セキュリティグループで特定のAWSリソースへのアウトバウンドに制限する

0

プライベートサブネットのEC2インスタンスがパブリックサブネットのNAT Gatwayを経由し、以下のAWSリソースにアクセスします。

  • CloudWatch
  • ECS
  • ECR

通信を行うのは上記のAWSリソースのみなので、上記のみへのアウトバンド通信にEC2のセキュリティグループで制限したいです。

この場合、どのようにセキュリティグループを設定すれば良いでしょうか?

AWSマネージドプレフィックスリストには上記のリソースはありません。AWSリソースとして公開されているIPレンジを全て設定するしかありませんか?

(VPCエンドポイントはコスト上使用することができません)

1 Antwort
1
Akzeptierte Antwort

VPCエンドポイントが使用できないとなるとip-ranges.jsonの内容を登録する形になるかと思います。
ただしip-ranges.jsonに記載されているIPアドレスは変わる可能性があるのと数が多いのでセキュリティグループで管理しきるのは難しいと考えています。
なのでOSのファイアウォールなども使う必要があるかもしれません。
一応セキュリティグループのクォータなどを調整すれば設定しきれそうな雰囲気を感じています。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups

profile picture
EXPERTE
beantwortet vor 4 Monaten
  • ip-ranges.jsonのIPレンジをOSファイアウォールやクォータを調整してセキュリティグループに追加したとしても、IP変更に対する管理が課題として残るのかと思います。

    他にアウトバウンドを制限する良い方法がなければ、アウトバンドを制限せずNAT Gatewayを利用するか、VPCエンドポイントを使うしかないのかなと思いました。

  • 一応変更されたことの通知はできるのでLambdaなどを使って頑張れば変更の自動化もできないことはないです。(コードの管理などが必要になるのであまりお勧めはできないです) https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ip-ranges.html#subscribe-notifications
    おっしゃる通りVPCエンドポイントを使用されるのがよいかと思います。

  • VPCエンドポイントを使いたいところではあるのですが、要件上AZを3つ使用しておりVPCエンドポイントが多く必要なためコストが大きいです。

    ip-ranges.jsonを設定してlambdaで自動更新する取り組みにチャレンジしようと思います。いくつかのブログで試されている方々が見つかりました。

    ip-ranges.jsonのIPレンジ更新頻度がどれくらいかわからないですが、頻繁に変わらなければこの対応もありかなと思いました。

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen