この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
データアナリティクス(DA)事業本部の川崎です。
先日、セキュリティグループを整理する機会があり、 これまではマネージメントコンソールから、個別に追加・削除していたのですが、 今回、AWS CLIを使って一括で削除する方法を試してみました。
1.コマンドのドキュメント確認
「revoke-security-group-ingress」のドキュメントには、 冒頭に、
To specify multiple rules in a single command use the --ip-permissions option
の記述があります。 複数のルールを指定する場合は、--ip-permissions を使ってください、とあります。
この --ip-permissions を指定することで、まとめて削除できそうです。
ただ、ドキュメントのExampleには、複数のルールを指定する方法が書かれていませんでした。この Example 2 の方法ですと、ルールを個別に削除していくことになります。
Example 2: To remove a rule using the IP permissions set
aws ec2 revoke-security-group-ingress \
--group-id sg-026c12253ce15eff7 \
--ip-permissions IpProtocol=icmp,FromPort=3,ToPort=4,IpRanges=[{CidrIp=0.0.0.0/0}]まとめて削除する方法は、こちらのStackoverflowのやり取りが参考になりました。
2.セキュリティグループのIP permissions の内容を出力
まず、今回対象となるセキュリティグループのIP permissions を出力し、内容を確認します。
groupId="sg-0dxxxxxxxxxxxxxxx"
aws ec2 describe-security-groups --group-id $groupId --query "SecurityGroups[0].IpPermissions"
[
{
"FromPort": 5439,
"IpProtocol": "tcp",
"IpRanges": [
{
"CidrIp": "172.31.3.1/32"
}
],
"Ipv6Ranges": [],
"PrefixListIds": [],
"ToPort": 5439,
"UserIdGroupPairs": []
},
{
"FromPort": 22,
"IpProtocol": "tcp",
"IpRanges": [
{
"CidrIp": "172.31.0.1/32"
},
{
"CidrIp": "172.31.1.1/32"
},
{
"CidrIp": "172.31.2.1/32"
}
],
"Ipv6Ranges": [],
"PrefixListIds": [],
"ToPort": 22,
"UserIdGroupPairs": []
},
{
"FromPort": 443,
"IpProtocol": "tcp",
"IpRanges": [
{
"CidrIp": "172.31.4.1/32"
}
],
"Ipv6Ranges": [],
"PrefixListIds": [],
"ToPort": 443,
"UserIdGroupPairs": []
}
]3.「revoke-security-group-ingress」を組み立て
次に、インバウンドルールを削除するコマンド「revoke-security-group-ingress」を組み立てていきます。 --cli-input-jsonオプションを使うことで、 先ほどの出力内容を変数に入れた上で、このように指定することができます。
groupId="sg-0dxxxxxxxxxxxxxxx"
json_ingress=$(aws ec2 describe-security-groups --group-id $groupId --query "SecurityGroups[0].IpPermissions")
echo $json_ingress
[ { "FromPort": 5439, "IpProtocol": "tcp", "IpRanges": [ { "CidrIp": "172.31.3.1/32" } ], "Ipv6Ranges": [], "PrefixListIds": [], "ToPort": 5439, "UserIdGroupPairs": [] }, { "FromPort": 22, "IpProtocol": "tcp", "IpRanges": [ { "CidrIp": "172.31.0.1/32" }, { "CidrIp": "172.31.1.1/32" }, { "CidrIp": "172.31.2.1/32" } ], "Ipv6Ranges": [], "PrefixListIds": [], "ToPort": 22, "UserIdGroupPairs": [] }, { "FromPort": 443, "IpProtocol": "tcp", "IpRanges": [ { "CidrIp": "172.31.4.1/32" } ], "Ipv6Ranges": [], "PrefixListIds": [], "ToPort": 443, "UserIdGroupPairs": [] } ]
aws ec2 revoke-security-group-ingress --cli-input-json "{\"GroupId\": \"$groupId\", \"IpPermissions\": $json_ingress}"上記のコマンドを実行し、セキュリティグループのインバウンドルールをまとめて削除できました。
aws ec2 describe-security-groups --group-id $groupId --query "SecurityGroups[0].IpPermissions"
[]まとめ
--cli-input-jsonオプションを使う場合は、いつも「file://xxx.json」と、ファイルに保存したJSONを利用していましたが、 このようにシェルの変数として記述することもできるのですね。こっちの方が便利です、目からウロコでした。
16
