VPC間接続で他VPCのセキュリティグループID参照ができるケースをまとめてみた
こんにちは。AWS事業本部トクヤマシュンです。
先日同僚と話していた際、セキュリティグループのインバウンドルールまたはアウトバウンドルールに別VPCのセキュリティグループIDを参照できるのはどんなケースなんだっけ?という話題になりました。
恥ずかしながら私もよく理解できていなかったので、あらためて整理した結果を本ブログにまとめます。
はじめにまとめ
結論としては、VPCピアリングによるVPC間通信かつ同一リージョンの場合のみ他VPCのセキュリティグループIDが参照可能です。
参照不可の場合はIPアドレスを用いてセキュリティグループのルールを記載しましょう。
ケースごとの参照可否は次のようになります。
VPCピアリングによるVPC間通信
| 同一リージョン | 別リージョン | |
|---|---|---|
| 同一アカウント | sg-xxxxxxxx の形式で参照可能 | 他VPCのセキュリティグループID参照不可 |
| 別アカウント | 別アカウントID/sg-xxxxxxxx の形式で参照可能 | 他VPCのセキュリティグループID参照不可 |
AWS Transit GatewayによるVPC間通信
いかなる場合でも別VPCのセキュリティグループIDは利用不可です。
次のブログが詳しいです。
別アカウント間VPCピアリング利用時の他VPCセキュリティグループID参照をやってみる
別アカウントとVPCピアリングを構成しているときに他VPCセキュリティグループIDの参照をしたことがなかったので、試してみます。
次のような構成をとって、EC2-①から EC2-②のping疎通を確認します。
はじめに、EC2-②に関連づけられているセキュリティグループのインバウンドルールには何も指定しない状態とします。
この状態ではEC2-①からEC2-②へのpingは通りません。
次にVPC2側のセキュリティグループのインバウンドルールでEC2-①に関連づけられているセキュリティグループからのICMPパケットを許可します。
インバウンドルールのソースには自動でアカウント1のIDが保管されました。
この状態でEC2-①からEC2-②にpingを実行すると、pingが通りました。
このように、同一リージョン間かつVPC Peering経由の通信であれば、他VPCのセキュリティグループIDを使った通信の許可を設定できることが確認できました。
趣味のスパイスカレー
私の趣味はスパイスカレー作りで、ブログに投稿していってます。
相変わらずAWSには全然関係ありませんが、技術ブログの一環としてお付き合いいただけますと幸いです。
- さつまいもとにんじんのココナッツチキンカレー
- エッグカレー
- じゃがいも、オクラ、トマトのサブジ
エッグカレーは以前行ったインド旅行を思い出しながら作りました。
多くの食堂で最も安価なメニューの一つでしたが、なんだかんだどこで食べても抜群に美味しかったなぁ。
インドに行く機会があれば、豪華なカレーも良いですが、素朴なエッグカレーも是非一度ご賞味ください。
まとめ
どのような場合にセキュリティグループのインバウンドルールまたはアウトバウンドルールに別VPCのセキュリティグループIDを利用できるのか整理しました。
結論としては、VPCピアリングによるVPC間通信かつ同一リージョンの場合のみ他VPCのセキュリティグループIDが利用可能です。
本ブログがどなたかの助けになりましたら幸いです。
