この記事は セゾンテクノロジー Advent Calendar 2024 13日目の記事です。
シリーズ2は HULFT10 のエンジニアによる投稿をお届けします。
はじめに
AWSを利用していると、セキュリティグループやネットワークACLの設定で特定のIPアドレスレンジを許可または拒否する場面が多々あります。
テスト環境を作成する際にAWSと社内環境の接続を行うため、セキュリティグループにいつも決まった何個かの特定のIPを一個一個登録する作業、煩わしいですよね...?
プレフィックスリストはそんなあなた(自分)に向けての機能です。
AWSマネージドプレフィックスリストとは?
AWSが管理するIPアドレスレンジのリストです。
これにより、最新のIPアドレスレンジを手動で更新する必要が無くなります。
例えば、Amazon S3やCloudFront等のサービスに対しアクセスを制限する場合、プレフィックスリストを利用することで簡単に設定が可能です。
カスタマーマネージドプレフィックスリストとは?
その名の通り、ユーザー自身が管理することのできるIPアドレスレンジのリストです。
複数のセキュリティグループやネットワークACLに対して、一貫したIPアドレスレンジの設定を行うことが可能です。
実際に使用してみた
今回は実際にカスタマーマネージドプレフィックスリストを使用して、HULFT10 for Container Servicesの管理画面接続について、セキュリティグループの編集を行ってみようと思います。
HULFT10 for Container Servicesの導入
初回導入部分については割愛します。
詳しくはこちらのマニュアルをご参照ください。
スタートアップガイド(EC2)
スタートアップガイド(Fargate)
カスタマーマネージドプレフィックスリストの作成
VPCダッシュボードからマネージドプレフィックスリストを選択し、プレフィックスリストを作成します。
この時、プレフィックスリストの最大エントリ数を入力する際、注意点として以下が有ります。
リソース内でプレフィックスリストを参照する場合、プレフィックスリストのエントリの最大数は、リソースのエントリの数のクォータに対してカウントされます。例えば、エントリ数が 20 個のプレフィックスリストを作成し、セキュリティグループルール内でそのプレフィックスリストを参照する場合、セキュリティグループの 20 個のルールとしてカウントされます。
-- マネージドプレフィックスリストを使用したネットワーク CIDR ブロックの統合と管理
つまり、最大エントリ数を10にした場合、実際のプレフィックスリストのエントリが1つしかなかった場合でも、セキュリティグループ上ではエントリ数が10としてカウントされてしまうという事です。
セキュリティグループのルールの割り当て数には上限があるため、最大エントリ数を余分に確保したことで上限に引っかからないように注意してください。
プレフィックスリスト作成後はセキュリティグループでプレフィックスリストIDを使用するため、メモに控えておいてください。
セキュリティグループの編集
スタートアップガイドの導入後の設定より、「HULFT10への接続を許可するIPリストの更新」を参考にし、セキュリティグループの編集を行います。
先ほど登録したプレフィックスリストIDをソースに登録します。
接続確認
プレフィックスリストに登録されているIPからHULFT10 for Container Servicesの管理画面へ接続してみます。
管理画面が表示できたので、問題無くIPが登録されていることが確認出来ました。
使ってみた感想
プレフィックスリストは一見地味に見えますが、自分はこの機能のおかげでテスト環境の構築で面倒に感じていた設定がかなり省略できるようになりました。
まだまだAWS機能は知らないものだらけなので、どんなものでもちょっとずつ実験しながら業務に使えそうなものは無いか?をこれからも考えていきたいです。