[アップデート] 複数のCIDRをまとめて管理!Amazon VPC で プレフィックスリストが利用可能になりました

2020.06.30

こんにちは、菊池です。

地味だけど嬉しいアップデートです。Amazon VPCで、プレフィックスリストを作成し、複数のIP CIDRをまとめて管理可能になりました。作成したプレフィックスリストは、セキュリティグループとVPCルートテーブルのCIDRとして利用可能になります。

オンプレミスの複数拠点で接続する場合のCIDRの管理など、非常にやりやすくなります。

Managed Prefix List

プレフィックスリストには、以下のような特徴があります。

  • AWSが管理するAWSマネージドプレフィックスリストと、ユーザーが独自に設定可能なカスタマーマネージドプレフィックスリストがある
  • AWSマネージドプレフィックスリストには、S3とDynamoDBのCIDR範囲を管理するプレフィックスリストが提供されている
  • プレフィックスリストはバージョン管理が可能で、過去のバージョンに復元することができる
  • RAM(Resource Access Manager)により、プレフィックスリストを他のAWSアカウントに共有可能

なお、以下のドキュメントによるとプレフィックスリストあたりのエントリ数には制限がないようですが、プレフィックスリストに記載したエントリ数がルートテーブル/セキュリティグループのルール数としてカウントされるようです。

ルートテーブル/セキュリティグループに指定可能なCIDR数が増えるわけではないことに注意が必要です。

早速試してみます。マネジメントコンソールを開くと、「マネージドプレフィックスリスト」のメニューが追加されていました。

初期状態で、S3とDynamoDB用の2つのAWSマネージドプレフィックスリストが存在します。

エントリを確認すると、S3のCIDRが設定されています。これは便利です。

プレフィックスリストを新規で作成してみます。名前、最大エントリ数、アドレスファミリ(IPv4 or IPv6)、エントリ、タグのみのシンプルな設定です。

作成できました。

作成したプレフィックスリストを、VPCルートテーブルに設定してみます。ここで気がつきましたが、既存のS3/DynamoDBのVPCエンドポイントを利用した際の送信先もAWSマネージドプレフィックスリストに置き換わっていました。

セキュリティグループにも、プレフィックスリストが設定可能です。

まとめ

複数のCIDRをまとめて管理するプレフィックスリストが利用可能になりました。複数CIDRの拠点と接続する場合などの管理が非常にやりやすくなります。また、S3/DynamoDBへのアウトバウンド通信を限定的に許可する場合にもAWSマネージドプレフィックスリストが役に立ちそうです。