マネージドプレフィックスリスト - Amazon Virtual Private Cloud

マネージドプレフィックスリスト

プレフィックスリストは、1 つ以上の CIDR ブロックのセットです。プレフィックスリストには、次の 2 つのタイプがあります。

  • AWS マネージドプレフィックスリスト — AWS のサービスの IP アドレス範囲を表します。AWS マネージドプレフィックスリストは、VPC セキュリティグループルールおよびサブネットルートテーブルのエントリで参照できます。たとえば、ゲートウェイ VPC エンドポイントを介して AWS のサービスに接続するときに、アウトバウンド VPC セキュリティグループルール内で AWS マネージドプレフィックスリストを参照できます。AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。

  • カスタマーマネージドプレフィックスリスト — お客様が定義および管理する IPv4 または IPv6 CIDR ブロックのセット。このプレフィックスリストは、VPC セキュリティグループルールおよびサブネットルートテーブルのエントリで参照できます。これにより、各リソースで同じ IP アドレスを繰り返し参照するのではなく、1 つのグループでこれらのリソースに頻繁に使用する IP アドレスを管理できます。プレフィックスリストは、他の AWS アカウントと共有できます。そのアカウントは自分のリソース内で、このプレフィックスリストを参照できます。

以下のトピックでは、カスタマーマネージドプレフィックスリスト (このドキュメントでは「プレフィックスリスト」に短縮されています) を作成して操作する方法について説明します。

プレフィックスリストの概念とルール

プレフィックスリストはエントリで構成されます。各エントリは、CIDR ブロックで構成されます。オプションで CIDR ブロックの説明も含まれます。

カスタマーマネージドプレフィックスリストには、次のルールが適用されます。

  • プレフィックスリストを作成するときは、プレフィックスリストがサポートできるエントリの最大数を指定する必要があります。エントリの最大数を後で変更することはできません。

  • リソース内でプレフィックスリストを参照する場合、プレフィックスリストのエントリの最大数は、リソースのルールまたはエントリの同じ数としてカウントされます。たとえば、最大エントリ数が 20 個のプレフィックスリストを作成し、セキュリティグループルール内でそのプレフィックスリストを参照する場合、セキュリティグループの 20 個のルールとしてカウントされます。

  • プレフィックスリストを変更するには、エントリを追加または削除するか、名前を変更します。

  • 1 つのプレフィックスリスト内では、単一タイプの IP アドレス指定 (IPv4 または IPv6) のみがサポートされます。IPv4 および IPv6 の CIDR ブロックを 1 つのプレフィックスリスト内で組み合わせることはできません。

  • プレフィックスリストに関連するクォータがあります。詳細については、「Amazon VPC のクォータ」を参照してください。

  • ルートテーブル内でプレフィックスリストを参照する場合、ルート優先度ルールが適用されます。詳細については、「プレフィックスリストのルーティング優先度」を参照してください。

AWS マネージドプレフィックスリストには、以下のルールが適用されます。

  • AWS マネージドプレフィックスリストを作成、変更、共有、削除することはできません。

  • リソース内で AWS マネージドプレフィックスリストを参照する場合、このリストはリソースのルールまたはエントリの 1 つとしてカウントされます。

  • AWS マネージドプレフィックスリストのバージョン番号を表示することはできません。

プレフィックスリストのバージョン

プレフィックスリストには、複数のバージョンを作成することができます。プレフィックスリストのエントリを追加または削除するたびに、新しいバージョンのプレフィックスリストが作成されます。リソースがプレフィックスを参照する場合は、常に現在 (最新) のバージョンが使用されます。以前のバージョンのプレフィックスリストに含まれていたエントリを新しいバージョンに復元することもできます。

プレフィックスリストの操作

以下のトピックでは、カスタマーマネージドプレフィックスリストを作成して操作する方法について説明します。プレフィックスリストは、Amazon VPC コンソールまたは AWS CLI を使用して操作できます。

プレフィックスリストの作成

新しいプレフィックスリストを作成するときは、プレフィックスリストがサポートできるエントリの最大数を指定する必要があります。後でこの数を変更することはできないため、ニーズに応じてエントリの最大数を指定してください。

コンソールを使用してプレフィックスリストを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

  3. [プレフィックスリストを作成] を選択します。

  4. [プレフィックスリスト名] に、プレフィックスリストの名前を入力します。

  5. [最大エントリ] に、プレフィックスリストの最大エントリ数を入力します。

  6. [アドレスファミリー] で、プレフィックスリストでサポートするエントリのタイプとして IPv4 または IPv6 を選択します。

  7. [プレフィックスリストのエントリ] で、[新しいエントリを追加] を選択し、エントリの CIDR ブロックと説明を入力します。各エントリに対してこのステップを実行します。

  8. (オプション) [タグ] では、後で識別するためのタグをプレフィックスリストに追加します。

  9. [プレフィックスリストを作成] を選択します。

AWS CLI を使用してプレフィックスリストを作成するには

create-managed-prefix-list コマンドを使用します。

プレフィックスリストの表示

Amazon VPC コンソールまたは AWS CLI を使用すると、お客様のプレフィックスリスト、お客様と共有されているプレフィックスリスト、および AWS マネージドプレフィックスリストを表示できます。

コンソールを使用してプレフィックスリストを表示するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

  3. [所有者 ID] 列には、プレフィックスリストの所有者の AWS アカウント ID が表示されます。AWS マネージドプレフィックスリストの場合、[所有者 ID] は AWS です。

AWS CLI を使用してプレフィックスリストを表示するには

describe-managed-prefix-lists コマンドを使用します。

プレフィックスリストのエントリの表示

プレフィックスリストのエントリは、Amazon VPC コンソールまたは AWS CLI を使用して表示できます。

コンソールを使用してプレフィックスリストのエントリを表示するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

  3. プレフィックスリストを選択します。

  4. 下部のペインで [エントリ] を選択して、プレフィックスリストのエントリを表示します。

AWS CLI を使用してプレフィックスリストのエントリを表示するには

get-managed-prefix-list-entries コマンドを使用します。

プレフィックスリストの関連付け (参照) の表示

プレフィックスリストに関連付けられたリソースの ID と所有者を表示することができます。関連付けられたリソースとは、エントリまたはルール内でお客様のプレフィックスリストを参照しているリソースです。

AWS マネージドプレフィックスリストに関連付けられたリソースを表示することはできません。

コンソールを使用してプレフィックスリストの関連付けを表示するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

  3. プレフィックスリストを選択します。

  4. 下部のペインで [関連付け] を選択して、プレフィックスリストを参照しているリソースを表示します。

AWS CLI を使用してプレフィックスリストの関連付けを表示するには

get-managed-prefix-list-associations コマンドを使用します。

プレフィックスリストの変更 (エントリの追加と削除)

お客様のプレフィックスリストについては、名前を変更することも、エントリを追加または削除することもできます。

AWS マネージドプレフィックスリストは変更できません。

コンソールを使用してプレフィックスリストを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

  3. プレフィックスリストを選択し、[アクション]、[プレフィックスリストを変更] の順に選択します。

  4. [プレフィックスリスト名] に、プレフィックスリストの新しい名前を入力します。

  5. [プレフィックスリストのエントリ] で、既存のエントリを削除するには [削除] を選択します。新しいエントリを追加するには、[新しいエントリを追加] を選択し、エントリの CIDR ブロックと説明を入力します。

  6. [プレフィックスリストを保存] を選択します。

AWS CLI を使用してプレフィックスリストを変更するには

modify-managed-prefix-list コマンドを使用します。

プレフィックスリストの以前のバージョンを復元する

お客様のプレフィックスリストの以前のバージョンのエントリを新しいバージョンに復元できます。

コンソールを使用して以前のバージョンのプレフィックスリストを復元するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

  3. プレフィックスリストを選択し、[アクション]、[プレフィックスリストを復元] の順に選択します。

  4. ドロップダウンリストで、プレフィックスリストのバージョンを選択します。

  5. [プレフィックスリストを復元] を選択します。

AWS CLI を使用して以前のバージョンのプレフィックスリストを復元するには

restore-managed-prefix-list-version コマンドを使用します。

プレフィックスリストの削除

プレフィックスリストを削除するには、まずリソース内 (ルートテーブル内など) で、そのプレフィックスリストへの参照をすべて削除する必要があります。AWS RAM を使用してプレフィックスリストを共有している場合は、コンシューマーが所有するリソース内の参照を先に削除する必要があります。プレフィックスリストへの参照を表示する方法については、「プレフィックスリストの関連付け (参照) の表示」を参照してください。

AWS マネージドプレフィックスリストは削除できません。

コンソールを使用してプレフィックスリストを削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[マネージドプレフィックスリスト] を選択します。

  3. プレフィックスリストを選択し、[アクション]、[プレフィックスリストを削除] の順に選択します。

  4. 確認ダイアログボックスで、delete と入力し、[削除] を選択します。

AWS CLI を使用してプレフィックスリストを削除するには

delete-managed-prefix-list コマンドを使用します。

AWS リソース内でのプレフィックスリストの参照

以下の AWS リソースでプレフィックスリストを参照できます。

  • サブネットルートテーブル - ルートテーブルエントリの送信先としてプレフィックスリストを指定できます。ゲートウェイルートテーブル内でプレフィックスリストを参照することはできません。

  • VPC セキュリティグループ - インバウンドルールの送信元として、またはアウトバウンドルールの送信先として、プレフィックスリストを指定できます。

コンソールを使用してルートテーブル内でプレフィックスリストを参照するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [ルートテーブル] を選択して、ルートテーブルを選択します。

  3. [アクション]、[ポリシーの編集] の順に選択します。

  4. ルートを追加するには、[ルートの追加] を選択します。[送信先] に、プレフィックスリストの ID を入力します。

  5. [ターゲット] で、ターゲットを選択します。

  6. [Save routes] を選択します。

AWS CLI を使用してルートテーブル内でプレフィックスリストを参照するには

create-route (AWS CLI) コマンドを使用します。--destination-prefix-list-id パラメータを使用して、プレフィックスリストの ID を指定します。

コンソールを使用してセキュリティグループルール内でプレフィックスリストを参照するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. 更新するセキュリティグループを選択します。

  4. [アクション]、[Edit inbound rules (インバウンドルールを編集)] を選択するか、[アクション]、[Edit outbound rules (アウトバウンドルールを編集)] を選択します。

  5. [Add rule] を選択します。[タイプ] で、トラフィックタイプを選択します。[送信元] (インバウンドルール) または [送信先] (アウトバウンドルール) で、プレフィックスリストの ID を選択します。

  6. [Save Rules (ルールの保存)] を選択します。

AWS CLI を使用してセキュリティグループルール内でプレフィックスリストを参照するには

authorize-security-group-ingress コマンドおよび authorize-security-group-egress コマンドを使用します。--ip-permissions パラメータには、PrefixListIds を使用してプレフィックスリストの ID を指定します。

プレフィックスリストの Identity and Access Management

デフォルトでは、IAM ユーザーには、プレフィックスリストを作成、表示、変更、または削除するためのアクセス許可はありません。ユーザーにプレフィックスリストの操作を許可する IAM ポリシーを作成することができます。

Amazon VPC アクションのリストと、IAM ポリシーで使用できるリソースと条件キーについては、IAM ユーザーガイドの「Amazon EC2 のアクション、リソース、および条件キー」を参照してください。

次のポリシー例では、ユーザーに、プレフィックスリスト pl-123456abcde123456 の表示と操作のみを許可しています。ユーザーがプレフィックスリストの作成または削除を行うことはできません。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeManagedPrefixLists", "ec2:ModifyManagedPrefixList", "ec2:GetManagedPrefixListEntries", "ec2:RestoreManagedPrefixListVersion", "ec2:GetManagedPrefixListAssociations" ], "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456" } ] }

Amazon VPC で IAM を操作する方法については、「Amazon VPC の Identity and Access Management」を参照してください。