Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] VPC:#6 セキュリティグループの作成 (Redis許可)

More than 3 years have passed since last update.

Redis(6379/TCP)を許可するセキュリティグループを作成してみます。

前提条件

VPCへの権限

  • EC2に対してフル権限があること。

AWS CLI

以下のバージョンで動作確認済

  • AWS CLI 1.10.44
コマンド
aws --version
結果(例)
      aws-cli/1.10.44 Python/2.7.11 Darwin/15.5.0 botocore/1.4.34

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

参考: AWS CLIのデグレード

コマンド(1.10.20に戻す例)
AWS_CLI_VERSION=1.10.20
sudo -H pip install awscli==${AWS_CLI_VERSION}

AWSアカウントの属性

AWSアカウントがEC2-Classicに対応していないこと。

変数の設定
AWS_SUPPORT_PLATFORMS=$( \
        aws ec2 describe-account-attributes \
          --query 'AccountAttributes[?AttributeName == `supported-platforms`].AttributeValues[].AttributeValue' \
          --output text \
) && echo ${AWS_SUPPORT_PLATFORMS}
結果
      VPC

注釈: 'VPC'の他に'EC2'が表示される場合、別のアカウントを作成もしくは利用してください。

デフォルトVPCの存在

  • デフォルトVPCが存在すること。
コマンド
VPC_ID=$( \
  aws ec2 describe-vpcs \
    --filters Name=isDefault,Values=true \
    --query 'Vpcs[].VpcId' \
    --output text \
) \
  && echo ${VPC_ID}
結果(例)
vpc-xxxxxxxx

0. 準備

0.1. リージョンの決定

変数の設定
export AWS_DEFAULT_REGION='ap-northeast-1'

0.2. 変数の確認

変数の確認
aws configure list
結果(例)
            Name                    Value             Type    Location
            ----                    -----             ----    --------
         profile      ec2Full-prjZ-mbp13               env    AWS_DEFAULT_PROFILE
      access_key     ****************LOAQ shared-credentials-file
      secret_key     ****************I1O1 shared-credentials-file
          region           ap-northeast-1              env    AWS_DEFAULT_REGION

1. 事前作業

1.1. VPC Security Groupの名称と説明の決定

変数の設定
VPC_SG_NAME='ec2-redis-global-inbound'
VPC_SG_DESC='EC2 Redis Global inbound'

1.2. 同名のVPC Security Groupの不存在確認

コマンド
aws ec2 describe-security-groups \
  --group-names ${VPC_SG_NAME}
結果(例)
A client error (InvalidGroup.NotFound) occurred when calling the DescribeSecurityGroups operation: The security group 'ec2-redis-global-inbound' does not exist in default VPC 'vpc-xxxxxxxx'

2. VPC Security Groupの作成

2.1. VPC Security Groupの作成

変数の確認
cat << ETX

        VPC_SG_NAME: ${VPC_SG_NAME}
        VPC_SG_DESC: "${VPC_SG_DESC}"

ETX
コマンド
aws ec2 create-security-group \
  --group-name ${VPC_SG_NAME} \
  --description "${VPC_SG_DESC}"
結果(例)
      {
          "GroupId": "sg-xxxxxxxx"
      }

2.2. VPC Security Groupの存在確認

コマンド
aws ec2 describe-security-groups \
  --group-names ${VPC_SG_NAME}
結果(例)
      {
        "SecurityGroups": [
          {
              "IpPermissionsEgress": [
                  {
                      "IpProtocol": "-1",
                      "IpRanges": [
                          {
                              "CidrIp": "0.0.0.0/0"
                          }
                      ],
                      "UserIdGroupPairs": [],
                      "PrefixListIds": []
                  }
              ],
              "Description": "EC2 Redis Global inbound",
              "IpPermissions": [],
              "GroupName": "EC2 Redis Global inbound",
              "VpcId": "vpc-xxxxxxxx",
              "OwnerId": "XXXXXXXXXXXX",
              "GroupId": "sg-xxxxxxxx"
          }
        ]
      }

2.3. VPC Security Group IDの取得

コマンド
VPC_SG_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=group-name,Values=${VPC_SG_NAME} \
    --query 'SecurityGroups[].GroupId' \
    --output text \
) \
  && echo ${VPC_SG_ID}
結果(例)
sg-xxxxxxxx

3. アクセス制御の設定

VPC Security Groupの設定追加 (Redis)

変数の設定
VPC_SG_PROTOCOL='tcp'
VPC_SG_PORT='6379'
VPC_SG_CIDR='0.0.0.0/0'
変数の確認
cat << ETX

        VPC_SG_PROTOCOL: ${VPC_SG_PROTOCOL}
        VPC_SG_PORT:     ${VPC_SG_PORT}
        VPC_SG_CIDR:     ${VPC_SG_CIDR}

ETX
コマンド
aws ec2 authorize-security-group-ingress \
  --group-id ${VPC_SG_ID} \
  --protocol ${VPC_SG_PROTOCOL} \
  --port ${VPC_SG_PORT} \
  --cidr ${VPC_SG_CIDR}
結果
      (戻り値なし)

4. 事後作業

セキュリティグループの内容確認

コマンド
aws ec2 describe-security-groups \
  --group-ids ${VPC_SG_ID}
結果(例)
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1", 
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ], 
                    "UserIdGroupPairs": [], 
                    "PrefixListIds": []
                }
            ], 
            "Description": "EC2 Redis Global inbound", 
            "IpPermissions": [
                {
                    "PrefixListIds": [], 
                    "FromPort": 6379, 
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ], 
                    "ToPort": 6379, 
                    "IpProtocol": "tcp", 
                    "UserIdGroupPairs": []
                }
            ], 
            "GroupName": "ec2-redis-global-inbound", 
            "VpcId": "vpc-xxxxxxxx", 
            "OwnerId": "XXXXXXXXXXXX", 
            "GroupId": "sg-xxxxxxxx"
        }
    ]
}

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away