AWS EC2アクセス制限について

AWSにて
・Webサーバー（ec2）
・APIサーバー（ec2）
・DBサーバー（RDS）
という構成でシステム開発を行っています。

やりたい事はAPIサーバーのアクセスを「From＝Webサーバー（https）」に限定するというものでして、
その為に
①APIサーバーのセキュリティグループのインバウンドルールにWebサーバーのセキュリティグループIDを設定
したのですが

これをするとWebサーバー→APIサーバーへのアクセスができなくなります。

一方で、
②APIサーバーのセキュリティグループのインバウンドルールにWebサーバーのIPアドレスを設定
するとWebサーバー→APIサーバーへのアクセスはできます。（アクセス制限設定ができています）

ちなみに、
③DBサーバーのセキュリティグループのインバウンドルールにAPIサーバーのセキュリティグループIDを設定
すると問題なく、「From=APIサーバー」でアクセス制限ができます。（これはいつもやっている事です）

短期的には②でも運用上の問題はないのですが、長期的に考えると①を実現したく
解決策をご存知の方がいらっしゃいましたらご教授頂きたく、何卒宜しくお願い致します。

追記：
「ALB→EC2」や「EC2→RDS」のアクセス制限にてセキュリティグループIDを設定する事
はいつもやっているのですが
「EC2→EC2」のアクセス制限は初めてのトライでして、そもそも「EC2→EC2」では
セキュリティグループIDを用いたアクセス制限ができないなどの制約があるようでしたら
そういった事もご教授頂けると幸いです。

mike2mike4

2022/05/02 10:19

webサーバーをパブリックにしてALBを使わない設計だと、ポート変えるか両者にSSL入れるしかないのでは？

notoyama

2022/05/03 01:23

ありがとうございます！ APIサーバー用の内部ALBを立ててその下にEC2をぶら下がる手法を試してみたいと思います！

行動規範の内容に同意します

回答1件

ベストアンサー

できないわけではないので、単に設定を誤っている可能性が高いです。

②のときの設定内容はインバウンドにIPを設定したとしたか書いていませんが、設定したポートやプロトコルなどをより詳細に書いてください。（スクリーンショットが一番早いです）
また、②で設定したIPはパブリックかプライベートかどちらでしょうか。
①の設定だと確かパブリックIPによるアクセスはできないと思います。
ドキュメントに記載が見つかりませんでしたが、手元で一応確認した限りではできませんでした（記載している箇所があればだれか教えてください…）
EC2インスタンス間のアクセスをHTTPSにしようとしているということは恐らくパブリックIPでインターネットを経由してアクセスしているのでしょうかね。
③が可能なのは、AWS内でRDSのエンドポイントを指定してアクセスすると通常プライベートネットワークでのアクセスになるからです。

AWS内の通信で済むところをわざわざインターネットを経由してアクセスする必要がないので、可能であればWEB→APIのアクセスをプライベートネットワーク内のものにしてはどうでしょうか。
その際は外部に出ない通信になるのでHTTPSである必要はあまりありません（要件次第ではあります。）
APIサーバーにインターネットからアクセスさせる用途があるのならもうちょっと込み入った話になりそうですが。

投稿2022/05/02 11:57

yu_1985

総合スコア7447

notoyama

2022/05/02 14:05

yu1985様ご回答ありがとうございます。＞②のときの設定内容はインバウンドにIPを設定したとしたか書いていませんが、設定したポートやプロトコルなどをより詳細に書いてください。（スクリーンショットが一番早いです）また、②で設定したIPはパブリックかプライベートかどちらでしょうか。 → https / TCP / 443 という設定値でIPアドレスはパブリックとなります。＞EC2インスタンス間のアクセスをHTTPSにしようとしているということは恐らくパブリックIPでインターネットを経由してアクセスしているのでしょうかね。 →はい。ご認識の通りです。＞③が可能なのは、AWS内でRDSのエンドポイントを指定してアクセスすると通常プライベートネットワークでのアクセスになるからです。 →なるほどそうなのですね。全く意識したことがありませんでした。　となると＞AWS内の通信で済むところをわざわざインターネットを経由してアクセスする必要がないので、可能であればWEB→APIのアクセスをプライベートネットワーク内のものにしてはどうでしょうか。　これにも通ずる話になるとは思うのですが　WEB→APIのアクセスをプライベートネットワーク内で完結させるようにすれば　セキュリティグループIDでの設定が効くようになる、という事でしょうか？　もしその認識が正しいようでしたら是非これで進めたく、可能でしたら参考となるURLなどを教えて頂けないでしょうか？（この後調べてみます）お忙しい中ご回答頂き本当にありがとうございます！

yu_1985

2022/05/02 18:11

特にこれを参考にするみたいなのはないですが、接続時にプライベートIPを指定すれば良いです。そうすると証明書に困ると思いますが、前述の通りプライベートネットワーク内の接続なのでHTTPでもそこまで大きな問題にはなりません。 IPではなくドメインで指定したければRoute53のプライベートホストゾーンで設定してください https://dev.classmethod.jp/articles/route53-private-hostzone-beginner/ 内部ALBを使えるならそれでHTTPS化することもできます。 https://dev.classmethod.jp/articles/internal-alb-https/

notoyama

2022/05/03 01:28

ありがとうございます！昨晩後者のページを見つけ、本日試してみようと思っていたのですが、ご記載頂いた前者のページの内容の方が早くできそうなので、この後試してみたいと思います。情報本当にありがとうございます！

notoyama

2022/05/06 02:58

最終的にAPIサーバーをプライベートサブネット配下で稼働させるようにし、インターネットからAPIサーバーに直接アクセスできないようにする、という当初要件を実現する事ができました。これまでサブネットがパブリックかプライベートかという事を意識した事がなかったのでとてもよい機会となりました。（プライベートサブネットからだとSESやS3への接続方法も変わるのですね）お忙しい中貴重なアドバイスを頂きありがとうございました。

行動規範の内容に同意します