翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Network Load Balancer のセキュリティグループを更新する
<a name="load-balancer-security-groups"></a>

セキュリティグループを Network Load Balancer に関連付けて、Network Load Balancer へのインバウント/アウトバウンドのトラフィックを制御できます。インバウンドトラフィックを許可するポート、プロトコル、ソース、およびアウトバウンドトラフィックを許可するポート、プロトコル、および送信先を指定します。Network Load Balancer にセキュリティグループを割り当てないと、すべてのクライアントトラフィックが Network Load Balancer リスナーに到達し、すべてのトラフィックが Network Load Balancer を離れる可能性があります。

ターゲットに関連付けられたセキュリティグループに、Network Load Balancer に関連付けられたセキュリティグループを参照するルールを追加できます。これにより、クライアントは Network Load Balancer を介してターゲットへトラフィックを送信できるようになりますが、直接ターゲットへ送信することはできません。ターゲットに関連付けられたセキュリティ グループで Network Load Balancer に関連付けられたセキュリティグループが参照されることで、Network Load Balancer に対して[クライアント IP の保存](edit-target-group-attributes.md#client-ip-preservation)を有効にしている場合でも、ターゲットは Network Load Balancer からのトラフィックを確実に受信できます。

インバウンドセキュリティグループルールによってブロックされたトラフィックに対しては料金が発生しません。

**Topics**
+ [考慮事項](#security-group-considerations)
+ [例: クライアントトラフィックのフィルタリング](#filter-client-traffic-recommended-rules)
+ [例: Network Load Balancer からのトラフィックのみを受け入れる](#load-balancer-traffic-only-recommended-rules)
+ [関連付けられたセキュリティグループの更新](#update-security-group)
+ [セキュリティ設定の更新](#update-security-settings)
+ [Network Load Balancer のセキュリティグループを監視する](#monitor-load-balancer-security-groups)

## 考慮事項
<a name="security-group-considerations"></a>
+ Network Load Balancer を作成するときに、セキュリティグループを Network Load Balancer に関連付けることができます。セキュリティグループを関連付けずに Network Load Balancer を作成した場合、後でセキュリティグループを Network Load Balancer に関連付けることはできません。Network Load Balancer を作成するときに、セキュリティグループを Network Load Balancer に関連付けることをお勧めします。
+ セキュリティグループを関連付けて Network Load Balancer を作成した後は、Network Load Balancer に関連付けられたセキュリティグループはいつでも変更できます。
+ ヘルスチェックにはアウトバウンドルールが適用されますが、インバウンドルールは適用されません。アウトバウンドルールがヘルスチェックトラフィックをブロックしないようにする必要があります。そうしないと、Network Load Balancer はターゲットに異常があると見なします。
+ PrivateLink トラフィックがインバウンドルールの対象となるかどうかを制御できます。PrivateLink トラフィックのインバウンドルールを有効にすると、トラフィックの送信元はエンドポイントのインターフェイスではなく、クライアントのプライベート IP アドレスになります。

## 例: クライアントトラフィックのフィルタリング
<a name="filter-client-traffic-recommended-rules"></a>

以下に示すように、Network Load Balancer に関連付けられているセキュリティグループのインバウンドルールでは、指定されたアドレス範囲からのトラフィックのみが許可されます。これが内部の Network Load Balancer の場合には、VPC CIDR 範囲をソースとして指定して、特定の VPC からのトラフィックのみを許可できます。これがインターネット上のどこからでもトラフィックを受け入れる必要があるインターネット向け Network Load Balancer の場合は、ソースとして 0.0.0.0/0 を指定できます。


**インバウンド**  

| プロトコル | ソース | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| protocol | クライアント IP アドレス範囲 | リスナーポート | リスナーポート上の CIDR からのインバウンドトラフィックを許可します | 
| ICMP | 0.0.0.0/0 | すべて | インバウンド ICMP トラフィックが MTU またはパス MTU ディスカバリー † をサポートできるようにします † | 

† 詳細については、「*Amazon EC2 ユーザーガイド*」の「[パス MTU 検出](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery)」を参照してください。


**アウトバウンド**  

| プロトコル | 目的地 | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| すべて | どこでも | すべて | すべてのアウトバウンドトラフィックを許可します | 

## 例: Network Load Balancer からのトラフィックのみを受け入れる
<a name="load-balancer-traffic-only-recommended-rules"></a>

Network Load Balancer に sg-111112222233333 というセキュリティグループがあるとします。ターゲットインスタンスに関連付けられているセキュリティグループで次のルールを使用して、Network Load Balancer からのトラフィックのみを受け付けるようにします。ターゲットがターゲットポートとヘルスチェックポートの両方で Network Load Balancer からのトラフィックを確実に受信できるようにする必要があります。詳細については、「[ターゲットセキュリティグループ](target-group-register-targets.md#target-security-groups)」を参照してください。


**インバウンド**  

| プロトコル | ソース | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| protocol | sg-111112222233333 | ターゲットポート | ターゲットポートの Network Load Balancer からのインバウンドトラフィックを許可します | 
| protocol | sg-111112222233333 | ヘルスチェック | ヘルスチェックポートで Network Load Balancer からの受信トラフィックを許可します | 


**アウトバウンド**  

| プロトコル | 目的地 | ポート範囲 | コメント | 
| --- | --- | --- | --- | 
| すべて | どこでも | いずれか | すべてのアウトバウンドトラフィックを許可します | 

## 関連付けられたセキュリティグループの更新
<a name="update-security-group"></a>

Network Load Balancer の作成時に少なくとも 1 つのセキュリティグループを Network Load Balancer に関連付けていた場合は、その Network Load Balancer のセキュリティグループをいつでも更新できます。

------
#### [ Console ]

**セキュリティグループを更新するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインの [**ロードバランシング**] で [**ロードバランサー**] を選択します。

1. Network Load Balancer を選択します。

1. **[セキュリティ]** タブで、**[編集]** を選択します。

1. セキュリティグループを Network Load Balancer に関連付けるには、そのセキュリティグループを選択します。セキュリティグループを Network Load Balancer から削除するには、そのセキュリティグループを選択解除します。

1. **[Save changes]** (変更の保存) をクリックします。

------
#### [ AWS CLI ]

**セキュリティグループを更新するには**  
[set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html) コマンドを使用します。

```
aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-1234567890abcdef0 sg-0abcdef0123456789
```

------
#### [ CloudFormation ]

**セキュリティグループを更新するには**  
[AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) リソースを更新します。

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-nlb
      Type: network
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup
```

------

## セキュリティ設定の更新
<a name="update-security-settings"></a>

デフォルトでは、Network Load Balancer に送信されるすべてのトラフィックにインバウンドセキュリティグループのルールが適用されます。ただし、重複する IP アドレスから発生する可能性のある Network Load Balancer に送信されるトラフィックには AWS PrivateLink、これらのルールを適用したくない場合があります。この場合、Network Load Balancer に送信されるトラフィックにインバウンドルールを適用しないように Network Load Balancer を設定できます AWS PrivateLink。

------
#### [ Console ]

**セキュリティ設定を更新するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインの [**ロードバランシング**] で [**ロードバランサー**] を選択します。

1. Network Load Balancer を選択します。

1. **[セキュリティ]** タブで、**[編集]** を選択します。

1. **[セキュリティ設定]** で、**[PrivateLink トラフィックにインバウンドルールを適用する]** をオフにします。

1. **[Save changes]** (変更の保存) をクリックします。

------
#### [ AWS CLI ]

**セキュリティ設定を更新するには**  
[set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html) コマンドを使用します。

```
aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --enforce-security-group-inbound-rules-on-private-link-traffic off
```

------
#### [ CloudFormation ]

**セキュリティ設定を更新するには**  
[AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) リソースを更新します。

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-nlb
      Type: network
      Scheme: internal
      EnforceSecurityGroupInboundRulesOnPrivateLinkTraffic: off
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
```

------

## Network Load Balancer のセキュリティグループを監視する
<a name="monitor-load-balancer-security-groups"></a>

`SecurityGroupBlockedFlowCount_Inbound` および `SecurityGroupBlockedFlowCount_Outbound` CloudWatch メトリクスを使用して、Network Load Balancer のセキュリティ グループによってブロックされているフローの数を監視します。ブロックされたトラフィックは他のメトリックには反映されません。詳細については、「[Network Load Balancer の CloudWatch メトリクス](load-balancer-cloudwatch-metrics.md)」を参照してください。

VPC フローログを使用して、Network Load Balancer のセキュリティグループによって承認または拒否されたトラフィックを監視します。詳細については、Amazon VPC ユーザーガイドの [VPC フローログ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)を参照してください。