ネットワーク ACL / セキュリティグループを変更するときに稼働中の環境で通信断が発生するか教えてください

2021.07.30

困っていた内容

ネットワーク ACL / セキュリティグループの変更をしようと考えています。
関連する VPC 上に既存システムが稼働していますので、通信の影響が出ることを懸念しています。

ネットワーク ACL / セキュリティグループの変更時に既存セッションなどの通信断・瞬断は発生するのでしょうか?

どう対応すればいいの?

ネットワーク ACL / セキュリティグループの設定変更時に既存セッションなどの通信断・瞬断が発生することは基本的にありません。

もちろん、設定変更によって許可していた通信をブロックする場合は通信断となります。

参考資料

追跡されていないトラフィックフローは、そのフローを有効にするルールが削除または変更されるとすぐに中断されます。たとえば、オープン (0.0.0.0/0) のアウトバウンドルールがあり、インスタンスへのすべて(0.0.0.0/0) のインバウンドの SSH (TCP ポート 22) トラフィックを許可するルールを削除した場合 (または接続を許可しないように変更した場合)、インスタンスへの既存の SSH 接続はすぐに中断されます。接続はそれまで追跡されていないため、この変更によって接続が切断されます。一方、最初に細かく SSH 接続を許可する (つまり、接続を追跡する) インバウンドルールがあり、現在の SSH クライアントのアドレスからの新しい接続を許可しないようにルールを変更する場合は、ルールを変更しても既存の接続は切断されません。