コーヒーが好きな木谷映見です。
セキュリティグループのインバウンドルールの送信元(ソース)またはアウトバウンドルールの送信先として、IP アドレスではなく FQDN で指定できるか調査しました。
調査結果
セキュリティグループのインバウンドルールの送信元(ソース)またはアウトバウンドルールの送信先に、FQDN を指定することはできません。
インバウンドルールの送信元(ソース)またはアウトバウンドルールの送信先では、次のいずれかが指定できます。
- 単一の IPv4 アドレス(例:203.0.113.1/32)
- 単一の IPv6 アドレス(例:2001:db8:1234:1a00::123/128)
- CIDR ブロック表記の IPv4 アドレスの範囲(例:203.0.113.0/24)
- CIDR ブロック表記の IPv6 アドレスの範囲(例:2001:db8:1234:1a00::/64)
- プレフィクスリストの ID(例:pl-1234abc1234abc123)
- プレフィックスリスト:1 つ以上の CIDR ブロックのセットのこと
- セキュリティグループの ID(例:sg-006d8192d40d740a5)
参考
セキュリティグループのルールについて、以下ドキュメントに詳細が記載されております。
セキュリティグループを使用してリソースへのトラフィックを制御する - Amazon Virtual Private Cloud
プレフィックスリストについて、以下ドキュメントに詳細が記載されております。
マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する - Amazon Virtual Private Cloud
AWS Network Firewall を利用すると、送信元 / 先のドメイン名をもとにした HTTP / HTTPSのアクセス制御が可能です。
blog.serverworks.co.jp
また、実際に稼働確認はしていないのですが、 Dome9 などの CSPM(Cloud Security Posture Managemet)機能を提供するクラウドサービスを利用すると、セキュリティグループのルールにドメイン名を指定することもできる模様です。 dome9-handson-2020-02.s3-website-ap-northeast-1.amazonaws.com
emi kitani(執筆記事の一覧)
AS部LX課。2022/2入社、コーヒーとサウナが好きです。執筆活動に興味があります。AWS認定12冠。