ハンズオン(簡易版): EC2入門

クリーンアップ1. デフォルトVPCのセキュリティグループからのIngressルール削除 (CIDR指定: default:80)

手順の目的

デフォルトVPCのセキュリティグループ"default"の、"0.0.0.0/0"から"80/tcp"への通信を許可するルールを削除します。

設定値の指定

設定値の指定

手順に必要な設定値を変数に格納をします。

0. リージョンの指定

リージョンを指定します。

環境変数の設定:

export AWS_DEFAULT_REGION='ap-northeast-1'

1. セキュリティグループ名

セキュリティグループ名を指定します。

変数の設定:

EC2_SECURITY_GROUP_NAME='default'

2. ルールのタグ名

ルールのタグ名を指定します。

変数の設定:

EC2_SECURITY_GROUP_RULE_TAG_NAME='http'

3. プロトコル

プロトコルを指定します。

変数の設定:

EC2_SECURITY_GROUP_RULE_PROTOCOL='tcp'

4. ポート番号

ポート番号を指定します。

変数の設定:

EC2_SECURITY_GROUP_RULE_PORT='80'

5. 対象となるIPアドレスの範囲

対象となるIPアドレスの範囲を指定します。

変数の設定:

EC2_SECURITY_GROUP_RULE_CIDR='0.0.0.0/0'

設定値の確認

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 0. AWS_DEFAULT_REGION:"ap-northeast-1"
       AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 1. EC2_SECURITY_GROUP_NAME:"default"
       EC2_SECURITY_GROUP_NAME="${EC2_SECURITY_GROUP_NAME}"
  # 2. EC2_SECURITY_GROUP_RULE_TAG_NAME:"http"
       EC2_SECURITY_GROUP_RULE_TAG_NAME="${EC2_SECURITY_GROUP_RULE_TAG_NAME}"
  # 3. EC2_SECURITY_GROUP_RULE_PROTOCOL:"tcp"
       EC2_SECURITY_GROUP_RULE_PROTOCOL="${EC2_SECURITY_GROUP_RULE_PROTOCOL}"
  # 4. EC2_SECURITY_GROUP_RULE_PORT:"80"
       EC2_SECURITY_GROUP_RULE_PORT="${EC2_SECURITY_GROUP_RULE_PORT}"
  # 5. EC2_SECURITY_GROUP_RULE_CIDR:"0.0.0.0/0"
       EC2_SECURITY_GROUP_RULE_CIDR="${EC2_SECURITY_GROUP_RULE_CIDR}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行

VPC IDを取得します。

コマンド:

EC2_VPC_ID=$( \
  aws ec2 describe-vpcs \
    --filters Name=isDefault,Values=true \
    --query 'Vpcs[].VpcId' \
    --output text \
) \
  && echo ${EC2_VPC_ID}

結果(例):

vpc-xxxxxxxxxxxxxxxxx

セキュリティグループIDを取得します。

コマンド:

EC2_SECURITY_GROUP_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=vpc-id,Values=${EC2_VPC_ID} \
      Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \
    --query "SecurityGroups[].GroupId" \
    --output text \
) \
  && echo ${EC2_SECURITY_GROUP_ID}

結果(例):

sg-xxxxxxxxxxxxxxxxx

セキュリティグループルールIDを取得します。

コマンド:

EC2_SECURITY_GROUP_RULE_ID=$( \
  aws ec2 describe-security-group-rules \
    --max-results 100 \
    --filter Name=group-id,Values=${EC2_SECURITY_GROUP_ID} \
             Name=tag:Name,Values=${EC2_SECURITY_GROUP_RULE_TAG_NAME} \
    --query 'SecurityGroupRules[].SecurityGroupRuleId' \
    --output text \
) \
  && echo ${EC2_SECURITY_GROUP_RULE_ID}

結果(例):

sgr-xxxxxxxxxxxxxxxxx

セキュリティグループルールID配列を生成します。

変数の設定:

ARRAY_EC2_SECURITY_GROUP_RULE_IDS=$( \
     echo "${EC2_SECURITY_GROUP_RULE_ID} ${ARRAY_EC2_SECURITY_GROUP_RULE_IDS}" \
       | sed 's/ *$//' \
) \
  && echo ${ARRAY_EC2_SECURITY_GROUP_RULE_IDS}

結果(例):

sgr-xxxxxxxxxxxxxxxxx

セキュリティグループのルールを削除します。

変数の確認:

cat << END

  # EC2_SECURITY_GROUP_ID:"sg-xxxxxxxxxxxxxxxxx"
    EC2_SECURITY_GROUP_ID="${EC2_SECURITY_GROUP_ID}"
  # ARRAY_EC2_SECURITY_GROUP_RULE_IDS:"sgr-xxxxxxxxxxxxxxxxx"
    ARRAY_EC2_SECURITY_GROUP_RULE_IDS="${ARRAY_EC2_SECURITY_GROUP_RULE_IDS}"

END

コマンド:

aws ec2 revoke-security-group-ingress \
  --group-id ${EC2_SECURITY_GROUP_ID} \
  --security-group-rule-ids "${ARRAY_EC2_SECURITY_GROUP_RULE_IDS}"

結果(例):

{
    "Return": true
}

完了確認

「デフォルトVPCのセキュリティグループ"default"に、タグ名"http"のルールが存在しない。」ことを確認します。

コマンド:

aws ec2 describe-security-group-rules \
  --max-results 100 \
  --filter Name=group-id,Values=${EC2_SECURITY_GROUP_ID} \
           Name=tag:Name,Values=${EC2_SECURITY_GROUP_RULE_TAG_NAME} \
  --query 'SecurityGroupRules[].Tags[].Value' \
  --output text

結果(例):

(出力なし)

「デフォルトVPCのセキュリティグループ"default"に、送信元アドレス"0.0.0.0/0"から"80/tcp"に対する通信を許可するルールが存在しない。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${EC2_VPC_ID} \
    Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \
    Name=ip-permission.protocol,Values=${EC2_SECURITY_GROUP_RULE_PROTOCOL} \
    Name=ip-permission.to-port,Values=${EC2_SECURITY_GROUP_RULE_PORT} \
    Name=ip-permission.cidr,Values=${EC2_SECURITY_GROUP_RULE_CIDR} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${EC2_SECURITY_GROUP_RULE_PROTOCOL}\` \
    && ToPort == \`${EC2_SECURITY_GROUP_RULE_PORT}\` \
    && IpRanges[?CidrIp == \`${EC2_SECURITY_GROUP_RULE_CIDR}\`]].IpRanges[][].CidrIp" \
  --output text

結果(例):

(出力なし)

手順の完了

(参考) マネジメントコンソールの確認

  • VPCダッシュボード( https://console.aws.amazon.com/vpc/home )にアクセスします。

  • 右上のリージョンメニューから"東京"を選択します。

  • 左ペインの"VPC"をクリックします。

VPC一覧(画面)

  • 検索欄にVPC名"<VPCタグ名>"を入力して、エンターキーを押します。

  • VPC名"<VPCタグ名>"の"VPC ID"をコピーします。

  • VPCダッシュボード( https://console.aws.amazon.com/vpc/home )にアクセスします。

  • 右上のリージョンメニューから"東京"を選択します。

  • 左ペインの"セキュリティグループ"をクリックします。

セキュリティグループ一覧(画面)

  • 先ほどコピーした"VPC ID"を検索欄にペーストして、エンターキーを押します。

  • セキュリティグループ名"default"の"セキュリティグループID"(リンク)をクリックします。

  • "インバウンドルール"(タブ)をクリックします。

注釈

  • 削除したルールが存在しないことを確認します。