ハンズオン(簡易版): VPC入門

1.10. セキュリティグループのIngressルール追加 (CIDR指定: handson-cli-ec2-webapp-sg:80)

目的

VPC"handson-cli-ec2-vpc"のセキュリティグループ"handson-cli-ec2-webapp-sg"に、アドレス"0.0.0.0/0"から"80/tcp"への通信を許可するルールを追加します。

パラメータの指定

作業に必要なパラメータを変数に格納をします。

0. リージョンの指定

リージョンを指定します。

変数の設定

export AWS_DEFAULT_REGION='ap-northeast-1'

1. VPCのタグ名

VPCのタグ名を指定します。

変数の設定:

EC2_VPC_TAG_NAME='handson-cli-ec2-vpc'

2. セキュリティグループ名

セキュリティグループ名を指定します。

セキュリティグループ名を指定します。

変数の設定:

EC2_SECURITY_GROUP_NAME='handson-cli-ec2-webapp-sg'

3. プロトコル

プロトコルを指定します。

プロトコルを指定します。

変数の設定:

EC2_SECURITY_GROUP_PROTOCOL='tcp'

4. ポート番号

ポート番号を指定します。

ポート番号を指定します。

変数の設定:

EC2_SECURITY_GROUP_PORT='80'

5. CIDR

CIDRを指定します。

ルールの対象となるIPアドレス(CIDR表記)を指定します。

変数の設定:

EC2_SECURITY_GROUP_CIDR='0.0.0.0/0'

各変数に正しいパラメータ値が格納されていることを確認します。

変数の確認:

cat << END

  # 0. AWS_DEFAULT_REGION:"ap-northeast-1"
       AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 1. EC2_VPC_TAG_NAME:"handson-cli-ec2-vpc"
       EC2_VPC_TAG_NAME="${EC2_VPC_TAG_NAME}"
  # 2. EC2_SECURITY_GROUP_NAME:"handson-cli-ec2-webapp-sg"
       EC2_SECURITY_GROUP_NAME="${EC2_SECURITY_GROUP_NAME}"
  # 3. EC2_SECURITY_GROUP_PROTOCOL:"tcp"
       EC2_SECURITY_GROUP_PROTOCOL="${EC2_SECURITY_GROUP_PROTOCOL}"
  # 4. EC2_SECURITY_GROUP_PORT:"80"
       EC2_SECURITY_GROUP_PORT="${EC2_SECURITY_GROUP_PORT}"
  # 5. EC2_SECURITY_GROUP_CIDR:"0.0.0.0/0"
       EC2_SECURITY_GROUP_CIDR="${EC2_SECURITY_GROUP_CIDR}"

END

手順

VPC IDを取得します。

コマンド:

EC2_VPC_ID=$( \
  aws ec2 describe-vpcs \
    --filters Name=tag:Name,Values=${EC2_VPC_TAG_NAME}  \
    --query 'Vpcs[].VpcId' \
    --output text \
) \
  && echo ${EC2_VPC_ID}

結果(例):

vpc-xxxxxxxxxxxxxxxxx

セキュリティグループIDを取得します。

コマンド:

EC2_SECURITY_GROUP_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=vpc-id,Values=${EC2_VPC_ID} \
      Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \
    --query "SecurityGroups[].GroupId" \
    --output text \
) \
  && echo ${EC2_SECURITY_GROUP_ID}

結果(例):

sg-xxxxxxxxxxxxxxxxx

セキュリティグループのルールを作成します。

変数の確認:

cat << END

  # EC2_SECURITY_GROUP_ID:"sg-xxxxxxxxxxxxxxxxx"
    EC2_SECURITY_GROUP_ID="${EC2_SECURITY_GROUP_ID}"
  # EC2_SECURITY_GROUP_PROTOCOL:"tcp"
    EC2_SECURITY_GROUP_PROTOCOL="${EC2_SECURITY_GROUP_PROTOCOL}"
  # EC2_SECURITY_GROUP_PORT:"80"
    EC2_SECURITY_GROUP_PORT="${EC2_SECURITY_GROUP_PORT}"
  # EC2_SECURITY_GROUP_CIDR:"0.0.0.0/0"
    EC2_SECURITY_GROUP_CIDR="${EC2_SECURITY_GROUP_CIDR}"

END

コマンド:

aws ec2 authorize-security-group-ingress \
  --group-id ${EC2_SECURITY_GROUP_ID} \
  --protocol ${EC2_SECURITY_GROUP_PROTOCOL} \
  --port ${EC2_SECURITY_GROUP_PORT} \
  --cidr ${EC2_SECURITY_GROUP_CIDR}

結果(例):

(出力なし)

完了確認

「VPC"handson-cli-ec2-vpc"のセキュリティグループ"handson-cli-ec2-webapp-sg"に、"80/tcp"に対する通信をCIDR"0.0.0.0/0"に許可するルールが存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${EC2_VPC_ID} \
    Name=group-name,Values=${EC2_SECURITY_GROUP_NAME} \
    Name=ip-permission.protocol,Values=${EC2_SECURITY_GROUP_PROTOCOL} \
    Name=ip-permission.to-port,Values=${EC2_SECURITY_GROUP_PORT} \
    Name=ip-permission.cidr,Values=${EC2_SECURITY_GROUP_CIDR} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${EC2_SECURITY_GROUP_PROTOCOL}\` \
    && ToPort == \`${EC2_SECURITY_GROUP_PORT}\` \
    && IpRanges[?CidrIp == \`${EC2_SECURITY_GROUP_CIDR}\`]].IpRanges[][].CidrIp" \
  --output text

結果(例):

0.0.0.0/0