パブリックサブネット+セキュリティグループ VS プライベートサブネット

前提

ALB, EC2

疑問

EC2はプライベートサブネットに置くのが普通とされていますが、パブリックサブネットに置いてもセキュリティグループのインバウンドをALBからのみ許可すればいいのではないかと疑問を持ちました。そうすれば、時間料金+データ転送量料金がかかってしまうNAT Gatewayを使わずに済むはずです。

調査方法

AWS Startup Loft Tokyo内の「Ask An Expert」で、直接社員さんに伺いました。ここに行けばほぼいつでも社員さんに質問することができます。

結論

セキュリティグループの設定を間違えなければ問題ないそうです。しかし、設定ミスや権限付与のミス、アクセスキーの漏えい等の可能性が0ではない以上、プライベートサブネットに配置するほうが望ましいとのことです。
私は、とりあえず開発環境ではアリなのかなと思いました。アクセスキー等ハードコーディングしないよう気を付けましょう。