[AWS] AWS CLIでセキュリティグループのルールをコピーする

こんにちわ、cloudpack の磯辺です。

いつも、セキュリティグループのルールをコピーしたいと思っているのだが、今のAWS CLIであれば、以前にやったRDSのパラメータグループをコピーしたのと同じ方法でできるのではないかと思ったので、やってみた。

$ aws ec2 describe-security-groups \
  --filters 'Name=group-name,Values=src-sg' \
  --query 'SecurityGroups[].IpPermissions[]' \
  | tr -d '\d' \
  | xargs -I{} -- aws ec2 authorize-security-group-ingress --group-id sg-deadbeaf --ip-permissions '{}'

A client error (MissingParameter) occurred when calling the AuthorizeSecurityGroupIngress operation: Missing source specification: include source security group or CIDR information

エラーになってしまった。色々調べてみたら、以下の様な原因であることがわかった。

describe-security-groupsで取得したJSONには、IpRangesとUserIdGroupPairsの両方が項目として含まれている。セキュリティグループのルールは、対象としてCIDRを渡す他に、他のセキュリティグループを指定することができる。IpRangesには、IPアドレスが、UserIdGroupPairsには、セキュリティグループのIDが含まれる。

しかし、一つのルールにそれらが同時に含まれることはない。下記は、80/tcpを、IPアドレスとセキュリティグループを指定して定義したセキュリティグループのルールを取得したJSONの出力。別々のルールとして出力されていることが分かる。

% aws ec2 describe-security-groups --group-id 'sg-deadbeaf' --query 'SecurityGroups[].IpPermissions[]'
[
    {
        "ToPort": 80,
        "IpProtocol": "tcp",
        "IpRanges": [
            {
                "CidrIp": "192.0.2.1/32"
            }
        ],
        "UserIdGroupPairs": [],
        "FromPort": 80
    },
    {
        "ToPort": 80,
        "IpProtocol": "tcp",
        "IpRanges": [],
        "UserIdGroupPairs": [
            {
                "UserId": "nnnnnnnnnnnn",
                "GroupId": "sg-cafebabe"
            }
        ],
        "FromPort": 80
    }
]

authorize-security-group-ingressに渡す前に、値が含まれていない項目を除去すれば使うことができる。ということで、ちょっとしたフィルタを作った。

このフィルタを通すと、IpRangesまたはUserIdGroupPairsのうち、値が含まれていない項目を削除してくれる。また、xargsで処理しやすいように、1ルール1行に変換する。

% aws ec2 describe-security-groups --group-id 'sg-deadbeaf' --query 'SecurityGroups[].IpPermissions[]' | ruby ./repos/sgfilter/sgfilter.rb
'{"ToPort":80,"IpProtocol":"tcp","IpRanges":[{"CidrIp":"1n2.0.2.1/32"}],"FromPort":80}'
'{"ToPort":80,"IpProtocol":"tcp","UserIdGroupPairs":[{"UserId":"nnnnnnnnnnnn","GroupId":"sg-cafebabe"}],"FromPort":80}'

これを使って、下記のように、xargsを使って実行する。

$ aws ec2 describe-security-groups \
  --filters 'Name=group-name,Values=src-sg' \
  --query 'SecurityGroups[].IpPermissions[]' \
  | ruby sgfilter.rb \
  | xargs -I{} -- aws ec2 authorize-security-group-ingress --group-id sg-deadbeaf --ip-permissions '{}'

これで、src-sgに含まれる許可ルールが、sg-deadbeafに対してコピーされることになる。

元記事はこちらです。
「[AWS] AWS CLIでセキュリティグループのルールをコピーする」

この記事を書いた人

磯辺和彦

cloudpackに参加して以来、設計・構築・運用・開発・セキュリティなど様々な経験を経て、現在は主に社内インフラ関連を担当中。WEB+DB Press Vol.85に記事書きました。磯辺和彦が書いた記事

[AWS] AWS CLIでセキュリティグループのルールをコピーする

AWS WAFを使用したIP制限の実装方法について改めて考え直してみる

データ×テクノロジーの力で、オフィス構築を進化させる。イトーキ、Google Cloud、アイレットで開発に挑む革新的なデータ分析サービスとは？

【Google Cloud Next ’24】生成AIの最新動向！話題のGeminiの活用に迫る

RHEL7を8に, 8を9にインプレースアップグレードする

RHEL9にPHP8.3系をインストールする

[AWS] AWS CLIでセキュリティグループのルールをコピーする

関連記事Related Articles

EBSのアカウント内合計サイズをボリュームタイプ毎に算出する（AWS CLIワンライナー）

[AWS] 最新のAmazon LinuxのAMI IDを取得するワンライナー

EC2の一覧表を作るAWS CLI秘伝のコマンド

AWSで全てのリージョンから無駄リソースを抽出するワンライナー

CLIでEC2をローンチする際にエフェメラルディスクをつけない方法