エンドポイントサービスに接続する Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントを作成するときに、セキュリティグループとネットワークアクセスコントロールリスト (ACL) を設定したいと考えています。
簡単な説明
エンドポイントサービスを使用して Amazon VPC インターフェイスエンドポイントを作成すると、指定したサブネット内に Elastic Network Interface が作成されます。この VPC インターフェイスエンドポイントは、関連付けられたサブネットのネットワーク ACL を継承します。着信リクエストを保護するために、セキュリティグループをインターフェイスエンドポイントに関連付ける必要があります。
Network Load Balancer をエンドポイントサービスに関連付けると、Network Load Balancer は登録されたターゲットにリクエストを転送します。リクエストは、ターゲットが IP アドレスで登録されたかのように転送されます。この場合、発信元 IP アドレスはロードバランサーノードのプライベート IP アドレスです。Amazon VPC エンドポイントサービスにアクセスできる場合は、次のことを確認します。
- Network Load Balancer のターゲットのインバウンドセキュリティグループルールにより、Network Load Balancer ノードのプライベート IP アドレスからの通信が許可されます
- Network Load Balancer のターゲットに関連付けられたネットワーク ACL 内のルールにより、Network Load Balancer のプライベート IP アドレスからの通信が許可されます
解決方法
インターフェイスエンドポイントに関連付けられているネットワーク ACL を探す
- Amazon VPC コンソールにサインインします。
- [エンドポイント] を選択します。
- エンドポイントのリストからエンドポイントの ID を選択してください。
- [サブネット] ビューを選択します。
- 関連付けられているサブネットを選択すると、Amazon VPC コンソールの [サブネット] セクションにリダイレクトされます。
- サブネットに関連付けられているネットワーク ACL に注意してください。
インターフェイスエンドポイントに関連付けられているセキュリティグループを探す
- Amazon VPC コンソールにサインインします。
- [エンドポイント] を選択します。
- エンドポイントのリストからエンドポイントの ID を選択してください。
- セキュリティグループビューを選択します。
- 関連付けられているセキュリティグループの ID に注意してください。
インターフェイスエンドポイントに関連付けられているセキュリティグループを設定する
セキュリティグループは、Elastic Network Interfaces の仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックを制御します。
注意: セキュリティグループはステートフルです。ルールを一方向に定義すると、リターントラフィックは自動的に許可されます。
インバウンドルールを設定します。
- [ポート範囲] に、エンドポイントサービスと同じポートを入力してください。
- [Source] (発信元) で、発信クライアントの IP アドレスまたはネットワークを入力します。
注: インターフェイスエンドポイントに関連付けられているセキュリティグループのアウトバウンド方向でルールを作成する必要はありません。
インターフェイスエンドポイントに関連付けられているセキュリティグループごとに、これらの手順を繰り返してください。
インターフェイスエンドポイントに関連付けられているネットワーク ACL を設定する
ネットワークアクセスコントロールリスト (ACL) は、VPC のオプションのセキュリティ層であり、1 つ以上のサブネットに出入りするトラフィックをコントロールするためのファイアウォールとして機能します。
注意: ネットワーク ACL はステートレスです。アウトバウンドトラフィックとインバウンドトラフィックの両方にルールを定義する必要があります。
- 以前に書き留めたネットワーク ACL のために、ルールを編集します。
- クライアントからのトラフィックを許可するようにインバウンドルールを設定します。
[Port Range] (ポート範囲) で、エンドポイントサービスと同じポートを入力します。
[Source] (発信元) で、クライアントの IP アドレスまたはネットワークを入力します。
- インターフェイスエンドポイントからのリターントラフィックを許可するようにアウトバウンドルールを設定します。
[Port Range] (ポート範囲) で、1024-65535 と入力します。
[Destination] (送信先) で、クライアントの IP アドレスまたはネットワークを入力します。
サブネットごとに異なるネットワーク ACL が定義されている場合は、インターフェイスエンドポイントに関連付けられているネットワーク ACL ごとにこのステップを繰り返します。
注: ソースクライアントのセキュリティグループを設定する場合は、アウトバウンドルールでインターフェイスエンドポイントのプライベート IP アドレスへの接続が許可されていることを確認してください。クライアントのセキュリティグループのインバウンド方向は関係ありません。ソースクライアントのネットワーク ACL に対して、ルールを次のように構成します。
インバウンドルール:
- [ポート範囲] に、エフェメラルポート範囲 1024 ~ 65535 を入力します。
- [Source] に、インターフェイスエンドポイントのプライベート IP アドレスを入力します。
アウトバウンドルール:
- [ポート範囲] に、エンドポイントサービスと同じポートを入力してください。
- [宛先] に、インターフェイスエンドポイントのプライベート IP アドレスを入力します。
関連情報
Amazon VPC のインターフェイスエンドポイントからエンドポイントサービスに接続できないのはなぜですか?
セキュリティグループとネットワーク ACL でインバウンドトラフィックが許可されているのに、サービスに接続できない理由は何ですか?