Techfirm Cloud Architect Blog

テックファーム株式会社クラウドインフラグループのブログ

マネージドプレフィックスリストを使ってみる

はじめに

セキュリティグループの管理において、こんな風に思ったことはありませんか。

  • 複数のAWSアカウントで、オフィスや拠点などのIPアドレスを一元管理したい
  • 一時的に追加したいIPアドレスがあるけど、セキュリティグループ内に大量のIPアドレスがあり、後日マネジメントコンソールからの削除するのが大変

マネージドプレフィックスリストで解決できるかもしれません。

マネージドプレフィックスリストとは

マネージドプレフィックスリストとは、IPアドレスリストを管理を効率的に管理する仕組みです。
マネージドプレフィックスリストを使用することで複数のCIDRを1つのリストで管理できます。

加えて、後程の応用編で紹介しますが、マネージドプレフィックスリストを親アカウントで管理し、子アカウントに共有するといったことも可能です。
もちろん、親アカウントでマネージドプレフィックスリスト内のCIDRリストを更新した場合は、子アカウントにも自動で反映されます。

使ってみる

マネージドプレフィックスリストの作成

マネジメントコンソールを開き、「VPC」→「マネージドプレフィックスリスト」→ 「プレフィックスリストを作成」を押下します。

「プレフィックスリストを作成」画面にて必要情報を入力します。

  • プレフィックスリスト名
  • 最大エントリ※
  • アドレスファミリー

マネージドプレフィックスリストの作成

※注意点として、最大エントリ数はセキュリティグループに紐づけた場合、セキュリティグループのルール数の加算対象です。
そのため、 最大エントリ数を10とした場合、リスト内に5個のCIDRしか登録していない場合でも10個ルールが登録された扱いになるため、セキュリティグループ内のルール数に注意が必要です。適切な最大エントリ数を指定しましょう。

セキュリティグループへの紐づけ

セキュリティグループへの紐づけはセキュリティグループルールの編集画面で、送信元/送信先をプレフィックスリストから選択します。

セキュリティグループへの紐づけ

送信元/送信先のCIDRが複数の場合でもアドレス情報として操作するのはマネージドプレフィックスリスト1つのみとなるため、操作ミスも起こりずらいですね。

応用編

一時的なIPアドレスの管理を容易にするのみであれば、セキュリティグループを分けて管理し、必要時に付け外しすることで達成できてしまうかと思います。

マネージドプレフィックスリストが本来の力を発揮するのは、管理元の親アカウントでマネージドプレフィックスリストを作成し、複数のAWSアカウントで同じマネージドプレフィックスリストを利用する時です。
詳細な手順は割愛しますが、以下の通りの手順です。(AWS Organizationsを使用していない場合)

  1. 先に記載した手順で共有元の親アカウントでマネージドプレフィックスリストを作成する
  2. 親アカウントでAWS Resource Access Managerを使用し、プレフィックスリストを共有する
  3. 共有先のアカウントのAWS Resource Access Managerに承認依頼が届いているので承認する

後は、セキュリティグループ操作時に「プレフィックスリスト」から選択すればOKです。

詳細は以下のドキュメントを参照ください。