Help us understand the problem. What is going on with this article?

[JAWS-UG CLI] VPC # セキュリティグループ更新 (Ingress: 80 CIDR削除)

More than 3 years have passed since last update.

前提条件

EC2への権限

EC2に対してフル権限があること。

AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.11.34
コマンド
aws --version

結果(例):

  aws-cli/1.11.34 Python/2.7.10 Darwin/15.6.0 botocore/1.4.91

バージョンが古い場合は最新版に更新しましょう。

コマンド
sudo -H pip install -U awscli

AWSアカウントの属性

AWSアカウントがEC2-Classicに対応していないこと。

コマンド
AWS_SUPPORT_PLATFORMS=$( \
         aws ec2 describe-account-attributes \
           --query 'AccountAttributes[?AttributeName == `supported-platforms`].AttributeValues[].AttributeValue' \
           --output text \
) \
        && echo ${AWS_SUPPORT_PLATFORMS}

結果:

  VPC

注釈: 'VPC'の他に'EC2'が表示される場合、別のアカウントを作成もしくは
利用し てください。

0. 準備

0.1. リージョンの決定

変数の設定
export AWS_DEFAULT_REGION='ap-northeast-1'

0.2. プロファイルの確認:

プロファイルが想定のものになっていることを確認します。

変数の確認
aws configure list

結果(例):

        Name                    Value             Type    Location
        ----                    -----             ----    --------
     profile       ec2as_full-prjZ-mbp13        env    AWS_DEFAULT_PROFILE
  access_key     ****************XXXX shared-credentials-file
  secret_key     ****************XXXX shared-credentials-file
      region        ap-northeast-1        env    AWS_DEFAULT_REGION

1. 事前作業

1.1. VPCの指定

既存のVPCに割り当てられているCIDRブロックを確認します。

コマンド
aws ec2 describe-vpcs \
        --query 'Vpcs[].CidrBlock'

結果(例):

  [
    "172.31.0.0/16",
    "172.18.0.0/16"
  ]

ここでは、172.18.0.0/16を範囲とするVPCを選択します。

変数の設定
VPC_CIDR='172.18.0.0/16'

VPC IDを取得します。

コマンド
VPC_ID=$( \
        aws ec2 describe-vpcs \
          --filters Name=cidr,Values=${VPC_CIDR} \
          --query 'Vpcs[].VpcId' \
          --output text \
) \
        && echo ${VPC_ID}

結果(例):

  vpc-xxxxxxxx

1.2. セキュリティグループ名の指定

変数の設定
VPC_SG_NAME='EnvMaintAMI'
コマンド
VPC_SG_ID=$( \
        aws ec2 describe-security-groups \
          --filter Name=group-name,Values=${VPC_SG_NAME} \
          --query "SecurityGroups[?VpcId == \` ${VPC_ID}\`].GroupId" \
          --output text \
) \
        && echo ${VPC_SG_ID}

結果(例):

  sg-xxxxxxxx

セキュリティグループの内容確認

コマンド
aws ec2 describe-security-groups \
        --query "SecurityGroups[?VpcId == \`${VPC_ID}\` \
          && GroupName == \`${VPC_SG_NAME}\`]"

結果(例):

  {
    "SecurityGroups": [
      {
          "IpPermissionsEgress": [
              {
                  "IpProtocol": "-1",
                  "IpRanges": [
                      {
                          "CidrIp": "0.0.0.0/0"
                      }
                  ],
                  "UserIdGroupPairs": [],
                  "PrefixListIds": []
              }
          ],
          "Description": "Env Maint AMI",
          "IpPermissions": [
              {
                  "PrefixListIds": [],
                  "FromPort": 80,
                  "IpRanges": [
                      {
                          "CidrIp": "<ログイン元アドレス>"
                      }
                  ],
                  "ToPort": 80,
                  "IpProtocol": "tcp",
                  "UserIdGroupPairs": []
              }
          ],
          "GroupName": "EnvMaintAMI",
          "VpcId": "vpc-xxxxxxxx",
          "OwnerId": "XXXXXXXXXXXX",
          "GroupId": "sg-xxxxxxxx"
      }
    ]
  }

1.3. プロトコルの指定

変数の設定
VPC_SG_PROTOCOL='tcp'

1.4. ポート番号の指定

変数の設定
VPC_SG_PORT='80'

1.5. CIDRの指定

変数の設定
VPC_SG_CIDR='<ログイン元アドレス>'

2. アクセスルールの削除

変数の確認
cat << ETX

        VPC_SG_ID:       ${VPC_SG_ID}
        VPC_SG_PROTOCOL: ${VPC_SG_PROTOCOL}
        VPC_SG_PORT:     ${VPC_SG_PORT}
        VPC_SG_CIDR:     ${VPC_SG_CIDR}

ETX
コマンド
aws ec2 revoke-security-group-ingress \
        --group-id ${VPC_SG_ID} \
        --protocol ${VPC_SG_PROTOCOL} \
        --port ${VPC_SG_PORT} \
        --cidr ${VPC_SG_CIDR}

結果:

  (戻り値なし)

3. 事後作業

セキュリティグループの内容確認

コマンド
aws ec2 describe-security-groups \
        --query "SecurityGroups[?VpcId == \`${VPC_ID}\` \
          && GroupName == \`${VPC_SG_NAME}\`]"

結果(例):

  {
    "SecurityGroups": [
      {
          "IpPermissionsEgress": [
              {
                  "IpProtocol": "-1",
                  "IpRanges": [
                      {
                          "CidrIp": "0.0.0.0/0"
                      }
                  ],
                  "UserIdGroupPairs": [],
                  "PrefixListIds": []
              }
          ],
          "Description": "Env Maint AMI",
          "IpPermissions": [],
          "GroupName": "EnvMaintAMI",
          "VpcId": "vpc-xxxxxxxx",
          "OwnerId": "XXXXXXXXXXXX",
          "GroupId": "sg-xxxxxxxx"
      }
    ]
  }

完了

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away