Amazon EKS クラスター内の特定の IP アドレスへの API アクセスをロックダウンする方法を教えてください。

次の 2 種類の Amazon EKS API サーバーアクセスエンドポイントへのアクセスをロックダウンできます。

• パブリックアクセスエンドポイント。 API サーバーへのアクセスは、デフォルトでパブリックに公開されています。特定の CIDR ブロックと IP アドレスへのアクセスをロックダウンできます。
• プライベートアクセスエンドポイント。 API サーバーには、Amazon Virtual Private Cloud (Amazon VPC) 内からのみアクセス可能です。クラスターセキュリティグループを介して、特定の VPC CIDR ブロックへのアクセスをさらにロックダウンできます。

API パブリックアクセスエンドポイントをロックダウンする

1. Amazon EKS コンソール を開きます。
2. ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
3. Networking セクションで [Update] をクリックします。
4. [Advanced Settings] を展開します。
   注: [Advanced Settings] オプションは、パブリックアクセスを有効にした場合にのみ表示されます。
5. アクセスを許可する CIDR ブロックを入力します。
   注: たとえば、54.240.193.129 から 54.240.193.190 までの IP アドレス範囲を 54.240.193.129/26 と要約できます。/32 表記で、単一の IP アドレスを形成できます (たとえば、 54.240.193.130/32)。これらの CIDR ブロックには、予約済みアドレスを含めることはできません。
6. (オプション) 追加のブロックを入力するには、[Add Source] を選択します。
7. [Update] をクリックします。

以下に留意してください。

• CIDR ブロックを指定しない場合、パブリック API サーバーエンドポイントはすべての (0.0.0.0/0) IP アドレスからリクエストを受け取ります。
• ワーカーノードと (使用されている場合) AWS Fargate ポッドがプライベートエンドポイントを介してクラスターと通信できるように、プライベートエンドポイントアクセスを有効にすることをお勧めします。
• プライベートエンドポイントが有効になっていない場合、パブリックアクセスエンドポイント CIDR ソースには Amazon VPC からのエグレスソースが含まれている必要があります。たとえば、NAT ゲートウェイを介してインターネットと通信するプライベートサブネットにワーカーノードがある場合、パブリックエンドポイントで許可されている CIDR ブロックの一部として NAT ゲートウェイのアウトバウンド IP アドレスを追加する必要があります。

API プライベートアクセスエンドポイントをロックダウンする

1. Amazon EKS コンソール を開きます。
2. ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
3. Networking セクションにあるクラスターセキュリティグループと追加のセキュリティグループの名前をメモします。
4. ステップ 3 でメモしたいずれかのセキュリティグループにイングレスルールを追加します。
   注: イングレスルールでは、プロトコルとして TCP を、アクセスを許可するポートおよびソース IP として 443 を設定します。