この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
どうも、ちゃだいん(@chazuke4649)です。
プレフィックスリストのIPを変更するとき、影響範囲が気になる
例えばAWS Organizations環境で、ネットワーク管理AWSアカウントで作成しているマネージドプレフィックスリストのIPを変更したい場合(例:オンプレのパブリックIPが変更されたetc)、それをRAMで他のAWSアカウントで共有しているなら、共有先に影響がないかどうか気になります。
公式ドキュメントに記載がありましたが、せっかくなので実際に確認してみました。
先に結論
- 共有しているプレフィックスリストを他AWSアカウントのリソース(例:セキュリティグループ)が使用している場合、「関連付け」に表示される(※共有している側のみ)
- プレフィックスリストのエントリを変更する場合の影響は、実際に利用している「関連付け」一覧を考慮すれば良さそう
前提
- 共有している側のAWSアカウント
111111111111 - 共有された側のAWSアカウント
999999999999
やってみる
まずは、共有している側のAWSアカウント111111111111のコンソールを開きます。
以下既存のプレフィックスリストを使用します。
- プレフィックスリストID:
pl-...dfd - プレフィックスリスト名: pl-sample
現時点では、何も関連付けが表示されていません。
それでは、共有された側のAWSアカウント 999999999999のコンソールを開きます。
新しくセキュリティグループを作成し、インバウンドルールにて pl-...dfd のプレフィックスリストを参照するようにします。
セキュリティグループが作成されました。IDはsg-03e10c09817c49c14となりました。
ちなみに、共有された側のAWSアカウント 999999999999のプレフィックスリストのコンソールでは、プレフィックスリストのエントリ(IPのリスト)などは確認できますが、「詳細」や「関連付け」のタブがなく、確認することはできません。
それでは、共有している側のAWSアカウント111111111111のコンソールを再度開きます。
すると、ご覧のように 999999999999のsg-03e10c09817c49c14が表示されました。
これで、現在このプレフィックスリストを誰が使っているのか?(リソースに関連づけているのか?)が、他AWSアカウントでも確認できることがわかりました。
ちなみにAWS CLIでも以下の通り確認可能です。
% aws ec2 get-managed-prefix-list-associations --prefix-list-id pl-....dfd
{
"PrefixListAssociations": [
{
"ResourceId": "sg-03e10c09817c49c14",
"ResourceOwner": "999999999999"
}
]
}
## コマンドのオプションで渡しているプレフィックスIDはマスクしてますが、実際には正しい値を入れています検証は以上です。
終わりに
プレフィックスリスト、便利ですね。どんどん使っていきたいです。
それでは今日はこの辺で。ちゃだいん(@chazuke4649)でした。
参考情報
共有プレフィックスリストの操作 - Amazon Virtual Private Cloud
get-managed-prefix-list-associations — AWS CLI 2.9.19 Command Reference
2
