KNOWLEDGE - COLUMN ナレッジ - コラム

地味に見えて優秀!マネージドプレフィックスリストでアドレス管理を効率化

メインビジュアル

先端技術部
エバンジェリスト 松岡 政之 matsuoka2_274x380

こんにちは。先端技術部エバンジェリストの松岡です。
前回のアイスブレイクはx86 CPUのbig.LITTLEの話題でしたが今回はキャッシュの積層のお話です。積層とはありていに言うと縦に積み重ねる技術です。AMDが発表した3D-V Cacheの技術を用いてキャッシュを積層することで次期EPYC(AMDのサーバ向けCPU)はL3キャッシュがなんと768MBにも達するそうです。Windows XPくらいならもう乗ってしまいそうなキャッシュ容量ですね。

振り返り

では早速本題に入ります。
前回のコラム「AWS 新ソリューション “Tag Tamer” 楽楽タグ管理!?(構築編)」でTag Tamerというソリューションの構築について実際に試してみました。
今回は実際にTag Tamerで何ができるのかというところを見ていきたいと思っていましたが、残念ながら本ソリューションの提供が終了してしまいました。正直なところ、前回の時点では触っていて未完成といった感じが否めませんでしたが、突然提供が終了してしまうのは予想外でした。とはいえすでに構築済みのものが使えなくなるわけではないので提供終了による実害はあまりないでしょう。
というわけで最近のAWSのアップデートの話題としてはWindows Server 2022の正式な提供が開始されたというビッグニュースがありますが、こちらはAWSというよりWindowsの検証になりそうなので個人的に楽しむとします。今回は最近のアップデートではないですが地味に便利な機能について紹介したいと思います。その名もマネージドプレフィックスリストです。
※外部サイト:プレフィックスリスト

機能概要

マネージドプレフィックスリストには次の2つのタイプがあります。
①カスタマーマネージドプレフィックスリスト
②AWSマネージドプレフィックスリスト
各タイプの概要について以下に記載します。

①カスタマーマネージドプレフィックスリスト

カスタマーマネージドプレフィックスリストは複数のプレフィックスを登録してリスト化できる機能です。この機能は何に使えるかというと、作成したプレフィックスリストをルートテーブルやセキュリティグループのエントリに使用することができます。
つまり、複数のルートテーブルやセキュリティグループで同じIPアドレス範囲に対してのルールを設定したい場合に、それぞれのルートテーブルやセキュリティグループに同じアドレス範囲をひとつずつ登録していく手間を省いて一元的に管理できます。例えば、複数のセキュリティグループでそのインバウンドルールのソースとしてマネージドプレフィックスリストを指定しておけば、追加のIPアドレス範囲に対して当該ルールの対象にしたい等の場合、対象のマネージドプレフィックスリストを編集することですべてのセキュリティグループに対して同様の結果を反映することができます。

②AWSマネージドプレフィックスリスト

AWSよって登録されているAWSサービスのIPアドレス範囲のセットです。カスタマーマネージドプレフィックスリストと同様にルートテーブルやセキュリティグループで使用できますが、内容の変更や削除等はできません。

設定画面

それでは早速設定画面を見ていきましょう。
VPCのメニューからマネージドプレフィックスリストを選択すると以下のような画面になります。
画面イメージ
画面に示す通りデフォルトでは2件登録されています。これらはAWSマネージドプレフィックスリストで所有者IDがAWSとなっています。
またエントリを見てみると、下図のようにS3のCIDRが登録されています。厳格に通信を縛った環境でS3との通信を許可したい場合等S3のCIDRが必要な場合に、これがなかったころはまず「S3のCIDRってなんだったっけ?」と※外部サイト:https://ip-ranges.amazonaws.com/ip-ranges.jsonから探すところから始まっていたと思いますが、こうして登録されているのはとても便利ですね。
画面イメージ
ちなみにもう一方はDynamoDB用のプレフィックスリストです。
画面イメージ
今度はカスタマーマネージドプレフィックスリストを実際に作成してみます。
作成画面はいたってシンプルで、以下の5つの情報だけで作成できます。
①プレフィックスリスト名:名前です。必須ですが後から変更も可能です。
②最大エントリ:④のエントリの登録上限数です。後から変更できないので追加予定のあるものは余裕をもって設定しておいた方がいいかもしれません。
③アドレスファミリー:④で登録するエントリがPv4かIPv6か。後から変更はできません。
④プレフィックスリストのエントリ:リストに登録するCIDRブロックを一つずつ入力する。後から追加、変更、削除が可能ですが②で指定した上限数を超えて登録することはできません。
⑤タグ:AWSお決まりのタグ。
下図では試しにプライベートIPアドレスのリストを作成しています。
画面イメージ
無事作成できました。簡単ですね!
画面イメージ
それでは作成したリストを実際にセキュリティグループに登録してみましょう。
下図の通り、ソースを選択する一覧からプレフィックスリストが選べることがわかります。
画面イメージ
こうして作成したプレフィクスリストを登録することで、リストに登録されたすべてのCIDRに対してルールを適用することができます。複数のセキュリティグループやルートテーブルに同じCIDRを登録する場合はもちろん何度も複数の同じCIDRを各セキュリティグループやルートテーブルに登録していく手間が省け、楽になることがわかると思います。
それに加えて、個人的に思いついた使い方を紹介します。皆様セキュリティグループのルールがそのID順に自動的にソートされるので非常に見難いと思いませんか?例えば接続元が異なるRDPのルールを複数登録した場合でも自動ソートのせいでとびとびに間に違うルールが入ってきたりするのがとても煩わしいです。そこでセキュリティグループのルールに登録するCIDRをジャンルごとにプレフィックスリストに分けて登録していくと管理しやすいのではないかと思います。
ちなみにマネージドプレフィックスリスト側からそのリストがどこで使用されているかを確認することができるので、「管理簿を作ってないのでこのリストがどこで使用されているのかわからない!!!」といった事態にはならなさそうで安心できます。
画面イメージ
さらに、Resource Access Managerを使用することで、作成したカスタマーマネージドプレフィックスリストを組織内や指定した他のAWSアカウントと共有することができます。そのため、組織として共有したいアドレスをプレフィックスリストで1つ作成しておけば、複数のAWSアカウントを使いこなしている組織でも、そのリストを共有し使いまわすことができるので、特に変更があった場合には一か所を変えるだけですべてに適用されるため、管理が非常に楽になると思います。
画面イメージ
ちなみにマネージドプレフィックスリスト側からそのリストがどこで使用されているかを確認することができるので、「管理簿を作ってないのでこのリストがどこで使用されているのかわからない!!!」といった事態にはならなさそうで安心できます。

最後に

さて、今回はTag Tamerの機能編としてTag Tamerではどのようなことができて、実用に足るのかという検証をしたかった(実はほぼやっていた)のですが、まさかのソリューション提供終了という結末で、書き留めていたものが無用の長物となってしまいました。そこで急遽予定を変更してマネージドプレフィックスリストについてご紹介いたしました。
この機能自体は1年ちょっと前にリリースされた機能ですでにご存じの方もいらっしゃるかと思いますが、地味に見えて運用面ではとても効果がありそうな機能でしたので今回取り上げさせていただきました。すでに本番として稼働している環境だと、なかなか手を入れることは難しいかと思いますが、今後構築する環境や自社内で運用している社内システム等に関しては、運用という長い目で見た場合は本機能を使うことで効率化が図れるかもしれません。リスクや工数等を天秤にかけて利用を検討してみてはいかがでしょうか。
それではよいクラウドライフを!

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン

松岡 政之

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

どのインスタンスを選べばいいの?EC2性能比較!

AIがプログラミングする時代の到来!?

残された攻撃の痕跡を追え! ~スレットハンティングのススメ~