まえがき

cloudpackサポートの中谷です。
AWS にはマネージドプレフィックスリストというセキュリティグループとルートテーブルの IP アドレス設定・管理を容易に行える機能があります。
今回はその機能の一部であるカスタマーマネージドプレフィックスリストについてご紹介します。

カスタマーマネージドプレフィックスリストとは

カスタマーマネージドプレフィックスリストは管理する複数の IP アドレス範囲を登録してグループ化できる機能です。
このグループをプレフィックスリストと呼び、作成したプレフィックスリストをセキュリティグループやルートテーブルで使用することができます。

例えば、複数のセキュリティグループで同じ IP アドレス範囲に対してルールを設定する場合には通常、許可したい IP アドレス範囲を、設定したいセキュリティグループ毎に設定する必要があります。
それらの IP アドレスを更新する場合は登録している全てのセキュリティグループに対して更新が必要になり、更新漏れが起きてしまうことも考えられます。

しかし、上記のシチュエーションにおいて、もしプレフィックスリストを使用すれば全てのセキュリティグループひとつずつの設定変更は不要です。
複数のセキュリティグループ上で共通して使用する IP アドレス範囲をプレフィックスリストに登録しておき、同じプレフィックスリストを複数のセキュリティグループへ登録しておけば、
共通して使用する IP アドレス範囲に変更が生じた場合でも、プレフィックスリスト1つを更新するだけで、簡単に全てのセキュリティグループへ設定を反映することができます。

実際に使ってみよう

マネージドプレフィックスリストは Amazon VPC のコンソール内にあります。
試しに [プレフィックスリストを作成] から作成してみます。

今回はテストとして3つのプライベート IP アドレスを登録してみます。

これだけでプレフィックスリストの作成が完了しました。

セキュリティグループのルール追加から
作成したプレフィックスリストを登録できることが確認できます。

プレフィックスリストを使用すると、このようにセキュリティグループへは1回のルール登録操作で IP アドレスを複数追加することができます。
しかし、実際にはセキュリティグループには3つの IP アドレスが追加されているため、このセキュリティグループには3つのルールが設定されているものとしてはAWSではカウントされます。
セキュリティグループあたりのルール数の上限に達しないように、プレフィックスリストの最大エントリ数分の上限は予め確保しておくよう気をつけましょう。