プレフィックスリスト
プレフィックスリストは、1 つ以上の CIDR ブロックのセットです。プレフィックスリストには、次の 2 つのタイプがあります。
-
AWS マネージドプレフィックスリスト — AWS のサービスの IP アドレス範囲を表します。AWS マネージドプレフィックスリストは、VPC セキュリティグループルールおよびサブネットルートテーブルのエントリで参照できます。たとえば、ゲートウェイ VPC エンドポイントを介して AWS のサービスに接続するときに、アウトバウンド VPC セキュリティグループルール内で AWS マネージドプレフィックスリストを参照できます。AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。
-
カスタマーマネージドプレフィックスリスト — お客様が定義および管理する IPv4 または IPv6 CIDR ブロックのセット。このプレフィックスリストは、VPC セキュリティグループルール、サブネットルートテーブルエントリ、トランジットゲートウェイルートテーブルエントリで参照できます。これにより、各リソースで同じ IP アドレスを繰り返し参照するのではなく、1 つのグループでこれらのリソースに頻繁に使用する IP アドレスを管理できます。プレフィックスリストは、他の AWS アカウントと共有できます。そのアカウントは自分のリソース内で、このプレフィックスリストを参照できます。
以下のトピックでは、カスタマーマネージドプレフィックスリストを作成して操作する方法について説明します。
プレフィックスリストの概念とルール
プレフィックスリストはエントリで構成されます。各エントリは、CIDR ブロックで構成されます。オプションで CIDR ブロックの説明も含まれます。
カスタマーマネージドプレフィックスリストには、次のルールが適用されます。
-
プレフィックスリストを作成するときは、プレフィックスリストがサポートできるエントリの最大数を指定する必要があります。エントリの最大数を後で変更することはできません。
-
リソース内でプレフィックスリストを参照する場合、プレフィックスリストのエントリの最大数は、リソースのルールまたはエントリの同じ数としてカウントされます。たとえば、最大エントリ数が 20 個のプレフィックスリストを作成し、セキュリティグループルール内でそのプレフィックスリストを参照する場合、セキュリティグループの 20 個のルールとしてカウントされます。
-
プレフィックスリストを変更するには、エントリを追加または削除するか、名前を変更します。
-
1 つのプレフィックスリスト内では、単一タイプの IP アドレス指定 (IPv4 または IPv6) のみがサポートされます。IPv4 および IPv6 の CIDR ブロックを 1 つのプレフィックスリスト内で組み合わせることはできません。
-
プレフィックスリストに関連するクォータがあります。詳細については、「Amazon VPC クォータ」を参照してください。
-
ルートテーブル内でプレフィックスリストを参照する場合、ルート優先度ルールが適用されます。詳細については、「プレフィックスリストのルーティング優先度」を参照してください。
AWS マネージドプレフィックスリストには、以下のルールが適用されます。
-
AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。
-
リソース内で AWS マネージドプレフィックスリストを参照する場合、このリストはリソースのルールまたはエントリの 1 つとしてカウントされます。
-
AWS マネージドプレフィックスリストのバージョン番号を表示することはできません。
プレフィックスリストのバージョン
プレフィックスリストには、複数のバージョンを作成することができます。プレフィックスリストのエントリを追加または削除するたびに、新しいバージョンのプレフィックスリストが作成されます。リソースがプレフィックスを参照する場合は、常に現在 (最新) のバージョンが使用されます。以前のバージョンのプレフィックスリストに含まれていたエントリを新しいバージョンに復元することもできます。
プレフィックスリストの操作
以下のトピックでは、カスタマーマネージドプレフィックスリストを作成して操作する方法について説明します。Amazon VPC コンソールまたは AWS CLI を使用して、プレフィックスリストを操作できます。
トピック
プレフィックスリストの作成
新しいプレフィックスリストを作成するときは、プレフィックスリストがサポートできるエントリの最大数を指定する必要があります。後でこの数を変更することはできないため、ニーズに応じてエントリの最大数を指定してください。
コンソールを使用してプレフィックスリストを作成するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。
-
[プレフィックスリストを作成] を選択します。
-
[プレフィックスリスト名] に、プレフィックスリストの名前を入力します。
-
[最大エントリ] に、プレフィックスリストの最大エントリ数を入力します。
-
[アドレスファミリー] で、プレフィックスリストでサポートするエントリのタイプとして IPv4 または IPv6 を選択します。
-
[プレフィックスリストのエントリ] で、[新しいエントリを追加] を選択し、エントリの CIDR ブロックと説明を入力します。各エントリに対してこのステップを実行します。
-
(オプション) [タグ] では、後で識別するためのタグをプレフィックスリストに追加します。
-
[プレフィックスリストを作成] を選択します。
AWS CLI を使用してプレフィックスリストを作成するには
create-managed-prefix-list コマンドを使用します。
プレフィックスリストの表示
Amazon VPC コンソールまたは AWS CLI を使用すると、お客様のプレフィックスリスト、お客様と共有されているプレフィックスリスト、および AWS マネージドプレフィックスリストを表示できます。
コンソールを使用してプレフィックスリストを表示するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。
-
[所有者 ID] 列には、プレフィックスリストの所有者の AWS アカウント ID が表示されます。AWS マネージドプレフィックスリストの場合、[所有者 ID] は AWS です。
AWS CLI を使用してプレフィックスリストを表示するには
describe-managed-prefix-lists コマンドを使用します。
プレフィックスリストのエントリの表示
Amazon VPC コンソールまたは AWS CLI を使用して、プレフィックスリストのエントリを表示できます。
コンソールを使用してプレフィックスリストのエントリを表示するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。
-
プレフィックスリストを選択します。
-
下部のペインで [エントリ] を選択して、プレフィックスリストのエントリを表示します。
AWS CLI を使用してプレフィックスリストのエントリを表示するには
get-managed-prefix-list-entries コマンドを使用します。
プレフィックスリストの関連付け (参照) の表示
プレフィックスリストに関連付けられたリソースの ID と所有者を表示することができます。関連付けられたリソースとは、エントリまたはルール内でお客様のプレフィックスリストを参照しているリソースです。
AWS マネージドプレフィックスリストに関連付けられたリソースを表示することはできません。
コンソールを使用してプレフィックスリストの関連付けを表示するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。
-
プレフィックスリストを選択します。
-
下部のペインで [関連付け] を選択して、プレフィックスリストを参照しているリソースを表示します。
AWS CLI を使用してプレフィックスリストの関連付けを表示するには
get-managed-prefix-list-associations コマンドを使用します。
プレフィックスリストの変更 (エントリの追加と削除)
お客様のプレフィックスリストについては、名前を変更することも、エントリを追加または削除することもできます。
AWS マネージドプレフィックスリストは変更できません。
コンソールを使用してプレフィックスリストを変更するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。
-
プレフィックスリストを選択し、[アクション]、[プレフィックスリストを変更] の順に選択します。
-
[プレフィックスリスト名] に、プレフィックスリストの新しい名前を入力します。
-
[プレフィックスリストのエントリ] で、既存のエントリを削除するには [削除] を選択します。新しいエントリを追加するには、[新しいエントリを追加] を選択し、エントリの CIDR ブロックと説明を入力します。
-
[プレフィックスリストを保存] を選択します。
AWS CLI を使用してプレフィックスリストを変更するには
modify-managed-prefix-list コマンドを使用します。
プレフィックスリストの以前のバージョンを復元する
お客様のプレフィックスリストの以前のバージョンのエントリを新しいバージョンに復元できます。
コンソールを使用して以前のバージョンのプレフィックスリストを復元するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。
-
プレフィックスリストを選択し、[アクション]、[プレフィックスリストを復元] の順に選択します。
-
ドロップダウンリストで、プレフィックスリストのバージョンを選択します。
-
[プレフィックスリストを復元] を選択します。
AWS CLI を使用して以前のバージョンのプレフィックスリストを復元するには
restore-managed-prefix-list-version コマンドを使用します。
プレフィックスリストの削除
プレフィックスリストを削除するには、まずリソース内 (ルートテーブル内など) で、そのプレフィックスリストへの参照をすべて削除する必要があります。AWS RAM を使用してプレフィックスリストを共有している場合は、コンシューマーが所有するリソース内の参照を先に削除する必要があります。プレフィックスリストへの参照を表示する方法については、「プレフィックスリストの関連付け (参照) の表示」を参照してください。
AWS マネージドプレフィックスリストは削除できません。
コンソールを使用してプレフィックスリストを削除するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。
-
プレフィックスリストを選択し、[アクション]、[プレフィックスリストを削除] の順に選択します。
-
確認ダイアログボックスで、
delete
と入力し、[削除] を選択します。
AWS CLI を使用してプレフィックスリストを削除するには
delete-managed-prefix-list コマンドを使用します。
AWS リソース内でのプレフィックスリストの参照
以下の AWS リソースでプレフィックスリストを参照できます。
プレフィックスリストの Identity and Access Management
デフォルトでは、IAM ユーザーには、プレフィックスリストを作成、表示、変更、または削除するためのアクセス許可はありません。ユーザーにプレフィックスリストの操作を許可する IAM ポリシーを作成することができます。
Amazon VPC アクションのリストと、IAM ポリシーで使用できるリソースと条件キーについては、IAM ユーザーガイドの「Amazon EC2 のアクション、リソース、および条件キー」を参照してください。
次のポリシー例では、ユーザーに、プレフィックスリスト pl-123456abcde123456
の表示と操作のみを許可しています。ユーザーがプレフィックスリストの作成または削除を行うことはできません。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeManagedPrefixLists", "ec2:ModifyManagedPrefixList", "ec2:GetManagedPrefixListEntries", "ec2:RestoreManagedPrefixListVersion", "ec2:GetManagedPrefixListAssociations" ], "Resource": "arn:aws:ec2:
region
:account
:prefix-list/pl-123456abcde123456" } ] }
Amazon VPC での IAM の操作方法については、「Amazon VPC の Identity and Access Management」を参照してください。