背景・目的
S3の(Gatgeway型)VPCエンドポイントへセキュリティグループ(Egressルール)を指定したく、調べたところPrefixリスト(CIDRブロック)を指定すれば良いことがわかったので試した結果になります。
概要
Prefixリストとは?
- CIDRブロックのセット
- 利用することでセキュリティグループとルートテーブルの設定の管理が簡単になる。
- 複数のCIDRブロックだが、同一プロトコルを指定する場合など複数書かずに済む。
- プレフィックスリストには以下の2つのタイプがある
- カスタマー管理プレフィックスリスト
- 他のAWSアカウント共有が可能
- AWSマネージドプレフィックスリスト
- AWSサービスのIPアドレス範囲リスト
- カスタマー管理プレフィックスリスト
### 概念とルール
- カスタマー管理プレフィックスリスト
- 1つのプレフィックスリスト内では、単一タイプのIPアドレス(IPv4 or IPv6)のみサポートされる
- 作成したリージョンにのみ適用される
- AWSマネージドプレフィックスリスト
- 作成・変更・共有・削除ができない。
実践
CLIで確認
以下のコマンドで確認ができました。デフォルトでは、S3とDynamoDBの2つのAWSマネージドプレフィックスリストが確認できます。
aws ec2 describe-prefix-lists
$ aws ec2 describe-prefix-lists
{
"PrefixLists": [
{
"Cidrs": [
"XXXX",
・・・・,
"XXXX"
],
"PrefixListId": "XXXXX",
"PrefixListName": "com.amazonaws.${AWSリージョン}.dynamodb"
},
{
"Cidrs": [
"XXXX",
・・・・,
"XXXX"
],
"PrefixListId": "XXXXXX",
"PrefixListName": "com.amazonaws.${AWSリージョン}.s3"
}
]
}
$
参考