PS課、佐竹です。
セキュリティグループにて驚きのリリースがありましたのでご連絡いたします。
- セキュリティグループにて、最大1,000のルールが記載可能になりました
- セキュリティグループの250ルールとは
- セキュリティグループの300ルールとは
- EC2の「制限」一覧から確認するセキュリティグループのルール数
- セキュリティグループの上限緩和申請を行う
- 申請完了時
- まとめ
セキュリティグループにて、最大1,000のルールが記載可能になりました
Announcement: Now add upto 1000 security group rules per network interface
https://forums.aws.amazon.com/ann.jspa?annID=6599
今朝、上記のアナウンスが発表されました。
これによると、今まで合計「300」までしか記載できなかったセキュリティグループのルールが、最大「1,000」まで緩和可能となりました。今回の記事では、今までのセキュリティグループのルール数の歴史と共に、実際に緩和申請を行う画面までご紹介します。
セキュリティグループの250ルールとは
AWSでは、あまりにも有名な「セキュリティグループの上限」という特殊な制限がありました。それは「250ルール」というもので、この制限に抵触するお客様は後を絶たない、と言っても良いくらいに、設計上「重要な」ファクターとなっていました。
このルールは少々特殊で、以下のAWS公式Q&Aにもまとまっております。
AWS アカウントの VPC セキュリティグループまたはルール制限を増加するにはどうすればよいですか
https://aws.amazon.com/jp/premiumsupport/knowledge-center/increase-security-group-rule-limit/
ようは、1つのENI(ネットワークインターフェース)に対して250個(50のルール×5つのグループ=250)までしかセキュリティグループのルールが付与できませんよ、という決まり事です。この掛け算を25のルール×10のグループ=250に変更は可能ですが、250が最大なのは変更不可能です。これは昔、上限緩和申請が行えず、よってこの制限に抵触しないよう予め運用ルールを取り決めていました。例えば、Global IPでのアクセス制限を/32で記載する場合は、250拠点までしか記載できないというようなことです。
※実際、Local IPからのアクセス制限を考えると、250を使い切ることはできませんが
ただこの250ルール制限は、以下の300ルール制限にアップデートされることになります。
セキュリティグループの300ルールとは
2018年9月初旬、先ほど記載した250ルールが300ルールに緩和されるアップデートがありました。これを受け、以下の公式ドキュメントも更新されています。
セキュリティグループ
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html
画面キャプチャで引用しますと、以下の通りです。
※同ページの英語版は既に「1,000」の内容で更新されています
アップデートとしては、1つのENI(ネットワークインターフェース)に対して300個(60のルール×5つのグループ=300)までしかセキュリティグループのルールが付与できませんとなりました。
この2018年9月初旬にリリースされたアップデートは、2010年からAWSを使っている私としては「永遠に緩和されることはないだろう」とまで信じていたセキュリティグループの250ルールを打ち破った革新的なアップデートで、AWS業界を(少し)驚かせました。
なお、このアップデートは「自動的に全アカウントに適用された」ことで、全アカウントで気づいたら250が300に増えていた、ということが発生しました。実際、私の検証アカウントでもこのアップデートは適用されています。
EC2の「制限」一覧から確認するセキュリティグループのルール数
制限一覧から、現在の制限数が確認可能です。具体的なURLは以下となります。
https://ap-northeast-1.console.aws.amazon.com/ec2/v2/home?region=ap-northeast-1#Limits:
上の画像の通り、ポップアップInformationでは、最大1,000となっています。既存の設定値はまだ300(60のルール×5つのグループ=300)のままです。1,000を最大利用するには、この制限に対して上限緩和申請を行う必要があります。
セキュリティグループの上限緩和申請を行う
今回この1,000ルールへの引き上げにおいては、制限の緩和フォームよりVPCの緩和申請が必要です。
上にリンクしました「緩和申請のフォーム」は、昨今のサポートページのアップデートによりうまくリンクされていない状態なので、ジャンプした後は「分類:制限タイプ」に「VPC」を選択してください。
また、今回は同時に以下の2つの制限を緩和します。
- VPC セキュリティグループ当たりのルールの数(現在:60)
- Elastic Network Interface 当たりの VPC セキュリティグループの数(現在:5)
よって、リクエストを2つ同時に出すため、「他のリクエストの追加」ボタンを押下します。
上の画像の左下にあるボタンを押下しますと、以下のように2つ記載可能になります。
この状態で、2つ会わせて記載を行います。今回は以下の通りとしました。
| VPC セキュリティグループ当たりのルールの数 | 100 |
| Elastic Network Interface 当たりの VPC セキュリティグループの数 | 10 |
注意が必要なのは、「ネットワークインターフェイス当たりのセキュリティグループ(Elastic Network Interface 当たりの VPC セキュリティグループの数)」は最大16までしか緩和できないという制限があります。これを踏まえた上で、16以下で1,000を使いきれる(割り切れる)最大の約数は10ですので、今回は「100のルール×10のグループ=1,000」で申請を上げました。
セキュリティグループの数側を最大限増やしたいという方は62のルール×16のグループとすると992までルールが使えるので、ここが良いところだと考えます。
実際の申請画面です。「制限」の項目は1つずつ選択しましょう。
ちなみにこの緩和項目の文言ですが、以下のように比較しますと
| Limits(制限)のコンソール | VPC セキュリティグループ当たりのルールの数 | Elastic Network Interface 当たりの VPC セキュリティグループの数 |
| ドキュメント | セキュリティグループ当たりのインバウンドルールまたはアウトバウンドルールの数 | ネットワークインターフェイス当たりのセキュリティグループ |
| 緩和申請リクエストページ | VPC セキュリティグループあたりのルールの数 | インターフェイスあたりのセキュリティグループ数 |
このように文言がバラついておりますので、ご注意ください。
申請完了時
以下の内容で通知が届きます。
制限緩和のリクエスト 1
サービス: VPC
リージョン: アジアパシフィック(東京)
制限の名前: インターフェイスあたりのセキュリティグループ数
申請する上限数: 10
------------
制限緩和のリクエスト 2
サービス: VPC
リージョン: アジアパシフィック(東京)
制限の名前: VPC セキュリティグループあたりのルールの数
申請する上限数: 100
------------
あとは無事に緩和が反映されるまで少々待つことになります。
2019年2月25日 追記事項 (詳細な申請理由の必要性)
実際に上記の通り緩和申請を実施した後、AWSサポートより以下の通りの連絡を受けました。
結果としてですが、「乗じた数が500を超える場合は、詳細な申請理由が必要となる」とのことです。今回の私の申請では、「VPC セキュリティグループあたりのルールの数」は60から100に緩和して頂けましたが、特に理由を記載していなかった結果、インターフェイスあたりのセキュリティグループ数は5のままとなりました。
最終的に、今回の緩和申請を受け 60のルール×5つのグループ=300 が 100のルール×5つのグループ=500 までは無事に緩和されました。実際に緩和されている結果が制限のページで確認できましたので、以下参考までご確認ください。
繰り返しとなりますが、乗じた数が500よりも大きくなる申請では、詳細な申請理由が必要とのことですため、これから申請される方はお気をつけください。
まとめ
過去、セキュリティグループと言えば250のルールでしたが、2018年9月に300に緩和されました。
そして本日、この「60のルール×5つのグループ=300のルール数」でも不足されていたお客様には朗報となる、300⇒1,000ルールのアップデートがありました。これは非常に喜ばしいことです!
ただし、実際に1,000のルールを運用するのは難しい状況となる点にも合わせて注意が必要です。例えば先ほど記載した、拠点のGlobal IPを1つずつ/32で指定して書くという運用を、実際1,000まで書いて運用するかは、実際対応される運用担当者を含め、予め相談を行われた方が良いと感じます。
そこで合わせてご紹介したいのは、セキュリティグループの各項目に記載可能な「説明」項目です。これは2017年8月末にリリースされた機能となります。是非、合わせてご利用ください。
以上となります。それではまた別の記事でお会いしましょう。
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
マネージドサービス部所属。AWS資格全冠。2010年1月からAWSを利用してきています。2021-2022 AWS Ambassadors/2023 Japan AWS Top Engineers/2020-2023 All Certifications Engineers。AWSのコスト削減、最適化を得意としています。
