[ホーム][AWS まぎわらしい用語一覧] > [VPC(Virtual Private Cloud) におけるセキュリティグループとACLの違い]

VPC(Virtual Private Cloud) におけるセキュリティグループとACLの違い


VPCを構成する際のパケットフィルタリング機能であるセキュリティグループとACLの違いに関して説明します。

セキュリティグループとACLの違い


比較は以下の表の通りとなります。

比較表セキュリティグループネットワークACL
適用先各インスタンス (EC2、RDS、ELBなど) に適用。インスタンス単位。
サブネットに適用。
制御の種類許可ルールのみ。
許可及び拒否。
ステートステートフル。(状態を覚えているとうこと。つまり行きのパケットに対する戻りのパケットも自動的に許可される)。
ステートレス(状態を覚えていない。行きと戻りの両方のルールの指定が必要。戻りの設定を忘れると通信に失敗する。)
デフォルト・セキュリティグループ外からのインバウンドはすべて拒否。
・セキュリティグループ外へのアウトバウンドはすべて許可。
・セキュリティグループ内はインバウンド、アウトバウンド共に許可。
・インバウンド、バウトバウンドすべて許可。(デフォルトのACL)
・インバウンド、バウトバウンドすべて拒否。(カスタムのACL)
特徴インスタンス起動中でもセキュリティグループの設定は変更可能。ただし他のセキュリティグループへ移動することはできない。(最新版で要確認)
-
方式ホワイトリスト方式
ホワイトリスト方式/ブラックリスト方式
注意事項複数のセキュリティグループに属することが可能。
エフェメラルポートの対応が必要。(一般的に 1024-65535が戻りポートとして使用される。ステートレスなためこのポートも許可する必要あり。)




AWS まぎわらしい用語一覧へ戻る


本ページの内容は個人的に調査した結果がであり内容が正しいことは保証されません。
またAWSサービスは常に改良、アップデートされており本ページの内容が古く誤った内容になる可能性もあります。変更になっても本ページが正しく更新されるとは限りません。
あくまでも参考程度でご覧ください。内容により発生したいかなる時間的損害、金銭的損害、その他の損害に関しても何人も保証しません。