オプトインリージョンを無効化したらリソースはどうなる?動作と注意点まとめてみた
こんにちは。オペレーション部のしいなです。
はじめに
AWS に新たなリージョンが追加されると、デフォルトでは無効となっており、利用するには明示的な有効化(オプトイン)が必要です。
新しいリージョンを気軽に有効化し、リソースを作成したまま無効化してしまうと、リソースが見えにくくなり、思わぬ課金トラブルにつながることがあります。
今回は、オプトインリージョンを無効化した際の具体的な動作と注意事項についてまとめてみました。
結論
リージョンを無効化する際は、以下の点に注意が必要です。
リソースと課金について
- リージョンを無効化しても、リソースは削除されず課金は継続する
- リソースを削除するには、再度リージョンを有効化する必要がある
リソースの視認性について
- 無効化後はリージョン内のリソースへの IAM アクセスが無効になる
- コンソールや CLI からリソースが見えにくくなるため、存在に気づきにくくなる
トラブル対策
- リージョンを無効化する前に、必ずリソースをすべて削除する
- 無効化操作を行えるユーザーを最小限に絞る
オプトインリージョンとは
AWS のリージョンには大きく2種類あります。
| 種別 | 説明 | 例 |
|---|---|---|
| デフォルト有効リージョン | 最初から使用可能 | us-east-1、ap-northeast-1 など |
| オプトインリージョン | 明示的に有効化が必要 | ap-southeast-7 など |
2019年3月20日以降に追加されたリージョンは、デフォルトで無効(オプトイン方式)となっています。[1]
リージョン無効化で何が起きるか確認してみた
今回は、オプトインリージョンであるアジアパシフィック(タイ)ap-southeast-7 に EC2 インスタンスを起動した状態で、リージョンの無効化を行ってみます。
リージョンの有効化・無効化それぞれの状態における動作の変化をいくつか確認してみました。
1. AWS マネジメントコンソールのリージョン選択
マネジメントコンソール右上のリージョン切り替えプルダウンメニューの変化を確認してみます。
無効化前はリストに表示されていた「アジアパシフィック(タイ)」が、無効化後はリストに表示されなくなります。
有効化状態
無効化状態
2. describe-regions コマンドの出力
リージョン一覧を確認できる AWS CLI コマンド aws ec2 describe-regions の出力の変化を確認してみます。
有効化状態
aws ec2 describe-regions --query 'Regions[].RegionName' --output table
--------------------
| DescribeRegions |
+------------------+
| ap-south-1 |
| eu-north-1 |
| eu-west-3 |
| eu-west-2 |
| eu-west-1 |
| ap-northeast-3 |
| ap-northeast-2 |
| ap-northeast-1 |
| ca-central-1 |
| sa-east-1 |
| ap-southeast-1 |
| ap-southeast-2 |
| eu-central-1 |
| us-east-1 |
| us-east-2 |
| us-west-1 |
| ap-southeast-7 |
| us-west-2 |
+------------------+
リージョンを有効化している状態では、アジアパシフィック(タイ)ap-southeast-7 が結果に出力されています。
無効化状態
aws ec2 describe-regions --query 'Regions[].RegionName' --output table
--------------------
| DescribeRegions |
+------------------+
| ap-south-1 |
| eu-north-1 |
| eu-west-3 |
| eu-west-2 |
| eu-west-1 |
| ap-northeast-3 |
| ap-northeast-2 |
| ap-northeast-1 |
| ca-central-1 |
| sa-east-1 |
| ap-southeast-1 |
| ap-southeast-2 |
| eu-central-1 |
| us-east-1 |
| us-east-2 |
| us-west-1 |
| us-west-2 |
+------------------+
無効化後はアジアパシフィック(タイ)ap-southeast-7 が結果に出力されなくなりました。
aws ec2 describe-regions は、全リージョンに対して操作を行うループ処理でよく利用されます。
無効化されたリージョンはリストから除外されるため、以下のようなスクリプトでは対象外となってしまう点に注意が必要です。
regions=$(aws ec2 describe-regions --query 'Regions[].RegionName' --output text)
for region in $regions; do
# 各リージョンに対して行う処理
done
無効化されているリージョンも含めてすべてのリージョンを出力したい場合は、--all-regions オプションを明示的に指定する必要があります。
aws ec2 describe-regions --all-regions
3. AWS Global View
AWS Global View を使うと、リージョンをまたいだリソースの状況を一覧で確認できます。
リージョン無効化前後での表示の変化を確認してみます。
有効化状態
アジアパシフィック(タイ)ap-southeast-7 の EC2 インスタンスリソースが表示されています。
無効化状態
アジアパシフィック(タイ)ap-southeast-7 がグレーアウトされ、一切情報が表示されなくなります。
リスク
リージョンの無効化は、意図せずリソースを見えにくくする操作にもなりえます。
その結果、身に覚えのない費用が発生しているにもかかわらず、該当のリソースが見当たらないといった事態が起こる可能性があります。
また、悪意のある操作者がリージョンを無効化することで、リソースの存在を意図的に隠蔽するといったリスクも考えられます。
意図しないリージョン無効化操作が行われていないか、CloudTrail のイベントで確認することを推奨します。
リージョン有効化・無効化操作の調査方法
オプトインリージョンの有効化や無効化アクティビティの API はバージニア北部リージョンの CloudTrail ログイベントに記録されます。
記録されたイベントをもとに調査することが可能です。
イベント名
- 有効化:
EnableRegion - 無効化:
DisableRegion
確認方法
下記 URL からイベントを確認できます。
リージョンの有効化・無効化操作が可能な IAM ポリシー
リージョンの有効化・無効化操作が可能な代表的なマネージドポリシーは以下の通りです。
AdministratorAccessAWSAccountManagementFullAccess
リージョンの無効化は影響が大きい操作です。
これらの管理者用ポリシーを利用する場合は必要最低限にしましょう。
また、SCP や IAM の Deny ポリシーを活用することで、特定のユーザーやロールによるリージョン有効化・無効化操作を制限することも可能です。
- IAM Deny ポリシー例
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyRegionEnableDisable",
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
]
}
まとめ
オプトインリージョンを無効化しても、リソースは削除されず課金が継続する点に注意が必要です。
無効化前のリソース削除を徹底し、CloudTrail の監視や IAM ポリシー・SCP での操作制限もあわせて検討してみてください。
本記事が参考になれば幸いです。
