どーも!shihopowerです!今回はVPCマネージドプレフィックスリストについて説明します。SAP対策を行っていて、あまり見慣れない用語に出会いました。知らない用語はそのままスルーするのではなく、しっかり理解して試験に臨もうと思います!この記事を読めば「プレフィックスリスト、完全に理解した」と言えるようになります💪
目次
1. プレフィックスリストとは?
一言で言うと、「CIDRブロックをまとめた名前付きリスト」 です。
たとえば、セキュリティグループのインバウンドルールを設定するとき、許可したいIPアドレスが10個あったとします。これを1つ1つルールに書くのは管理が大変ですよね。
そこで登場するのがプレフィックスリストです。複数のCIDRブロックをリストとして1つのオブジェクトにまとめ、セキュリティグループやルートテーブルからIDで参照できるようになります。
# プレフィックスリストのイメージ
pl-xxxxxxxxx(my-office-ips)
├── 203.0.113.0/24 # 東京オフィス
├── 198.51.100.0/24 # 大阪オフィス
└── 192.0.2.0/24 # 福岡オフィス
このリストを更新するだけで、参照しているすべてのセキュリティグループやルートテーブルに変更が反映されます。
2. 2種類のプレフィックスリスト
プレフィックスリストには大きく2種類あります。
カスタマーマネージドプレフィックスリスト
ユーザー自身が作成・管理するプレフィックスリストです。
| 項目 | 内容 |
|---|---|
| 作成者 | ユーザー自身 |
| 編集 | 可能 |
| 最大エントリ数 | 最大1,000まで設定可 |
| アドレスファミリー | IPv4 または IPv6(混在不可) |
| 共有 | AWS RAM(Resource Access Manager)で他アカウントと共有可 |
| 料金 | 無料 |
エントリを追加・削除するたびにバージョンが更新されます。名前や最大エントリ数の変更ではバージョンは上がりません。また、以前のバージョンにロールバックすることも可能です。
AWSマネージドプレフィックスリスト
AWSが作成・管理するプレフィックスリストです。AWSサービスのIPアドレス範囲が自動的に最新状態に保たれます。
| AWSサービス | プレフィックスリスト名 | ウェイト |
|---|---|---|
| Amazon CloudFront | com.amazonaws.global.cloudfront.origin-facing | 55 |
| Amazon DynamoDB | com.amazonaws.region.dynamodb | 1 |
| Amazon EC2 Instance Connect | com.amazonaws.region.ec2-instance-connect | 2 |
| AWS Ground Station | com.amazonaws.global.groundstation | 5 |
| Amazon Route 53 | com.amazonaws.region.route53-healthchecks | 25 |
| Amazon S3 | com.amazonaws.region.s3 | 1 |
| Amazon S3 Express One Zone | com.amazonaws.region.s3express | 6 |
| Amazon VPC Lattice | com.amazonaws.region.vpc-lattice | 10 |
ウェイト(重み)に注意!
AWSマネージドプレフィックスリストには「ウェイト」という概念があります。これはリソースが消費するルール数を表します。たとえばCloudFrontのウェイトは55です。セキュリティグループのデフォルトクォータは60ルールなので、CloudFrontのプレフィックスリストを追加すると残り5ルールしか使えなくなります。クォータの引き上げが必要なケースもあるので注意しましょう。
AWSマネージドプレフィックスリストは作成・変更・削除・共有が不可です。参照して使うだけです。
3. どこで使えるの?(対応リソース)
プレフィックスリストは以下のリソースで参照できます。
| リソース | 使い方 |
|---|---|
| VPCセキュリティグループ | インバウンド/アウトバウンドルールのソース・デスティネーションに指定 |
| VPCサブネットルートテーブル | ルートのデスティネーションに指定 |
| Transit Gatewayルートテーブル | ルートのデスティネーションに指定 |
ゲートウェイルートテーブルではプレフィックスリストを参照できません。また、既存のセキュリティグループルールをプレフィックスリスト参照に変更することはできず、新しいルールを追加する必要があります。
4. プレフィックスリストを使うメリット
✅ CIDRを一元管理できる
プレフィックスリストを更新するだけで、参照しているすべてのセキュリティグループ・ルートテーブルに変更が自動反映されます。CIDRを個別に何十か所も修正する手間がなくなります。
✅ 複数アカウントで共有できる(AWS RAM)
AWS Resource Access Manager(RAM)を使ってプレフィックスリストを他のAWSアカウントと共有できます。組織全体で共通のIPリストを一元管理し、一貫したセキュリティポスチャを維持できます。
✅ AWSサービスのIPを手動管理しなくてよい
AWSマネージドプレフィックスリストを使えば、CloudFrontやS3などのIPレンジをAWSが自動更新してくれます。「いつの間にかIPが変わって通信できなくなった」というトラブルを防げます。
5. SAP対策として押さえておきたいポイント
SAP(AWS Certified Solutions Architect - Professional)の対策を進める中で、以下のポイントが重要だと感じました。
重要ポイントまとめ
| ポイント | 覚えておくこと |
|---|---|
| 用途 | セキュリティグループ・ルートテーブル・TGWルートテーブルで使用可能 |
| 種類 | カスタマーマネージド vs AWSマネージドの違いを区別できるようにする |
| 共有方法 | AWS RAMを使って他アカウントと共有できる |
| ウェイト | AWSマネージドリストはウェイト分のルール枠を消費する(クォータ注意) |
| 料金 | 追加料金なし |
| 制約 | ゲートウェイルートテーブルでは使用不可 |
| バージョン管理 | エントリ変更でバージョンが上がる。以前のバージョンにロールバック可能 |
シナリオ例
- 「複数のVPCやアカウントで同じCIDRブロックセットを管理したい」→ カスタマーマネージドプレフィックスリスト + AWS RAM
- 「CloudFrontのIPからのみトラフィックを許可したい」→ AWSマネージドプレフィックスリスト(CloudFront)をセキュリティグループに設定
- 「Transit Gatewayのルートテーブルを効率的に管理したい」→ プレフィックスリストをTGWルートテーブルのデスティネーションに指定
6. まとめ
| カスタマーマネージド | AWSマネージド | |
|---|---|---|
| 作成者 | ユーザー | AWS |
| 編集 | ○ | ✕ |
| 共有(RAM) | ○ | ✕ |
| IPの自動更新 | ✕(手動) | ○(自動) |
| 料金 | 無料 | 無料 |
プレフィックスリストは「CIDRをまとめて、使いまわす」ための仕組みです。複数アカウント・複数VPCにまたがる運用効率化のシナリオでも活用できるため、AWS RAMとの組み合わせもセットで理解しておくと良さそうです!
最後まで読んでいただきありがとうございました🙌
参考