いつも記事を読んでいただきありがとうございます!
モブエンジニア(@mob-engineer)です!
今回はAWSユーザ界隈で少し騒ぎになっているセキュリティグループに関するアップデート情報紹介と実際にハンズオンした感想*に関する紹介記事となります。
本記事は、本日発表された「セキュリティグループの共有機能」に関する紹介記事となります。初心者の方でも気軽に読める内容となっております。
目次
- 対象読者
- 記事を通じて学べること
- アップデート情報紹介
- そもそもセキュリティグループとは
- ハンズオン
- まとめ
対象読者
- セキュリティグループについて知りたい方
- 本日発表されたセキュリティグループの共有機能について知りたい方
- 実際どのように動くのか知りたい方
記事を通じて学べること
- セキュリティグループの基本について知ることができる
- セキュリティグループの共有機能について知ることができる
- 共有機能の動き方を知ることができる
- ブログ執筆/ハンズオンの楽しさを知ることができる
まえおき
いつもの日課でTwitterをチェックしていると、セキュリティグループのアップデートがアツいといった話題が出ていたので、調べてみました。
調べた結果、セキュリティグループの共有機能がリリースされたとのことですので、遊んでみたうえでアウトプットしてみようと思ったのがきっかけです。
アップデート情報紹介(whats-newより抜粋)
AWS では、新しいセキュリティグループ共有機能により、セキュリティグループの管理が容易になりました。セキュリティグループ VPC の関連付けを使用して、セキュリティグループを同じアカウント内の複数の VPC に関連付けることができるようになりました。共有 VPC を使用する場合、共有セキュリティグループを使用して、その共有 VPC の参加者アカウントとセキュリティグループも共有できるようになりました。この機能により、セキュリティ グループの一貫性が向上し、管理者の設定とメンテナンスが簡素化されます。
そもそもセキュリティグループとは(公式ドキュメントより抜粋)
セキュリティグループは、関連付けられたリソースに到達するトラフィックおよびリソースから離れるトラフィックを制御します。例えば、セキュリティグループを EC2 インスタンスに関連付けると、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックが制御されます。
ざっくり言えば、L4での通信制御を行ってくれるセキュリティ機能と思ってもらえれば良いかと思います。ベストプラクティスや考え方のお話をすると、ネットワークに関しても深堀りする必要があるので、次回以降の記事に任せたいと思います。
ハンズオン
今回のハンズオンの進め方として以下の通りです。
- 共有していない場合の挙動確認
- 共有している状態での挙動確認
また、ハンズオンの事前準備として、あらかじめ以下リソースを構築済みです。
構築済みリソース
- VPC2個(hogehoge/hugahuga)
hogehoge設定
hugahuga設定
- EC22台(hogehoge/hugahuga)
hogehoge設定
hugahuga設定
最初にこれからEC2へ紐づけるセキュリティグループを作成していきたいと思います。
- 画面上部の検索ボックスにEC2と入力し、検索結果をクリック
- 左側ペインを少しスクロールしセキュリティグループをクリック
- 画面上部のセキュリティグループを作成ボタンをクリック
- セキュリティグループ作成画面が表示されるためセキュリティグループ名とVPCを選択し、最下部のセキュリティグループの作成ボタンをクリック ※VPCはhogehogeを設定
- 画面上部にセキュリティグループが作成されましたの表示があることを確認 ※現時点では共有機能は利用できない
- 左側ペインのネットワークインターフェースをクリック
- VPC名 hogehgoeに紐づいているネットワークインターフェースIDをクリック ※VPC IDをクリックするとどのVPCと紐づいているか確認できます
- ネットワークインターフェース一覧画面が表示されるため、右上のアクション=>セキュリティグループの変更をクリック
-
セキュリティグループ変更画面が表示さえるため、現在紐づいているセキュリティグループ右側の削除ボタンをクリック
-
-
削除後、検索ボックスをクリックし、先ほど作成したセキュリティグループをクリック
- セキュリティグループを追加ボタンをクリックし、保存ボタンをクリック
- ネットワークインターフェースに紐づいているセキュリティグループが変わりました
では、同じ要領でhugahugaに紐づいているネットワークインターフェースに同じセキュリティグループを紐づけるとどうなるでしょうか?
共有していない場合の挙動確認
違うVPCにセキュリティグループを紐づけることができませんといったエラーが出ましたね。(当たり前ですが......)
これから、セキュリティグループの共有設定を行っていきたいと思います。※現在、セキュリティグループの設定はできないため、キャンセルボタンを押しましょう
- 左側ペインのセキュリティグループをクリック
- 先ほど作成したセキュリティグループのセキュリティグループIDをクリック ※検索ボックスでソートすると検索しやすいです
- セキュリティグループ設定画面が表示されるため、下部の**VPC関連付け -新規-**をクリック
- ポップアップが表示されるため、VPC IDの検索ボックスから紐づけたいVPCをクリックしVPCを関連付けるボタンをクリック ※今回はhugahugaを選択
- 設定したVPC右側に関連付け積みの表示がされていれば、共有機能は有効化(=hogehogeとhugahugaのVPCで利用可能になっている)しています
改めて、hugahugaに紐づいているネットワークインターフェースに紐づけてみましょう
- 共有している状態での挙動確認
問題なく設定できましたね。
ネットワークインターフェース一覧画面からも確認してみましょう。
違うVPCに同じセキュリティグループが紐づいていますね。
無事、共有機能が有効化されていることが確認できました。
まとめ
今回はハンズオン形式でセキュリティグループの新機能について記事をまとめてみました。そのうえで、私が感じたメリットとして次があると思いました。
- 同じセキュリティグループの設定を違うVPCに設定する際、コピペが不要
- セキュリティグループの変更が発生しても、修正が1つのみで済む可能性が高くなる
- セキュリティ設計で検討する要素が減る
割とおいしい要素がたくさんあるなぁと思う反面、紐づけ機能を多用することで逆に管理が煩雑になる場合があるなと感じました。
そのうえで、AWSのアップデート情報をチェックしてハンズオンを行うことは楽しいと思いましたので、引き続きアウトプットを行ってみたいと思います。
参考サイト
[アップデート] セキュリティグループを別の VPC で使えるようになりました
最後まで記事を読んでいただきありがとうございます。新たな発見がありましたら「いいね」とストックをお願いいたします👍