AWSのネットワークACLについて学ぶ

AWSのネットワークACLについて学んで、ノートにまとめます。

概要

* ファイアフォールとして動作するVPC用のセキュリティオプションレイヤー

詳細

* VPCには変更可能なデフォルトのネットワークACLが設定され、全てのインバウンド、アウトバウンドが許可される

* カスタムネットワークACLを作成して、サブネットと関連付けることができる

* 明示的にサブネットにネットワークACLを設定してない場合、デフォルトのネットワークACLが自動的に適用される

* ネットワークACLは複数のサブネットに紐づけることができるが、サブネットには一つのネットワークACLにのみ紐づけることができる

* ネットワークACLはスレートレスである。

ネットワークACLとセキュリティグループの違い

以下ドキュメントに細かく違いが書いてあります。

セキュリティグループとネットワーク ACL を比較する

なぜネットワークACLでなくセキュリティグループで細かいトラフィック制御を行なうのか

重要そうなポイント

* サブネット内含めた細かい制御はセキュリティグループを使う

* セキュリティグループだとステートフルでインバウンドが許可されると自動でアウトバウンドも許可されるので、注意が必要。ネットワークACLはスレートれるなので、アウトバウンドはアウトバウンドルールにのみ従う。

まとめ

変更の容易さを考えると、ネットワークACLはゆるくして、セキュリティグループを厳しくすることで制御することで、セキュリティグループだけの変更で良いため、楽だそうです。

もし通信がうまくいかない時はネットワークACLも確認しようと思います。