053-AWS SAP AWS 「理論・実践・一問道場」プレフィックスリスト

type

status

date

slug

summary

理論

1. プレフィックスリストとは？

定義: プレフィックスリストは、1つ以上のCIDRブロック(IPアドレスの範囲)をまとめたリストです。

用途:

セキュリティグループやルートテーブルの設定を簡略化。
一括管理により、複数のIPアドレス範囲を個別に管理する手間を削減。

メリット:

リストを一度更新するだけで、それを参照しているすべての設定に即座に適用。
最大1000件のIPアドレス範囲をサポート。

主な特徴：

IP アドレス範囲の管理:

プレフィックスリストは、複数の IP アドレス範囲（CIDR ブロック）をリストとしてまとめることができます。

例えば、会社のグローバルオフィスの IP アドレス範囲をリストにまとめて管理できます。

使い方の例：

セキュリティグループで使用: グローバルオフィスの全ての IP アドレス範囲を1つのプレフィックスリストとしてまとめ、そのリストをセキュリティグループのルールに組み込むことで、複数のアカウントで一貫したアクセス制御を実現します。

ルートテーブルで使用: VPC間でのトラフィックを制御するために、プレフィックスリストをルートテーブルに追加して、トラフィックが指定した IP 範囲にルーティングされるようにできます。

例:

例えば、企業が各オフィスの IP アドレス範囲を持っているとします。この場合、プレフィックスリストに各オフィスの IP アドレス範囲を追加しておき、そのリストをセキュリティグループのルールや VPC 間のルート設定で使用することができます。これにより、各オフィスからのトラフィックを安全に管理し、変更を一元的に更新できるようになります。

2. AWS Resource Access Manager (RAM) での共有

RAMの役割:

AWS Organizations内の複数アカウントや特定のアカウント間で、リソースを簡単に共有できる。
プレフィックスリストを含む、VPC、サブネット、トランジットゲートウェイなどのネットワーク関連リソースを共有可能。

利用シーン:

中央集権的な管理を必要とする場合。
各アカウントが独立しているが、共通のネットワーク設定を使用する場合。

3. セキュリティグループとアクセス制御

セキュリティグループ:

AWS環境でインバウンド/アウトバウンドトラフィックを制御する仮想ファイアウォール。
特定のIPアドレスまたはCIDRブロックに基づいて通信を許可/拒否。

プレフィックスリストとの連携:

セキュリティグループのルールにプレフィックスリストを使用すると、IPアドレスの管理が簡潔になる。
例えば、複数のIPアドレスを許可する場合、リスト化して1つのルールに統合可能。

4. ネットワーク管理の効率化

中央管理の利点:

複数アカウントやリージョンにわたるIPアドレスやセキュリティ設定を一元管理。
更新作業を簡略化し、人的ミスを削減。

スケーラビリティ:

動的なネットワーク変更に対応しやすい。
新しいIPアドレスやCIDRブロックを迅速に追加可能。

5. プレフィックスリストとトランジットゲートウェイ

トランジットゲートウェイの役割:

複数のVPCやオンプレミスネットワークを統合するハブ。
VPN接続やDirect Connectとの連携で、企業全体のネットワーク基盤を構築。

プレフィックスリストの活用:

トランジットゲートウェイを通じたルート設定やアクセス制御を簡素化。

6. 運用負荷を減らすためのベストプラクティス

一括管理ツールの活用:

プレフィックスリストやRAMを使用して、設定の冗長性を排除。
必要に応じてInfrastructure as Code(IaC)を採用し、設定の自動化を実現。

ドキュメントとトラッキング:

すべてのリソース共有や更新履歴を記録。
IAMポリシーを適切に設定し、誤操作を防止。

このように、AWSのプレフィックスリストとRAMを活用することで、ネットワーク管理の効率化、セキュリティの向上、運用負荷の削減が可能です。これらの技術を正しく使いこなすことで、大規模なAWS環境でも柔軟で安全なネットワーク設計が実現できます。

実践

マネージドプレフィックスリストでIPアドレスを設定し、セキュリティグループのルールを管理してみよう | DevelopersIO

マネージドプレフィックスリストでIPアドレスを設定して、セキュリティグループのルールを管理してみました。

https://dev.classmethod.jp/articles/jw-configure-ip-addresses-in-managed-prefix-lists-and-manage-security-group-rules/

マネージドプレフィックスリストでセキュリティグループを効率化する方法

プレフィックスリスト作成

VPCコンソールで「マネージドプレフィックスリスト」を選択し、「新しいエントリ」に許可するCIDRを追加。

最大エントリ数は1～1000で設定可能。

セキュリティグループに適用

設定したセキュリティグループを選び、インバウンドルールを編集。

タイプ（例: SSH）を選択し、作成済みのプレフィックスリストを指定。

「ルールを保存」で完了。

結果

ルールが簡潔化され、複数のIPアドレスを1つのリストで管理可能。

これにより、大量のIPアドレスを一元管理でき、設定が効率化します。

一問道場

質問 #53

ある企業がAWS Organizationsで複数のAWSアカウントを持つ組織を運営しています。その中の1つのAWSアカウントは「トランジットアカウント」として指定されており、トランジットゲートウェイが他のすべてのAWSアカウントと共有されています。

この企業は、グローバル拠点とトランジットアカウントの間でAWS Site-to-Site VPN接続を構成しています。また、AWS Configがすべてのアカウントで有効化されています。

ネットワークチームは、グローバル拠点に属する内部IPアドレス範囲のリストを集中管理する必要があります。開発者はこのリストを参照して、アプリケーションへの安全なアクセスを確保します。

次の条件を満たし、最小限の運用負荷でこれらの要件を満たすソリューションはどれですか？

A.

Amazon S3にホストされたJSONファイルを作成し、内部IPアドレス範囲をリスト化します。

JSONファイルが更新されたときに各アカウントでトリガーされるAmazon SNSトピックを設定します。SNSトピックにAWS Lambda関数をサブスクライブして、更新されたIPアドレス範囲で関連するセキュリティグループルールを更新します。

B.

内部IPアドレス範囲をすべて含む新しいAWS Configマネージドルールを作成します。このルールを使用して、各アカウントのセキュリティグループがIPアドレス範囲リストと一致していることを確認します。不一致が検出された場合、ルールが自動で修復を行うよう設定します。

C.

トランジットアカウントで、すべての内部IPアドレス範囲を含むVPCプレフィックスリストを作成します。AWS Resource Access Managerを使用して、このプレフィックスリストを他のすべてのアカウントと共有します。共有されたプレフィックスリストを使用して、他のアカウントでセキュリティグループルールを構成します。

D.

トランジットアカウントで、すべての内部IPアドレス範囲を含むセキュリティグループを作成します。他のアカウントで、トランジットアカウントのセキュリティグループを「ネストされたセキュリティグループ参照（/sg-1a2b3c4d）」を使用して参照するセキュリティグループを構成します。

解説

この問題は、複数のAWSアカウントでIPアドレス範囲を一元管理し、セキュリティグループに適用する方法を問うものです。

最も適切な解決策はCです。具体的には、トランジットアカウントでVPCプレフィックスリストを作成し、それを**AWS Resource Access Manager (RAM)**を使って他のアカウントと共有します。これにより、各アカウントのセキュリティグループが同じIPアドレス範囲を参照でき、管理が簡単になります。