[トップページ] [FAQ 一覧]

対象:ACL

カスタムVPC内のEC2インスタンスに外部からssh接続を許可する方法





疑問


VPC 内に LinuxのEC2インスタンスを生成したとする。このインスタンスに ssh で接続する方法は。

答え


セキュリティグループ、ACLに関しては以下の設定を行う。

セキュリティグループ:sshのinをすべて許可、outは設定不要
ACL:inはsshを許可、outはsshを許可

(*1)セキュリティグループはステートフルであるため、対応する反対の通信は自動で許可される。よって反対の向きの設定は不要。
ステートフルとは状態(ステート)を記憶しているということ。出て行ったパケットの情報を記憶しているため、対する戻りは明示的に許可されていなくても受け入れる。

(*2)セグメントのACLはステートレスであるため、双方向の通信の定義が必要。

参考:
https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_ACLs.html

・カスタムネットワーク ACL を作成し、サブネットと関連付けることができます。
デフォルトでは、各カスタムネットワーク ACL は、ルールを追加するまですべて
のインバウンドトラフィックとアウトバウンドトラフィックを拒否します。


https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

・セキュリティグループを作成するときには、インバウンドルールはありません。したがって、インバウンドルールをセキュリティグループに追加するまで、別のホストからインスタンスに送信されるインバウンドトラフィックは許可されません。
・デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。ルールを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できます。セキュリティグループにアウトバウンドルールがない場合、インスタンスから送信されるアウトバウンドトラフィックは許可されません。
・セキュリティグループはステートフルです。インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループルールにかかわらず、流れることができます。許可されたインバウンドトラフィックに対する応答(戻りのトラフィック)は、アウトバウンドルールにかかわらずアウト側に対し通過することができます。

【超重要】本ページは2018/06/02に記載されました。情報が古くなっている可能性があります。








[ 一覧に戻る]


【注意事項】本ページの内容は個人的に調査した結果がであり内容が正しいことは保証されません。
またAWSサービスは常に改良、アップデートされており本ページの内容が古く誤った内容になる可能性もあります。変更になっても本ページが正しく更新されるとは限りません。
あくまでも参考程度でご覧ください。内容により発生したいかなる時間的損害、金銭的損害、その他の損害に関しても何人も保証しません。