以下のアウトバウンドルールが必要でした。
<ul data-line="1" class="code-line">
<li data-line="1" class="code-line">VPC エンドポイント com.amazonaws.ap-northeast-1.ecr.api 宛てのポート 443</li>
<li data-line="2" class="code-line">VPC エンドポイント com.amazonaws.ap-northeast-1.ecr.dkr 宛てのポート 443</li>
<li data-line="3" class="code-line">com.amazonaws.ap-northeast-1.s3 (ゲートウェイ) のプレフィックスリスト宛てのポート 443</li>
</ul>
<h2 id="fargate-%E3%81%A7%E5%BF%85%E8%A6%81%E3%81%AA-ecr-%E3%82%A8%E3%83%B3%E3%83%89%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" data-line="5" class="code-line">
<a class="header-anchor-link" href="#fargate-%E3%81%A7%E5%BF%85%E8%A6%81%E3%81%AA-ecr-%E3%82%A8%E3%83%B3%E3%83%89%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> Fargate で必要な ECR エンドポイントについて</h2>
<a href="https://dev.classmethod.jp/articles/vpc-endpoints-for-ecs-2022/" target="_blank" rel="nofollow noopener noreferrer">ECSに必要なVPCエンドポイントまとめ（2022年版） | DevelopersIO</a> 
上記ブログの通りなので、冒頭の 3 つのエンドポイントを作成しました。
ecr.api と ecr.dkr のプライベート IP アドレスについては各エンドポイントのサブネットタブから確認可能です。 
<img src="https://storage.googleapis.com/zenn-user-upload/658333bfe51b-20250319.png" loading="lazy" class="md-img">
S3 ゲートウェイエンドポイントの IP アドレス範囲はマネージドプレフィックスリストで管理されているため、セキュリティグループのルールで直接指定できます。 
<a href="https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html" target="_blank" rel="nofollow noopener noreferrer">AWS マネージドプレフィックスリスト - Amazon Virtual Private Cloud</a>
<h2 id="fargate-%E3%81%8B%E3%82%89%E3%81%AE%E3%82%A2%E3%82%A6%E3%83%88%E3%83%90%E3%82%A6%E3%83%B3%E3%83%89%E9%80%9A%E4%BF%A1%E3%82%92%E5%88%B6%E9%99%90%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F" data-line="15" class="code-line">
<a class="header-anchor-link" href="#fargate-%E3%81%8B%E3%82%89%E3%81%AE%E3%82%A2%E3%82%A6%E3%83%88%E3%83%90%E3%82%A6%E3%83%B3%E3%83%89%E9%80%9A%E4%BF%A1%E3%82%92%E5%88%B6%E9%99%90%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F" aria-hidden="true"></a> Fargate からのアウトバウンド通信を制限してみた</h2>
上記を踏まえて Fargate タスク用のセキュリティグループのアウトバウンドルールを以下のように定義しました。
<ul data-line="18" class="code-line">
<li data-line="18" class="code-line">ポート 443 の送信先: ecr.api のプライベート IP アドレス</li>
<li data-line="19" class="code-line">ポート 443 の送信先: ecr.dkr のプライベート IP アドレス</li>
<li data-line="20" class="code-line">ポート 443 の送信先: pl-61a54008 (com.amazonaws.ap-northeast-1.s3)</li>
</ul>
<img src="https://storage.googleapis.com/zenn-user-upload/10249da14a64-20250319.png" loading="lazy" class="md-img">
上記以外は以下の条件です。
<ul data-line="26" class="code-line">
<li data-line="26" class="code-line">ECR リポジトリにはイメージをプッシュ済み</li>
<li data-line="27" class="code-line">VPC エンドポイント側のセキュリティグループのインバウンドルールでは Fargate タスクが起動する VPC の CIDR 範囲からの通信を許可</li>
<li data-line="28" class="code-line">VPC エンドポイント側のセキュリティグループのアウトバウンドルールはデフォルトの全開放</li>
</ul>
この状態で Fargate タスクがプライベートサブネットで起動することを確認できました。 
<img src="https://storage.googleapis.com/zenn-user-upload/af94a0b43a5d-20250319.png" loading="lazy" class="md-img">
<h2 id="vpc-%E3%82%A8%E3%83%B3%E3%83%89%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88%E3%81%8B%E3%82%89%E3%81%AE%E3%82%A2%E3%82%A6%E3%83%88%E3%83%90%E3%82%A6%E3%83%B3%E3%83%89%E9%80%9A%E4%BF%A1%E3%82%82%E5%88%B6%E9%99%90%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F" data-line="33" class="code-line">
<a class="header-anchor-link" href="#vpc-%E3%82%A8%E3%83%B3%E3%83%89%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88%E3%81%8B%E3%82%89%E3%81%AE%E3%82%A2%E3%82%A6%E3%83%88%E3%83%90%E3%82%A6%E3%83%B3%E3%83%89%E9%80%9A%E4%BF%A1%E3%82%82%E5%88%B6%E9%99%90%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F" aria-hidden="true"></a> VPC エンドポイントからのアウトバウンド通信も制限してみた</h2>
上記の検証では VPC エンドポイント側のセキュリティグループのアウトバウンドルールはデフォルトの全開放でしたが、VPC エンドポイントからのアウトバウンド通信も制限してみました。
まずは VPC エンドポイントから ECR へ接続するための IP アドレスを調べる必要がありますので、以下の方法で調べます。 
<a href="https://dev.classmethod.jp/articles/tsnote-aws-how-do-i-find-the-ip-address-range-for-a-specific-aws-service/" target="_blank" rel="nofollow noopener noreferrer">特定の AWS サービスの IP アドレス範囲を調べる方法を教えてください | DevelopersIO</a>
ECR のサービスエンドポイントは以下のドキュメントで公開されています。 
<a href="https://docs.aws.amazon.com/general/latest/gr/ecr.html" target="_blank" rel="nofollow noopener noreferrer">Amazon ECR endpoints and quotas - AWS General Reference</a>
今回は東京リージョンのエンドポイントの IP アドレスを調べてみました。
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="43">$ dig ecr.ap-northeast-1.amazonaws.com
;; ANSWER SECTION:
ecr.ap-northeast-1.amazonaws.com. 60 IN	A	3.112.64.17

$ dig api.ecr.ap-northeast-1.amazonaws.com
;; ANSWER SECTION:
api.ecr.ap-northeast-1.amazonaws.com. 60 IN CNAME ecr.ap-northeast-1.amazonaws.com.
ecr.ap-northeast-1.amazonaws.com. 32 IN	A	3.112.64.17

$ dig &lt;account-id&gt;.dkr.ecr.ap-northeast-1.amazonaws.com
012345678901.dkr.ecr.ap-northeast-1.amazonaws.com. 60 IN CNAME nlb3-a01fc3168d6b4c7e.elb.ap-northeast-1.amazonaws.com.
nlb3-a01fc3168d6b4c7e.elb.ap-northeast-1.amazonaws.com.	60 IN A	52.192.36.247
</code></pre></div>次に上記 IP アドレス範囲を AWS が公開している ip-ranges.json で調べます。 
<a href="https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html" target="_blank" rel="nofollow noopener noreferrer">AWS IP address ranges - Amazon Virtual Private Cloud</a>
今回は以下の IP アドレス範囲であることがわかりました。
<div class="code-block-container"><pre><code class="code-line" data-line="62"># 3.112.64.17 が含まれる IP アドレス範囲
{
 "ip_prefix": "3.112.64.0/23",
 "region": "ap-northeast-1",
 "service": "AMAZON",
 "network_border_group": "ap-northeast-1"
}

# 52.192.36.247 が含まれる IP アドレス範囲
{
 "ip_prefix": "52.192.0.0/15",
 "region": "ap-northeast-1",
 "service": "AMAZON",
 "network_border_group": "ap-northeast-1"
}
</code></pre></div>ECR の IP アドレス範囲がわかったので、VPC エンドポイントのセキュリティグループのアウトバウンドルールに定義します。
<ul data-line="82" class="code-line">
<li data-line="82" class="code-line">ポート 443 の送信先: 3.112.64.0/23</li>
<li data-line="83" class="code-line">ポート 443 の送信先: 52.192.0.0/15</li>
</ul>
<img src="https://storage.googleapis.com/zenn-user-upload/2c8be660e2d0-20250319.png" loading="lazy" class="md-img">
この状態でも Fargate タスクがプライベートサブネットで起動することを確認できました。 
<img src="https://storage.googleapis.com/zenn-user-upload/1c04e6b541cc-20250319.png" loading="lazy" class="md-img">
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="90" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
今回は Fargate から ECR プライベートリポジトリへ接続するためのアウトバウンドルールについて紹介しました。どなたかの参考になれば幸いです。
<h2 id="%E5%8F%82%E8%80%83%E8%B3%87%E6%96%99" data-line="93" class="code-line">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83%E8%B3%87%E6%96%99" aria-hidden="true"></a> 参考資料</h2>
<ul data-line="94" class="code-line">
<li data-line="94" class="code-line"><a href="https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html" target="_blank" rel="nofollow noopener noreferrer">Amazon ECR interface VPC endpoints (AWS PrivateLink) - Amazon ECR</a></li>
<li data-line="95" class="code-line"><a href="https://dev.classmethod.jp/articles/vpc-endpoints-for-ecs-2022/" target="_blank" rel="nofollow noopener noreferrer">ECSに必要なVPCエンドポイントまとめ（2022年版） | DevelopersIO</a></li>
<li data-line="96" class="code-line"><a href="https://dev.classmethod.jp/articles/tsnote-aws-how-do-i-find-the-ip-address-range-for-a-specific-aws-service/" target="_blank" rel="nofollow noopener noreferrer">特定の AWS サービスの IP アドレス範囲を調べる方法を教えてください | DevelopersIO</a></li>
<li data-line="97" class="code-line"><a href="https://docs.aws.amazon.com/general/latest/gr/ecr.html" target="_blank" rel="nofollow noopener noreferrer">Amazon ECR endpoints and quotas - AWS General Reference</a></li>
<li data-line="98" class="code-line"><a href="https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html" target="_blank" rel="nofollow noopener noreferrer">AWS IP address ranges - Amazon Virtual Private Cloud</a></li>
</ul>

Fargate から ECR プライベートリポジトリへ接続するためのアウトバウンドルールについて

Fargate で必要な ECR エンドポイントについて

Fargate からのアウトバウンド通信を制限してみた

VPC エンドポイントからのアウトバウンド通信も制限してみた

Discussion