By using AWS re:Post, you agree to the AWS re:Post Terms of Use

セキュリティグループで特定のAWSリソースへのアウトバウンドに制限する

0

プライベートサブネットのEC2インスタンスがパブリックサブネットのNAT Gatwayを経由し、以下のAWSリソースにアクセスします。

  • CloudWatch
  • ECS
  • ECR

通信を行うのは上記のAWSリソースのみなので、上記のみへのアウトバンド通信にEC2のセキュリティグループで制限したいです。

この場合、どのようにセキュリティグループを設定すれば良いでしょうか?

AWSマネージドプレフィックスリストには上記のリソースはありません。AWSリソースとして公開されているIPレンジを全て設定するしかありませんか?

(VPCエンドポイントはコスト上使用することができません)

1 Answer
1
Accepted Answer

VPCエンドポイントが使用できないとなるとip-ranges.jsonの内容を登録する形になるかと思います。
ただしip-ranges.jsonに記載されているIPアドレスは変わる可能性があるのと数が多いのでセキュリティグループで管理しきるのは難しいと考えています。
なのでOSのファイアウォールなども使う必要があるかもしれません。
一応セキュリティグループのクォータなどを調整すれば設定しきれそうな雰囲気を感じています。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups

profile picture
EXPERT
answered 10 months ago
  • ip-ranges.jsonのIPレンジをOSファイアウォールやクォータを調整してセキュリティグループに追加したとしても、IP変更に対する管理が課題として残るのかと思います。

    他にアウトバウンドを制限する良い方法がなければ、アウトバンドを制限せずNAT Gatewayを利用するか、VPCエンドポイントを使うしかないのかなと思いました。

  • 一応変更されたことの通知はできるのでLambdaなどを使って頑張れば変更の自動化もできないことはないです。(コードの管理などが必要になるのであまりお勧めはできないです) https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ip-ranges.html#subscribe-notifications
    おっしゃる通りVPCエンドポイントを使用されるのがよいかと思います。

  • VPCエンドポイントを使いたいところではあるのですが、要件上AZを3つ使用しておりVPCエンドポイントが多く必要なためコストが大きいです。

    ip-ranges.jsonを設定してlambdaで自動更新する取り組みにチャレンジしようと思います。いくつかのブログで試されている方々が見つかりました。

    ip-ranges.jsonのIPレンジ更新頻度がどれくらいかわからないですが、頻繁に変わらなければこの対応もありかなと思いました。

You are not logged in. Log in to post an answer.

A good answer clearly answers the question and provides constructive feedback and encourages professional growth in the question asker.

Guidelines for Answering Questions