1回答
- 新しい順
- 投票が多い順
- コメントが多い順
1
VPCエンドポイントが使用できないとなるとip-ranges.jsonの内容を登録する形になるかと思います。
ただしip-ranges.jsonに記載されているIPアドレスは変わる可能性があるのと数が多いのでセキュリティグループで管理しきるのは難しいと考えています。
なのでOSのファイアウォールなども使う必要があるかもしれません。
一応セキュリティグループのクォータなどを調整すれば設定しきれそうな雰囲気を感じています。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups
関連するコンテンツ
- AWS公式更新しました 6ヶ月前
- AWS公式更新しました 3年前
- AWS公式更新しました 2年前
ip-ranges.jsonのIPレンジをOSファイアウォールやクォータを調整してセキュリティグループに追加したとしても、IP変更に対する管理が課題として残るのかと思います。
他にアウトバウンドを制限する良い方法がなければ、アウトバンドを制限せずNAT Gatewayを利用するか、VPCエンドポイントを使うしかないのかなと思いました。
一応変更されたことの通知はできるのでLambdaなどを使って頑張れば変更の自動化もできないことはないです。(コードの管理などが必要になるのであまりお勧めはできないです) https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ip-ranges.html#subscribe-notifications
おっしゃる通りVPCエンドポイントを使用されるのがよいかと思います。
VPCエンドポイントを使いたいところではあるのですが、要件上AZを3つ使用しておりVPCエンドポイントが多く必要なためコストが大きいです。
ip-ranges.jsonを設定してlambdaで自動更新する取り組みにチャレンジしようと思います。いくつかのブログで試されている方々が見つかりました。
ip-ranges.jsonのIPレンジ更新頻度がどれくらいかわからないですが、頻繁に変わらなければこの対応もありかなと思いました。