CDKで作成したALBのSGにて意図しない「0.0.0.0/0」のインバウンドルールが付与されている

CDKで作成したALBのSGにて意図しない「0.0.0.0/0」のインバウンドルールが付与されている

#Security Group
#Application Load Balancer(ALB)
#AWS CDK
こーへい

こーへい

facebook logohatena logotwitter logo
Clock Icon2025.01.09

こんにちはこーへいです!

今回はCDKで作成したALBのセキュリティグループにて意図していないインバウンドルールが追加されていたので確認した結果を共有します。

結論

addListener」メソッドの「open」プロパティが原因です。このルールが不要な場合は明示的にopenの値をfalseに変更しましょう。

以下はopenプロパティの説明を引用したものです(※機械翻訳)。

誰でもこのリスナーに接続できるようにします。 これを指定すると、リスナーは誰でもアクセスできるようになります。 内部ロードバランサーの場合は、同じ VPC 内の誰でもです。 もしこのロードバランサにアクセスできる人をもっと選別したければ、 これを false にして、リスナーのコネクションオブジェクトを使ってリスナーへの アクセスを選別して許可してください。

デフォルトではopenプロパティはtrueで設定されているため、自動的にSGのインバウンドルールにリスナーポートとプロトコルに対応した「0.0.0.0/0」からアクセス可能なルールが追加されています。

    const appAlbListener = appAlb.addListener('AppAlbListener', {
      port: 8443,
      protocol: elbv2.ApplicationProtocol.HTTP,
      // open: false,
    });

貼り付けた画像_2025_01_09_10_06

    const appAlbListener = appAlb.addListener('AppAlbListener', {
      port: 8443,
      protocol: elbv2.ApplicationProtocol.HTTP,
      open: false,
    });

にするとインバウンドルールも消えます。

Share this article

facebook logohatena logotwitter logo

関連記事

特定のセキュリティグループ・ポートが変更されたことをカスタマイズした日本語メールで通知してみた

特定のセキュリティグループ・ポートが変更されたことをカスタマイズした日本語メールで通知してみた

User avatar
おつまみ
2024.10.11
블로그 릴레이 - 보안 그룹 설계시 고려하면 좋은 점

블로그 릴레이 - 보안 그룹 설계시 고려하면 좋은 점

User avatar
NuNu
2024.09.20
セキュリティグループの変更・追加・削除を Microsoft Teams に通知する仕組みをCloudFormationでテンプレート化してみた

セキュリティグループの変更・追加・削除を Microsoft Teams に通知する仕組みをCloudFormationでテンプレート化してみた

User avatar
おつまみ
2024.07.16
「ハンズオン: Splunkと Splunk's AWS Add-OnによるEC2データの活用方法」というタイトルでClassmethod Odysseyに登壇しました #cm_odyssey

「ハンズオン: Splunkと Splunk's AWS Add-OnによるEC2データの活用方法」というタイトルでClassmethod Odysseyに登壇しました #cm_odyssey

User avatar
HemanthKumar R
2024.07.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.