セキュリティグループで特定のAWSリソースへのアウトバウンドに制限する

0

プライベートサブネットのEC2インスタンスがパブリックサブネットのNAT Gatwayを経由し、以下のAWSリソースにアクセスします。

  • CloudWatch
  • ECS
  • ECR

通信を行うのは上記のAWSリソースのみなので、上記のみへのアウトバンド通信にEC2のセキュリティグループで制限したいです。

この場合、どのようにセキュリティグループを設定すれば良いでしょうか?

AWSマネージドプレフィックスリストには上記のリソースはありません。AWSリソースとして公開されているIPレンジを全て設定するしかありませんか?

(VPCエンドポイントはコスト上使用することができません)

1 個回答
1
已接受的答案

VPCエンドポイントが使用できないとなるとip-ranges.jsonの内容を登録する形になるかと思います。
ただしip-ranges.jsonに記載されているIPアドレスは変わる可能性があるのと数が多いのでセキュリティグループで管理しきるのは難しいと考えています。
なのでOSのファイアウォールなども使う必要があるかもしれません。
一応セキュリティグループのクォータなどを調整すれば設定しきれそうな雰囲気を感じています。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups

profile picture
專家
已回答 4 個月前
  • ip-ranges.jsonのIPレンジをOSファイアウォールやクォータを調整してセキュリティグループに追加したとしても、IP変更に対する管理が課題として残るのかと思います。

    他にアウトバウンドを制限する良い方法がなければ、アウトバンドを制限せずNAT Gatewayを利用するか、VPCエンドポイントを使うしかないのかなと思いました。

  • 一応変更されたことの通知はできるのでLambdaなどを使って頑張れば変更の自動化もできないことはないです。(コードの管理などが必要になるのであまりお勧めはできないです) https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/aws-ip-ranges.html#subscribe-notifications
    おっしゃる通りVPCエンドポイントを使用されるのがよいかと思います。

  • VPCエンドポイントを使いたいところではあるのですが、要件上AZを3つ使用しておりVPCエンドポイントが多く必要なためコストが大きいです。

    ip-ranges.jsonを設定してlambdaで自動更新する取り組みにチャレンジしようと思います。いくつかのブログで試されている方々が見つかりました。

    ip-ranges.jsonのIPレンジ更新頻度がどれくらいかわからないですが、頻繁に変わらなければこの対応もありかなと思いました。

您尚未登入。 登入 去張貼答案。

一個好的回答可以清楚地回答問題並提供建設性的意見回饋,同時有助於提問者的專業成長。

回答問題指南