🌐
セキュリティグループとネットワークACLの違い
AWS認定Solutions Architect - Associateの資格取得のための勉強メモです。
セキュリティグループとは?
AWS Documentation - セキュリティグループを使用してリソースへのトラフィックを制御する
- 個々のAWSリソースごとにアタッチする仮想ファイアウォール
-
ステートフル
- インバウンドのみを許可すれば、アウトバウンドでも許可される
- 許可のみを設定(インバウンド/アウトバウンドの両方)
- 記載されている全てのルールを適用する
NACL(Network Access Control List)とは?
AWS Documentation - ネットワーク ACL を使用してサブネットへのトラフィックを制御する
- サブネット単位で動作するファイアウォール
-
ステートレス
- インバウンドとアウトバウンドをそれぞれで許可/拒否の設定を行う
- 許可/拒否を設定
- ルール番号順の優先順位で適用
- 100単位で番号を振ることが推奨されている
- 最後のルール番号は
*
であり、それまでのルールがマッチしない場合は拒否する
Deep Dive - ephemeral port
用途の決まっていない一時期に解放するポートのことをエフェメラルポート(ephemeral port) と呼ぶ。
通信の際、リクエストに対するレスポンスを受け取るために発信側はエフェメラルポートを使用する。
- 例:HTTPプロトコル80番でリクエストしている場合、51234番のポートを一時的に開けておく
NACLはステートレスであるため、このエフェメラルポートも許可するルールが必要である。
覚え方
サブネット(リソースの外側)に位置するNACLは門番の役割、リソースを包み込むセキュリティグループはホテルの役割だと覚えた。(下図参照)
Discussion