みなさん。こんにちは。サニービュー事業部の小寺です。

先週からAmazon Virtual Private Cloud (VPC) プレフィックスリストが AWS アジアパシフィック (大阪) リージョンでご利用可能になりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/04/amazon-vpc-prefix-list-osaka-region/

VPCプレフィックスリストとは

ここでVPCプレフィックスリストについて簡単にご紹介します。

VPCプレフィックスリストは、VPCの機能の一つで、複数のCIDRブロックを一元管理することができます。セキュリティグループやルートテーブルでCIDRブロックを設定する際に参照できます。

プレフィックスリストには、以下のような特徴があります。
 ・VPCでプレフィックスリストを作成すると複数のIP CIDRをまとめて管理可能になる
 ・作成したプレフィックスリストは、セキュリティグループやVPCルートテーブルの設定に利用可能
 ・オンプレミスの複数拠点から接続する場合のCIDRの管理等がしやすくなる
 ・プレフィックスリストはバージョン管理が可能で、過去のバージョンに戻すことができる
 ・RAM(Resource Access Manager)により、プレフィックスリストを他のAWSアカウントに共有可能
 

プレフィックスリストには、以下の2種類があります。
(1)AWSが管理するAWSマネージドプレフィックスリスト(S3/Cloudfront/DynamoDB等のCIDR範囲を管理)
S3 (com.amazonaws.ap-northeast-1.s3)
cloudfront(com.amazonaws.global.cloudfront.origin-facing)
DynamoDB (com.amazonaws.ap-northeast-1.dynamodb

(2)ユーザーが独自に設定可能なカスタマーマネージドプレフィックスリスト
  任意のIPアドレスやCIDRをユーザーで登録

ユースケース

どのようなときに活用ができそうでしょうか。
例えば、以下のユースケースが考えられます。

プライマリサイト(東京)/DRサイト(大阪)で例のようなセキュリティグループのルール設定における差分を無くすことが可能。
 
例①CloudFront のオリジン(ALB,EC2など)に付けるセキュリティグループのルールにCloudFrontのAWSマネージドプレフィックスリストからのHTTP/HTTPS通信許可のみを設定しておくことでオリジンにCloudFront以外から直接通信しないようにする

例②FTPやSMB等を使用したインターネットからの通信に対し、プレフィックスリストでの許可設定が可能

対応リージョン

VPCプレフィックスリストは以下を除くリージョンでご利用可能です。
・アジアパシフィック (ジャカルタ)
・AWS GovCloud (米国東部)
・AWS GovCloud (米国西部)
・Sinnet が運営する Amazon Web Services 中国 (北京) リージョン
・NWCD が運営する Amazon Web Services 中国 (寧夏) リージョン

またプレフィックスリスト自体は無料でご利用いただけます。

AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5%割引、さらに日本円の請求書による支払いが可能です!