設定する

セキュリティグループは、Elastic Network Interfaces の仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックを制御します。

注意: セキュリティグループはステートフルです。ルールを一方向に定義すると、リターントラフィックは自動的に許可されます。

インバウンドルールを設定します:

  • [ポート範囲] に、エンドポイントサービスと同じポートを入力してください。
  • [発信元] に、新規クライアントの IP アドレスまたはネットワークを入力してください。

注意: インターフェイスエンドポイントに関連付けられているセキュリティグループのアウトバウンド方向にルールを作成する必要はありません。

インターフェイスエンドポイントに関連付けられているセキュリティグループごとに、これらの手順を繰り返してください。

インターフェイスエンドポイントに関連付けられているネットワーク ACL を設定する

ネットワークアクセスコントロールリスト (ACL) は、VPC のオプションのセキュリティ層であり、1 つ以上のサブネットに出入りするトラフィックをコントロールするためのファイアウォールとして機能します。

注意: ネットワーク ACL はステートレスです。アウトバウンドトラフィックとインバウンドトラフィックの両方にルールを定義する必要があります。

  1. すでに述べたように、ネットワーク ACL に対して、ルールを編集します。
  2. クライアントからのトラフィックを許可するようにインバウンドルールを設定してください。
    [ポート範囲] に、エンドポイントサービスと同じポートを入力してください。
    [発信元] に、クライアントの IP アドレスまたはネットワークを入力します。
  3. インターフェイスエンドポイントからのリターントラフィックを許可するようにアウトバウンドルールを設定してください。
    [ポート範囲] に「1024-65535」と入力します。
    [送信先] に、クライアントの IP アドレスまたはネットワークを入力します。

サブネットごとに異なるネットワーク ACL が定義されている場合は、インターフェイスエンドポイントに関連付けられているネットワーク ACL ごとにこの手順を繰り返します。

注意:ソースクライアントのセキュリティグループを設定する場合は、アウトバウンドルールでインターフェイスエンドポイントのプライベート IP アドレスへの接続が許可されていることを確認してください。クライアントのセキュリティグループのインバウンド方向は関係ありません。ソースクライアントのネットワーク ACL に対して、ルールを次のように構成します。

インバウンドルール:

  • [ポート範囲] に、エフェメラルポート範囲 1024 ~ 65535 を入力します。
  • [Source] に、インターフェイスエンドポイントのプライベート IP アドレスを入力します。

アウトバウンドルール:

  • [ポート範囲] に、エンドポイントサービスと同じポートを入力してください。
  • [宛先] に、インターフェイスエンドポイントのプライベート IP アドレスを入力します。