AWS マネジメントコンソールの利用に必要なURLフィルタの解除対象

こんにちは、SCSKの兒玉です。

先日、お客様からの問い合わせにより「AWS マネジメントコンソールの利用にあたって解除が必要なURLフィルタの対象」を調査しましたので参考までに記載したいと思います。

いきなり「ほぼほぼ」結論。

.a2z.com
.amazon.com
.amazonaws.com
.aws
.aws.com
.aws.dev
.awscloud.com
.awsplayer.com
.awsstatic.com
.cloudfront.net
.live-video.net
.awsapps.com
.api.aws (デュアルスタックエンドポイント(IPv6も使用する場合))
但し、これはすべてを網羅したリストではありません。

これらのドメインのサフィックスは、AWS のみが排他的に使用するわけではなく (*)、AWS側でのマネジメントコンソールのUIの改善や、新しいサービスの実装状況により更に追加される可能性があると思われます (*)。

「全て網羅したい」という場合には、ここから更にブラウザの開発者モードなどで、画面ごとにアクセスしているドメインを洗い出す必要があるのですが、現実的な解としてまずは上記を設定し、どうしてもうまく動作しない箇所について別途開放していく、という方針ではいかがでしょうか。

なぜAWS利用時のURLフィルタの解除対象アドレスが必要なのか?

  • 企業のネットワークを運営、提供しているネットワーク管理者、セキュリティ担当者(以降ネットワーク管理者)としては、社内から不要なインターネットアクセスは行わせたくない
  • AWSは、ご存知の通り、クラウドサービスなので、企業のネットワークの外のインターネット上にあるので、インターネットへのアクセスは必須(AWS Direct Connect などを利用すれば可能だが、ここでは一旦除外)
  • AWSを利用するためには、AWS Management Console へのアクセスが便利なので、これを許可したい
  • その他AWS サービスを社内から利用したい

という状況から、ネットワーク管理者はAWS を利用してもらう際にも、基本はインターネットへのアクセスは拒否しておき、業務遂行上必要最小限のインターネットアクセスのみをフィルタで解除して許可したいと考えています。

企業ネットワーク内からAWSを使いたいという利用者からすると、フィルタ解除を申請するために、AWSを利用する場合に必要なアドレス(ドメイン名)一覧を知っておく必要があります。

このURL一覧は、AWSから公式には公開されていないようです。
こんなケースはよくあるケースだろうから、Webサイトで検索すればすぐにわかるだろうと安易に考えていたのですが、意外と見つからないんですよね… というわけで、私の方で調べてみました。

上記を導き出したソース

AWS サービスエンドポイント

リージョンエンドポイント

AWS サービスエンドポイント - AWS 全般のリファレンス
AWS サービスのエンドポイントを見つけます。

ほとんどのサービスで利用される、.amazonaws.com が挙げられています。

protocol://service-code.region-code.amazonaws.com

デュアルスタックエンドポイント

同じページに、IPv4とIPv6両方を使用する場合に使用するデュアルスタックエンドポイントについての記述があります。

protocol://service-code.region-code.api.aws

AWS サインイン – AWSアクセスポータル

awsapps.com は、こんなところで見つけました。

AWS アクセスポータルにサインインする - AWS サインイン
IAM Identity Center ユーザーとして AWS アクセスポータルにサインインする方法のチュートリアルを提供します。
https://your_subdomain.awsapps.com/start

AWS マネジメントコンソールのエンドポイント

AWS マネジメントコンソールの利用エンドポイント。てっきり amazonaws.com かと思い込んでいましたが、 aws.amazon.com でした。

AWS Management Console エンドポイントとクォータ - AWS 全般のリファレンス
AWS Management Console には、特定のリージョンのコンソールに直接アクセスできるリージョナルエンドポイントがあります。 AWS リージョンエンドポイントの一般的な構文は次のとおりです。
https://region-code.console.aws.amazon.com

AWS Management Console トラブルシューティング

ここに、その他必要とされるドメイン一覧と、上記 (*) の箇所の但し書きがあります。
トラブルシューティングの情報が一番メインって、ありえますか?!

トラブルシューティング - AWS Management Console
の一般的なトラブルシューティングの質問に対する解決策について説明します AWS Management Console。
.a2z.com
.amazon.com
.amazonaws.com
.aws
.aws.com
.aws.dev
.awscloud.com
.awsplayer.com
.awsstatic.com
.cloudfront.net
.live-video.net

以上、皆様がURLフィルタに負けないAWSライフを送れますように。

タイトルとURLをコピーしました