セキュリティグループとネットワークACL
セキュリティグループとネットワークACLは、最初につまずくところだと思います。ネット上にも、この違いについて説明している記事が多いですね。
今回は、イメージ図を用いてもう一度おさらいしていきましょう
セキュリティグループ
「インスタンス」に対しての、インバウンド・アウトバウンド通信を制御します。これまでの、firewalldやiptablesに近いものです。
ステートフルなので、インバウンドで許可した通信の戻りについてアウトバウンドのルールに記載する必要がありません。
ルールは順番関係無く一度に処理されます。ファイアウォールの設定に近いです。
ALLOW(許可) ルールのみを設定できます。
ネットワークACL
「サブネット」に対しての、インバウンド・アウトバウンド通信を制御します。オンプレミスのルーターやL3スイッチの役割に近いです。クラウドですと、仮想的でその実体が無いので分かりにくいですが。
ステートレスなので、インバウンドで許可した通信の戻りについて意識する必要があり、アウトバウンドのルールに記載する必要があります。
ルール#(番号)の小さいものから順番に処理されます。ルーターの設定に近いです。
ALLOW(許可) / DENY(拒否) ルールを設定できます。