VPC間でセキュリティグループを共有できるようになったらしい

初めに

VPC間でセキュリティグループの共有ができるようになったらしいので試してみます。

Amazon Virtual Private Cloud が新しいセキュリティグループ共有機能をリリース

共有してみる

1. VPCを2つ作成する

   vpc-aを作成

   

   vpc-bを作成

   

2. vpc-aにセキュリティグループを作成する

   vpc-aにセキュリティグループvpc-a-sgを作成

   

3. 作成したセキュリティグループを他のVPCに関連付けする

   vpc-a-sgを選択し、「VPC関連付け」タブから「VPCを関連付け」を選択する

   

   vpc-bを選択し、「VPCを関連付け」を選択する

   

   「正常に関連付けました」となっていること確認

   

4. vpc-bにEC2を立ててセキュリティグループをアタッチしてみる

   vpc-bとvpc-a-sgを指定してEC2を起動してみる

   

5. 起動確認

   EC2が問題なく起動し、vpc-a-sgがアタッチされていることを確認

   

共有できると何が良いか、悪いかを考える

• 特定のセキュリティグループを関連付けするだけでいいのが簡単で良い
• VPCごとにセキュリティグループを作らなくていいので管理対象が減る
• 不必要に緩いセキュリティグループを作られて特定のリソースにアタッチしてしまうケースが多々あるので、管理が楽になるのは非常に良い
• ただ最初のイメージとしてVPCに紐づかないセキュリティグループがあって複数のセキュリティグループを紐づけるのかと思っていた
• 特定のVPCに作られたセキュリティグループを他のVPCに共有する形になるのでちゃんと設計しないと余計管理が煩雑化しそう
• すでにネットワークの運用が確立している現場では導入は難しそう
• クロスアカウントでも同じくらい簡単に共有できたら嬉しい

Terraformでの実装は？

10/31公開の情報なので流石にまだ公式情報にはなさそうです

Resource: aws_security_group

まとめ

何かリソースを作成するたびに気づいたら増えてしまうセキュリティグループについて、管理対象を減らすことができるのは良いと思いました。

その分しっかり設計をしないと余計混乱を招きそうだなと思いましたが、現場でも導入を検討してみようと思います。