2.2. セキュリティグループのルール削除 (Ingress: CIDR指定: 作業サイトから: group_idで対象特定)

作業の目的 [why]

セキュリティグループID"sg-xxxxxxxx"から、作業サイトのIPアドレスから"80/tcp"への通信を許可するルールを削除します。

完了条件/事前条件 [設計者用情報]

完了条件 [after]

主処理は、以下を満たしたときに成功したものとします。

完了条件1
セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。

事前条件 [before]

主処理の実施は、以下の状態であることを前提とします。

事前条件1
セキュリティグループID"sg-xxxxxxxx"が存在する。
事前条件2
セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。

前提と異なることが判明した場合、直ちに処理を中止します。

作業対象 [what]

  • セキュリティグループ

標準時間

8分

前提条件

作業権限条件 [who]

本作業は、以下の作業権限を有する人が行います。

作業権限条件: EC2への権限

EC2に対してフル権限があること。

作業環境条件 [where]

本作業は、以下の作業環境で行います。

作業環境条件1: OSとバージョン

Amazon Linuxの以下のバージョンで動作確認済

コマンド:

cat /etc/issue | head -1

結果(例):

Amazon Linux AMI release 2016.09

作業環境条件2: シェルとバージョン

bashの以下のバージョンで動作確認済

コマンド:

bash --version -v | head -1

結果(例):

GNU bash, バージョン 4.2.46(1)-release (x86_64-redhat-linux-gnu)

作業環境条件3: AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.14.24

コマンド:

aws --version

結果(例):

aws-cli/1.14.31 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.8.35

バージョンが古い場合は最新版に更新しましょう。

コマンド:

sudo -H pip install -U awscli

開始条件

作業に必要なモノ・情報 [resource]

作業開始には、以下が全て揃っていることが必要です。

リソース1: プロトコルの指定

  • ルールの対象となるプロトコルです。
  • 今回は"tcp'とします。

リソース2: ポート番号の指定

  • ルールの対象となるポート番号です。
  • 今回は"80'とします。

リソース3: セキュリティグループID

  • ルールを削除するセキュリティグループのIDです。
  • セキュリティグループIDは、本手順以前に取得していることが前提となっています。

作業開始 [when]

以下を全て満たしているとき、作業を開始します。

  • 開始の指示があった場合。

タスクの実施

0. パラメータの指定

まず変数の確認をします。

変数の確認:

cat << ETX

  # 0.a. AWS_DEFAULT_PROFILE:"<EC2のフル権限を許可されたプロファイル>"
         AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}"
  # 0.b. AWS_DEFAULT_REGION:"ap-northeast-1"
         AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 0.1. VPC_SG_PROTOCOL:"tcp"
         VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}"
  # 0.2. VPC_SG_PORT:"80"
         VPC_SG_PORT="${VPC_SG_PORT}"
  # 0.3. VPC_SG_ID:"sg-xxxxxxxx"
         VPC_SG_ID="${VPC_SG_ID}"

ETX

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号について作業を行います。

0.a. プロファイルの指定

変数の設定:

export AWS_DEFAULT_PROFILE='<EC2のフル権限を許可されたプロファイル>'

0.b. リージョンの指定

変数の設定

export AWS_DEFAULT_REGION='ap-northeast-1'

0.1. プロトコルの指定

プロトコルを指定します。

変数の設定:

VPC_SG_PROTOCOL='tcp'

0.2. ポート番号の指定

ポート番号を指定します。

変数の設定:

VPC_SG_PORT='80'

0.3. セキュリティグループIDの指定

対象となるセキュリティグループのIDです。

この手順以前に取得していることが前提となっています。

再確認

設定されている変数の内容を再確認します。

変数の確認:

cat << ETX

  # 0.a. AWS_DEFAULT_PROFILE:"<EC2のフル権限を許可されたプロファイル>"
         AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}"
  # 0.b. AWS_DEFAULT_REGION:"ap-northeast-1"
         AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 0.1. VPC_SG_PROTOCOL:"tcp"
         VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}"
  # 0.2. VPC_SG_PORT:"80"
         VPC_SG_PORT="${VPC_SG_PORT}"
  # 0.3. VPC_SG_ID:"sg-xxxxxxxx"
         VPC_SG_ID="${VPC_SG_ID}"

ETX

1. 前処理

1.1. 状態確認に必要な情報の取得

作業サイトのIPアドレスの取得

コマンド:

IP_ADDR_LOCAL=$( curl -s http://checkip.amazonaws.com/ ) \
  && echo ${IP_ADDR_LOCAL}

結果(例):

xxx.xxx.xxx.xxx

CIDRの指定

変数の設定:

VPC_SG_CIDR="${IP_ADDR_LOCAL}/32" \
  && echo ${VPC_SG_CIDR}

結果(例):

xxx.xxx.xxx.xxx/32

1.2. 処理対象の状態確認

主処理の実施は、以下の状態であることを前提とします。

前提と異なることが判明した場合、直ちに処理を中止します。

事前条件1: セキュリティグループID"sg-xxxxxxxx"が存在する。

「セキュリティグループID"sg-xxxxxxxx"が存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=group-id,Values=${VPC_SG_ID} \
  --query 'SecurityGroups[].[join(``,[GroupId,`, `,GroupName])]' \
  --output text

結果(例):

sg-xxxxxxxx, webapp-handson-cli

事前条件2: セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。

「セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=group-id,Values=${VPC_SG_ID} \
    Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \
    Name=ip-permission.to-port,Values=${VPC_SG_PORT} \
    Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \
    && ToPort == \`${VPC_SG_PORT}\` \
    && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"

結果(例):

[
  [
    {
      "PrefixListIds": [],
      "FromPort": 80,
      "IpRanges": [
          {
              "CidrIp": "xxx.xxx.xxx.xxx/32"
          }
      ],
      "ToPort": 80,
      "IpProtocol": "tcp",
      "UserIdGroupPairs": [],
      "Ipv6Ranges": []
    }
  ]
]

2. 主処理

セキュリティグループのルール削除

変数の確認:

cat << ETX

  # VPC_SG_ID:"sg-xxxxxxxx"
    VPC_SG_ID="${VPC_SG_ID}"
  # VPC_SG_PROTOCOL:"tcp"
    VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}"
  # VPC_SG_PORT:"80"
    VPC_SG_PORT="${VPC_SG_PORT}"
  # VPC_SG_CIDR:"xxx.xxx.xxx.xxx/32"
    VPC_SG_CIDR="${VPC_SG_CIDR}"

ETX

コマンド:

aws ec2 revoke-security-group-ingress \
  --group-id ${VPC_SG_ID} \
  --protocol ${VPC_SG_PROTOCOL} \
  --port ${VPC_SG_PORT} \
  --cidr ${VPC_SG_CIDR}

結果(例):

(出力なし)

3. 後処理

完了条件の確認

主処理は、以下を満たしたときに成功したものとします。

完了条件1: セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。

「セキュリティグループID"sg-xxxxxxxx"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=group-id,Values=${VPC_SG_ID} \
    Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \
    Name=ip-permission.to-port,Values=${VPC_SG_PORT} \
    Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \
    && ToPort == \`${VPC_SG_PORT}\` \
    && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"

結果(例):

[]

完了