シナリオ2に従って作成されたVPCがあります:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html
パブリックサブネットにインスタンスを作成するとき、次の選択肢があります。
1-パブリックIPをインスタンスに関連付けない
2-インスタンスの再起動時に変更される可能性のあるパブリックIPの関連付け
3- ElasticIPの関連付け
私の質問は、パブリックサブネットにインスタンスを作成するが、パブリックIPなし(オプション1)でインスタンスを作成することと、プライベートサブネットにインスタンスを作成することのセキュリティ上の違いは何ですか?プライベートインスタンスがNATの背後にあることは知っていますが、これは本当に関連するセキュリティ層を追加しますか?健全なセキュリティグループに属するパブリックIPがないパブリックインスタンスで保護されているのではないでしょうか。
AWSのプライベートサブネットとパブリックサブネットの違いについては、この回答を確認してください。
要するに、違いはネットワーク層にあり、結果として生じるセキュリティ体制は似ています。パブリックにルーティング可能なアドレスのないパブリックサブネット上のインスタンスは、セキュリティグループが許可している場合でも、インバウンド接続を受信したり、EIPアドレスが接続されていないアウトバウンド接続を確立したりすることはできません。(したがって、たとえば、インスタンスにSSHで接続するためだけにEIPをアタッチする必要があります。)実際には、これは包括的なブロックですが、NATを使用すると、通常のようにアクセスを微調整できます。
インスタンスアドレッシングの詳細については、AWSユーザーガイドをご覧ください。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加