Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
5
Help us understand the problem. What is going on with this article?
@tcsh

[JAWS-UG CLI] VPC:#3 セキュリティグループの作成 (HTTP許可)

More than 3 years have passed since last update.

前提条件

EC2への権限

EC2に対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.11.7
コマンド
aws --version

結果(例):

  aws-cli/1.11.19 Python/2.7.10 Darwin/15.6.0 botocore/1.4.76

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

AWSアカウントの属性

AWSアカウントがEC2-Classicに対応していないこと。

コマンド
AWS_SUPPORT_PLATFORMS=$( \
         aws ec2 describe-account-attributes \
           --query 'AccountAttributes[?AttributeName == `supported-platforms`].AttributeValues[].AttributeValue' \
           --output text \
) && echo ${AWS_SUPPORT_PLATFORMS}

結果:

  VPC

注釈: 'VPC'の他に'EC2'が表示される場合、別のアカウントを作成もしくは
利用し てください。

0. 準備

0.1. リージョンの決定

変数の設定
export AWS_DEFAULT_REGION='ap-northeast-1'

0.2. 変数の確認:

プロファイルが想定のものになっていることを確認します。

変数の確認
aws configure list

結果(例):

        Name                    Value             Type    Location
        ----                    -----             ----    --------
     profile       ec2as_full-prjZ-mbp13        env    AWS_DEFAULT_PROFILE
  access_key     ****************XXXX shared-credentials-file
  secret_key     ****************XXXX shared-credentials-file
      region        ap-northeast-1        env    AWS_DEFAULT_REGION

0.3. VPCの指定

既存のVPCに割り当てられているCIDRブロックを確認します。

コマンド
aws ec2 describe-vpcs \
        --query 'Vpcs[].CidrBlock'

結果(例):

  [
    "172.31.0.0/16",
    "10.192.0.0/16"
  ]

ここでは、10.192.0.0/16を範囲とするVPCを選択します。

変数の設定
VPC_CIDR='10.192.0.0/16'

VPC IDを取得します。

コマンド
VPC_ID=$( \
        aws ec2 describe-vpcs \
          --filters Name=cidr,Values=${VPC_CIDR} \
          --query 'Vpcs[].VpcId' \
          --output text \
) \
        && echo ${VPC_ID}

結果(例):

  vpc-xxxxxxxx

1. 事前作業

1.1. Security Group名の決定

変数の設定
VPC_SG_NAME='ec2-http-global-inbound'

1.2. Security Groupの説明の決定

変数の設定
VPC_SG_DESC='EC2 HTTP Global inbound'

1.3. VPC Security Groupの不存在確認

(default VPC以外でgroup nameで検索できないので、手順は検討中)

2. VPC Security Groupの作成

2.1. VPC Security Groupの作成

変数の確認
cat << ETX

        VPC_SG_NAME:  ${VPC_SG_NAME}
        VPC_SG_DESC: "${VPC_SG_DESC}"
        VPC_ID:      "${VPC_ID}"

ETX
コマンド
aws ec2 create-security-group \
        --group-name ${VPC_SG_NAME} \
        --description "${VPC_SG_DESC}" \
        --vpc-id ${VPC_ID}

結果(例):

  {
    "GroupId": "sg-xxxxxxxx"
  }

2.2. VPC Security Groupの確認

コマンド
VPC_SG_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=group-name,Values=${VPC_SG_NAME} \
    --query "SecurityGroups[?VpcId == \` ${VPC_ID}\`].GroupId" \
    --output text \
) \
  && echo ${VPC_SG_ID}
コマンド
aws ec2 describe-security-groups \
  --group-ids ${VPC_SG_ID}

結果(例):

  {
    "SecurityGroups": [
      {
          "IpPermissionsEgress": [
              {
                  "IpProtocol": "-1",
                  "IpRanges": [
                      {
                          "CidrIp": "0.0.0.0/0"
                      }
                  ],
                  "UserIdGroupPairs": [],
                  "PrefixListIds": []
              }
          ],
          "Description": "EC2 HTTP Global inbound",
          "IpPermissions": [],
          "GroupName": "ec2-http-global-inbound",
          "VpcId": "vpc-xxxxxxxx",
          "OwnerId": "XXXXXXXXXXXX",
          "GroupId": "sg-xxxxxxxx"
      }
    ]
  }

2.3. VPC Security Group IDの取得

コマンド
VPC_SG_ID=$( \
        aws ec2 describe-security-groups \
          --filter Name=group-name,Values=${VPC_SG_NAME} \
          --query "SecurityGroups[?VpcId == \` ${VPC_ID}\`].GroupId" \
          --output text \
) \
        && echo ${VPC_SG_ID}

結果(例):

  sg-xxxxxxxx

3. アクセス制御の設定

3.1. プロトコルの指定

変数の設定
VPC_SG_PROTOCOL='tcp'

3.2. ポート番号の指定

変数の設定
VPC_SG_PORT='80'

3.3. CIDRの指定

変数の設定
VPC_SG_CIDR='0.0.0.0/0'

3.4. ルールの追加

変数の確認
cat << ETX

        VPC_SG_ID:       ${VPC_SG_ID}
        VPC_SG_PROTOCOL: ${VPC_SG_PROTOCOL}
        VPC_SG_PORT:     ${VPC_SG_PORT}
        VPC_SG_CIDR:     ${VPC_SG_CIDR}

ETX
コマンド
aws ec2 authorize-security-group-ingress \
        --group-id ${VPC_SG_ID} \
        --protocol ${VPC_SG_PROTOCOL} \
        --port ${VPC_SG_PORT} \
        --cidr ${VPC_SG_CIDR}

結果:

  (戻り値なし)

4. 事後作業

セキュリティグループの内容確認

コマンド
aws ec2 describe-security-groups \
  --group-ids ${VPC_SG_ID}

結果(例):

  {
    "SecurityGroups": [
      {
          "IpPermissionsEgress": [
              {
                  "IpProtocol": "-1",
                  "IpRanges": [
                      {
                          "CidrIp": "0.0.0.0/0"
                      }
                  ],
                  "UserIdGroupPairs": [],
                  "PrefixListIds": []
              }
          ],
          "Description": "EC2 HTTP Global inbound",
          "IpPermissions": [
              {
                  "PrefixListIds": [],
                  "FromPort": 80,
                  "IpRanges": [
                      {
                          "CidrIp": "0.0.0.0/0"
                      }
                  ],
                  "ToPort": 80,
                  "IpProtocol": "tcp",
                  "UserIdGroupPairs": []
              }
          ],
          "GroupName": "ec2-http-global-inbound",
          "VpcId": "vpc-xxxxxxxx",
          "OwnerId": "XXXXXXXXXXXX",
          "GroupId": "sg-xxxxxxxx"
      }
    ]
  }

完了

5
Help us understand the problem. What is going on with this article?
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away

Comments

No comments
Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account Login
5
Help us understand the problem. What is going on with this article?