Amazon EKS クラスター内の特定の IP アドレスへの API アクセスをロックダウンするにはどうすればよいですか?

所要時間1分

Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの特定の IP アドレスへの API アクセスをロックダウンしたいと考えています。

簡単な説明

次の 2 種類の Amazon EKS API サーバーアクセスエンドポイントへのアクセスをロックダウンできます。

パブリックアクセスエンドポイント: API サーバーへのアクセスは、デフォルトでパブリックに公開されています。特定の CIDR ブロックと IP アドレスへのアクセスをロックダウンできます。
プライベートアクセスエンドポイント: API サーバーには、Amazon Virtual Private Cloud (Amazon VPC) 内からのみアクセス可能です。クラスターセキュリティグループを介して、特定の VPC CIDR ブロックへのアクセスをさらにロックダウンできます。

Amazon EKS コンソールを開きます。
ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
[Networking] (ネットワーク) セクションで [Update] (更新) を選択します。
[Advanced Settings] (詳細設定) を展開します。
注: [Advanced Settings] (詳細設定) オプションは、パブリックアクセスをアクティブ化した場合にのみ表示されます。
アクセスを許可する CIDR ブロックを入力します。
注: たとえば、54.240.193.129 から 54.240.193.190 までの IP アドレス範囲を 54.240.193.129/26 と要約できます。/32 表記で、単一の IP アドレスを形成できます (たとえば、 54.240.193.130/32)。これらの CIDR ブロックには、予約済みアドレスを含めることはできません。
(オプション) 追加のブロックを入力するには、[Add Source] を選択します。
[Update] をクリックします。

次の事項に留意してください。

CIDR ブロックを指定しない場合、パブリック API サーバーエンドポイントはすべての (0.0.0.0/0) IP アドレスからリクエストを受け取ります。
ワーカーノードと AWS Fargate ポッド (使用されている場合) がプライベートエンドポイントを介してクラスターと通信できるように、プライベートエンドポイントアクセスをアクティブ化するのがベストプラクティスです。
プライベートエンドポイントがアクティブ化されていない場合、パブリックアクセスエンドポイント CIDR ソースには Amazon VPC からのエグレスソースが含まれている必要があります。例えば、NAT ゲートウェイを介してインターネットと通信するプライベートサブネットにワーカーノードがある場合、パブリックエンドポイントで許可されている CIDR ブロックの一部として NAT ゲートウェイのアウトバウンド IP アドレスを追加する必要があります。

Amazon EKS コンソールを開きます。
ナビゲーションペインで、[Clusters] をクリックして、クラスターを選択します。
Networking セクションにあるクラスターセキュリティグループと追加のセキュリティグループの名前をメモします。
ステップ 3 でメモしたいずれかのセキュリティグループにイングレスルールを追加します。
注: イングレスルールでは、プロトコルとして TCP を、アクセスを許可するポートおよびソース IP として 443 を設定します。