Amazon VPC Lattice ターゲットのセキュリティグループではプレフィックスリストを使おう

ども、大瀧です。 VPC LatticeはVPC向けのリバースプロキシサービスで最近GAになったので何本かブログを書いています。こちらも興味があれば見てみてください。

本記事は呪文みたいなタイトルになっていますが、言いたいことはタイトルに含めたつもりです。VPC Latticeの転送先となるEC2インスタンスやALBに設定するセキュリティグループのインバウンドルールでは、マネージドプレフィックスリストでソースIPアドレスを指定しましょうということを書きます。

VPC Latticeサービスはセキュリティグループを持たない

VPC Latticeのリバースプロキシ機能はサービスという単位で定義します。サービスはサービスネットワークに登録し、サービスネットワークをVPCに関連付けて利用する形態です。サービスネットワークのVPCアソシエーションにはセキュリティグループを設定するのですが、サービス自体にセキュリティグループを設定するわけではありません。ALBのときはターゲットグループに指定するEC2インスタンスのセキュリティグループのインバウンドルールのソースIPとしてALBのセキュリティグループID(sg-XXXXXXXXXXXX)を指定していましたが、VPC Latticeサービスではそれができないわけです。

VPC LatticeターゲットグループのセキュリティグループのインバウンドルールでVPC Latticeからのアクセスを許可するためには、セキュリティグループの代わりに マネージドプレフィックスリスト を利用します。VPC LatticeのマネージドプレフィックスリストはVPC管理画面の[マネージドプレフィックスリスト]で確認できます。リスト名の末尾が.vpc-latticeのものがIPv4、.ipv6.vpc-latticeものがIPv6用です。

プレフィックスリストというとグローバルIPアドレスのリストのイメージがありますが、VPC LatticeはVPC内でアクセスできるリンクローカルIPアドレスを利用することでVPCのCIDR構成に依存しないため、プレフィックスリストで定義できるわけですね。

セキュリティグループのインバウンドルールで以下のように指定します。

これでALBと同様に、ターゲットグループのセキュリティグループでVPC Latticeからのアクセスのみ許可できます。

まとめ

セキュリティグループでVPC Latticeからのアクセスを許可するために、マネージドプレフィックスリストを利用する様子をご紹介しました。VPC Latticeは便利な機能なので皆さんどんどん使っていきましょう!

参考URL