EC2 Instance Connect向けのセキュリティグループのソースにプレフィックスリストを

2021/03/27 2021/05/05

EC2 Instance Connect、便利ですね。
キーペア不要で、EC2インスタンスにブラウザからSSH接続できます。

セキュリティグループのインバウンドルールでSSHを許可しないといけないのですが、ソースはどこにするべきかというと、EC2 Instance Connectを使っているリージョンのIPアドレス範囲を設定しないといけません。

ユーザーガイドにあるhttps://ip-ranges.amazonaws.com/ip-ranges.jsonをダウンロードして。

$ wget https://ip-ranges.amazonaws.com/ip-ranges.json

1 2	$ wget https://ip-ranges.amazonaws.com/ip-ranges.json

ユーザーガイドにあるコマンドにちょい足しして、バージニア北部でEC2_INSTANCE_CONNECTが使っているIPアドレス範囲を取得します。

$ jq '.prefixes[] | select(.region=="us-east-1" and .service=="EC2_INSTANCE_CONNECT")' < ip-ranges.json
{
  "ip_prefix": "18.206.107.24/29",
  "region": "us-east-1",
  "service": "EC2_INSTANCE_CONNECT",
  "network_border_group": "us-east-1"
}

$ jq '.prefixes[] | select(.region=="us-east-1" and .service=="EC2_INSTANCE_CONNECT")' < ip-ranges.json

{

"ip_prefix": "18.206.107.24/29",

"region": "us-east-1",

"service": "EC2_INSTANCE_CONNECT",

"network_border_group": "us-east-1"

}

“18.206.107.24/29″ですね。
変更の可能性はあるかもですが、そんなに変更されないでしょうと。
そして、これを毎回調べてもいられないので、プレフィックスリストにしました。

そして作ったプレフィックスリストをセキュリティグループでソースに指定して使っています。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS

: このブログをAWS大阪リージョンへ移行しました

大阪リージョン爆誕！！朝起きて寝ぼけながらリージョンを見てると。「大阪リージ …

: CloudTrailイベントのコストしか発生していないリージョンのコスト発生源を調査しました

調査のきっかけふと検証用AWSアカウントのCostExplorerを見てました …

: AWS Transit GatewayのVPCアタッチメント

構成これぐらいの構成なら、VPCピアリングでいいのですが、Transit Ga …

: AWS Secrets Manager交代ユーザーローテーション

AWS Secrets Managerの交代ユーザーローテーションを確認してみま …

: AWS Organizations EC2宣言型ポリシーを設定する

2024/12/1に発表されましたOrganizationsの宣言型ポリシーを設 …

: AWS コスト最適化ハブを有効にしました

新しいコスト最適化ハブは、推奨アクションを一元化してコストを節約します 2023 …

: EC2 Instance Connect エンドポイントの作成

このブログのSystems Managerは機能としてセッションマネージャーしか …

: 共有AMIのコピー時にエラー「You do not have permission to access the storage of this ami」

他アカウントから共有されたAMIをコピーする際に、「You do not hav …

: ブログの画像を別アカウントのS3に移動するためにIAMロールでクロスアカウントアクセス

ずっと先延ばしにしていたのですが、このブログの画像はEC2から直接配信しています …

: CloudFormation StackSetsでOrganizations組織のアカウントに一気にIAMロールを作成した

Organizationsで管理している各アカウントにIAMロールを作成したい場 …

PREV: Windows10にVitalSource Bookshelfアプリをインストールしました
NEXT: EC2 Linux ユーザーデータ実行ユーザーとカレントディレクトリの確認

EC2 Instance Connect向けのセキュリティグループのソースにプレフィックスリストを

ad

ad

関連記事

このブログをAWS大阪リージョンへ移行しました

CloudTrailイベントのコストしか発生していないリージョンのコスト発生源を調査しました

AWS Transit GatewayのVPCアタッチメント

AWS Secrets Manager交代ユーザーローテーション

AWS Organizations EC2宣言型ポリシーを設定する

AWS コスト最適化ハブを有効にしました

EC2 Instance Connect エンドポイントの作成

共有AMIのコピー時にエラー「You do not have permission to access the storage of this ami」

ブログの画像を別アカウントのS3に移動するためにIAMロールでクロスアカウントアクセス

CloudFormation StackSetsでOrganizations組織のアカウントに一気にIAMロールを作成した