2.7. セキュリティグループのルール削除 (Ingress: CIDR指定(作業サイト): handson-cli-webapp-sg: 80)

作業の目的 [why]

VPC"handson-cli-vpc"のセキュリティグループ"handson-cli-webapp-sg"から、アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"への通信を許可するルールを削除します。

完了条件/事前条件 [設計者用情報]

完了条件 [after]

主処理は、以下を満たしたときに成功したものとします。

完了条件1
VPC"handson-cli-vpc"のセキュリティグループ"handson-cli-webapp-sg"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。

事前条件 [before]

主処理の実施は、以下の状態であることを前提とします。

事前条件1
VPC"handson-cli-vpc"が存在する。
事前条件2
VPC"handson-cli-vpc"にセキュリティグループ"handson-cli-webapp-sg"が存在する。
事前条件3
VPC"handson-cli-vpc"のセキュリティグループ"handson-cli-webapp-sg"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。

作業対象 [what]

  • EC2セキュリティグループ

標準時間(合計)

8分

パラメータ設定

パラメータ設定の標準時間:2分

作業に必要なモノ・情報 [resource]

作業開始には、以下が全て揃っていることが必要です。

リソース1: VPCのタグ名

  • ルールを削除するセキュリティグループが属するVPCのタグ名称です。
  • 今回は"handson-cli-vpc"とします。

リソース2: セキュリティグループ名

  • ルールを削除するセキュリティグループの名称です。
  • 今回は"handson-cli-webapp-sg"とします。

リソース3: プロトコルの指定

  • ルールの対象となるプロトコルです。
  • 今回は"tcp'とします。

リソース4: ポート番号の指定

  • ルールの対象となるポート番号です。
  • 今回は"80'とします。

パラメータの指定

作業に必要なパラメータを変数に格納をします。

0.0. リージョンの指定

変数の設定

export AWS_DEFAULT_REGION='ap-northeast-1'

0.1. VPCのタグ名の指定

VPCのタグ名を指定します。

変数の設定:

VPC_TAG_NAME='handson-cli-vpc'

0.2. セキュリティグループ名の指定

セキュリティグループ名を指定します。

変数の設定:

VPC_SG_NAME='handson-cli-webapp-sg'

0.3. プロトコルの指定

プロトコルを指定します。

変数の設定:

VPC_SG_PROTOCOL='tcp'

0.4. ポート番号の指定

ポート番号を指定します。

変数の設定:

VPC_SG_PORT='80'

パラメータの保存

設定されている変数の保存先となるファイル名を指定します。

変数の設定:

DIR_PARAMETER="${HOME}/tmp/parameter-handson-cli-webapp-stateless"
FILE_PARAMETER="${DIR_PARAMETER}/$(date +%Y-%m-%d)-ec2-security_group_ingress_revoke_cidr-update.env" \
  && echo ${FILE_PARAMETER}

結果(例):

${HOME}/tmp/parameter-handson-cli-webapp-stateless/2019-05-19-ec2-security_group_ingress_revoke_cidr-update.env

各変数に正しいパラメータ値が格納されていることを確認しながら保存します。

変数の確認:

cat << ETX > ${FILE_PARAMETER}

  # 0.0. AWS_DEFAULT_REGION:"ap-northeast-1"
         AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 0.1. VPC_TAG_NAME:"handson-cli-vpc"
         VPC_TAG_NAME="${VPC_TAG_NAME}"
  # 0.2. VPC_SG_NAME:"handson-cli-webapp-sg"
         VPC_SG_NAME="${VPC_SG_NAME}"
  # 0.3. VPC_SG_PROTOCOL:"tcp"
         VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}"
  # 0.4. VPC_SG_PORT:"80"
         VPC_SG_PORT="${VPC_SG_PORT}"

ETX

cat ${FILE_PARAMETER}

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

タスクの実施

タスク標準時間:6分

1. 前処理

1.1. 状態確認に必要な情報の取得

作業サイトのIPアドレスの取得

コマンド:

IP_ADDR_LOCAL=$( curl -s http://checkip.amazonaws.com/ ) \
  && echo ${IP_ADDR_LOCAL}

結果(例):

xxx.xxx.xxx.xxx

CIDRの指定

変数の設定:

VPC_SG_CIDR="${IP_ADDR_LOCAL}/32" \
  && echo ${VPC_SG_CIDR}

結果(例):

xxx.xxx.xxx.xxx/32

1.2. 処理対象の状態確認

主処理の実施は、以下の状態であることを前提とします。

前提と異なることが判明した場合、直ちに処理を中止します。

事前条件1: VPC"handson-cli-vpc"が存在する。

「VPC"handson-cli-vpc"が存在する。」ことを確認します。

コマンド:

aws ec2 describe-vpcs \
  --filters Name=tag:Name,Values=${VPC_TAG_NAME}  \
  --query 'Vpcs[].Tags[?Key == `Name`].Value' \
  --output text

結果(例):

handson-cli-vpc

VPC IDを取得します。

コマンド:

VPC_ID=$( \
  aws ec2 describe-vpcs \
    --filters Name=tag:Name,Values=${VPC_TAG_NAME}  \
    --query 'Vpcs[].VpcId' \
    --output text \
) \
  && echo ${VPC_ID}

結果(例):

vpc-xxxxxxxxxxxxxxxxx

事前条件2: VPC"handson-cli-vpc"にセキュリティグループ"handson-cli-webapp-sg"が存在する。

「VPC"handson-cli-vpc"にセキュリティグループ"handson-cli-webapp-sg"が存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${VPC_ID} \
    Name=group-name,Values=${VPC_SG_NAME} \
  --query 'SecurityGroups[].GroupName' \
  --output text

結果(例):

handson-cli-webapp-sg

事前条件3: VPC"handson-cli-vpc"のセキュリティグループ"handson-cli-webapp-sg"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。

「VPC"handson-cli-vpc"のセキュリティグループ"handson-cli-webapp-sg"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${VPC_ID} \
    Name=group-name,Values=${VPC_SG_NAME} \
    Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \
    Name=ip-permission.to-port,Values=${VPC_SG_PORT} \
    Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \
    && ToPort == \`${VPC_SG_PORT}\` \
    && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"

結果(例):

[
  [
    {
      "PrefixListIds": [],
      "FromPort": 80,
      "IpRanges": [
          {
              "CidrIp": "xxx.xxx.xxx.xxx/32"
          }
      ],
      "ToPort": 80,
      "IpProtocol": "tcp",
      "UserIdGroupPairs": [],
      "Ipv6Ranges": []
    }
  ]
]

1.3. 主処理に必要な情報の取得

セキュリティグループIDの取得

セキュリティグループIDを取得します。

コマンド:

VPC_SG_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=vpc-id,Values=${VPC_ID} \
      Name=group-name,Values=${VPC_SG_NAME} \
    --query "SecurityGroups[].GroupId" \
    --output text \
) \
  && echo ${VPC_SG_ID}

結果(例):

sg-xxxxxxxxxxxxxxxxx

2. 主処理

セキュリティグループのルール削除

変数の確認:

cat << ETX

  # VPC_SG_ID:"sg-xxxxxxxxxxxxxxxxx"
    VPC_SG_ID="${VPC_SG_ID}"
  # VPC_SG_PROTOCOL:"tcp"
    VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}"
  # VPC_SG_PORT:"80"
    VPC_SG_PORT="${VPC_SG_PORT}"
  # VPC_SG_CIDR:"xxx.xxx.xxx.xxx/32"
    VPC_SG_CIDR="${VPC_SG_CIDR}"

ETX

コマンド:

aws ec2 revoke-security-group-ingress \
  --group-id ${VPC_SG_ID} \
  --protocol ${VPC_SG_PROTOCOL} \
  --port ${VPC_SG_PORT} \
  --cidr ${VPC_SG_CIDR}

結果(例):

(出力なし)

3. 後処理

完了条件の確認

主処理は、以下を満たしたときに成功したものとします。

完了条件1: VPC"handson-cli-vpc"のセキュリティグループ"handson-cli-webapp-sg"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。

「VPC"handson-cli-vpc"のセキュリティグループ"handson-cli-webapp-sg"に、送信元アドレス"xxx.xxx.xxx.xxx/32"から"80/tcp"に対する通信を許可するルールが存在しない。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${VPC_ID} \
    Name=group-name,Values=${VPC_SG_NAME} \
    Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \
    Name=ip-permission.to-port,Values=${VPC_SG_PORT} \
    Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \
    && ToPort == \`${VPC_SG_PORT}\` \
    && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"

結果(例):

[]

完了