マネージドサービス部 佐竹です。
以前ご紹介しました Public IP insights に大きなアップデートがありましたので、お知らせすると共に設定方法と使い方を説明させて頂きます。

• はじめに
  • Public IP insights の仕様に大きな変更が
  • Amazon VPC IP Address Manager adds a free features tier, including AWS Organization-wide Public IP Insights
• Public IP insights を組織で統合する
  • Delegated administrator (委任) の設定
    • 委任に関する注意事項
  • Create IPAM (Free Tier)
    • Allow data replication
    • IPAM tier
    • IPAM settings
    • Operating regions に関する補足
  • 作成された IPAM を確認する
  • 注意: Quota に関して
• Public IP insights を組織で統合した結果を閲覧する
• まとめ

はじめに

以前、以下のブログでお伝えした通り、AWS における Public IPv4 アドレスの有料化が行われます。

blog.serverworks.co.jp

これは2024年2月1日から開始され、1つの Public IPv4 アドレスにつき1時間あたり $0.005 の請求が行われるようになります。ただし BYOIP （ユーザが独自に持ち込んでいる IP）アドレスについては対象外です。あくまで、AWS から借りている Public IPv4 アドレスが対象です。

対象となるサービスは AWS 公式ドキュメントに記載がある以下の文面が参考になります。

どのタイプのパブリック IPv4 アドレスが課金されますか?
Amazon VPC で起動されたリソースに関連付けられているパブリック IPv4 アドレス、および AWS Global Accelerator と AWS Site-to-Site VPN トンネルのエンドポイントに割り当てられたパブリック IPv4 アドレスは、使用中のパブリック IPv4 アドレスとして課金されます。

https://aws.amazon.com/jp/vpc/pricing/

ようは、VPC の中に持ち込んでいる Public IPv4 アドレスが対象です。それ以外では、AWS Global Accelerator と AWS Site-to-Site VPN の2つが対象になります。

Public IP insights の仕様に大きな変更が

先にご紹介したサーバーワークスエンジニアブログ内では、利用料金や Cost Explorer を元に、事前にコストへの影響を把握する方法をお伝えしました。

またその中で、有料化のニュースリリースと同時に Amazon VPC IP Address Manager が Public IP Insights の提供を開始したと記載しました。

本画像の通り、Public IP Insights は画面左下に独立した機能として Amazon VPC IP Address Manager の中に実装されていました。また特に設定も必要なく、マネジメントコンソールにアクセスするだけで結果が閲覧可能な状態となっていました。

ただし今現在は挙動が異なります。

Amazon VPC IP Address Manager adds a free features tier, including AWS Organization-wide Public IP Insights

aws.amazon.com

2023年11月17日（日本時間では18日 土曜日）に上記のアップデートのアナウンスがありました。

ポイントをまとめると以下の通りです。

• Public IP insights が Amazon VPC IP Address Manager の IPAM における無料機能の1つとして提供開始（これまでの Public IP insights へのリンクは利用不可となった）
• 有料で利用する既存 IPAM 機能が「Advanced」Tier に変更された
• AWS Organizations の統合に対応したことで、全アカウント及び全リージョンの情報を統合（集約）しての情報閲覧が可能となった

特に重要な点は「AWS Organizations の統合に対応した」という点です。これはリリース当初より弊社より AWS に強く要望をあげていた機能ですので、年内に実装されて嬉しく思っています。

ただし同時に、これまでの Public IP insights 機能は画面から削除されており「マネジメントコンソールにアクセスするだけで結果が閲覧可能」な状態ではなくなってしまいました。

ということで、本ブログでは AWS Organizations における「ネットワーク管理アカウント」で全アカウント及び全リージョンの情報を統合した Public IP insights の作成、及び操作画面をご紹介します。

Public IP insights を組織で統合する

Delegated administrator (委任) の設定

まず前提として、AWS Organizations における「ネットワーク管理アカウント（ネットワークアカウント）」に委任した状態で作業を行います*1。

組織全体で IPAM が利用できるかは、AWS Organizations > Services > Amazon VPC IP Address Manager から確認が可能です。

Trusted access が有効化されていることを確認します。これがされていない場合、組織全体で Amazon VPC IP Address Manager の情報集約ができません。

また管理アカウントを委任するには、AWS Organizations のマネジメントアカウントにおいて、Amazon VPC IP Address Manager > Organization settings から委任の設定を行ってください。

正しく委任設定が完了したら、ネットワークアカウントに切り替えて後続作業を行います。

委任に関する注意事項

現在、IPAM の情報を組織全体で集約するには、Amazon VPC IP Address Manager の管理アカウントをマネジメントアカウント以外に委任することが必須のようでした。

委任されていないアカウントで IPAM を作成しようとすると、それがマネジメントアカウントであっても以下の注意書きが表示されます。

We have detected you are not the IPAM delegated administrator of your organization. If you create an IPAM, it will only monitor resources in your account. If you want IPAM to monitor resources across your organization, the IPAM must be created in the delegated administrator's account. To set a delegated administrator, sign in as the management account of your organization and go to the Settings page.

また、マネジメントアカウントにおいて自分自身を管理アカウントとして委任することはできず、以下のエラーが発生します。

Failed to delegate administrator: IpamOrganizationDelegatedAdminCannotBeRootAccount - You cannot register root account/yourself as delegated administrator for your organization.

この状況から鑑みるに、IPAM の情報を組織全体で集約するには、Amazon VPC IP Address Manager の管理アカウントを委任する必要があるようです。

Create IPAM (Free Tier)

「Amazon VPC IP Address Manager > IPAMs > Create」から IPAM の作成を行います。

Allow data replication

まず IPAM 作成にあたり本チェックボックスのチェックは必須となりますので、チェックを入れてください。説明は以下の通りです。

Allow Amazon VPC IP Address Manager to replicate data from the member account(s) into the Amazon VPC IP Address Manager delegate account.
You must select this checkbox to continue to create an IPAM.

[翻訳]
Amazon VPC IP アドレス マネージャーがメンバー アカウントから Amazon VPC IP アドレス マネージャーのデリゲート アカウントにデータをレプリケートできるようにします。
IPAM の作成を続行するには、このチェックボックスを選択する必要があります。

これは AWS Organizations におけるデータの統合が行われる可能性について、事前に認識があるか確認するものです。

IPAM tier

Public IP insights が利用したいだけのため、「Free Tier」に変更します。

IPAM settings

Name tag、Description は任意です。

Operating Regions は設定しているマネジメントコンソールのリージョンが Home リージョンとなりチェックが外せない状態が初期設定です。本アカウントでは「ap-northeast-1 (Tokyo)」をメインのリージョンとして設定し、東京リージョンに全てのリージョンの情報を集約することにします。

「Add all Regions」を押下して、全リージョンを追加して次に進みます。

タグの設定に問題がなければ「Create IPAM」を押下して終了です。

Operating regions に関する補足

AWS ドキュメントからの引用ですが、Operating regions に関して注意事項があります。

If you are creating an IPAM in the Free Tier, you can select multiple operating Regions for your IPAM, but the only IPAM feature that will be available across operating Regions is Public IP insights. You cannot use other features in the Free Tier, like BYOIP, across the IPAM's operating Regions. You can only use them in the IPAM's home Region. To use all IPAM features across operating Regions, create an IPAM in the Advanced Tier.

https://docs.aws.amazon.com/vpc/latest/ipam/create-ipam.html

以下翻訳です。

無料利用枠で IPAM を作成している場合、IPAM に対して複数の運用リージョンを選択できますが、Operating region の設定が利用できるのは Public IP insights のみです。IPAM でリージョンをまたいで、BYOIP などの無料利用枠の他の機能を使用することはできません。これらは IPAM のホームリージョンでのみ利用が可能です。Operating region 全体ですべての IPAM 機能を使用するには、Advanced Tier で IPAM を作成します。

念のため、上記内容もご確認の上ご利用ください。

作成された IPAM を確認する

IPAM 作成完了後、IPAM が表示されるので確認します。「Tier」が「Free Tier（無料）」になっているか確認します。

また、Operating Regions にその他のリージョンが含まれていることも確認しておきましょう。

注意: Quota に関して

Failed to create IPAM: ResourceLimitExceeded - You've reached the limit for ipams. You have created 1 ipams and you are limited to 1.

上記エラーは、2つ目の IPAM を作成しようとすると発生するエラーです。

「Service Quotas」に記載のある通りですが、IPAMs per Region は「1」が制限であり、緩和ができません。

既に IPAM が作成されている場合は、本エラーが発生する点にご留意ください。

Public IP insights を組織で統合した結果を閲覧する

では早速 Amazon VPC IP Address Manager > Public IP insights を見ていきます。

なお、本機能のリンク場所が「Monitoring」の最下部に移動しています。これは IPAM の機能に統合されたための移動と思われます*2。

また、上画面が表示される場合、IPAM での情報収集が完了していないことを示しています。

No public IPs found
If your IPAM was recently created, it will take some time for your public IP addresses to appear. Recently assigned public IP addresses also take some time to appear.

情報の集約が完了するまでしばらくお待ちください。メンバーアカウントの数が少ないほどデータ収集の処理は早く終わるようです。

最初の画面は、以前にブログで紹介した通りで特に変わりがありません。

続く画面中段に、「Public IP types」と「EIP usage」が表示されるようになっています。残念ながら、上画像は設定したばかりで表示がありませんが、S3 Storage Lens のように傾向が確認できるようです。

画面下段にリージョンごとの Public IP の数と、アカウントごとの Public IP の数が表示されるようになっています。

そして最も有用と思われる機能が、以前より表示のあった、最下段の「Public IP addresses」の機能強化です。

歯車マーク（Preferences）から、「Address Region」と「Owner ID」を表示することで、どのアカウントのどのリージョンに Public IP が使われているのかわかるようになりました。

これで調査が大幅に楽になりますね。

「Unassociated」となっているものだけに結果をフィルターすることで、「どのリソースにもアタッチされず無駄に費用がかかっている EIP (Elastic IP)」を全てまとめて一覧で得ることもできるようになっています。また、本一覧に「us-east-1」の EIP が含まれている通り、全リージョンのデータが集約されていることがわかります。

まとめ

本ブログでは以前ご紹介しました Public IP insights にあった大きなアップデートについて記載しました。このアップデートによって、Public IP insights は IPAM の無料機能の1つとなり「AWS Organizations で全アカウント及び全リージョンの情報集約が可能」となりました。

以下に本アップデートのポイントを再掲します。

• Public IP insights が Amazon VPC IP Address Manager の IPAM における無料機能の1つとして提供開始（これまでの Public IP insights へのリンクは利用不可となった）
• 有料で利用する既存 IPAM 機能が「Advanced」Tier に変更された
• AWS Organizations の統合に対応したことで、全アカウント及び全リージョンの情報を統合（集約）しての情報閲覧が可能となった

先にご紹介した画面キャプチャの通り、組織を横断しての調査が非常にやり易くなりました。AWS Organizations をご利用されている場合は、この統合された Public IP insights がたった1つあれば調査には十分でしょう。

多数の AWS アカウントを保持されているお客様には待望のアップデートになりました。是非この機能を活用して、2024年2月1日の Public IPv4 アドレス請求開始に備えて頂ければと存じます。

では、またお会いしましょう。