プレフィックスリスト

プレフィックスリストは、1 つ以上の CIDR ブロックのセットです。プレフィクスリストを使用すると、セキュリティグループとルートテーブルの設定と管理が容易になります。頻繁に使用する IP アドレスからプレフィクスリストを作成し、それらを個別に参照するのではなく、セキュリティグループのルールおよびルートでセットとして参照できます。たとえば、CIDR ブロックは異なるが同じポートとプロトコルを持つセキュリティグループルールを、プレフィクスリストを使用する 1 つのルールに統合できます。ネットワークを拡張し、別の CIDR ブロックからのトラフィックを許可する必要がある場合は、関連するプレフィクスリストを更新し、プレフィクスリストを使用するすべてのセキュリティグループを更新します。

プレフィックスリストには、次の 2 つのタイプがあります。

• カスタマー管理プレフィクスリスト ：定義および管理する IP アドレス範囲のセット。プレフィックスリストは、他の AWS アカウントと共有できます。そのアカウントはそのリソース内で、このプレフィックスリストを参照できます。

• AWS マネージドプレフィクスリスト — AWS サービスの IP アドレス範囲のセット。AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。

目次

• プレフィックスリストの概念とルール
• カスタマーマネージドプレフィックスリストの操作
• プレフィックスリストの Identity and Access Management
• 共有プレフィックスリストの操作

プレフィックスリストの概念とルール

プレフィックスリストはエントリで構成されます。各エントリは、CIDR ブロックで構成されます。オプションで CIDR ブロックの説明も含まれます。

カスタマーマネージドプレフィックスリスト

カスタマーマネージドプレフィックスリストには、次のルールが適用されます。

• 1 つのプレフィックスリスト内では、単一タイプの IP アドレス指定 (IPv4 または IPv6) のみがサポートされます。IPv4 および IPv6 の CIDR ブロックを 1 つのプレフィックスリスト内で組み合わせることはできません。

• プレフィックスリストを作成するときは、プレフィックスリストがサポートできるエントリの最大数を指定する必要があります。エントリの最大数を後で変更することはできません。

• プレフィックスリストを変更するには、エントリを追加または削除するか、名前を変更します。

• リソース内でプレフィックスリストを参照する場合、プレフィックスリストのエントリの最大数は、リソースのエントリの数のクォータに対してカウントされます。たとえば、エントリ数が 20 個のプレフィックスリストを作成し、セキュリティグループルール内でそのプレフィックスリストを参照する場合、セキュリティグループの 20 個のルールとしてカウントされます。

• ルートテーブル内でプレフィックスリストを参照する場合、ルート優先度ルールが適用されます。詳細については、「」を参照してくださいプレフィックスリストのルーティング優先度

• プレフィクスリストは、それを作成したリージョンにのみ適用されます。

• プレフィックスリストに関連するクォータがあります。詳細については、「」を参照してくださいカスタマーマネージドプレフィックスリスト

AWS マネージドプレフィックスリスト

AWS マネージドプレフィックスリストには、以下のルールが適用されます。

• AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。

• リソース内で AWS マネージドプレフィックスリストを参照する場合、このリストはリソースのルールまたはエントリの 1 つとしてカウントされます。

• AWS マネージドプレフィックスリストのバージョン番号を表示することはできません。

プレフィックスリストのバージョン

プレフィックスリストには、複数のバージョンを作成することができます。プレフィックスリストのエントリを追加または削除するたびに、新しいバージョンのプレフィックスリストが作成されます。リソースがプレフィックスを参照する場合は、常に現在 (最新) のバージョンが使用されます。以前のバージョンのプレフィックスリストに含まれていたエントリを新しいバージョンに復元することもできます。

カスタマーマネージドプレフィックスリストの操作

以下のトピックでは、カスタマーマネージドプレフィックスリストを作成して操作する方法について説明します。

プレフィックスリストを作成する

新しいプレフィックスリストを作成するときは、プレフィックスリストがサポートできるエントリの最大数を指定する必要があります。後でこの数を変更することはできないため、ニーズに応じてエントリの最大数を指定してください。

Limitation

ルールの数とプレフィックスリストの最大エントリ数が、アカウントのセキュリティグループごとのルールのクォータを超える場合、プレフィックスリストをセキュリティグループルールに追加することはできません。

コンソールを使用してプレフィックスリストを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

3. [プレフィックスリストを作成] を選択します。

4. [プレフィックスリスト名] に、プレフィックスリストの名前を入力します。

5. [最大エントリ] に、プレフィックスリストの最大エントリ数を入力します。

6. [アドレスファミリー] で、プレフィックスリストでサポートするエントリのタイプとして IPv4 または IPv6 を選択します。

7. [プレフィックスリストのエントリ] で、[新しいエントリを追加] を選択し、エントリの CIDR ブロックと説明を入力します。各エントリに対してこのステップを実行します。

8. (オプション) [タグ] では、後で識別するためのタグをプレフィックスリストに追加します。

9. [プレフィックスリストを作成] を選択します。

AWS CLI を使用してプレフィックスリストを作成するには

create-managed-prefix-list コマンドを使用します。

プレフィックスリストを表示する

Amazon VPC コンソールまたは AWS CLI を使用した、お客様のプレフィックスリスト、お客様と共有されているプレフィックスリスト、および AWS マネージドプレフィックスリストを表示できます。

コンソールを使用してプレフィックスリストを表示するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

3. [所有者 ID] 列には、プレフィックスリストの所有者の AWS アカウント ID が表示されます。AWS マネージドプレフィックスリストの場合、[所有者 ID] は AWS です。

AWS CLI を使用してプレフィックスリストを表示するには

describe-managed-prefix-lists コマンドを使用します。

プレフィックスリストのエントリの表示

Amazon VPC コンソールまたは AWS CLI を使用して、プレフィックスリストのエントリを表示できます。

コンソールを使用してプレフィックスリストのエントリを表示するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

3. プレフィックスリストを選択します。

4. 下部のペインで [エントリ] を選択して、プレフィックスリストのエントリを表示します。

AWS CLI を使用してプレフィックスリストのエントリを表示するには

get-managed-prefix-list-entries コマンドを使用します。

プレフィックスリストの関連付け (参照) の表示

プレフィックスリストに関連付けられたリソースの ID と所有者を表示することができます。関連付けられたリソースとは、エントリまたはルール内でお客様のプレフィックスリストを参照しているリソースです。

AWS マネージドプレフィックスリストに関連付けられたリソースを表示することはできません。

コンソールを使用してプレフィックスリストの関連付けを表示するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

3. プレフィックスリストを選択します。

4. 下部のペインで [関連付け] を選択して、プレフィックスリストを参照しているリソースを表示します。

AWS CLI を使用してプレフィックスリストの関連付けを表示するには

get-managed-prefix-list-associations コマンドを使用します。

プレフィクスリストの変更（エントリの追加と削除）

お客様のプレフィックスリストについては、名前を変更することも、エントリを追加または削除することもできます。

AWS マネージドプレフィックスリストは変更できません。

コンソールを使用してプレフィックスリストを変更するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

3. プレフィックスリストを選択し、[アクション]、[プレフィックスリストを変更] の順に選択します。

4. [プレフィックスリスト名] に、プレフィックスリストの新しい名前を入力します。

5. [プレフィックスリストのエントリ] で、既存のエントリを削除するには [削除] を選択します。新しいエントリを追加するには、[新しいエントリを追加] を選択し、エントリの CIDR ブロックと説明を入力します。

6. [プレフィックスリストを保存] を選択します。

AWS CLI を使用してプレフィックスリストを変更するには

modify-managed-prefix-list コマンドを使用します。

プレフィックスリストの以前のバージョンを復元する

お客様のプレフィックスリストの以前のバージョンのエントリを新しいバージョンに復元できます。

コンソールを使用して以前のバージョンのプレフィックスリストを復元するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

3. プレフィックスリストを選択し、[アクション]、[プレフィックスリストを復元] の順に選択します。

4. ドロップダウンリストで、プレフィックスリストのバージョンを選択します。

5. [プレフィックスリストを復元] を選択します。

AWS CLI を使用して以前のバージョンのプレフィックスリストを復元するには

restore-managed-prefix-list-version コマンドを使用します。

プレフィックスリストを削除する

プレフィックスリストを削除するには、まずリソース内 (ルートテーブル内など) で、そのプレフィックスリストへの参照をすべて削除する必要があります。AWS RAM を使用してプレフィックスリストを共有している場合は、コンシューマーが所有するリソース内の参照を先に削除する必要があります。プレフィックスリストへの参照を表示する方法については、「プレフィックスリストの関連付け (参照) の表示」を参照してください。

AWS マネージドプレフィックスリストは削除できません。

コンソールを使用してプレフィックスリストを削除するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

3. プレフィックスリストを選択し、[アクション]、[プレフィックスリストを削除] の順に選択します。

4. 確認ダイアログボックスで、delete と入力し、[削除] を選択します。

AWS CLI を使用してプレフィックスリストを削除するには

delete-managed-prefix-list コマンドを使用します。

AWS リソース内のプレフィックスリストの参照

以下の AWS リソースでプレフィックスリストを参照できます。

リソース

• VPC セキュリティグループ
• サブネットルートテーブル
• トランジットゲートウェイルートテーブル

VPC セキュリティグループ

プレフィックスリストは、インバウンドルールの送信元またはアウトバウンドルールの送信先として指定できます。セキュリティグループの詳細については、VPC のセキュリティグループ を参照してください。

コンソールを使用してセキュリティグループルール内でプレフィックスリストを参照するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. 更新するセキュリティグループを選択します。

4. [アクション]、[Edit inbound rules (インバウンドルールを編集)] を選択するか、[アクション]、[Edit outbound rules (アウトバウンドルールを編集)] を選択します。

5. [Add rule] を選択します。[タイプ] で、トラフィックタイプを選択します。[送信元] (インバウンドルール) または [送信先] (アウトバウンドルール) で、プレフィックスリストの ID を選択します。

6. [Save Rules (ルールの保存)] を選択します。

AWS CLI を使用してセキュリティグループルール内でプレフィックスリストを参照するには

authorize-security-group-ingress コマンドおよび authorize-security-group-egress コマンドを使用します。--ip-permissions パラメータには、PrefixListIds を使用してプレフィックスリストの ID を指定します。

サブネットルートテーブル

ルートテーブルエントリの送信先としてプレフィックスリストを指定できます。ゲートウェイルートテーブル内でプレフィックスリストを参照することはできません。ルートテーブルの詳細については、「VPC のルートテーブル」を参照してください。

コンソールを使用してルートテーブル内でプレフィックスリストを参照するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで [ルートテーブル] を選択して、ルートテーブルを選択します。

3. [アクション]、[ポリシーの編集] の順に選択します。

4. ルートを追加するには、[ルートの追加] を選択します。

5. [送信先] に、プレフィックスリストの ID を入力します。

6. [ターゲット] で、ターゲットを選択します。

7. [Save changes] を選択します。

AWS CLI を使用してルートテーブル内でプレフィックスリストを参照するには

create-route (AWS CLI) コマンドを使用します。--destination-prefix-list-id パラメータを使用して、プレフィックスリストの ID を指定します。

トランジットゲートウェイルートテーブル

ルートの送信先としてプレフィックスリストを指定できます。詳細については、Amazon VPC トランジットゲートウェイの「プレフィックスリストの参照」を参照してください。

プレフィックスリストの Identity and Access Management

デフォルトでは、IAM ユーザーには、プレフィックスリストを作成、表示、変更、または削除するためのアクセス許可はありません。ユーザーにプレフィックスリストの操作を許可する IAM ポリシーを作成することができます。

Amazon VPC アクションのリストと、IAM ポリシーで使用できるリソースと条件キーについては、IAM ユーザーガイドの「Amazon EC2 のアクション、リソース、および条件キー」を参照してください。

次のポリシー例では、ユーザーに、プレフィックスリスト pl-123456abcde123456 の表示と操作のみを許可しています。ユーザーがプレフィックスリストの作成または削除を行うことはできません。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeManagedPrefixLists",
        "ec2:ModifyManagedPrefixList",
        "ec2:GetManagedPrefixListEntries",
        "ec2:RestoreManagedPrefixListVersion",
        "ec2:GetManagedPrefixListAssociations"
      ],
      "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456"
    }
   ]
}

Amazon VPC での IAM の操作方法については、「Amazon VPC の Identity and Access Management」を参照してください。