AWS Global Acceleratorは、主に弾性ネットワークインターフェイス(ENIS)を介してセキュリティグループと対話します。VPCでIPアドレス管理とトラフィックルーティングのために作成します。セキュリティグループがグローバルアクセラレータとどのように機能するかについての詳細な説明を次に示します。
弾性ネットワークインターフェイスとセキュリティグループ
-Global Acceleratorは、エンドポイントが登録されているサブネットごとに1つの弾性ネットワークインターフェイスを作成します。これらのENIは、トラフィックルーティングを処理するが、単一のホストまたはボトルネックを表すものではない論理インターフェイスです。それらは、水平にスケーリングされ、非常に利用可能なサービスの一部です[2] [5]。
- 同じVPC内のグローバルアクセラレータによって作成されたすべてのENIは、グローバルアクセラレータがそのVPCに対して自動的に作成する単一のセキュリティグループを共有しています。これは、どのサブネットが関連付けられているかに関係なく、同じセキュリティグループを使用していることを意味します[2]。
- グローバルアクセラレータによって作成されたセキュリティグループは、アクセルの背後にあるエンドポイントに流れるトラフィックを制御します。変更がエンドポイントの健康問題を引き起こす可能性があるため、このセキュリティグループのルールを変更しないでください。アクセスを調整する必要がある場合は、AWSサポートに連絡することをお勧めします[2]。
エンドポイントでセキュリティグループを使用
- グローバルアクセラレータセキュリティグループを、エンドポイントのセキュリティグループのソースグループとして使用できます(EC2インスタンス、ネットワークロードバランサー、アプリケーションロードバランサーなど)。これにより、アクセスを制限することができ、グローバルアクセラレータを通過するトラフィックのみが許可され、他のソースからのエンドポイントへの直接アクセスを効果的にブロックすることができます[2] [8]。
- たとえば、アプリケーションロードバランサー(ALB)にグローバルアクセラレータからのみトラフィックを受け入れるようにしたい場合は、Global Accelerator Security Groupからのみインバウンドトラフィックを許可するようにALBのセキュリティグループを構成できます。このセットアップは、エンドポイントへのすべてのトラフィックがグローバルアクセラレータを介してルーティングされるようにすることにより、セキュリティを強化します[8]。
IPアドレス管理とセキュリティグループ
-Global Acceleratorは、アクセラレータに関連付けられている静的なAnycast IPアドレスを提供します。これらのIPは、VPCサブネットのENISによって正面にあります。これらのENISに添付されたセキュリティグループは、エンドポイントに到達するトラフィックを管理します[4] [9]。
- プライベートサブネットにエンドポイントを備えたグローバルアクセラレータを使用する場合、VPCにインターネットゲートウェイが接続されている必要があります。エンドポイントのセキュリティグループは、適切な接続性を確保するために、グローバルアクセラレータセキュリティグループまたは静的IPアドレスからのインバウンドトラフィックを許可するように構成する必要があります[5]。
クライアントIPアドレスの保存とセキュリティグループ
- 特定のエンドポイントタイプ(アプリケーションロードバランサー、セキュリティグループを備えたネットワークロードバランサー、およびEC2インスタンス)について、グローバルアクセラレータは元のクライアントIPアドレスを保存できます。これをサポートするために、グローバルアクセラレータによって作成されたENIが使用され、セキュリティグループはそれに応じてトラフィックを許可する必要があります[5] [6]。
- エンドポイントのセキュリティグループは、グローバルアクセラレータによって転送されるトラフィックを含む、インスタンスに到着するすべてのトラフィックに適用されます。したがって、セキュリティグループがグローバルアクセラレータENISまたは関連するIP範囲からのトラフィックを許可することを確認する必要があります[5]。
ベストプラクティス
- グローバルアクセラレータによって作成されたセキュリティグループを手動で変更しないでください。代わりに、エンドポイントセキュリティグループを構成して、グローバルアクセラレータセキュリティグループからのトラフィックをソースとして許可します。
- エンドポイントにプライベートサブネットを使用して、トラフィックを制限してグローバルアクセラレータのみを介してセキュリティを強化します。
-VPCがサブネットに十分なIPアドレス容量があることを確認して、グローバルアクセラレータが作成するENISに対応します。
- グローバルアクセラレータを介して厳密にエンドポイントへのアクセスを制限する場合は、グローバルアクセラレータセキュリティグループのみをソースとして許可して、エンドポイントセキュリティグループを構成します[2] [3] [8]。
要約すると、Global Acceleratorは、VPCの弾性ネットワークインターフェイスを介してIPアドレスを管理し、それぞれがVPCあたりのグローバルアクセラレータ作成セキュリティグループに関連付けられています。このセキュリティグループは、エンドポイントへのトラフィックフローを制御するために使用されます。このグループからのトラフィックを許可するようにエンドポイントセキュリティグループを構成して、グローバルアクセラレータを介したクライアント要求の安全で信頼できるルーティングを確保する必要があります。グローバルアクセラレータセキュリティグループの変更は、エンドポイントの健康問題を避けるために落胆しています。代わりに、グローバルアクセラレータトラフィックのみへのアクセスを制限するために、独自のセキュリティグループのソースとして使用します。
引用:
[1] https://docs.aws.amazon.com/global-accelerator/latest/dg/best-practices-aga.html
[2] https://docs.aws.amazon.com/global-accelerator/latest/dg/security.html
[3] https://repost.aws/knowledge-center/globalaccelerator-limit-endpoint-access-by-securitygroup
[4] https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html
[5] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoints.sipp-caveats.html
[6] https://docs.aws.amazon.com/global-accelerator/latest/dg/preserve-client-ip-address.html
[7] https://support.huaweicloud.com/eu/usermanual-ga/global%20Accelerator%20user%20Guide-pdf.pdf
[8] https://repost.aws/questions/qufcukxyddtttw8_ug0vcbug/global-accelerator-with-Alb-endpoint
[9] https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html
[10] https://tutorialsdojo.com/aws-global-accelerator/