このトピックでは、プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する方法について説明します。

このタスクについて

プレフィックスリストは、1つ以上のネットワークプレフィックス (CIDRブロック) のセットです。 プレフィックスリストを参照して、セキュリティグループルールを設定できます。 プレフィックスリストのエントリが変更されると、このプレフィックスリストを参照するすべてのセキュリティグループルールも更新されます。 IPアドレスを個別に参照するのではなく、頻繁に使用するIPアドレスをプレフィックスリストに入れて、セキュリティグループルールでプレフィックスリストを参照できます。 これにより、権限付与オブジェクト以外の同じ属性を共有するセキュリティグループルールを、プレフィックスリストを権限付与オブジェクトとして使用する単一のルールに統合でき、セキュリティグループルールの管理の負担を軽減できます。 プレフィックスリストの詳細については、「概要」をご参照ください。

シナリオの使用

リソースのセキュリティを確保するために、クラウド内のリソースに対して複数のセキュリティドメインを計画しているとします。 各セキュリティドメインは、セキュリティグループに対応する。 クラウド外のオフィスネットワークなどのパブリックリソースには、複数のセキュリティドメインのリソースにアクセスする必要があります。 このパブリックリソースには、複数の可変CIDRブロックがあります。

プレフィックスリスト機能を使用しない場合は、パブリックリソースからのアクセスを許可するために、複数のセキュリティグループの承認オブジェクトとしてパブリックリソースのCIDRブロックを参照する複数のルールを設定する必要があります。 設定されたセキュリティグループルールは、承認オブジェクトを除いて同じ属性を共有する必要があります。 パブリックリソースのCIDRブロックが変更された場合、複数のセキュリティドメインのセキュリティグループの対応するルールを変更する必要があります。 セキュリティグループとCIDRブロックの数が多いほど、セキュリティグループルールの管理が難しくなります。

プレフィックスリスト機能を使用する場合は、パブリックリソースのCIDRブロックからプレフィックスリストを作成し、パブリックリソースからのアクセスを許可するために、複数のセキュリティグループの許可オブジェクトとしてプレフィックスリストを参照するルールを設定できます。 パブリックリソースのCIDRブロックが変更された場合、プレフィックスリスト内の対応するエントリを変更するだけで済み、関連付けられたセキュリティグループルールも更新されます。 これにより、セキュリティグループルールを1つずつ変更する必要がなくなり、セキュリティグループルールの管理が簡単になります。

複数のAlibaba Cloudリージョンにリソースがある場合、クローン機能を使用して、リージョン間でプレフィックスリストをクローンできます。

手順

このセクションでは、プレフィックスリストを使用して特定のIPアドレスからのアクセスを拒否または許可することにより、セキュリティグループルールを追加または変更する方法について説明します。 この例では、2つのIPアドレスが使用される。
RAMユーザーを使用している場合は、プレフィックスリストに対する権限をユーザーに付与します。 詳細については、「RAMユーザーにプレフィックスリストに対する権限を付与する」をご参照ください。
  1. ECS コンソールにログインします。
  2. プレフィックスリストを作成します。
    1. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > [プレフィックスリスト] を選択します。
    2. 上部のナビゲーションバーで、リージョンを選択します。
    3. [プレフィックスリストの作成] をクリックします。
    4. [プレフィックスリストの作成] ダイアログボックスでパラメーターを設定し、[作成] をクリックします。
      この例では、2つのIPv4エントリが追加されます。 プレフィックスリストの作成ダイアログボックスのパラメーターの値の例:
      • 名前: RemoteLogon
      • 説明: プレフィックスリストのCIDRブロックからセキュリティグループ内のElastic Compute Service (ECS) インスタンスへのアクセスを許可します。
      • アドレスファミリ: IPv4
      • マックスエントリー: 2
        プレフィックスリストに関連付けられているリソース (セキュリティグループなど) のルールクォータは、実際のエントリ数ではなく、プレフィックスリスト内のエントリの最大数に基づいて計算されます。 Max Entriesに適切な値を設定します。
      • エントリ: [エントリの追加] をクリックし、エントリに192.168.1.0/24と入力します。 もう一度 [エントリの追加] をクリックし、別のエントリに192.168.2.0/24と入力します。
        先行するCIDRブロックのそれぞれは、連続するIPアドレスのセットである。
        • 192.168.1.0/24 192.168.1.0 192.168.1.255へ。
        • 192.168.2.0/24 192.168.2.0 192.168.2.255へ。
  3. プレフィックスリストを参照するセキュリティグループルールを追加します。
    次の手順を繰り返して、RemoteLogonプレフィックスリストを参照するルールを追加し、複数のセキュリティグループのリモート接続ポートへのアクセスを許可します。
    1. 左側のナビゲーションウィンドウで、[ネットワーク & セキュリティ] > [セキュリティグループ] を選択します。
    2. ルールを追加するセキュリティグループを見つけて、[操作] 列の [ルールの追加] をクリックします。
    3. [インバウンド] タブで、[ルールの追加] をクリックします。
      この例では、Virtual Private Cloud (VPC) タイプのセキュリティグループが使用されています。 クラシックネットワークタイプのセキュリティグループの場合、CIDRブロックがパブリックブロックであるかどうかに基づいてタブを選択します。
    4. ルールを追加するパラメーターを設定し、[保存] をクリックします。
      この例では、セキュリティグループ内のECSインスタンスへのSSHアクセスとリモートデスクトッププロトコル (RDP) アクセスを許可するルールが追加されています。 ルールエントリのパラメーターの値の例:
      • アクション: 許可
      • 優先度: 1
      • プロトコルタイプ: カスタムTCP
      • ポート範囲: SSH (22) およびRDP (3389)
      • 権限付与オブジェクト: RemoteLogonプレフィックスリスト
      ルールが追加されると、RemoteLogonプレフィックスリストに含まれるCIDRブロックがセキュリティグループ内のインスタンスに接続できるようになります。
  4. プレフィックスリストのエントリを変更します。
    ルールがセキュリティグループに追加された後、RemoteLogonプレフィックスリストに含まれる特定のIPアドレスからのアクセスを拒否する場合は、セキュリティグループルールを1つずつ変更するのではなく、プレフィックスリストの対応するエントリを変更します。 たとえば、プライベートIPアドレスが192.168.1.1192.168.2.1されているインスタンスをジャンプサーバーとして使用し、ジャンプサーバーからのみセキュリティグループへのアクセスを許可するとします。 プレフィックスリストのエントリを変更するには、次の手順を実行します。
    1. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > [プレフィックスリスト] を選択します。
    2. RemoteLogonプレフィックスリストを見つけて、[操作] 列の [詳細の表示] をクリックします。
    3. [エントリ] タブをクリックします。
    4. 1つのエントリに対応する [操作] 列で [変更] をクリックします。
    5. Change the CIDR block and click Save.
      上記の手順を繰り返して、他のエントリを変更します。 The CIDR block in one entry is changed to 192.168.1.1/32, and the CIDR block in the other entry is changed to 192.168.2.1/32.
      エントリが変更されると、変更はすぐに有効になります。 RemoteLogonプレフィックスリストを使用するセキュリティグループルールは、192.168.1.1/32および192.168.2.1/32からのアクセスのみを許可するように更新されます。

その他の使用シナリオ

このセクションでは、個々のIPアドレスを参照するセキュリティグループルールとプレフィックスリストを参照するセキュリティグループルールに必要な操作の数を比較して、効率の向上におけるプレフィックスリストの利点を示します。 50のセキュリティグループがあるとします。 次の表に、プレフィックスリストを使用する場合と使用しない場合のシナリオで必要な操作数を示します。
シナリオ 個々のIPアドレスを参照するセキュリティグループルール プレフィックスリストを参照するセキュリティグループルール
5つのIPアドレスからのアクセスを拒否する 50のセキュリティグループのそれぞれから5つのIPアドレスを1つずつ参照する5つの許可ルールを削除する場合、250の削除操作が必要です。 Event if you batch remove the five allow rules from each security group, 50 remove operations are still required. 5つのIPアドレスを含む5つのエントリをプレフィックスリストから1つずつ削除する場合、5つの削除操作が必要です。 プレフィックスリストから5つのエントリを一括削除する場合、1回の削除操作のみが必要です。
5つのIPアドレスからのアクセスを許可するようにルールまたはエントリを変更する 50のセキュリティグループのそれぞれで5つのルールを変更して5つのIPアドレスからのアクセスを許可する場合は、250の変更操作が必要です。 5つのエントリを変更してプレフィックスリストに5つのIPアドレスを含める場合、5つの変更操作が必要です。
5つのIPアドレスからのアクセスを許可するルールまたはエントリを追加する 50のセキュリティグループのそれぞれに5つのルールを追加して、5つのIPアドレスからのアクセスを許可する場合。 この場合、250の追加操作が必要です。 各セキュリティグループに5つのIPアドレスを参照する単一のルールを追加すると、イベントが発生します。 5つのIPアドレスを含む5つのエントリをプレフィックスリストに追加する場合、5つの追加操作が必要です。 5つのIPアドレスを含む1つのエントリをプレフィックスリストに追加する場合、必要な追加操作は1つだけです。
5つのIPアドレスからのアクセスを許可するようにルールまたはエントリを変更し、別の5つのIPアドレスからのアクセスにルールまたはエントリを追加する 50のセキュリティグループのそれぞれで5つのルールを変更して5つのIPアドレスからのアクセスを許可し、各セキュリティグループに5つのルールを追加して別の5つのIPアドレスからのアクセスを許可する場合、合計500の操作が必要になります。 5つのIPアドレスを参照する5つのルールを変更し、各セキュリティグループでさらに5つのIPアドレスを参照する1つのルールを追加しても、合計300の操作が必要です。 5つのIPアドレスを含めるように5つのエントリを変更し、プレフィックスリストに他の5つのIPアドレスを含めるように5つのエントリを追加する場合、合計10の操作が必要です。 5つのエントリを変更し、プレフィックスリストにさらに5つのIPアドレスを含む1つのエントリを追加する場合、合計6つの操作が必要です。