2.2. セキュリティグループのルール削除 (Ingress: CIDR指定: 作業サイトから: group_idで対象特定)¶
作業の目的 [why]¶
セキュリティグループID"sg-xxxxxxxx"から、作業サイトのIPアドレスから"80/tcp"への通信を許可するルールを削除します。
完了条件/事前条件 [設計者用情報]
完了条件 [after]
主処理は、以下を満たしたときに成功したものとします。
- 完了条件1
- セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。
事前条件 [before]
主処理の実施は、以下の状態であることを前提とします。
- 事前条件1
- セキュリティグループID"sg-xxxxxxxx"が存在する。
- 事前条件2
- セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。
前提と異なることが判明した場合、直ちに処理を中止します。
作業対象 [what]¶
- セキュリティグループ
標準時間¶
8分
前提条件¶
作業環境条件 [where]¶
本作業は、以下の作業環境で行います。
作業環境条件1: OSとバージョン
Amazon Linuxの以下のバージョンで動作確認済
コマンド:
cat /etc/issue | head -1
結果(例):
Amazon Linux AMI release 2016.09
作業環境条件2: シェルとバージョン
bashの以下のバージョンで動作確認済
コマンド:
bash --version -v | head -1
結果(例):
GNU bash, バージョン 4.2.46(1)-release (x86_64-redhat-linux-gnu)
作業環境条件3: AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.14.24
コマンド:
aws --version
結果(例):
aws-cli/1.14.31 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.8.35
バージョンが古い場合は最新版に更新しましょう。
コマンド:
sudo -H pip install -U awscli
開始条件¶
作業に必要なモノ・情報 [resource]¶
作業開始には、以下が全て揃っていることが必要です。
リソース1: プロトコルの指定
- ルールの対象となるプロトコルです。
- 今回は"tcp'とします。
リソース2: ポート番号の指定
- ルールの対象となるポート番号です。
- 今回は"80'とします。
リソース3: セキュリティグループID
- ルールを削除するセキュリティグループのIDです。
- セキュリティグループIDは、本手順以前に取得していることが前提となっています。
タスクの実施¶
0. パラメータの指定¶
まず変数の確認をします。
変数の確認:
cat << ETX # 0.a. AWS_DEFAULT_PROFILE:"<EC2のフル権限を許可されたプロファイル>" AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}" # 0.b. AWS_DEFAULT_REGION:"ap-northeast-1" AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}" # 0.1. VPC_SG_PROTOCOL:"tcp" VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}" # 0.2. VPC_SG_PORT:"80" VPC_SG_PORT="${VPC_SG_PORT}" # 0.3. VPC_SG_ID:"sg-xxxxxxxx" VPC_SG_ID="${VPC_SG_ID}" ETX
下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号について作業を行います。
再確認¶
設定されている変数の内容を再確認します。
変数の確認:
cat << ETX # 0.a. AWS_DEFAULT_PROFILE:"<EC2のフル権限を許可されたプロファイル>" AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}" # 0.b. AWS_DEFAULT_REGION:"ap-northeast-1" AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}" # 0.1. VPC_SG_PROTOCOL:"tcp" VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}" # 0.2. VPC_SG_PORT:"80" VPC_SG_PORT="${VPC_SG_PORT}" # 0.3. VPC_SG_ID:"sg-xxxxxxxx" VPC_SG_ID="${VPC_SG_ID}" ETX
1. 前処理¶
1.1. 状態確認に必要な情報の取得¶
作業サイトのIPアドレスの取得
コマンド:
IP_ADDR_LOCAL=$( curl -s http://checkip.amazonaws.com/ ) \ && echo ${IP_ADDR_LOCAL}
結果(例):
xxx.xxx.xxx.xxx
CIDRの指定
変数の設定:
VPC_SG_CIDR="${IP_ADDR_LOCAL}/32" \ && echo ${VPC_SG_CIDR}
結果(例):
xxx.xxx.xxx.xxx/32
1.2. 処理対象の状態確認¶
主処理の実施は、以下の状態であることを前提とします。
前提と異なることが判明した場合、直ちに処理を中止します。
事前条件1: セキュリティグループID"sg-xxxxxxxx"が存在する。
「セキュリティグループID"sg-xxxxxxxx"が存在する。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=group-id,Values=${VPC_SG_ID} \ --query 'SecurityGroups[].[join(``,[GroupId,`, `,GroupName])]' \ --output text
結果(例):
sg-xxxxxxxx, webapp-handson-cli
事前条件2: セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。
「セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=group-id,Values=${VPC_SG_ID} \ Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \ Name=ip-permission.to-port,Values=${VPC_SG_PORT} \ Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \ --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \ && ToPort == \`${VPC_SG_PORT}\` \ && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"
結果(例):
[ [ { "PrefixListIds": [], "FromPort": 80, "IpRanges": [ { "CidrIp": "xxx.xxx.xxx.xxx/32" } ], "ToPort": 80, "IpProtocol": "tcp", "UserIdGroupPairs": [], "Ipv6Ranges": [] } ] ]
2. 主処理¶
セキュリティグループのルール削除¶
変数の確認:
cat << ETX # VPC_SG_ID:"sg-xxxxxxxx" VPC_SG_ID="${VPC_SG_ID}" # VPC_SG_PROTOCOL:"tcp" VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}" # VPC_SG_PORT:"80" VPC_SG_PORT="${VPC_SG_PORT}" # VPC_SG_CIDR:"xxx.xxx.xxx.xxx/32" VPC_SG_CIDR="${VPC_SG_CIDR}" ETX
コマンド:
aws ec2 revoke-security-group-ingress \ --group-id ${VPC_SG_ID} \ --protocol ${VPC_SG_PROTOCOL} \ --port ${VPC_SG_PORT} \ --cidr ${VPC_SG_CIDR}
結果(例):
(出力なし)
3. 後処理¶
完了条件の確認¶
主処理は、以下を満たしたときに成功したものとします。
完了条件1: セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。
「セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=group-id,Values=${VPC_SG_ID} \ Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \ Name=ip-permission.to-port,Values=${VPC_SG_PORT} \ Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \ --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \ && ToPort == \`${VPC_SG_PORT}\` \ && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"
結果(例):
[]