[小ネタ]全リージョンで未確認のSNSサブスクリプションを洗い出す

[小ネタ]全リージョンで未確認のSNSサブスクリプションを洗い出す

全リージョンの未確認SNSサブスクリプションを洗い出すコマンドの紹介。全リージョン作業はなるべくコンソールではなくCLIから確認したいですね。
#AWS
#Amazon SNS
#AWS CLI
鈴木純

鈴木純

facebook logohatena logotwitter logo
Clock Icon2021.07.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

最近よく以下の記事からGuardDutyの検知結果をメール通知させるために、SNSトピックを全リージョンに展開することが多いのですが、メールのサブスクリプション承認作業で一部のリージョンが漏れていたことがありました。

そんなときに全リージョンで未確認のサブスクリプションを洗い出すコマンドを書いたので、小ネタとして置いておきます。

全リージョンにメール通知用SNSトピックを用意しないといけないときの確認作業にご利用ください。

前提

  • jqコマンドが利用できること
  • EC2 describe-regions、SNS list-subscriptionsの権限があること

作成したコマンド

早速ですが、本題のコマンドです。全リージョンに対して未確認となっているサブスクリプションを取得して、あればSNSトピックのArnを表示するような形にしています。

for r in `aws ec2 describe-regions --query 'Regions[*]'.RegionName --output text`
do  
    echo $r 
    result=`aws sns list-subscriptions --region $r | jq '[.Subscriptions[]]' | jq 'map(select( .SubscriptionArn == "PendingConfirmation" ))'`
    if [ "$result" != '[]' ] ; then
        echo $result | jq '.[].TopicArn'
    fi
done

上記のコマンドはCloudShellから実行するのが簡単なのでおすすめです。

実行結果

eu-north-1
ap-south-1
eu-west-3
eu-west-2
eu-west-1
ap-northeast-3
ap-northeast-2
ap-northeast-1
"arn:aws:sns:ap-northeast-1:111111111111:test-topic"
"arn:aws:sns:ap-northeast-1:111111111111:test-topic"
sa-east-1
ca-central-1
ap-southeast-1
ap-southeast-2
eu-central-1
us-east-1
"arn:aws:sns:us-east-1:111111111111:test-topic"
us-east-2
us-west-1
us-west-2

実行してみると、処理中のリージョンが表示されて未確認となっているサブスクリプションがあるとSNSトピックのArnが表示されます。このとき同じトピックに複数未確認のサブスクリプションがあっても表示されるようになっています。

全リージョンに未確認のサブスクリプションがなければ、リージョン名のみが表示されるだけとなります。

コマンドの詳細

あまり説明するところもありませんが、一応コマンドの説明。

for r in `aws ec2 describe-regions --query 'Regions[*]'.RegionName --output text`

1行目では、オプトインの全リージョンを取得して変数rに格納して、for文で回しています。この形式は全リージョンで同じコマンドを実行したい時の定番なので是非活用してみてください。

result=`aws sns list-subscriptions --region $r | jq '[.Subscriptions[]]' | jq 'map(select( .SubscriptionArn == "PendingConfirmation" ))'`

4行目で未確認となっているサブスクリプションを取得して変数resultに格納しています。未確認のサブスクリプションはSubscriptionArnの値がPendingConfirmationとなるため、この条件に一致したものをmapで詰め直しています。

    if [ "$result" != '[]' ] ; then
        echo $result | jq '.[].TopicArn'
    fi

5~7行名は未確認のサブスクリプションが存在していた場合にトピックのArnを表示しています。逆に未確認のサブスクリプションがない場合(空のリスト)のときは処理しないようif文にしています。

まとめ

GuardDutyやSecurityHubなど、全リージョンに展開してSNSのサブスクリプション承認をしなければならない時にお役立てください。こういった全リージョン確認する作業はできるだけコンソールではなくCLIから確認できるようにしたいですね。

Share this article

facebook logohatena logotwitter logo

関連記事

「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

「AWSにおける生成AI&データの全体像」というタイトルで 第8回 Classmethod AI Talks(CATs)に登壇しました #catalks

User avatar
石川覚
2024.11.21
CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました

User avatar
武田隆志
2024.11.21
新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

新機能のロードバランサーキャパシティユニット (LCU) 予約で、ALBの暖機を試みてみた

User avatar
suzuki.ryo
2024.11.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.