送信先の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのサブネットについて、ネットワークアクセスコントロールリスト (ACL) でインバウンド SSH トラフィックを許可しました。しかし、トラフィックはまだブロックされています。仮想プライベートクラウド (VPC) のサブネットネットワーク ACL がトランジットゲートウェイ経由のトラフィックを許可しないのはなぜですか?
解決方法
トランジットゲートウェイアタッチメントを作成し、VPC でサブネットを関連付けると、そのサブネット内にトランジットゲートウェイインターフェイスが作成されます。トランジットゲートウェイインターフェイスは、Amazon EC2 インスタンスの Elastic Network Interface からトランジットゲートウェイにトラフィックをルーティングします。Amazon EC2 インスタンスとトランジットゲートウェイの Elastic Network Interface は、同じサブネット内にある場合があります。ただし、ネットワーク ACL を設定する場合は、これらのエンティティを個別のエンティティとみなす必要があります。
- 送信先 VPC のトランジットゲートウェイインターフェイスに関連付けられたネットワーク ACL で、一時ポートでカスタム TCP を許可するインバウンドルールを追加します。このルールを設定すると、一時ポートのリターントラフィックが許可されます。
- トランジットゲートウェイネットワークインターフェイスの VPC フローログを確認して、トラフィックが意図したとおりに流れていることを確認します。
注: フローログの詳細については、「Learn From your VPC Flow Logs with additional meta-data」(追加のメタデータを使用して VPC フローログから確認する) を参照してください。
ネットワーク ACL インバウンドルールとアウトバウンドルールは、Amazon EC2 とトランジットゲートウェイが同じサブネット内にあるか異なるサブネットにあるかによって、異なる方法で適用されます。詳細については、「How network ACLs work with transit gateways」(ネットワーク ACL とトランジットゲートウェイの動作) をご参照ください。
関連情報
VPC フローログ - ネットワークトラフィックフローのログと表示