RAMで共有しているプレフィックスリストが、他AWSアカウントで利用されているかどうかを調べる

RAMで共有しているプレフィックスリストが、他AWSアカウントで利用されているかどうかを調べる

結論)ちゃんとRAM共有先での利用情報も表示されるよ
Clock Icon2023.01.30 06:16

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうも、ちゃだいん(@chazuke4649)です。

プレフィックスリストのIPを変更するとき、影響範囲が気になる

例えばAWS Organizations環境で、ネットワーク管理AWSアカウントで作成しているマネージドプレフィックスリストのIPを変更したい場合(例:オンプレのパブリックIPが変更されたetc)、それをRAMで他のAWSアカウントで共有しているなら、共有先に影響がないかどうか気になります。

公式ドキュメントに記載がありましたが、せっかくなので実際に確認してみました。

先に結論

  • 共有しているプレフィックスリストを他AWSアカウントのリソース(例:セキュリティグループ)が使用している場合、「関連付け」に表示される(※共有している側のみ)
  • プレフィックスリストのエントリを変更する場合の影響は、実際に利用している「関連付け」一覧を考慮すれば良さそう

前提

  • 共有している側のAWSアカウント 111111111111
  • 共有された側のAWSアカウント 999999999999

やってみる

まずは、共有している側のAWSアカウント111111111111のコンソールを開きます。

以下既存のプレフィックスリストを使用します。

  • プレフィックスリストID: pl-...dfd
  • プレフィックスリスト名: pl-sample

現時点では、何も関連付けが表示されていません。

それでは、共有された側のAWSアカウント 999999999999のコンソールを開きます。

新しくセキュリティグループを作成し、インバウンドルールにて pl-...dfd のプレフィックスリストを参照するようにします。

セキュリティグループが作成されました。IDはsg-03e10c09817c49c14となりました。

ちなみに、共有された側のAWSアカウント 999999999999のプレフィックスリストのコンソールでは、プレフィックスリストのエントリ(IPのリスト)などは確認できますが、「詳細」や「関連付け」のタブがなく、確認することはできません。

それでは、共有している側のAWSアカウント111111111111のコンソールを再度開きます。

すると、ご覧のように 999999999999sg-03e10c09817c49c14が表示されました。

これで、現在このプレフィックスリストを誰が使っているのか?(リソースに関連づけているのか?)が、他AWSアカウントでも確認できることがわかりました。

ちなみにAWS CLIでも以下の通り確認可能です。


% aws ec2 get-managed-prefix-list-associations --prefix-list-id pl-....dfd
{
    "PrefixListAssociations": [
        {
            "ResourceId": "sg-03e10c09817c49c14",
            "ResourceOwner": "999999999999"
        }
    ]
}

## コマンドのオプションで渡しているプレフィックスIDはマスクしてますが、実際には正しい値を入れています

検証は以上です。

終わりに

プレフィックスリスト、便利ですね。どんどん使っていきたいです。

それでは今日はこの辺で。ちゃだいん(@chazuke4649)でした。

参考情報

共有プレフィックスリストの操作 - Amazon Virtual Private Cloud

get-managed-prefix-list-associations — AWS CLI 2.9.19 Command Reference

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.