RAMで共有しているプレフィックスリストが、他AWSアカウントで利用されているかどうかを調べる

どうも、ちゃだいん（@chazuke4649）です。

プレフィックスリストのIPを変更するとき、影響範囲が気になる

例えばAWS Organizations環境で、ネットワーク管理AWSアカウントで作成しているマネージドプレフィックスリストのIPを変更したい場合（例：オンプレのパブリックIPが変更されたetc）、それをRAMで他のAWSアカウントで共有しているなら、共有先に影響がないかどうか気になります。

公式ドキュメントに記載がありましたが、せっかくなので実際に確認してみました。

先に結論

• 共有しているプレフィックスリストを他AWSアカウントのリソース（例：セキュリティグループ）が使用している場合、「関連付け」に表示される（※共有している側のみ）
• プレフィックスリストのエントリを変更する場合の影響は、実際に利用している「関連付け」一覧を考慮すれば良さそう

前提

• 共有している側のAWSアカウント 111111111111
• 共有された側のAWSアカウント 999999999999

やってみる

まずは、共有している側のAWSアカウント111111111111のコンソールを開きます。

以下既存のプレフィックスリストを使用します。

• プレフィックスリストID: pl-...dfd
• プレフィックスリスト名： pl-sample

現時点では、何も関連付けが表示されていません。

それでは、共有された側のAWSアカウント 999999999999のコンソールを開きます。

新しくセキュリティグループを作成し、インバウンドルールにて pl-...dfd のプレフィックスリストを参照するようにします。

セキュリティグループが作成されました。IDはsg-03e10c09817c49c14となりました。

ちなみに、共有された側のAWSアカウント 999999999999のプレフィックスリストのコンソールでは、プレフィックスリストのエントリ（IPのリスト）などは確認できますが、「詳細」や「関連付け」のタブがなく、確認することはできません。

それでは、共有している側のAWSアカウント111111111111のコンソールを再度開きます。

すると、ご覧のように 999999999999のsg-03e10c09817c49c14が表示されました。

これで、現在このプレフィックスリストを誰が使っているのか？（リソースに関連づけているのか？）が、他AWSアカウントでも確認できることがわかりました。

ちなみにAWS CLIでも以下の通り確認可能です。

% aws ec2 get-managed-prefix-list-associations --prefix-list-id pl-....dfd
{
    "PrefixListAssociations": [
        {
            "ResourceId": "sg-03e10c09817c49c14",
            "ResourceOwner": "999999999999"
        }
    ]
}

## コマンドのオプションで渡しているプレフィックスIDはマスクしてますが、実際には正しい値を入れています

検証は以上です。

終わりに

プレフィックスリスト、便利ですね。どんどん使っていきたいです。

それでは今日はこの辺で。ちゃだいん（@chazuke4649）でした。

参考情報

共有プレフィックスリストの操作 - Amazon Virtual Private Cloud

get-managed-prefix-list-associations — AWS CLI 2.9.19 Command Reference