1.2. セキュリティグループのルール削除 (Ingress: ソースセキュリティグループ指定)

作業の目的 [why]

VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"から、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"への通信を許可するルールを削除します。

完了条件/事前条件 [設計者用情報]

完了条件 [after]

主処理は、以下を満たしたときに成功したものとします。

完了条件1
VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在しない。

事前条件 [before]

主処理の実施は、以下の状態であることを前提とします。

事前条件1
VPC"vpc-handson-cli"が存在する。
事前条件2
VPC"vpc-handson-cli"にセキュリティグループ"webapp-handson-cli"が存在する。
事前条件3
VPC"vpc-handson-cli"にソースセキュリティグループ"alb-handson-cli"が存在する。
事前条件4
VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在する。

作業対象 [what]

  • セキュリティグループ

標準時間(合計)

8分

パラメータ設定

パラメータ設定の標準時間:2分

作業に必要なモノ・情報 [resource]

作業開始には、以下が全て揃っていることが必要です。

リソース1: VPCのタグ名

  • ルールを削除するセキュリティグループが属するVPCのタグ名称です。
  • 今回は"vpc-handson-cli"とします。

リソース2: セキュリティグループ名

  • ルールを削除するセキュリティグループの名称です。
  • 今回は"webapp-handson-cli"とします。

リソース3: プロトコルの指定

  • ルールの対象となるプロトコルです。
  • 今回は"tcp'とします。

リソース4: ポート番号の指定

  • ルールの対象となるポート番号です。
  • 今回は"80'とします。

リソース5: SOURCEセキュリティグループの指定

  • ルールの対象となるソースセキュリティグループの名称です。
  • 今回は"alb-handson-cli'とします。

パラメータの指定

作業に必要なパラメータを変数に格納をします。

0.0. リージョンの指定

変数の設定

export AWS_DEFAULT_REGION='ap-northeast-1'

0.1. VPCのタグ名の指定

VPCのタグ名を指定します。

変数の設定:

VPC_TAG_NAME='vpc-handson-cli'

0.2. セキュリティグループ名の指定

セキュリティグループ名を指定します。

変数の設定:

VPC_SG_NAME='webapp-handson-cli'

0.3. プロトコルの指定

プロトコルを指定します。

変数の設定:

VPC_SG_PROTOCOL='tcp'

0.4. ポート番号の指定

ポート番号を指定します。

変数の設定:

VPC_SG_PORT='80'

0.5. ソースグループの指定

ルールの対象となるソースグループを指定します。

変数の設定:

VPC_SG_NAME_SOURCE='alb-handson-cli'

パラメータの保存

設定されている変数の保存先となるファイル名を指定します。

変数の設定:

DIR_PARAMETER="${HOME}/tmp/parameter-handson-cli"
FILE_PARAMETER="${DIR_PARAMETER}/$(date +%Y-%m-%d)-ec2-security_group_ingress_revoke-update.env" \
  && echo ${FILE_PARAMETER}

結果(例):

${HOME}/tmp/parameter-handson-cli/2019-04-30-ec2-security_group_ingress_revoke-update.env

各変数に正しいパラメータ値が格納されていることを確認しながら保存します。

変数の確認:

cat << ETX > ${FILE_PARAMETER}

  # 0.0. AWS_DEFAULT_REGION:"ap-northeast-1"
         AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION}"

  # 0.1. VPC_TAG_NAME:"vpc-handson-cli"
         VPC_TAG_NAME="${VPC_TAG_NAME}"
  # 0.2. VPC_SG_NAME:"webapp-handson-cli"
         VPC_SG_NAME="${VPC_SG_NAME}"
  # 0.3. VPC_SG_PROTOCOL:"tcp"
         VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}"
  # 0.4. VPC_SG_PORT:"80"
         VPC_SG_PORT="${VPC_SG_PORT}"
  # 0.5. VPC_SG_NAME_SOURCE:"alb-handson-cli"
         VPC_SG_NAME_SOURCE="${VPC_SG_NAME_SOURCE}"

ETX

cat ${FILE_PARAMETER}

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

タスクの実施

タスク標準時間:6分

1. 前処理

1.1. 処理対象の状態確認

主処理の実施は、以下の状態であることを前提とします。

前提と異なることが判明した場合、直ちに処理を中止します。

事前条件1: VPC"vpc-handson-cli"が存在する。

「VPC"vpc-handson-cli"が存在する。」ことを確認します。

コマンド:

aws ec2 describe-vpcs \
  --filters Name=tag:Name,Values=${VPC_TAG_NAME}  \
  --query 'Vpcs[].Tags[?Key == `Name`].Value' \
  --output text

結果(例):

vpc-handson-cli

VPC IDを取得します。

コマンド:

VPC_ID=$( \
  aws ec2 describe-vpcs \
    --filters Name=tag:Name,Values=${VPC_TAG_NAME}  \
    --query 'Vpcs[].VpcId' \
    --output text \
) \
  && echo ${VPC_ID}

結果(例):

vpc-xxxxxxxxxxxxxxxxx

事前条件2: VPC"vpc-handson-cli"にセキュリティグループ"webapp-handson-cli"が存在する。

「VPC"vpc-handson-cli"にセキュリティグループ"webapp-handson-cli"が存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${VPC_ID} \
    Name=group-name,Values=${VPC_SG_NAME} \
  --query 'SecurityGroups[].GroupName' \
  --output text

結果(例):

webapp-handson-cli

セキュリティグループIDを取得します。

コマンド:

VPC_SG_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=vpc-id,Values=${VPC_ID} \
      Name=group-name,Values=${VPC_SG_NAME} \
    --query "SecurityGroups[].GroupId" \
    --output text \
) \
  && echo ${VPC_SG_ID}

結果(例):

sg-xxxxxxxxxxxxxxxxx

事前条件3: VPC"vpc-handson-cli"にソースセキュリティグループ"alb-handson-cli"が存在する。

「VPC"vpc-handson-cli"にソースセキュリティグループ"alb-handson-cli"が存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${VPC_ID} \
    Name=group-name,Values=${VPC_SG_NAME_SOURCE} \
  --query 'SecurityGroups[].GroupName' \
  --output text

結果(例):

alb-handson-cli

セキュリティグループIDを取得します。

コマンド:

VPC_SG_ID_SOURCE=$( \
  aws ec2 describe-security-groups \
    --filter Name=vpc-id,Values=${VPC_ID} \
      Name=group-name,Values=${VPC_SG_NAME_SOURCE} \
    --query "SecurityGroups[].GroupId" \
    --output text \
) \
  && echo ${VPC_SG_ID_SOURCE}

結果(例):

sg-yyyyyyyyyyyyyyyyy

事前条件4: VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在する。

「VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在する。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${VPC_ID} \
    Name=group-name,Values=${VPC_SG_NAME} \
    Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \
    Name=ip-permission.to-port,Values=${VPC_SG_PORT} \
    Name=ip-permission.group-id,Values=${VPC_SG_ID_SOURCE} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \
    && ToPort == \`${VPC_SG_PORT}\` \
    && UserIdGroupPairs[?GroupId == \`${VPC_SG_ID_SOURCE}\`]]"

結果(例):

[
  [
    {
        "FromPort": 80,
        "IpProtocol": "tcp",
        "IpRanges": [],
        "Ipv6Ranges": [],
        "PrefixListIds": [],
        "ToPort": 80,
        "UserIdGroupPairs": [
            {
                "GroupId": "sg-xxxxxxxx",
                "UserId": "XXXXXXXXXXXX"
            }
        ]
    }
  ]
]

1.2. 主処理に必要な情報の取得

セキュリティグループIDの取得

セキュリティグループIDを取得します。

コマンド:

VPC_SG_ID=$( \
  aws ec2 describe-security-groups \
    --filter Name=vpc-id,Values=${VPC_ID} \
      Name=group-name,Values=${VPC_SG_NAME} \
    --query "SecurityGroups[].GroupId" \
    --output text \
) \
  && echo ${VPC_SG_ID}

結果(例):

sg-xxxxxxxxxxxxxxxxx

2. 主処理

セキュリティグループのルール削除

変数の確認:

cat << ETX

  # VPC_SG_ID:"sg-xxxxxxxxxxxxxxxxx"
    VPC_SG_ID="${VPC_SG_ID}"
  # VPC_SG_PROTOCOL:"tcp"
    VPC_SG_PROTOCOL="${VPC_SG_PROTOCOL}"
  # VPC_SG_PORT:"80"
    VPC_SG_PORT="${VPC_SG_PORT}"
  # VPC_SG_ID_SOURCE:"sg-yyyyyyyyyyyyyyyyy"
    VPC_SG_ID_SOURCE="${VPC_SG_ID_SOURCE}"

ETX

コマンド:

aws ec2 revoke-security-group-ingress \
  --group-id ${VPC_SG_ID} \
  --protocol ${VPC_SG_PROTOCOL} \
  --port ${VPC_SG_PORT} \
  --source-group ${VPC_SG_ID_SOURCE}

結果(例):

(出力なし)

3. 後処理

完了条件の確認

主処理は、以下を満たしたときに成功したものとします。

完了条件1: VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在しない。

「VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在しない。」ことを確認します。

主処理は、以下を満たしたときに成功したものとします。

完了条件1: VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在しない。

「VPC"vpc-handson-cli"のセキュリティグループ"webapp-handson-cli"に、ソースセキュリティグループ"alb-handson-cli"から"80/tcp"に対する通信を許可するルールが存在しない。」ことを確認します。

コマンド:

aws ec2 describe-security-groups \
  --filter Name=vpc-id,Values=${VPC_ID} \
    Name=group-name,Values=${VPC_SG_NAME} \
    Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \
    Name=ip-permission.to-port,Values=${VPC_SG_PORT} \
    Name=ip-permission.group-id,Values=${VPC_SG_ID_SOURCE} \
  --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \
    && ToPort == \`${VPC_SG_PORT}\` \
    && UserIdGroupPairs[?GroupId == \`${VPC_SG_ID_SOURCE}\`]]"

結果(例):

[]

完了