アップデート
あなたのルールには現在、FAQ に関連する可能性が高い追加のフラグメントがありません。VPC のセキュリティ グループと VPC のネットワーク ACL の違いは何ですか?:
VPC のセキュリティ グループは、Amazon EC2 インスタンスとの間で許可されるトラフィックを指定します。ネットワーク ACL はサブネット レベルで動作し、サブネットに出入りするトラフィックを評価します。ネットワーク ACL を使用して、許可ルールと拒否ルールの両方を設定できます。ネットワーク ACL は、同じサブネット内のインスタンス間のトラフィックをフィルタリングしません。さらに、ネットワーク ACL はステートレス フィルタリングを実行し、セキュリティ グループはステートフル フィルタリングを実行します。[鉱山を強調]
これについては、ステートフル フィルタリングとステートレス フィルタリングの違いは何ですか? でさらに説明されています。:
ステートフル フィルタリングは、要求の発信元を追跡し
、要求に対する応答を発信元のコンピューターに返すことを自動的に許可できます。[...]
一方、ステートレス フィルタリングは、送信元または宛先の IP アドレスと宛先ポートのみを調べ、トラフィックが新しい要求であるか要求への応答であるかを無視します。上記の例では、フィルタリング デバイスに 2 つのルールを実装する必要があります。1 つは、TCP ポート 80 で Web サーバーへの受信トラフィックを許可するルールで、もう 1 つは Web サーバーからの送信トラフィックを許可するルール
です (TCP ポート範囲 49,152 ~ 65,535)。 . [鉱山を強調]
ここで、すべてのアウトバウンド トラフィックを既に許可しているため、これは例のようには当てはまりませんが、同じ問題が逆にも当てはまります。たとえば、EC2 インスタンスから発信された HTTP リクエストの場合、対応する必要があります。概説したインバウンド ルール。詳細については、「ネットワーク ACL内のエフェメラル ポート」セクションを参照してください。
リクエストを開始するクライアントは、エフェメラル ポート範囲を選択します。範囲は、クライアントのオペレーティング システムによって異なります。[...]
VPC 内のインスタンスがリクエストを開始するクライアントである場合、ネットワーク ACL には、インスタンスのタイプ (Amazon Linux、Windows Server 2008 など) に固有のエフェメラル ポート宛てのトラフィックを有効にするインバウンド ルールが必要です。
実際には、VPC 内の公開インスタンスへのトラフィックを開始する可能性のあるさまざまなタイプのクライアントをカバーするには、エフェメラル ポート 1024-65535 を開く必要があります。[...]
解決
したがって、「付録 A: 推奨されるネットワーク ACL ルール」内の「シナリオ 2 の推奨ルール」セクションでは、シナリオに次のインバウンド ルール (OS 依存の例) を提案しています。
Inbound:
0.0.0.0/0 port 49152-65535 (TCP)
この問題が実際に当てはまるかどうかをテストするには、単純にエフェメラル ポート範囲全体を含めます。
Inbound:
0.0.0.0/0 port 1024-65535 (TCP)
最初の回答 (廃止)
ここのパブリック ネットワーク 10.0.0.0/24 には、アプリが http 経由で応答するプライベート ネットワーク 10.0.1.0/24 にトラフィックをリダイレクトする公開されたロード バランサーがあります。
セットアップでは、通常どおりロード バランサーで SSL を終了することをお勧めします。セキュリティ要件の増加を考えると、実際にはバックエンド HTTPS 通信用にもElastic Load Balancingをセットアップしている可能性があります (「アーキテクチャの概要」を参照)。そのため、次の場合に欠落しているものになります。
Inbound:
10.0.0.0/24 port 80 (HTTP)
10.0.0.0/24 port 443 (HTTPS) // <= missing in your example currently!
10.0.0.0/24 port 22 (SSH)
10.0.2.0/24 port 3306 (MySql)
10.0.3.0/24 port 3306 (MySql)
Outbound
ALL ALL