P19 セキュリティグループとネットワークACL

[セキュリティグループ]
・EC2が持つENI(Elastic Network Interface)と呼ばれる仮想ネットワークカードに対して構成する。
・最大5個まで設定可能(※1)
・通信はステートフル(ある通信を通せば、その応答は自動的に通過する)

[ネットワークACL]
・サブネットに対して構成する。
・一つのサブネットに対して、一つ設定可能である。
・デフォルトはすべての通信が許可されたルールが構成されたネットワークACLが設定されている。
・通信はステートレス(ある通信を通しても、レスポンスを通すルールを指定しておかないと遮断される(※2))

※1 セキュリティグループの上限
 AWSにリクエストを投げれば、最大16個まで設定が行える。但し、設定できるルールの数が減ってしまう。
 通常は、セキュリティグループ一つに対する設定できる最大ルール数が50、ENIに設定できるセキュリティグループの数が5である。
 上記2つのを積算した値250が最大数となるため、セキュリティグループの数を10にすると、ルール数は25となってしまう。
(参考)
docs.aws.amazon.com


※2 エフェメラルポートの取扱い
 エフェメラルポートとは、リクエスト側がレスポンスを受け取る待ち受けポート番号のため、都度ランダム的に割り当てられるポート番号のこと。
 ネットワークACLにすると、このポート番号を考慮しておかないといけない。
(参考)
qiita.com

Amazon Web Services完全ソリューションガイド

Amazon Web Services完全ソリューションガイド