ネットワークインタフェースあたりのセキュリティグループルール数上限が緩和されました【300 → 1000】

2/21(現地時間)に標題のアップデートが公開されました。既にご存じの方も多いかとは思いますが改めてご紹介すると、デフォルトの数は変わらないものの、上限緩和申請を行うことで、最大で 1,000ルール まで設定できるようになりました!

AWS ドキュメントも更新されています。まだ日本語版には記載がないので、英語版のほうをご参照ください。

おさらい 1 : セキュリティグループ (SG) とは

AWS を使う上で基本中の基本なので、改めてお話しする必要も無いと思いますが念のために。EC2 や EIP、ELB、RDS、VPC エンドポイント…などなど、AWS リソースのネットワークインターフェース (ENI) にアタッチすることで、インバウンド/アウトバウンドのトラフィックを L4 レベルで許可設定するための機能です。

略して SG と表記したりもしますね。

SG の一般的な使い方として、下記のような流れになるかと思います。

  • ひとつの SG に複数のルールを設定する
    • ルール = 送信元(ソース)、解放するプロトコル/ポート、説明
    • SG ごとに役割(管理用、内部通信用、サービス用、等々)を決めて設定する
  • ルールの設定された SG を複数(必要なだけ)、ENI にアタッチする
    • ELB にはサービス用と内部通信用、配下の EC2 には内部通信用と管理用、等々

おさらい 2 : SG の数的制限

さてこのとき、それぞれの設定できる数に制限があります。

  • ひとつの SG に設定できるルール数(デフォルト : 60
  • ENI にアタッチできる SG の数(デフォルト : 5

つまり、ひとつの ENI には最大で 60 x 5 = 300 ルール が設定できるわけです。

この数字は AWS サポートへ 制限緩和申請 することで変更することが可能ですが、これまで(2/21 より前)その場合でも最大ルール数(300)は固定でした。

つまり、ひとつの SG に設定できるルール数を 60 -> 100 に増やしたかったら、アタッチできる SG の数は 5 -> 3 に減らす必要があったのです。通常はそんなに気にする必要も無い SG の上限ですが、いざ緩和が必要となったときでも、そのために申請しづらいところがありました。

今回のアップデートで、この「最大数」の制限が緩和されました。

具体的にどうなった?

最大ルール数が 1,000 まで上昇しました。つまり、ひとつの SG に設定できるルール数を 60 -> 100 、アタッチできる SG の数を 5 -> 10 と、両方を増やすことも可能になったということです。

ただしデフォルト値は 60 と 5 で変わらずなので、増やしたい場合は明示的な申請が必要です。

複数の値のかけ算した結果が上限なので、ちょっと直感的に分かりづらい感じはありますので、いくつか可能な申請例を示します。こんな感じです:

(A) ルール数 / SG (B) SG 数 / ENI (A) x (B) コメント
60 5 300 デフォルト値
60 16 960 片方だけ増やすことも可能
300 3 900 B の上限を下げる申請を行う

つまり、片方の数字を固定(減らさない)ままもう片方の上限を上げる申請が可能になったと言うことです。

SG は役割ごとに分け、必要に応じて必要なだけアタッチすることがセオリーとはいえ、下記のような場合はありえますから、今回のアップデートの恩恵は大きいですね!

  • 既に 5 つの SG がアタッチされている状態で、ひとつの SG だけルールが 60 に達した場合
  • 6 つ目の SG をアタッチしたいが、50 以上のルールが設定されている SG がある場合

現状の確認と緩和申請方法

現在の上限値は、マネジメントコンソールから確認することが可能です。EC2 のダッシュボードから「制限」をクリックしてください。

上限はリージョンごとに設定されますので、必要に応じてリージョンを切り替えるようにしてください。

また緩和申請も、同じ画面の「制限緩和のリクエスト」から行うことが可能です。普通にサポートセンターを開いてもいいでしょう。

例えば下記は、SG あたりルール数と ENI あたりの SG 数を同時に緩和申請する場合です。Request 2 の欄は「他のリクエストの追加」をクリックして追加しました。

なお、申請理由の説明を「説明」欄に記入する必要があります。現在の利用状況とあまりにかけ離れている場合は AWS 側の審査の目も厳しくなるため、きっちりと なぜ必要なのか を記入するようにしてください。

まとめと注意

セキュリティグループの上限が緩和されたというアップデートをお伝えしました。

伝えておいてアレなんですが、そうは言ってもむやみやたらと上限を上げておくことはお勧めしません。一般的な使い方としてデフォルト値は十分な数がある印象ですし、ルールが多すぎると管理側の負荷が高まります。上限でないからと本来不要なルールが放置されたままになってしまえば、セキュリティ的に好ましいものではありません。

本制限に限りませんが、緩和申請自体はそんなに難しいものでも、時間がかかるものでもありません(問題がなければ概ね数営業日以内に完了します)。ルール数が現状で足りていない状況であれば当然のこと、現在の利用状況との乖離が大きい場合でも、ちゃんとした理由があれば(ハードリミットの制限内で)緩和されると思います。

SG のご利用は計画的に!