はじめに
セキュリティグループの管理において、こんな風に思ったことはありませんか。
- 複数のAWSアカウントで、オフィスや拠点などのIPアドレスを一元管理したい
- 一時的に追加したいIPアドレスがあるけど、セキュリティグループ内に大量のIPアドレスがあり、後日マネジメントコンソールからの削除するのが大変
マネージドプレフィックスリストで解決できるかもしれません。
マネージドプレフィックスリストとは
マネージドプレフィックスリストとは、IPアドレスリストを管理を効率的に管理する仕組みです。
マネージドプレフィックスリストを使用することで複数のCIDRを1つのリストで管理できます。
加えて、後程の応用編で紹介しますが、マネージドプレフィックスリストを親アカウントで管理し、子アカウントに共有するといったことも可能です。
もちろん、親アカウントでマネージドプレフィックスリスト内のCIDRリストを更新した場合は、子アカウントにも自動で反映されます。
使ってみる
マネージドプレフィックスリストの作成
マネジメントコンソールを開き、「VPC」→「マネージドプレフィックスリスト」→ 「プレフィックスリストを作成」を押下します。
「プレフィックスリストを作成」画面にて必要情報を入力します。
- プレフィックスリスト名
- 最大エントリ※
- アドレスファミリー
※注意点として、最大エントリ数はセキュリティグループに紐づけた場合、セキュリティグループのルール数の加算対象です。
そのため、 最大エントリ数を10とした場合、リスト内に5個のCIDRしか登録していない場合でも10個ルールが登録された扱いになるため、セキュリティグループ内のルール数に注意が必要です。適切な最大エントリ数を指定しましょう。
セキュリティグループへの紐づけ
セキュリティグループへの紐づけはセキュリティグループルールの編集画面で、送信元/送信先をプレフィックスリストから選択します。
送信元/送信先のCIDRが複数の場合でもアドレス情報として操作するのはマネージドプレフィックスリスト1つのみとなるため、操作ミスも起こりずらいですね。
応用編
一時的なIPアドレスの管理を容易にするのみであれば、セキュリティグループを分けて管理し、必要時に付け外しすることで達成できてしまうかと思います。
マネージドプレフィックスリストが本来の力を発揮するのは、管理元の親アカウントでマネージドプレフィックスリストを作成し、複数のAWSアカウントで同じマネージドプレフィックスリストを利用する時です。
詳細な手順は割愛しますが、以下の通りの手順です。(AWS Organizationsを使用していない場合)
- 先に記載した手順で共有元の親アカウントでマネージドプレフィックスリストを作成する
- 親アカウントでAWS Resource Access Managerを使用し、プレフィックスリストを共有する
- 共有先のアカウントのAWS Resource Access Managerに承認依頼が届いているので承認する
後は、セキュリティグループ操作時に「プレフィックスリスト」から選択すればOKです。
詳細は以下のドキュメントを参照ください。