すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する

    ドキュメントセンター

    Elastic Compute Service:プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する

    最終更新日:Jul 15, 2025

    このトピックでは、プレフィックスリストを使用してセキュリティグループルールの管理を簡素化する方法について説明します。

    背景情報

    プレフィックスリストとは、1 つ以上のネットワークプレフィックス(CIDR ブロック)のセットです。セキュリティグループルールを設定するためにプレフィックスリストを参照できます。プレフィックスリストのエントリが変更されると、このプレフィックスリストを参照するすべてのセキュリティグループルールも更新されます。頻繁に使用する IP アドレスをプレフィックスリストに配置し、IP アドレスを個別に参照する代わりに、セキュリティグループルールでプレフィックスリストを参照できます。このようにして、権限付与オブジェクトを除いて同じ属性を共有するセキュリティグループルールを、プレフィックスリストを権限付与オブジェクトとして使用する単一のルールに統合し、セキュリティグループルールの管理の負担を軽減できます。プレフィックスリストの詳細については、「概要」をご参照ください。

    ユースケース

    リソースセキュリティを確保するために、クラウド内のリソースに対して複数のセキュリティドメインを計画しているとします。各セキュリティドメインはセキュリティグループに対応しています。クラウド外のオフィスネットワークなどのパブリックリソースは、複数のセキュリティドメインのリソースにアクセスする必要があります。このパブリックリソースには、複数の可変 CIDR ブロックがあります。

    プレフィックスリスト機能を使用しない場合、パブリックリソースからのアクセスを許可するために、複数のセキュリティグループでパブリックリソースの CIDR ブロックを権限付与オブジェクトとして参照する複数のルールを設定する必要があります。設定されたセキュリティグループルールは、権限付与オブジェクトを除いて同じ属性を共有する必要があります。パブリックリソースの CIDR ブロックが変更された場合は、セキュリティグループの対応するルールを変更する必要があります。セキュリティグループと CIDR ブロックの数が多いほど、セキュリティグループルールの管理が難しくなります。

    プレフィックスリスト機能を使用する場合は、パブリックリソースの CIDR ブロックからプレフィックスリストを作成し、複数のセキュリティグループでプレフィックスリストを権限付与オブジェクトとして参照するルールを設定して、パブリックリソースからのアクセスを許可できます。パブリックリソースの CIDR ブロックが変更された場合は、プレフィックスリストの対応するエントリを変更するだけで、関連付けられたセキュリティグループルールも更新されます。これにより、セキュリティグループルールを 1 つずつ変更する必要がなくなり、セキュリティグループルールの管理が簡素化されます。

    複数のアリババクラウドリージョンにリソースがある場合は、クローン機能を使用してリージョン間でプレフィックスリストをクローンできます。

    手順

    このセクションでは、プレフィックスリストを使用して特定の IP アドレスからのアクセスを拒否または許可することにより、セキュリティグループルールを追加または変更する方法について説明します。例では、2 つの IP アドレスが使用されています。

    1. ECS コンソール にログインします。

    2. プレフィックスリストを作成します。

      1. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > icon1 > [プレフィックスリスト] を選択します。

      2. 上部ナビゲーションバーの左上隅で、リージョンを選択します。

      3. [プレフィックスリストの作成] をクリックします。

      4. [プレフィックスリストの作成] ダイアログボックスで、パラメータを設定し、[OK] をクリックします。

        この例では、2 つの IPv4 エントリが追加されます。 [プレフィックスリストの作成] ダイアログボックスのパラメータの値の例:

        • 名前: RemoteLogon

        • 説明: プレフィックスリストの CIDR ブロックからセキュリティグループの Elastic Compute Service (ECS) インスタンスへのアクセスを許可します。

        • アドレスファミリ: [ipv4]

        • 最大エントリ数: 2

          説明

          プレフィックスリストに関連付けられているリソース (セキュリティグループなど) のルールクォータは、実際のエントリ数ではなく、プレフィックスリストの最大エントリ数に基づいて計算されます。 [最大エントリ数] に適切な値を設定してください。

        • エントリ: [エントリの追加] をクリックし、1 つのエントリに 192.168.1.0/24 と入力します。 もう一度 [エントリの追加] をクリックし、別のエントリに 192.168.2.0/24 と入力します。

          上記の各 CIDR ブロックは、連続した IP アドレスのセットです。

          • 192.168.1.0/24: 192.168.1.0 から 192.168.1.255 まで。

          • 192.168.2.0/24: 192.168.2.0 から 192.168.2.255 まで。

    3. プレフィックスリストを参照するセキュリティグループルールを追加します。

      次の手順を繰り返して、複数のセキュリティグループのリモート接続ポートへのアクセスを許可するために RemoteLogon プレフィックスリストを参照するルールを追加します。

      1. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > [セキュリティグループ] を選択します。

      2. ルールを追加するセキュリティグループを見つけ、[ルールを管理][操作] 列の をクリックします。

      3. [受信] タブで、[ルールの追加] をクリックします。

        説明

        この例では、Virtual Private Cloud (VPC) タイプのセキュリティグループが使用されています。 クラシックネットワークタイプのセキュリティグループの場合は、CIDR ブロックがパブリックかどうかによってタブを選択します。

      4. ルールを追加するためのパラメータを設定し、[保存] をクリックします。

        この例では、セキュリティグループの ECS インスタンスへの SSH アクセスとリモートデスクトッププロトコル ( RDP ) アクセスを許可するルールが追加されます。 ルールエントリのパラメータの値の例:

        • アクション: [許可]

        • 優先度: 1

        • プロトコルタイプ: [カスタム TCP ]

        • ポート範囲: [ SSH ( 22 )] および [ RDP ( 3389 )]

        • 権限付与オブジェクト: RemoteLogon プレフィックスリスト

        ルールが追加されると、RemoteLogon プレフィックスリストに含まれる CIDR ブロックは、セキュリティグループ内のインスタンスに接続できるようになります。

    4. プレフィックスリストのエントリを変更します。

      ルールをセキュリティグループに追加した後、RemoteLogon プレフィックスリストに含まれる特定の IP アドレスからのアクセスを拒否する場合は、セキュリティグループルールを 1 つずつ変更する代わりに、プレフィックスリストの対応するエントリを変更します。 たとえば、プライベート IP アドレスが 192.168.1.1192.168.2.1 のインスタンスをジャンプサーバーとして使用し、ジャンプサーバーからのみセキュリティグループへのアクセスを許可するとします。 プレフィックスリストのエントリを変更するには、次の手順を実行します。

      1. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > icon1 > [プレフィックスリスト] を選択します。

      2. RemoteLogon プレフィックスリストを見つけ、[詳細の表示][アクション] 列の をクリックします。

      3. [エントリ] タブをクリックします。

      4. 1 つのエントリに対応する 変更[アクション] 列の をクリックします。

      5. CIDR ブロックを変更し、[保存] をクリックします。

        上記の手順を繰り返して、他のエントリを変更します。 1 つのエントリの CIDR ブロックは 192.168.1.1/32 に変更され、もう 1 つのエントリの CIDR ブロックは 192.168.2.1/32 に変更されます。

        エントリが変更されると、変更はすぐに有効になります。 RemoteLogon プレフィックスリストを使用するセキュリティグループルールは、192.168.1.1/32 および 192.168.2.1/32 からのアクセスのみを許可するように更新されます。

    その他のユースケース

    このセクションでは、個々の IP アドレスを参照するセキュリティグループルールとプレフィックスリストを参照するセキュリティグループルールに必要な操作数を比較して、効率を向上させる上でのプレフィックスリストの利点を示します。 50 個のセキュリティグループがあるとします。次の表は、プレフィックスリストを使用する場合と使用しない場合のさまざまなシナリオで必要な操作数を示しています。

    シナリオ

    個々の IP アドレスを参照するセキュリティグループルール

    プレフィックスリストを参照するセキュリティグループルール

    5 つの IP アドレスからのアクセスを拒否する

    50 個のセキュリティグループそれぞれから、5 つの IP アドレスを参照する 5 つの許可ルールを 1 つずつ削除する場合、250 回の削除操作が必要になります。 各セキュリティグループから 5 つの許可ルールを一括削除する場合でも、50 回の削除操作が必要になります。

    プレフィックスリストから 5 つの IP アドレスを含む 5 つのエントリを 1 つずつ削除する場合、5 回の削除操作が必要になります。 プレフィックスリストから 5 つのエントリを一括削除する場合は、1 回の削除操作だけで済みます。

    5 つの IP アドレスからのアクセスを許可するようにルールまたはエントリを変更する

    50 個のセキュリティグループそれぞれで 5 つのルールを変更して、5 つの IP アドレスからのアクセスを許可する場合、250 回の変更操作が必要になります。

    プレフィックスリストで 5 つのエントリを変更して 5 つの IP アドレスを含める場合、5 回の変更操作が必要になります。

    5 つの IP アドレスからのアクセスを許可するようにルールまたはエントリを追加する

    50 個のセキュリティグループそれぞれに 5 つのルールを追加して、5 つの IP アドレスからのアクセスを許可する場合、250 回の追加操作が必要になります。 5 つの IP アドレスを参照する単一のルールを各セキュリティグループに追加する場合でも、50 回の追加操作が必要になります。

    5 つの IP アドレスを含む 5 つのエントリをプレフィックスリストに追加する場合、5 回の追加操作が必要になります。 5 つの IP アドレスを含む単一のエントリをプレフィックスリストに追加する場合は、1 回の追加操作だけで済みます。

    5 つの IP アドレスからのアクセスを許可するようにルールまたはエントリを変更し、別の 5 つの IP アドレスからのアクセスを許可するようにルールまたはエントリを追加する

    50 個のセキュリティグループそれぞれで 5 つのルールを変更して 5 つの IP アドレスからのアクセスを許可し、さらに 5 つのルールを各セキュリティグループに追加して別の 5 つの IP アドレスからのアクセスを許可する場合、合計 500 回の操作が必要になります。 5 つの IP アドレスを参照する 5 つのルールを変更し、別の 5 つの IP アドレスを参照する単一のルールを各セキュリティグループに追加する場合でも、合計 300 回の操作が必要になります。

    5 つのエントリを変更して 5 つの IP アドレスを含め、さらに 5 つのエントリを追加して別の 5 つの IP アドレスをプレフィックスリストに含める場合、合計 10 回の操作が必要になります。 5 つのエントリを変更し、別の 5 つの IP アドレスを含む単一のエントリをプレフィックスリストに追加する場合は、合計 6 回の操作が必要になります。