AWSのネットワークACLとセキュリティグループの違いについて説明します。
ネットワークACL
ネットワークアクセスコントロールリスト (ACL) は、サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。
ネットワーク ACL では、ステートレスパケットフィルタリングが実行されます。処理情報が保存されないため、送信パケットと受信パケットの両方に適用されます。
デフォルトのネットワーク ACL は、全てのインバウンドトラフィックとアウトバウンドトラフィックを許可します。独自のルールを追加して、この設定を変更することもできます。
カスタムネットワーク ACL は、許可するトラフィックを指定するルールを追加するまでは、すべてのインバウンドトラフィックとアウトバウンドトラフィックが拒否されます。
セキュリティグループ
セキュリティグループは、EC2 インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。
同一サブネット内の通信はセキュリティグループのみが適用されます。
セキュリティグループでは、ステートフルパケットフィルタリングが実行されます。処理情報が保存されるため、送信パケットのみに適用されます。受信パケットに対する通信は自動的に開放されます。
デフォルトのセキュリティグループは、全てのインバウンドトラフィックを拒否し、全てのアウトバウンドトラフィックを許可します。独自のルールを追加して、この設定を変更することもできます。