ある日、Transit Gatewayを作ろうとCFnのドキュメントを読んでいると…

ん…？

んんん…？

おおーーーー！！！

ずっと待っていたTransit Gateway越しのSG参照機能がしれっとリリースされてる…!?
これは検証せねば…

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-transitgatewayattachment-options.html

先にネタバレ

待ち望んでいた理由

過去、AWSアカウントをまたぐ大規模な共通基盤を構築した際、VPC PeeringのようにVPCをまたいでSGの参照ができないことで少し苦労をしました…

現時点の構成例（TGW越しにSGを参照できない）

普段何気なく使っているSGの参照ですが、利用できないと結構困ります。
オンプレミス時代のようにIPアドレスを用いた制御が必要となり、大量のインスタンスを扱うシステムではインスタンスごとのIPアドレス制御が非常に困難になります。
となると、SubnetまたはVPCのCIDR範囲で指定することになるのですが、万が一該当のNWにインスタンスが立ち上がってしまったら、想定外のインスタンスからの通信を受け付けてしまうことになります。
イメージ図を描いてみましたので、参照してみていただければと思います。

未来の構成例（TGW越しにSGを参照できる世界線）

待ち望んでいた未来の構成です。
SG参照ができるので、インスタンスレベルのアクセス制御が簡単に実現できます。
加えて共通機能向けのSGを1つ作って、必要なインスタンスにアタッチすることで、共通機能側SGのインバウンドルール数を削減することもできます。
こちらも図を描いてみました。構成は変わりませんが、右のインバウンドルールが変更されています。

検証内容や参照したドキュメント

発見のきっかけはCFnのAttachmentのドキュメントでしたが、お手軽に検証すべくCloudShellからAWS CLI（create-transit-gateway）を使って検証してみました。
https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html

早速検証です！

aws ec2 create-transit-gateway \
    --description MyTGW \
    --options SecurityGroupReferencingSupport=enable

残念…
「not available in region ap-northeast-1」と返却されているのでリージョンを変えたらもしかして…

us-east-1で再挑戦！

ダメでした…
その後、us-east-2、us-west-1、us-west-2と試してみましたが、いずれもInvalidParameterValueでした…

まとめ

ドキュメントを見てはやと散ってしまいましたが、2024/6/8時点では実装することはできないようでした…
create-transit-gatewayのドキュメントにも、プレビュー機能である旨が明記されています。
「アカウントによっては利用できない」とあるので、一部のアカウントでは利用できたりするのでしょうか…？実装できたよ！という方いらっしゃいましたらコメントで教えていただければ幸いです。

自身のアカウントのでも利用できるようになったら本記事をアップデートする予定です！