PeeringしたVPC間でのSecurityGroupの参照

More than 3 years have passed since last update.

Peering接続したVPC間の通信制御ではSecurityGroupの送信元/送信先にIPアドレスまたはネットワークアドレスを記述する必要がありましたが、Peering先VPCに作成したSecurityGroupを指定することが可能になったようです。(ソース


検証

実際に試してみました。

まずはVPC1とVPC2をピアリング。

VPC1のSG-VPC1と、VPC2のSG-VPC2を作成し、SG-VPC1のインバウンドルールで送信元にSG-VPC2が設定できました。

cap1.png

VPC内の通信制御にはSGの送信元・送信先にSGを指定するのが過不足なく設定できてよいと思います。

IPアドレス単位では動的アドレスの場合に面倒になりますし、サブネット単位では意図しない通信まで許可してしまうためです。

地味なアップデートかもしれませんが、ピアリング環境でもSG参照ができるようになったことでSGの整理がかなりやりやすくなると思います。


追記

追加で確認したところ、PeeringしたVPCであれば異なるアカウントのSGでも参照可能でした。

異なるアカウントのSGを指定した場合、送信元/送信先には{アカウントID}/{グループID}と表示されます。