AWS ネットワークACL(NACL)とセキュリティグループ(SG)の違い
ネットワークACL(NACL)はVPCサブネット単位での通信を制御するファイアウォール機能です。
これに対し、セキュリティグループ(SG)はEC2インスタンスなどの通信を制御するファイアウォール機能です。
それぞれの違いは以下となり、既定の動作が異なるため用途に応じて通信制御設定を変更してあげる必要がある。
| NACL | SG | |
| 範囲 | サブネット単位 | セキュリティグループ単位 |
| 既定の動作 | インバウンドもアウトバウンドもすべて許可する | インバウンドはすべて拒否するが、アウトバウンドはすべて許可する |
| ステート | ステートレス(通信の返信も明示的に許可する必要がある) | ステートフル(制御内容にかかわらず許可された通信の返信も許可される) |
| ルールの適用 | 順番にルールを適用する | すべてのルールが評価される |
ネットワークACLとセキュリティグループのイメージと既定の動作イメージ
