SOA#070

  • このトピックには2件の返信、1人の参加者があり、最後にAWSWEBにより1ヶ月前に更新されました。
5件の投稿を表示中 - 1 - 5件目 (全5件中)
  • 投稿者
    投稿
  • #15815
    kakak
    参加者

    `顧客のIPからのトラフィックを許可し、すべてのアウトバウンドトラフィックを拒否するようにELBのセキュリティグループを設定します。
    という選択肢が正解の1つになっています。
    すべてのアウトバウンドを拒否するようなSGをELBにアタッチしてしまうと、ELBからは何も送信ができないため、Webサーバ側には何も送られてこない、ということになるのではないのでしょうか。

    #15819
    AWSWEB
    キーマスター

    コメントありがとうございます。

    WEBサーバー側の制御は、WEBサーバーに設定された SG になりますのでその考えは間違っています。

    セキュリティグループはステートフルになります。インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループルールにかかわらず、流れることができます。顧客の IP アドレスからのトラフィックを許可するために、セキュリティグループのルールを ELB に設定することで、顧客の IP アドレスからのトラフィックのみをウェブサーバー側へ渡すことができます。

    合わせて、説明文をブラッシュアップしました。

    #15853
    kakak
    参加者

    返信ありがとうございます。
    納得しました。勉強になります。

    #15870
    druid3
    メンバー

    同じ質問で疑問を持ったのですが、正解の一つの
    「すべてのアウトバウンドトラフィックを拒否するようにELBのセキュリティグループを設定します。」
    とありますが、セキュリティグループで拒否を明示的に指定することは出来ないのではないでしょうか?

    #15873
    AWSWEB
    キーマスター

    コメントありがとうございます。
    正しい理解でその通りだと思います。

    選択肢に明示的に拒否すると記載がないことから、この問題は以下と考えてください。
    セキュリティーグループは、アウトバウンドトラフィックを明示的に拒否することはできませんが、顧客の IP からのインバウンドのトラフィックのみを許可することで、インバウンドに対するアウトバウンドが抑制されていることになります。

    • この返信は1ヶ月前にAWSWEBが編集しました。
5件の投稿を表示中 - 1 - 5件目 (全5件中)
  • このトピックに返信するにはログインが必要です。