なぜネットワークACLでなくセキュリティグループで細かいトラフィック制御を行なうのか | DevelopersIOVPC内のトラフィック制御設定を行うにあたり、ネットワークACLでもセキュリティグループでも実現できる要件の場合、ネットワークACLでは全トラフィックを許可して、セキュリティグループで細かい設定をすることが多いです。なぜそうしているのかまとめました。 ネットワークACLとセキュリティグループの違い まず表題の理由を述べる前に、ネットワークACLとセキュリティグループの違いを抑えておきましょう。 設定対象 ネットワークACLはサブネット単位で設定します。サブネット以下の全インスタンスが影響を受けます。各サブネットは必ずいずれか一つのネットワークACLと紐付ける必要があります。設定しない場合デフォルトのネットワークACLが勝手に紐付きます。 セキュリティグループはインスタンス単位で設定します。各インスタンスには少なくとも 1 つのセキュリティグループを紐付ける必要があります。言い換えれば複数個
