VPC間接続で他VPCのセキュリティグループID参照ができるケースをまとめてみた

こんにちは。AWS事業本部トクヤマシュンです。

先日同僚と話していた際、セキュリティグループのインバウンドルールまたはアウトバウンドルールに別VPCのセキュリティグループIDを参照できるのはどんなケースなんだっけ？という話題になりました。
恥ずかしながら私もよく理解できていなかったので、あらためて整理した結果を本ブログにまとめます。

はじめにまとめ

結論としては、VPCピアリングによるVPC間通信かつ同一リージョンの場合のみ他VPCのセキュリティグループIDが参照可能です。
参照不可の場合はIPアドレスを用いてセキュリティグループのルールを記載しましょう。

ケースごとの参照可否は次のようになります。

VPCピアリングによるVPC間通信

	同一リージョン	別リージョン
同一アカウント	sg-xxxxxxxx の形式で参照可能	他VPCのセキュリティグループID参照不可
別アカウント	別アカウントID/sg-xxxxxxxx の形式で参照可能	他VPCのセキュリティグループID参照不可

AWS Transit GatewayによるVPC間通信

いかなる場合でも別VPCのセキュリティグループIDは利用不可です。
次のブログが詳しいです。

別アカウント間VPCピアリング利用時の他VPCセキュリティグループID参照をやってみる

別アカウントとVPCピアリングを構成しているときに他VPCセキュリティグループIDの参照をしたことがなかったので、試してみます。
次のような構成をとって、EC2-①から　EC２-②のping疎通を確認します。

はじめに、EC2-②に関連づけられているセキュリティグループのインバウンドルールには何も指定しない状態とします。

この状態ではEC2-①からEC2-②へのpingは通りません。

次にVPC2側のセキュリティグループのインバウンドルールでEC2-①に関連づけられているセキュリティグループからのICMPパケットを許可します。

インバウンドルールのソースには自動でアカウント1のIDが保管されました。

この状態でEC2-①からEC2-②にpingを実行すると、pingが通りました。

このように、同一リージョン間かつVPC Peering経由の通信であれば、他VPCのセキュリティグループIDを使った通信の許可を設定できることが確認できました。

趣味のスパイスカレー

私の趣味はスパイスカレー作りで、ブログに投稿していってます。
相変わらずAWSには全然関係ありませんが、技術ブログの一環としてお付き合いいただけますと幸いです。

• さつまいもとにんじんのココナッツチキンカレー
• エッグカレー
• じゃがいも、オクラ、トマトのサブジ

エッグカレーは以前行ったインド旅行を思い出しながら作りました。
多くの食堂で最も安価なメニューの一つでしたが、なんだかんだどこで食べても抜群に美味しかったなぁ。
インドに行く機会があれば、豪華なカレーも良いですが、素朴なエッグカレーも是非一度ご賞味ください。

まとめ

どのような場合にセキュリティグループのインバウンドルールまたはアウトバウンドルールに別VPCのセキュリティグループIDを利用できるのか整理しました。
結論としては、VPCピアリングによるVPC間通信かつ同一リージョンの場合のみ他VPCのセキュリティグループIDが利用可能です。
本ブログがどなたかの助けになりましたら幸いです。