使い道
マネージドプレフィックスリストとは、簡単に言うとIPアドレスをグループ化して、セキュリティグループなどで指定できるようにするものです。
例えば以下の画像のような通信要件があったとします。
クライアントや、他の協力会社が特定の端末で通信したいというよくあるパターンです。
普段ならEC2やRDSにアタッチされているセキュリティグループ1つ1つに、通信元IPを許可するルールを追加すると思います。
ですがたまに、接続元の拠点まるごとIPが変わる時があったりします。
その時、例で挙げてる4つのIP全て変わった場合に、関連しているセキュリティグループ全てに反映するのは、数によってはミスや漏れが発生する可能性が出てきます。
こういったケースに対応するため、マネージドプレフィックスリストを利用することでミスや手間を無くすことが出来ます。
イメージとしては以下のような感じになります。
接続元IPをグループ化し、そのグループとしてセキュリティグループで許可しておくことで、
許可するルールは1つで済むし、接続元IPに変更があった場合も、マネージドプレフィックスリストの変更だけで済むようになります。
イメージが付いたでしょうか?
実際にやってみる
やり方は非常に簡単です。
VPCの画面にマネージドプレフィックスリストがあるので選択して、画面右上の「プレフィックスリストを作成」を選択。
今回は、接続元IPを例で4つ出したので、最大エントリを「4」とし、CIDRブロックに接続元IPを記載していきます。
説明欄にどこのIPか書いておくと分かりやすいですね。
この設定で保存します。
あとは許可したいセキュリティグループのソースに作成したプレフィックスリストを指定して保存してあげれば、
プレフィックスリスト内に定義されたIPアドレスを許可してくれます。
まとめ
マネージドプレフィックスリストは通信に使用するIPアドレスをまとめてくれる。
接続元拠点ごとにまとめておけば、まとめて変更があった場合の対応が最小限の変更で済む。
環境の規模や要件により使用有無を決めるのがよさそうです。
以上!!