awsロードバランサの背後にあるec2インスタンスへのインバウンド通信用にIPをホワイトリストすることは可能ですか？

Question

私は、awsのエラスティックロードバランサの後ろにあるウェブサイトを実行しているec2インスタンスを1つ持っています。主に、httpsにAmazonの新しい無料のSSLを使用したいからです。

私の挑戦は、セキュリティグループで自分のIPアドレスをホワイトリストに登録して、私がこのウェブサイトを見ることができる唯一の人（必要に応じて選択的に人を追加することができます）です。

ロードバランサなしで自分のIPアドレスをホワイトリストに登録できました。私の挑戦は私のIPアドレスと私のec2インスタンスの間にロードバランサプロキシで私のIPアドレスをリストしている白です。

my ec2のセキュリティグループが自分自身以外のIPアドレスからの着信トラフィックを許可しないため、my ec2インスタンスがロードバランサに登録されていないかのように見えます。

ロードバランサが自分のec2をヘルスチェックできるようにしていますが、特定のホワイトリストに登録されたipsが実際にウェブサイトを参照できるようにする方法を探しています。

Answer 1

VPCを使用している場合は、セキュリティグループがロードバランサに接続されます。これでIPアドレスをホワイトリストに登録します。 EC2サーバーは、Load Balancerのセキュリティー・グループをホワイトリストに登録するだけです。

あなたはこのようにそれを可視化することができます。

あなたのIP - >セキュリティグループ1 - >ロードバランサ - > [セキュリティグループ2 - > EC2インスタンス（複数可）

セキュリティグループ1は、IPアドレスが検証さロードバランサへのトラフィックを許可します。 Load Balancerは、プール内のインスタンスの1つにトラフィックを送信します。セキュリティグループ2は、トラフィックがホワイトリストに登録されているセキュリティグループ1（ロードバランサ）に属するものから来ていることを確認し、EC2インスタンスに渡すことを許可します。

Answer 2

EC2のセキュリティグループを変更して、ロードバランサに割り当てられたセキュリティグループからのポート80での着信HTTP接続を許可することで、この問題を解決できました。

それから私のロードバランサ自体はどこからでもポート80で着信HTTPトラフィックを許可します。

ここでは、IPやセキュリティグループからの着信接続を許可することができます。