翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# セキュリティグループを使用して VPC Lattice のトラフィックを制御する
<a name="security-groups"></a>

AWS セキュリティグループは仮想ファイアウォールとして機能し、関連付けられているエンティティとの間のネットワークトラフィックを制御します。VPC Lattice を使用すると、セキュリティグループを作成し、VPC をサービスネットワークに接続する VPC 関連付けに割り当てて、サービスネットワークに追加のネットワークレベルのセキュリティ保護を適用できます。VPC エンドポイントを使用して VPC をサービスネットワークに接続する場合は、VPC エンドポイントにセキュリティグループを割り当てることもできます。同様に、VPC 内のリソースへのアクセスを有効にするために作成したリソースゲートウェイにセキュリティグループを割り当てることができます。

**Topics**
+ [マネージドプレフィックスリスト](#managed-prefix-list)
+ [「セキュリティグループのルール」](#security-groups-rules)
+ [VPC の関連付けのセキュリティグループを管理する](#service-network-security-group)

## マネージドプレフィックスリスト
<a name="managed-prefix-list"></a>

VPC Lattice には、サービスネットワークの関連付けを使用して VPC をサービスネットワークに接続するときに、VPC Lattice ネットワーク経由でトラフィックをルーティングするために使用される IP アドレスを含むマネージドプレフィックスリストが用意されています。これらの IPsは、プライベートリンクローカル IPsまたはルーティング不可能なパブリック IPs。

 セキュリティグループルールで VPC Lattice マネージドプレフィックスリストを参照できます。これにより、トラフィックはクライアントから VPC Lattice サービスネットワークを経由して VPC Lattice サービスターゲットに流れます。

例えば、EC2 インスタンスが米国西部 (オレゴン) リージョン (`us-west-2`) でターゲットとして登録されているとします。VPC Lattice マネージドプレフィックスリストからのインバウンド HTTPS アクセスを許可するルールをインスタンスのセキュリティグループに追加すると、このリージョンの VPC Lattice トラフィックがインスタンスに到達できるようになります。セキュリティグループから他のすべてのインバウンドルールを削除すると、VPC Lattice 以外のトラフィックがインスタンスに到達することを防げます。

VPC Lattice のマネージドプレフィックスリストの名前は次のとおりです。
+ com.amazonaws.{{region}}.vpc-lattice
+ com.amazonaws.{{region}}.ipv6.vpc-lattice

詳細については、「*Amazon VPC ユーザーガイド*」の「[AWSマネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#available-aws-managed-prefix-lists)」を参照してください。

**Windows および macOS クライアント**  
VPC Lattice プレフィックスリストのアドレスは、リンクローカルアドレスとルーティング不可能なパブリックアドレスです。これらのクライアントから VPC Lattice に接続する場合は、マネージドプレフィックスリストの IP アドレスをクライアントのプライマリ IP アドレスに転送するように設定を更新する必要があります。以下は、Windows クライアントの設定を更新するコマンドの例です。 169.254.171.0は、マネージドプレフィックスリストのアドレスの 1 つです。

```
C:\> route add {{169.254.171.0}} mask 255.255.255.0 {{primary-ip-address}}
```

以下は、macOS クライアントの設定を更新するコマンドの例です。 169.254.171.0はマネージドプレフィックスリストのアドレスの 1 つです。

```
sudo route -n add -net {{169.254.171.0}} {{primary-ip-address}} 255.255.255.0
```

静的ルートの作成を回避するには、VPC 内のサービスネットワークエンドポイントを使用して接続を確立することをお勧めします。詳細については、「[サービスネットワーク VPC エンドポイントの関連付けを管理する](service-network-associations.md#service-network-vpc-endpoint-associations)」を参照してください。

## 「セキュリティグループのルール」
<a name="security-groups-rules"></a>

VPC Lattice をセキュリティグループと一緒に使用してもしなくても、既存の VPC セキュリティグループの設定には影響しません。ただし、独自のセキュリティグループをいつでも追加できます。

**主な考慮事項**
+ クライアントのセキュリティグループルールは、VPC Lattice へのアウトバウンドトラフィックを制御します。
+ ターゲットのセキュリティグループルールは、ヘルスチェックトラフィックを含め、VPC Lattice からターゲットへのインバウンドトラフィックを制御します。
+ サービスネットワークと VPC の関連付けに関するセキュリティグループルールは、VPC Lattice サービスネットワークにアクセスできるクライアントを制御します。
+ リソースゲートウェイのセキュリティグループルールは、リソースゲートウェイからリソースへのアウトバウンドトラフィックを制御します。

**リソースゲートウェイからデータベースリソースに流れるトラフィックの推奨アウトバウンドルール**  
トラフィックがリソースゲートウェイからリソースに流れるには、オープンポートのアウトバウンドルールと、リソースの承認されたリスナープロトコルを作成する必要があります。


| 目的地 | プロトコル | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| {{リソースの CIDR 範囲}} | {{TCP}} | {{3306}} | リソースゲートウェイからデータベースへのトラフィックを許可する | 

**サービスネットワークと VPC の関連付けの推奨されるインバウンドルール**  
クライアント VPCs からサービスネットワークに関連付けられたサービスにトラフィックを流れるには、サービスのリスナーポートとリスナープロトコルのインバウンドルールを作成する必要があります。


| ソース | プロトコル | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| {{VPC CIDR}} | {{listener}} | {{listener}} | クライアントから VPC Lattice へのトラフィックを許可する | 

**クライアントインスタンスから VPC Lattice に流れるトラフィックの推奨されるアウトバウンドルール**  
デフォルトで、セキュリティグループはすべてのアウトバウンドトラフィックを許可します。ただし、カスタムアウトバウンドルールがある場合は、クライアントインスタンスが VPC Lattice サービスネットワークに関連付けられているすべてのサービスに接続できるように、リスナーポートとプロトコルの VPC Lattice プレフィックスへのアウトバウンドトラフィックを許可する必要があります。VPC Lattice のプレフィックスリストの ID を参照することで、このトラフィックを許可できます。


| 目的地 | プロトコル | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| {{VPC Lattice プレフィックスリストの ID}} | {{listener}} | {{listener}} | クライアントから VPC Lattice へのトラフィックを許可する | 

**VPC Lattice からターゲットインスタンスに流れるトラフィックの推奨されるインバウンドルール**  
トラフィックは VPC Lattice から流れるため、クライアントセキュリティグループをターゲットのセキュリティグループのソースとして使用することはできません。VPC Lattice のプレフィックスリストの ID を参照できます。


| ソース | プロトコル | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| {{VPC Lattice プレフィックスリストの ID}} | {{target}} | {{target}} | VPC Lattice からターゲットへのトラフィックを許可する | 
| {{VPC Lattice プレフィックスリストの ID}} | {{health check}} | {{health check}} | VPC Lattice からターゲットへのヘルスチェックトラフィックを許可する | 

## VPC の関連付けのセキュリティグループを管理する
<a name="service-network-security-group"></a>

を使用して、VPC のセキュリティグループ AWS CLI を表示、追加、または更新して、ネットワークの関連付けをサービスできます。を使用する場合 AWS CLI、コマンドはプロファイル用に AWS リージョン 設定された で実行されることに注意してください。別のリージョンでコマンドを実行する場合は、プロファイルのデフォルトのリージョンを変更するか、コマンドに `--region` パラメータを使用します。

開始する前に、サービスネットワークに追加する VPC と同じ VPC でセキュリティグループを作成していることを確認します。詳細については、*「Amazon VPC ユーザーガイド*」の[「セキュリティグループを使用してリソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。

**コンソールを使用して VPC の関連付け作成時にセキュリティグループを追加する方法**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインの **[VPC Lattice]** で、**[サービスネットワーク]** を選択します。

1. サービスネットワークの名前を選択して、その詳細ページを開きます。

1. **[VPC の関連付け]** タブで **[VPC の関連付けを作成]**、**[Add VPC association]** の順に選択します。

1. VPC と最大 5 つのセキュリティグループを選択します。

1. **[Save changes]** (変更の保存) をクリックします。

**コンソールを使用して既存の VPC の関連付けのセキュリティグループを追加または更新する方法**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインの **[VPC Lattice]** で、**[サービスネットワーク]** を選択します。

1. サービスネットワークの名前を選択して、その詳細ページを開きます。

1. **[VPC の関連付け]** タブで関連付けのチェックボックスをオンにして、**[アクション]** 、**[セキュリティグループの編集]** の順に選択します。

1. 必要に応じて、セキュリティグループを追加または削除します。

1. **[Save changes]** (変更の保存) をクリックします。

**を使用して VPC 関連付けを作成するときにセキュリティグループを追加するには AWS CLI**  
[create-service-network-vpc-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-vpc-association.html) コマンドを使用して、VPC の関連付けの VPC の ID と追加するセキュリティグループの ID を指定します。

```
aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier {{sn-0123456789abcdef0}} \
    --vpc-identifier {{vpc-1a2b3c4d}} \
    --security-group-ids {{sg-7c2270198example}}
```

成功すると、コマンドは以下のような出力を返します。

```
{
  "arn": "{{arn}}",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
```

**を使用して既存の VPC 関連付けのセキュリティグループを追加または更新するには AWS CLI**  
[update-service-network-vpc-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/update-service-network-vpc-association.html) コマンドを使用して、サービスネットワークの ID とセキュリティグループの ID を指定します。このセキュリティグループは以前に関連付けられたセキュリティグループを上書きします。リストを更新するときに、1 つ以上のセキュリティグループを定義してください。

```
aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier {{sn-903004f88example}} \
    --security-group-ids {{sg-7c2270198example}} {{sg-903004f88example}}
```

**警告**  
すべてのセキュリティグループを削除することはできません。まず VPC の関連付けを削除し、次にセキュリティグループなしで VPC の関連付けを再度作成する必要があります。VPC の関連付けを削除する際は慎重に行ってください。これはトラフィックがそのサービスネットワーク内のサービスに到達することを防いでいます。