セキュリティグループで特定のAWSリソースへのアウトバウンドに制限する

0

プライベートサブネットのEC2インスタンスがパブリックサブネットのNAT Gatwayを経由し、以下のAWSリソースにアクセスします。

  • CloudWatch
  • ECS
  • ECR

通信を行うのは上記のAWSリソースのみなので、上記のみへのアウトバンド通信にEC2のセキュリティグループで制限したいです。

この場合、どのようにセキュリティグループを設定すれば良いでしょうか?

AWSマネージドプレフィックスリストには上記のリソースはありません。AWSリソースとして公開されているIPレンジを全て設定するしかありませんか?

(VPCエンドポイントはコスト上使用することができません)

1개 답변
1
수락된 답변

VPCエンドポイントが使用できないとなるとip-ranges.jsonの内容を登録する形になるかと思います。
ただしip-ranges.jsonに記載されているIPアドレスは変わる可能性があるのと数が多いのでセキュリティグループで管理しきるのは難しいと考えています。
なのでOSのファイアウォールなども使う必要があるかもしれません。
一応セキュリティグループのクォータなどを調整すれば設定しきれそうな雰囲気を感じています。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups

profile picture
전문가
답변함 4달 전
  • ip-ranges.jsonのIPレンジをOSファイアウォールやクォータを調整してセキュリティグループに追加したとしても、IP変更に対する管理が課題として残るのかと思います。

    他にアウトバウンドを制限する良い方法がなければ、アウトバンドを制限せずNAT Gatewayを利用するか、VPCエンドポイントを使うしかないのかなと思いました。

  • 一応変更されたことの通知はできるのでLambdaなどを使って頑張れば変更の自動化もできないことはないです。(コードの管理などが必要になるのであまりお勧めはできないです) https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ip-ranges.html#subscribe-notifications
    おっしゃる通りVPCエンドポイントを使用されるのがよいかと思います。

  • VPCエンドポイントを使いたいところではあるのですが、要件上AZを3つ使用しておりVPCエンドポイントが多く必要なためコストが大きいです。

    ip-ranges.jsonを設定してlambdaで自動更新する取り組みにチャレンジしようと思います。いくつかのブログで試されている方々が見つかりました。

    ip-ranges.jsonのIPレンジ更新頻度がどれくらいかわからないですが、頻繁に変わらなければこの対応もありかなと思いました。

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠