AWSは最近、CloudFrontのAWSマネージドプレフィックスリストが利用できるようになったことを発表した。顧客は、CloudFrontのオリジンフェイシングサーバに属するIPアドレスからのみに、VPCやアプリケーションへのインバウンドHTTP/HTTPSトラフィックを制限できるようになった。
新しいマネージドプレフィックスリストは、AWS Firewall Managerを使って、VPCセキュリティグループルール、サブネットルートテーブル、共通のセキュリティグループルールで参照できる。クラウドプロバイダーは、CloudFrontのオリジンフェイシングサーバのIPアドレスを使ってリストを最新の状態に保つ。AWSのシニアソリューションアーキテクトのKaustubh Phatak氏は、その主な利点を強調している。
この機能により、セキュリティグループの管理が簡素化されます。クラウドフロントIPが変更されたときにセキュリティグループを更新するための回避策はもう必要ありません。ファイアウォールマネージャーを使って、すべてのAWSアカウント横断でマネージドプレフィックスリストを一元的に設定できます。
プレフィックスリストは、1つ以上のCIDRブロックのコレクションである。セキュリティグループとルートテーブルの構成と保守を容易にするためのものである。顧客が管理するプレフィックスリストとAWSが管理するプレフィックスリストがあり、クラウドプロバイダーが管理するAWSサービスのIPアドレス範囲の集合である。EndevaのインフラストラクチャアーキテクトのMaksim Aniskov氏は、次のようにコメントしている。
待望の機能です。CloudFrontにVPCのAWS管理プレフィックスを活用することで、アプリの保護をシンプルにすることができます。この機能の前は、多くの機能部品が必要でした。
AWSのシステム開発マネージャのJon Zobrist氏は、アプリケーションロードバランサーのメリットを強調している。
これで、ELBのセキュリティグループでCloudFrontのマネージドプレフィックスリストを参照できるようになりました。ヘッダーを挿入する必要はもうありません。WAF/ALBがそのルールとなります!
他のAWSマネージドリストと同様に、顧客はCloudFrontプレフィックスリストを作成、変更、共有できず、追加はVPCクォータに大きく影響を与える。マネージドリストはセキュリティグループとルートテーブルで55のルールとしてカウントされる。デフォルトで、セキュリティグループでは5つのルール追加のみが許可され、ルートテーブルではクォータの増加が必要となる。
Redditスレッドで、ユーザのjamsan920は次のように書いている。
クラウドフロントオリジンIPのリストを使ってセキュリティグループを維持するLambda関数はもう必要ないんです!
Lambda関数に依存することは、過去にAWSによって何度も提案され、更新された代替アプローチであった。別のユーザは、新機能の範囲が狭すぎで、IPアドレスを公開するすべてのAWSサービスはプレフィックスリストを提供する必要があると考えている。ユーザのNick4753は注意を促している。
トラフィックをクラウドフロントIP範囲に制限した場合でも、誰かのアカウントのCloudFrontディストリビューションが、誰かのアカウントのオリジンとしか通信できないようにする強制はありません。
クラウドフロントマネージドプレフィックスリストは、アジア太平洋地域のジャカルタと大阪を除くすべてのリージョンで利用できる。リストはCloudFormationテンプレートで参照でき、使用するための追加コストはない。