こんにちは、SCSKの兒玉です。
先日、お客様からの問い合わせにより「AWS マネジメントコンソールの利用にあたって解除が必要なURLフィルタの対象」を調査しましたので参考までに記載したいと思います。
いきなり「ほぼほぼ」結論。
.amazon.com
.amazonaws.com
.aws
.aws.com
.aws.dev
.awscloud.com
.awsplayer.com
.awsstatic.com
.cloudfront.net
.live-video.net
.awsapps.com
.api.aws (デュアルスタックエンドポイント(IPv6も使用する場合))
「全て網羅したい」という場合には、ここから更にブラウザの開発者モードなどで、画面ごとにアクセスしているドメインを洗い出す必要があるのですが、現実的な解としてまずは上記を設定し、どうしてもうまく動作しない箇所について別途開放していく、という方針ではいかがでしょうか。
なぜAWS利用時のURLフィルタの解除対象アドレスが必要なのか?
- 企業のネットワークを運営、提供しているネットワーク管理者、セキュリティ担当者(以降ネットワーク管理者)としては、社内から不要なインターネットアクセスは行わせたくない
- AWSは、ご存知の通り、クラウドサービスなので、企業のネットワークの外のインターネット上にあるので、インターネットへのアクセスは必須(AWS Direct Connect などを利用すれば可能だが、ここでは一旦除外)
- AWSを利用するためには、AWS Management Console へのアクセスが便利なので、これを許可したい
- その他AWS サービスを社内から利用したい
という状況から、ネットワーク管理者はAWS を利用してもらう際にも、基本はインターネットへのアクセスは拒否しておき、業務遂行上必要最小限のインターネットアクセスのみをフィルタで解除して許可したいと考えています。
企業ネットワーク内からAWSを使いたいという利用者からすると、フィルタ解除を申請するために、AWSを利用する場合に必要なアドレス(ドメイン名)一覧を知っておく必要があります。
このURL一覧は、AWSから公式には公開されていないようです。
こんなケースはよくあるケースだろうから、Webサイトで検索すればすぐにわかるだろうと安易に考えていたのですが、意外と見つからないんですよね… というわけで、私の方で調べてみました。
上記を導き出したソース
AWS サービスエンドポイント
リージョンエンドポイント
ほとんどのサービスで利用される、.amazonaws.com が挙げられています。
デュアルスタックエンドポイント
同じページに、IPv4とIPv6両方を使用する場合に使用するデュアルスタックエンドポイントについての記述があります。
protocol://service-code.region-code.api.aws
AWS サインイン – AWSアクセスポータル
awsapps.com は、こんなところで見つけました。
AWS マネジメントコンソールのエンドポイント
AWS マネジメントコンソールの利用エンドポイント。てっきり amazonaws.com かと思い込んでいましたが、 aws.amazon.com でした。
AWS Management Console トラブルシューティング
ここに、その他必要とされるドメイン一覧と、上記 (*) の箇所の但し書きがあります。
トラブルシューティングの情報が一番メインって、ありえますか?!
.amazon.com
.amazonaws.com
.aws
.aws.com
.aws.dev
.awscloud.com
.awsplayer.com
.awsstatic.com
.cloudfront.net
.live-video.net
以上、皆様がURLフィルタに負けないAWSライフを送れますように。