セキュリティグループが汚い事が許せない
ある日、突然こんな事思いませんか?
「私のセキュリティグループ汚すぎ!」
こうなったら四六時中その事を考えてしまい、仕事が手につかなくなりますよね。
原因は色々ありますが、最近の事情だとコロナ禍などを迎えてリモート出社が働き方の主流になっていることが原因の一つなのかなと思います。
複数の開発拠点や個人宅からのIPを、セキュリティグループで許可していると記載量が増大してしまい大変見にくいものになってしまいます。
拠点がある以上、許可するIPが増えるのはしょうがない、でもキレイにしたい!
この記事では、このジレンマを解決していきます。
AWSプレフィックスリストとは
プレフィックスリストとは、複数のCIDRブロックを束ねたものです。
このプレフィックスリストを事前に作成しておくと、ルートテーブルやセキュリティグループの設定や管理に便利に使う事ができます。
設定手順
- マネジメントコンソールを開く
- VPCのコンソール画面に移動
- 左側メニューから「マネージドプレフィックスリスト」を選択
- 右上の「プレフィックスリストを作成」ボタンを選択
- 作成画面で、「プレフィックスリスト名」と「最大エントリ数」を入れてIPv4かIPv6を選択
※最大エントリ数を後から変更するにはCLIで設定する必要があるそうです - 「新しいエントリを追加」ボタンを押してCIDRブロックを追加
- 入力を終えたら「プレフィックスリストを作成」ボタンを押して完成
後は上で設定したプレフィックスリストをセキュリティグループの設定時にCIDRブロックの箇所に作成したプレフィックスリストを割り当てて、逆に直接書かれたIPを削除すればOKです。
Tipsとして、セキュリティグループに割り当てるので、「開発者の拠点」や、「顧客」など役割に合わせてプレフィックスリストを切ることで適切なセキュリティグループを割り当てる事ができます。
例)開発者からはEC2へのsshが必要だけど、顧客には必要ない等
まとめ
セキュリティグループがIPアドレスで溢れる事ってエンジニアあるあるだと思うんです。
でも、どれも必要なIPアドレスだし、具体的な解決策どうしたら良いんだろう?って方の参考になれば嬉しいです!
ただ、一方で「セキュリティグループの数を減らす」という目的には、今回の記事は役に立たないと思います。
こちらは常日頃から見直しをかけるしかないのかな?
何か良い方法等あればコメント等で教えていただけると助かります!