セキュリティグループのインバウンドルールで、ソースを IP アドレスではなく FQDN で指定できますか?

記事タイトルとURLをコピーする

コーヒーが好きな木谷映見です。

セキュリティグループのインバウンドルールの送信元(ソース)またはアウトバウンドルールの送信先として、IP アドレスではなく FQDN で指定できるか調査しました。

調査結果

セキュリティグループのインバウンドルールの送信元(ソース)またはアウトバウンドルールの送信先に、FQDN を指定することはできません。
インバウンドルールの送信元(ソース)またはアウトバウンドルールの送信先では、次のいずれかが指定できます。

  • 単一の IPv4 アドレス(例:203.0.113.1/32)
  • 単一の IPv6 アドレス(例:2001:db8:1234:1a00::123/128)
  • CIDR ブロック表記の IPv4 アドレスの範囲(例:203.0.113.0/24)
  • CIDR ブロック表記の IPv6 アドレスの範囲(例:2001:db8:1234:1a00::/64)
  • プレフィクスリストの ID(例:pl-1234abc1234abc123)
    • プレフィックスリスト:1 つ以上の CIDR ブロックのセットのこと
  • セキュリティグループの ID(例:sg-006d8192d40d740a5)

FQDN やドメイン名は指定できません

参考

セキュリティグループのルールについて、以下ドキュメントに詳細が記載されております。
セキュリティグループを使用してリソースへのトラフィックを制御する - Amazon Virtual Private Cloud

プレフィックスリストについて、以下ドキュメントに詳細が記載されております。
マネージドプレフィックスリストを使用して CIDR ブロックをグループ化する - Amazon Virtual Private Cloud

AWS Network Firewall を利用すると、送信元 / 先のドメイン名をもとにした HTTP / HTTPSのアクセス制御が可能です。
blog.serverworks.co.jp

また、実際に稼働確認はしていないのですが、 Dome9 などの CSPM(Cloud Security Posture Managemet)機能を提供するクラウドサービスを利用すると、セキュリティグループのルールにドメイン名を指定することもできる模様です。 dome9-handson-2020-02.s3-website-ap-northeast-1.amazonaws.com

emi kitani(執筆記事の一覧)

AS部LX課。2022/2入社、コーヒーとサウナが好きです。執筆活動に興味があります。AWS認定12冠。