マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する

マネージドプレフィックスリストは、1 つ以上の CIDR ブロックのセットです。プレフィクスリストを使用すると、セキュリティグループとルートテーブルの設定と管理が容易になります。頻繁に使用する IP アドレスからプレフィクスリストを作成し、それらを個別に参照するのではなく、セキュリティグループのルールおよびルートでセットとして参照できます。例えば、CIDR ブロックは異なるが同じポートとプロトコルを持つセキュリティグループルールを、プレフィクスリストを使用する 1 つのルールに統合できます。ネットワークを拡張し、別の CIDR ブロックからのトラフィックを許可する必要がある場合は、関連するプレフィクスリストを更新し、プレフィクスリストを使用するすべてのセキュリティグループを更新します。Resource Access Manager (RAM) を使用して、他の AWS アカウントでマネージドプレフィックスリストを使用することもできます。

プレフィックスリストには、次の 2 つのタイプがあります。

• カスタマー管理プレフィクスリスト ：定義および管理する IP アドレス範囲のセット。プレフィックスリストは、他の AWS アカウントと共有できます。そのアカウントはそのリソース内で、このプレフィックスリストを参照できます。

• AWS マネージドプレフィクスリスト — AWS サービスの IP アドレス範囲のセット。AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。

目次

• プレフィックスリストの概念とルール
• プレフィックスリストの Identity and Access Management
• カスタマーマネージドプレフィックスリストの操作
• AWS マネージドプレフィックスリストの提供
• 共有プレフィックスリストの操作
• AWS リソース内のプレフィックスリストの参照

プレフィックスリストの概念とルール

プレフィックスリストはエントリで構成されます。各エントリは、CIDR ブロックで構成されます。オプションで CIDR ブロックの説明も含まれます。

カスタマーマネージドプレフィックスリスト

カスタマーマネージドプレフィックスリストには、次のルールが適用されます。

• 1 つのプレフィックスリスト内では、単一タイプの IP アドレス指定 (IPv4 または IPv6) のみがサポートされます。IPv4 および IPv6 の CIDR ブロックを 1 つのプレフィックスリスト内で組み合わせることはできません。

• プレフィクスリストは、それを作成したリージョンにのみ適用されます。

• プレフィックスリストを作成するときは、プレフィックスリストがサポートできるエントリの最大数を指定する必要があります。

• リソース内でプレフィックスリストを参照する場合、プレフィックスリストのエントリの最大数は、リソースのエントリの数のクォータに対してカウントされます。例えば、エントリ数が 20 個のプレフィックスリストを作成し、セキュリティグループルール内でそのプレフィックスリストを参照する場合、セキュリティグループの 20 個のルールとしてカウントされます。

• ルートテーブル内でプレフィックスリストを参照する場合、ルート優先度ルールが適用されます。詳細については、「ルーティング優先度とプレフィックスリスト」を参照してください。

• プレフィックスリストを変更できます。プレフィックスリストのエントリを追加または削除するたびに、新しいバージョンのプレフィックスリストが作成されます。リソースがプレフィックスを参照する場合は、常に現在 (最新) のバージョンが使用されます。以前のバージョンのプレフィックスリストからエントリを復元できます。また、新しいバージョンも作成されます。

• プレフィックスリストに関連するクォータがあります。詳細については、「カスタマーマネージドプレフィックスリスト」を参照してください。

AWS マネージドプレフィックスリスト

AWS マネージドプレフィックスリストには、以下のルールが適用されます。

• AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。

• 異なる AWS マネージドプレフィックスリストを使用すると、ウェイトが異なります。詳細については、「AWS マネージドプレフィックスリストのウェイト」を参照してください。

• AWS マネージドプレフィックスリストのバージョン番号を表示することはできません。

プレフィックスリストの Identity and Access Management

デフォルトでは、 ユーザーには、プレフィックスリストを作成、表示、変更、または削除するためのアクセス許可はありません。IAM ポリシーを作成し、ユーザーにプレフィックスリストの操作を許可するロールに添付することができます。

Amazon VPC アクションのリストと、IAM ポリシーで使用できるリソースと条件キーについては、IAM ユーザーガイドの「Amazon EC2 のアクション、リソース、および条件キー」を参照してください。

次のポリシー例では、ユーザーに、プレフィックスリスト pl-123456abcde123456 の表示と操作のみを許可しています。ユーザーがプレフィックスリストの作成または削除を行うことはできません。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:GetManagedPrefixListAssociations",
        "ec2:GetManagedPrefixListEntries",
        "ec2:ModifyManagedPrefixList",
        "ec2:RestoreManagedPrefixListVersion"
      ],
      "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456"
    },
    {
      "Effect": "Allow",
      "Action": "ec2:DescribeManagedPrefixLists",
      "Resource": "*"
    }
   ]
}

Amazon VPC での IAM の操作方法については、「Amazon VPC の Identity and Access Management」を参照してください。