ネットワーク ACL とセキュリティ グループのステートフル/ステートレスの性質を知っています。また、ネットワーク ACL がサブネットに関連付けられているのに対し、セキュリティ グループはインスタンスに関連付けられていることも知っています。
上記の 2 つは、セキュリティ ポリシーをエンコードする必要がある最も顕著な違いです。
ただし、一方が他方よりも優れていることが明確にわかるユースケースはありますか?
たとえば、現在、踏み台ホストのネットワーク セキュリティをロックダウンすることを考えています。これをセキュリティ グループ sg_A {イングレス トラフィック用に既知の IP 範囲のセットから 22 のみを許可} にエンコードし、sg_A を踏み台インスタンスに関連付けることができます。また、それをネットワーク ACL net_acl_B {入力トラフィック用に既知の IP 範囲のセットから 22 のみを許可} にエンコードし、net_acl_B を踏み台インスタンスが配置されているサブネットに関連付けることもできます。