AWSセキュリティグループのルール数カウント方法

「ネットワークインターフェイスあたりのセキュリティグループ」と「セキュリティグループあたりのルールの数」 を乗算した値は 1000 を超えることはできません。

例えば、5個のIPアドレスを含むマネージドプレフィックスリストを作成し、これをソースとしたルールが20個あるSGを作る。

この時点で「セキュリティグループあたりのルールの数」は5*20=100ルールとしてカウントされる。

ルールの積算が1000を超えた適用はできないため、100ルールのセキュリティグループを9個までは900ルールカウントとなり適用できるが、
100ルール持つセキュリティグループを10個適用しようとすると、100*10で1000ルールカウントとなり積算が1000を超えるため、適用できない。

また、マネージドプレフィックスリストのカウントは実際に登録されているIPアドレス数ではなく、そのマネージドプレフィックスリストの最大エントリ数でカウントされるため注意。

※つまり最大エントリ数10で実際のIPアドレス数5のマネージドプレフィックスリスト(カウント10)×ルール20×セキュリティグループ5のとき、カウントは1000となるため適用ができない。

回避策

・マネージドプレフィックスリストの最大エントリ数は、余裕を持ちすぎずに必要最低限に設定する。

・EC2はある程度、用途ごとに作成する(=1台のインスタンスにセキュリティグループを集約させすぎない)。

他にもあったら教えてください。