【AWS】マネージドプレフィックスリストを使うときは最大エントリ数の設定に注意! | Dev Driven 開発・デザインチーム 【AWS】マネージドプレフィックスリストを使うときは最大エントリ数の設定に注意! | 働くひとと組織の健康を創る iCARE

BLOG

【AWS】マネージドプレフィックスリストを使うときは最大エントリ数の設定に注意!

MiyakawaKazuya
2020/07/08

こんにちは!
インフラエンジニアのずやです。

先月末にAWSでマネージドプレフィックスリストという機能が使えるようになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2020/06/amazon-virtual-private-cloud-customers-use-prefix-lists-simplify-configuration-security-groups-route-tables/

早速使ってみたところ、少しつまづいた点があったため記事に残したいと思います。

マネージドプレフィックスリストとは

VPCの一機能で、複数のCIDRブロックを一元管理することができます。
プレフィックスリストはセキュリティグループやルートテーブルでCIDRブロックを設定する際に参照できます。

Managed prefix lists

より詳しい説明や利用方法については、クラスメソッドさんが記事に分かりやすくまとめてくださってます。

つまづいたこと

試しにプレフィックスリストを使ってみたときの話です。

下図のようにプレフィックスリストを作成しました。最大エントリ数は切りよく100としました。

作成したプレフィックスリストをセキュリティグループに設定してみます。

設定を保存しようとしたところ、下図のようなエラーが発生してしまいました。

The maximum number of rules per security group has been reached.

プレフィックスリストには一つしか設定していないはずが、セキュリティグループのルール数制限にひっかかっているようなエラーメッセージ。

少し思い立って、最大エントリ数を60にしたプレフィックスリストを別途作成しセキュリティグループに設定してみたところ、こちらは問題なく設定できました。
やはりルール数の制限にひっかかっていたようです(セキュリティグループのデフォルトの最大ルール数は60)。

ここでAWSの公式ドキュメントを確認したところ、

When you reference a prefix list in a resource, the maximum number of entries for the prefix lists counts as the same number of rules or entries for the resource.

思いっきり書いてありました。
プレフィックスリストの最大エントリ数が(セキュリティグループの場合)ルール数としてカウントされるとのことです。

(本記事執筆時点で英語版のドキュメントしかなく、億劫になって事前に読んでいませんでした...)

最大エントリ数はプレフィックスリスト作成後は変更できないため、作成前に登録するCIDRブロックの数を見積りつつ、サービスの制限に引っかからない数とするように調整する必要があるようです。

おわりに

とても便利なマネージドプレフィックスリストですが、最大エントリ数の設定には注意が必要です。
そして自戒となりますが、公式ドキュメントはしっかりと読むべし、ですね。