プレフィックスリストを用いてセキュリティグループを設定してみる
2025.05.15はじめに
かつまたです。AWSのVPC環境でセキュリティグループを設定する際、複数のCIDRブロックを指定することがよくあります。
1つ1つのCIDRブロックをセキュリティグループに適用しようとすると作業量が増え、可読性も悪くなってしまいます。
そのような場合に便利なのが「プレフィックスリスト」です。今回はプレフィックスリストの概要と活用方法について紹介します。
プレフィックスリストとは
プレフィックスリストとは、複数のCIDRブロックをまとめて管理できる機能です。
大きく分けて以下2種類が存在します。
カスタムプレフィックスリスト
- ユーザーが独自に作成・管理するプレフィックスリスト。
- プレフィックスリストあたりの最大CIDRブロック数は1000ですがセキュリティグループのルールに登録できるCIDRブロック数は60までのため注意が必要。
- セキュリティグループやネットワークACLのルールで参照できる。
- 一度作成したプレフィックスリストは複数のリソースで再利用可能。
- 1つのプレフィックスリストには、IPv4かIPv6どちらかしか設定できない。
AWSマネージドプレフィックスリスト
- AWS側で管理されているプレフィックスリスト。
- AWSサービスのIPアドレス範囲が事前定義されている。
2025/05現在、以下AWSサービスのマネージドプレフィックスリストが提供されています。
・ Amazon CloudFront
・ Amazon Route 53
・ AWS Ground Station
・ Amazon S3
・ Amazon S3 Express One Zone
・ Amazon DynamoDB
・ Amazon EC2 Instance Connect
・ Amazon VPC Lattice
やってみた
実際にカスタムプレフィックスリストを作成し、セキュリティグループで利用していきます。
1.まずVPCコンソールからプレフィックスリストを作成します。プレフィックスリスト名、最大エントリ数、アドレスファミリー(IPv4/IPv6)を設定します。
2.プレフィックスリストのエントリとして、管理したいCIDRブロックを追加します。今回は例として4つのCIDRブロックを追加しています。
3.セキュリティグループを作成し、インバウンドルールの設定で「ソース」として作成したプレフィックスリストを選択します。ドロップダウンメニューから「プレフィックスリスト」を選び、作成したカスタムプレフィックスリストを指定できます。
4.作成したプレフィックスリストはVPCコンソールの「マネージドプレフィックスリスト」から確認・管理できます。AWSマネージドのプレフィックスリストと自分で作成したカスタムプレフィックスリストが一覧で表示されます。
おわりに
プレフィックスリストを活用することで、複数のIPアドレス範囲を一元管理でき、セキュリティグループやネットワークACLの設定がシンプルになります。特に複数のセキュリティグループで同じIPアドレス範囲を参照する場合や、頻繁に更新が必要なIPアドレス範囲がある場合に効果を発揮します。
プレフィックスリストを更新すれば、それを参照しているすべてのセキュリティグループに変更が反映されるため、運用負荷の軽減にもつながります。ぜひAWS環境のネットワーク設定の効率化にお役立てください。
ご覧いただきありがとうございました。
参考資料
アノテーション株式会社について
アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。
