セキュリティグループとネットワークACL

セキュリティグループとネットワークACLは、最初につまずくところだと思います。ネット上にも、この違いについて説明している記事が多いですね。

今回は、イメージ図を用いてもう一度おさらいしていきましょう

「インスタンス」に対しての、インバウンド・アウトバウンド通信を制御します。これまでの、firewalldやiptablesに近いものです。

ステートフルなので、インバウンドで許可した通信の戻りについてアウトバウンドのルールに記載する必要がありません。

ルールは順番関係無く一度に処理されます。ファイアウォールの設定に近いです。
ALLOW(許可) ルールのみを設定できます。

f:id:TOSHIOSHIMO:20191006175611p:plain

「サブネット」に対しての、インバウンド・アウトバウンド通信を制御します。オンプレミスのルーターやL3スイッチの役割に近いです。クラウドですと、仮想的でその実体が無いので分かりにくいですが。

ステートレスなので、インバウンドで許可した通信の戻りについて意識する必要があり、アウトバウンドのルールに記載する必要があります。

ルール#(番号)の小さいものから順番に処理されます。ルーターの設定に近いです。
ALLOW(許可) / DENY(拒否) ルールを設定できます。

f:id:TOSHIOSHIMO:20191006175613p:plain