IBM Cloud Docs
エンドポイント・ゲートウェイで使用する ACL およびセキュリティー・グループの構成

エンドポイント・ゲートウェイで使用する ACL およびセキュリティー・グループの構成

エンドポイント・ゲートウェイで使用するアクセス制御リスト (ACL) およびセキュリティー・グループを構成できます。

エンドポイント・ゲートウェイで使用する ACL の構成

ACL を使用して、Virtual Private Endpoint (VPE) for VPC デプロイメント内のトラフィックを制御できます。 ACL を使用すると、VPE の送受信トラフィックをフィルタリングできます。

仮想プライベート・エンドポイントに対して操作 (作成や更新など) を実行する前に ACL を構成しておくことをお勧めします。 手順については、ネットワーク ACL のセットアップを参照してください。

ACL は、予約済み IP を保持するサブネット上にあり、VPE を作成するエンドポイント・ゲートウェイにバインドされます。 VPE に接続されたエンドポイントがあるサブネットごとに同じルールが必要です。 例えば、3 つの予約済み IP (各ゾーンに 1 つの IP) がエンドポイント・ゲートウェイに接続されているとします。 以下のことが可能です。

  • 3 つのサブネットのそれぞれに同じ ACL を使用します。

OR

  • 3つの異なるサブネットに異なるACLがある場合は、同じVPEに対して、それぞれのACLにルールを設定してください。

エンドポイント・ゲートウェイへのセキュリティー・グループの関連付け

エンドポイント・ゲートウェイにセキュリティー・グループを関連付けて、アプリケーションのセキュリティーを強化します。 その後、これらのセキュリティー・グループを管理し、エンドポイント・ゲートウェイへのインバウンド・トラフィックのセキュリティー・ルールを厳格化できます。

エンドポイント・ゲートウェイの作成時に、セキュリティー・グループを関連付けることができます。 エンドポイント・ゲートウェイの作成後に、エンドポイント・ゲートウェイに関連付けられたセキュリティー・グループを変更できます (例えば、エンドポイント・ゲートウェイのデータ・パスにセキュリティー・グループ・ルールを適用します)。

以下の点に注意してください。

  • セキュリティー・グループを指定せずにエンドポイント・ゲートウェイを作成すると、VPC のデフォルトのセキュリティー・グループがエンドポイント・ゲートウェイに関連付けられます。
  • エンドポイント・ゲートウェイの作成時に、最大 5 つのセキュリティー・グループを指定できます。
  • 既存のセキュリティー・グループをエンドポイント・ゲートウェイに関連付けるには、そのエンドポイント・ゲートウェイをセキュリティー・グループのターゲットの配列に追加します。
  • セキュリティー・グループとエンドポイント・ゲートウェイの関連付けを解除するには、セキュリティー・グループのターゲットの配列からエンドポイント・ゲートウェイを削除します。

新規エンドポイント・ゲートウェイにデフォルトのセキュリティー・グループを使用する予定の場合は、デフォルトのセキュリティー・グループ・ルールを確認してください。 必要に応じて、エンドポイント・ゲートウェイ・トラフィックに対応するようにルールを編集します。

セキュリティー・グループの例

例えば、HTTP リスナー (TCP ポート 80) のポート 80 のすべてのトラフィックを許可する以下のインバウンド・ルールを構成します。

インバウンドルールの設定情報例
プロトコル ソース・タイプ ソース
TCP 任意 0.0.0.0/0 ポート 80