後始末1.1. セキュリティグループのIngressルール削除 (CIDR指定: webhost-handson-cli-instance-stateless-loadaverage-sg:80)¶
作業の目的 [why]¶
VPC"handson-cli-instance-stateless-loadaverage-vpc"のセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"から、アドレス"0.0.0.0/0"から"80/tcp"への通信を許可するルールを削除します。
完了条件/事前条件 [設計者用情報]
完了条件 [after]
主処理は、以下を満たしたときに成功したものとします。
- 完了条件1
VPC"handson-cli-instance-stateless-loadaverage-vpc"のセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"に、"80/tcp"に対する通信をCIDR"0.0.0.0/0"に許可するルールが存在しない。
事前条件 [before]
主処理の実施は、以下の状態であることを前提とします。
- 事前条件1
VPC"handson-cli-instance-stateless-loadaverage-vpc"が存在する。
- 事前条件2
VPC"handson-cli-instance-stateless-loadaverage-vpc"にセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"が存在する。
- 事前条件3
VPC"handson-cli-instance-stateless-loadaverage-vpc"のセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"に、"80/tcp"に対する通信をCIDR"0.0.0.0/0"に許可するルールが存在する。
作業対象 [what]¶
EC2セキュリティグループ
標準時間(合計)¶
8分
パラメータ設定¶
- パラメータ設定の標準時間
2分
作業に必要なモノ・情報 [resource]¶
作業開始には、以下が全て揃っていることが必要です。
リソース1: VPCのタグ名
ルールを削除するセキュリティグループが属するVPCのタグ名称です。
今回は"handson-cli-instance-stateless-loadaverage-vpc"とします。
リソース2: セキュリティグループ名
ルールを削除するセキュリティグループの名称です。
今回は"webhost-handson-cli-instance-stateless-loadaverage-sg"とします。
リソース3: プロトコルの指定
ルールの対象となるプロトコルです。
今回は"tcp'とします。
リソース4: ポート番号の指定
ルールの対象となるポート番号です。
今回は"80'とします。
リソース5: CIDRの指定
ルールの対象となるIPアドレス(CIDR表記)です。
今回は"0.0.0.0/0'とします。
パラメータの指定¶
作業に必要なパラメータを変数に格納をします。
0.1. VPCのタグ名の指定¶
VPCのタグ名を指定します。
変数の設定:
EC2_VPC_TAG_NAME='handson-cli-instance-stateless-loadaverage-vpc'
0.2. セキュリティグループ名の指定¶
セキュリティグループ名を指定します。
変数の設定:
EC2_SECURITY_GROUP_NAME='webhost-handson-cli-instance-stateless-loadaverage-sg'
パラメータの保存¶
設定されている変数の保存先となるファイル名を指定します。
変数の設定:
DIR_PARAMETER="${HOME}/tmp/parameter-handson-cli-instance-stateless-loadaverage" FILE_PARAMETER="${DIR_PARAMETER}/$(date +%Y-%m-%d)-ec2-security_group_ingress_revoke_cidr-update.env" \ && echo ${FILE_PARAMETER}
結果(例):
${HOME}/tmp/parameter-handson-cli-instance-stateless-loadaverage/2020-01-13-ec2-security_group_ingress_revoke_cidr-update.env
各変数に正しいパラメータ値が格納されていることを確認しながら保存します。
変数の確認:
cat << ETX > ${FILE_PARAMETER} # 0.0. AWS_DEFAULT_REGION:"ap-northeast-1" AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}" # 0.1. EC2_VPC_TAG_NAME:"handson-cli-instance-stateless-loadaverage-vpc" EC2_VPC_TAG_NAME="${EC2_VPC_TAG_NAME}" # 0.2. EC2_SECURITY_GROUP_NAME:"webhost-handson-cli-instance-stateless-loadaverage-sg" EC2_SECURITY_GROUP_NAME="${EC2_SECURITY_GROUP_NAME}" # 0.3. EC2_SECURITY_GROUP_PROTOCOL:"tcp" EC2_SECURITY_GROUP_PROTOCOL="${EC2_SECURITY_GROUP_PROTOCOL}" # 0.4. EC2_SECURITY_GROUP_PORT:"80" EC2_SECURITY_GROUP_PORT="${EC2_SECURITY_GROUP_PORT}" # 0.5. EC2_SECURITY_GROUP_CIDR:"0.0.0.0/0" EC2_SECURITY_GROUP_CIDR="${EC2_SECURITY_GROUP_CIDR}" ETX cat ${FILE_PARAMETER}
下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。
タスクの実施¶
- タスク標準時間
6分
1. 前処理¶
1.1. 処理対象の状態確認¶
主処理の実施は、以下の状態であることを前提とします。
前提と異なることが判明した場合、直ちに処理を中止します。
事前条件1: VPC"handson-cli-instance-stateless-loadaverage-vpc"が存在する。
「VPC"handson-cli-instance-stateless-loadaverage-vpc"が存在する。」ことを確認します。
コマンド:
aws ec2 describe-vpcs \ --filters Name=tag:Name,Values=${EC2_VPC_TAG_NAME} \ --query 'Vpcs[].Tags[?Key == `Name`].Value' \ --output text
結果(例):
handson-cli-instance-stateless-loadaverage-vpc
VPC IDを取得します。
コマンド:
EC2_VPC_ID=$( \ aws ec2 describe-vpcs \ --filters Name=tag:Name,Values=${EC2_VPC_TAG_NAME} \ --query 'Vpcs[].VpcId' \ --output text \ ) \ && echo ${EC2_VPC_ID}
結果(例):
vpc-xxxxxxxxxxxxxxxxx
事前条件2: VPC"handson-cli-instance-stateless-loadaverage-vpc"にセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"が存在する。
「VPC"handson-cli-instance-stateless-loadaverage-vpc"にセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"が存在する。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${EC2_VPC_ID} \ Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \ --query 'SecurityGroups[].GroupName' \ --output text
結果(例):
webhost-handson-cli-instance-stateless-loadaverage-sg
事前条件3: VPC"handson-cli-instance-stateless-loadaverage-vpc"のセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"に、"80/tcp"に対する通信をCIDR"0.0.0.0/0"に許可するルールが存在する。
「VPC"handson-cli-instance-stateless-loadaverage-vpc"のセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"に、"80/tcp"に対する通信をCIDR"0.0.0.0/0"に許可するルールが存在する。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${EC2_VPC_ID} \ Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \ Name=ip-permission.protocol,Values=${EC2_SECURITY_GROUP_PROTOCOL} \ Name=ip-permission.to-port,Values=${EC2_SECURITY_GROUP_PORT} \ Name=ip-permission.cidr,Values=${EC2_SECURITY_GROUP_CIDR} \ --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${EC2_SECURITY_GROUP_PROTOCOL}\` \ && ToPort == \`${EC2_SECURITY_GROUP_PORT}\` \ && IpRanges[?CidrIp == \`${EC2_SECURITY_GROUP_CIDR}\`]].IpRanges[][].CidrIp" \ --output text
結果(例):
0.0.0.0/0
1.2. 主処理に必要な情報の取得¶
セキュリティグループIDの取得
セキュリティグループIDを取得します。
コマンド:
EC2_SECURITY_GROUP_ID=$( \ aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${EC2_VPC_ID} \ Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \ --query "SecurityGroups[].GroupId" \ --output text \ ) \ && echo ${EC2_SECURITY_GROUP_ID}
結果(例):
sg-xxxxxxxxxxxxxxxxx
2. 主処理¶
セキュリティグループのルール削除¶
変数の確認:
cat << ETX # EC2_SECURITY_GROUP_ID:"sg-xxxxxxxxxxxxxxxxx" EC2_SECURITY_GROUP_ID="${EC2_SECURITY_GROUP_ID}" # EC2_SECURITY_GROUP_PROTOCOL:"tcp" EC2_SECURITY_GROUP_PROTOCOL="${EC2_SECURITY_GROUP_PROTOCOL}" # EC2_SECURITY_GROUP_PORT:"80" EC2_SECURITY_GROUP_PORT="${EC2_SECURITY_GROUP_PORT}" # EC2_SECURITY_GROUP_CIDR:"0.0.0.0/0" EC2_SECURITY_GROUP_CIDR="${EC2_SECURITY_GROUP_CIDR}" ETX
コマンド:
aws ec2 revoke-security-group-ingress \ --group-id ${EC2_SECURITY_GROUP_ID} \ --protocol ${EC2_SECURITY_GROUP_PROTOCOL} \ --port ${EC2_SECURITY_GROUP_PORT} \ --cidr ${EC2_SECURITY_GROUP_CIDR}
結果(例):
(出力なし)
3. 後処理¶
完了条件の確認¶
主処理は、以下を満たしたときに成功したものとします。
完了条件1: VPC"handson-cli-instance-stateless-loadaverage-vpc"のセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"に、"80/tcp"に対する通信をCIDR"0.0.0.0/0"に許可するルールが存在しない。
「VPC"handson-cli-instance-stateless-loadaverage-vpc"のセキュリティグループ"webhost-handson-cli-instance-stateless-loadaverage-sg"に、"80/tcp"に対する通信をCIDR"0.0.0.0/0"に許可するルールが存在しない。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${EC2_VPC_ID} \ Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \ Name=ip-permission.protocol,Values=${EC2_SECURITY_GROUP_PROTOCOL} \ Name=ip-permission.to-port,Values=${EC2_SECURITY_GROUP_PORT} \ Name=ip-permission.cidr,Values=${EC2_SECURITY_GROUP_CIDR} \ --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${EC2_SECURITY_GROUP_PROTOCOL}\` \ && ToPort == \`${EC2_SECURITY_GROUP_PORT}\` \ && IpRanges[?CidrIp == \`${EC2_SECURITY_GROUP_CIDR}\`]].IpRanges[][].CidrIp" \ --output text
結果(例):
(出力なし)