操作
開発実装 #59
未完了開始日:
2024-01-22
期日:
2024-02-01 (約9ヶ月 遅れ)
進捗率:
0%
予定工数:
説明
セキュリティグループとは¶
- セキュリティグループはインスタンス単位で設定する。
- AWS 上のリソースに関連づけることが可能であり、リソースレベルでの通信を制御する。
- 通信状態を記録して、ステートフルな動作(発生した通信に対する応答は自動で許可)する。
ネットワークACLとは¶
- ネットワークACLは サブネット単位で全インスタンスに適用するファイアウォール機能
- システムやファイル、ネットワーク上のリソースなどへのアクセス可否の設定をリストにして制御する。
- 通信状態を記録しないため、ステートレス(発生した通信に対する応答は明示的に許可しないといけない)となる。
- インバウンドとアウトバウンドの通信制御設定を明示的に設定する必要性がある。
採用¶
- 結論「セキュリティグループを採用」
- セキュリティグループはデフォルト通信拒否ルールである。
- 今回のインフラ構築ではリソースに対しての通信制御で十分に対応可能である、と判断した。
- ネットワークACLはネットワークACLでは同一サブネット内の通信制御設定ができない。
- セキュリティグループは送信元/先ルールをセキュリティグループIDで設定できる。
参考¶
Lunatic1998 さんが8ヶ月前に更新
memo¶
https://zenn.dev/link/comments/47b57813a4e153
TerraformでApply時にエラーが発生¶
malformed = 奇形
という意味であるので、IPの設定が間違っている
Error: creating Security Group (nat): InvalidVpcId.Malformed: The vpc ID '192.168.1.0/24' is malformed
│ status code: 400, request id: cbb561c3-a3b8-4cc3-b202-5f2cb744a03d
│
│ with module.firewall.aws_security_group.nat,
│ on firewall/main.tf line 86, in resource "aws_security_group" "nat":
│ 86: resource "aws_security_group" "nat" {
- そもそもIPではなく、対象VPCを定義したIDを引き渡すべきだった。
- よくエラーを見ていると、IDが奇形であると記載している。 ```
操作