2.2. セキュリティグループの更新 (HTTP)¶
作業の目的 [why]¶
VPC"vpc-handson-2017-10-09"のセキュリティグループ"balancer-handson-2017-10-09"に、アドレス"0.0.0.0/0"から"80/tcp"への通信を許可するルールを追加します。
完了条件/事前条件 [設計者用情報]
完了条件 [after]
主処理は、以下を満たしたときに成功したものとします。
- 完了条件1
- VPC"vpc-handson-2017-10-09"のセキュリティグループ"balancer-handson-2017-10-09"に、送信元アドレス"0.0.0.0/0"から"80/tcp"に対する通信を許可するルールが存在する。
事前条件 [before]
主処理の実施は、以下の状態であることを前提とします。
- 事前条件1
- VPC"vpc-handson-2017-10-09"が存在する。
- 事前条件2
- VPC"vpc-handson-2017-10-09"にセキュリティグループ"balancer-handson-2017-10-09"が存在する。
- 事前条件3
- VPC"vpc-handson-2017-10-09"のセキュリティグループ"balancer-handson-2017-10-09"に、送信元アドレス"0.0.0.0/0"から"80/tcp"に対する通信を許可するルールが存在しない。
前提と異なることが判明した場合、直ちに処理を中止します。
課題
(未検証)
作業対象 [what]¶
- VPC
標準時間¶
8分
前提条件¶
作業環境条件 [where]¶
本作業は、以下の作業環境で行います。
作業環境条件1: OSとバージョン
Amazon Linuxの以下のバージョンで動作確認済
コマンド:
cat /etc/issue | head -1
結果(例):
Amazon Linux AMI release 2016.09
作業環境条件2: シェルとバージョン
bashの以下のバージョンで動作確認済
コマンド:
bash --version -v | head -1
結果(例):
GNU bash, バージョン 4.2.46(1)-release (x86_64-redhat-linux-gnu)
作業環境条件3: AWS CLIのバージョン
以下のバージョンで動作確認済
- AWS CLI 1.11.117
コマンド:
aws --version
結果(例):
aws-cli/1.11.166 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.7.24
バージョンが古い場合は最新版に更新しましょう。
コマンド:
sudo -H pip install -U awscli
開始条件¶
作業に必要なモノ・情報 [resource]¶
作業開始には、以下が全て揃っていることが必要です。
リソース1: VPCのタグ名
- ルールを作成するセキュリティグループが属するVPCのタグ名称です。
- 今回は"vpc-handson-2017-10-09"とします。
リソース2: セキュリティグループ名
- ルールを作成するセキュリティグループの名称です。
- 今回は"balancer-handson-2017-10-09"とします。
リソース3: プロトコルの指定
- ルールの対象となるプロトコルです。
- 今回は"tcp'とします。
リソース4: ポート番号の指定
- ルールの対象となるポート番号です。
- 今回は"80'とします。
リソース5: CIDRの指定
- ルールの対象となるIPアドレス(CIDR表記)です。
- 今回は"0.0.0.0/0'とします。
タスクの実施¶
0. パラメータの指定¶
まず変数の確認をします。
変数の確認:
cat << ETX 0.a. AWS_DEFAULT_PROFILE: actual: ${AWS_DEFAULT_PROFILE} expect: <IAMのフル権限を許可されたプロファイル> 0.b. AWS_DEFAULT_REGION: actual: ${AWS_DEFAULT_REGION} expect: ap-northeast-1 0.1. VPC_TAG_NAME: actual: ${VPC_TAG_NAME} expect: vpc-handson-2017-10-09 0.2. VPC_SG_NAME: actual: ${VPC_SG_NAME} expect: balancer-handson-2017-10-09 0.3. VPC_SG_PROTOCOL: actual: ${VPC_SG_PROTOCOL} expect: tcp 0.4. VPC_SG_PORT: actual: ${VPC_SG_PORT} expect: 80 0.5. VPC_SG_CIDR: actual: ${VPC_SG_CIDR} expect: 0.0.0.0/0 ETX
変数が入っていない、適切でない場合は、それぞれの手順番号について作業を行います。
0.a. プロファイルの指定¶
プロファイルの一覧を確認します。
コマンド:
cat ~/.aws/credentials \ | grep '\[' \ | sed 's/\[//g' | sed 's/\]//g'
結果(例):
iamFull-prjz-mbpr13 <IAMのフル権限を許可されたプロファイル>
変数の設定:
export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'
再確認¶
設定されている変数の内容を再確認します。
変数の確認:
cat << ETX 0.a. AWS_DEFAULT_PROFILE: actual: ${AWS_DEFAULT_PROFILE} expect: <IAMのフル権限を許可されたプロファイル> 0.b. AWS_DEFAULT_REGION: actual: ${AWS_DEFAULT_REGION} expect: ap-northeast-1 0.1. VPC_TAG_NAME: actual: ${VPC_TAG_NAME} expect: vpc-handson-2017-10-09 0.2. VPC_SG_NAME: actual: ${VPC_SG_NAME} expect: balancer-handson-2017-10-09 0.3. VPC_SG_PROTOCOL: actual: ${VPC_SG_PROTOCOL} expect: tcp 0.4. VPC_SG_PORT: actual: ${VPC_SG_PORT} expect: 80 0.5. VPC_SG_CIDR: actual: ${VPC_SG_CIDR} expect: 0.0.0.0/0 ETX
1. 前処理¶
処理対象の状態確認¶
主処理の実施は、以下の状態であることを前提とします。
前提と異なることが判明した場合、直ちに処理を中止します。
事前条件1: VPC"vpc-handson-2017-10-09"が存在する。
「VPC"vpc-handson-2017-10-09"が存在する。」ことを確認します。
変数の設定:
EC2_TAG_KEY='Name'
コマンド:
aws ec2 describe-vpcs \ --filters Name=tag:${EC2_TAG_KEY},Values=${VPC_TAG_NAME} \ --query "Vpcs[].Tags[].Value"
結果(例):
[ "vpc-handson-2017-10-09" ]
VPC IDを取得します。
コマンド:
VPC_ID=$( \ aws ec2 describe-vpcs \ --filters Name=tag:${EC2_TAG_KEY},Values=${VPC_TAG_NAME} \ --query 'Vpcs[].VpcId' \ --output text \ ) \ && echo ${VPC_ID}
結果(例):
vpc-xxxxxxxx
事前条件2: VPC"vpc-handson-2017-10-09"にセキュリティグループ"balancer-handson-2017-10-09"が存在する。
「VPC"vpc-handson-2017-10-09"にセキュリティグループ"balancer-handson-2017-10-09"が存在する。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${VPC_ID} \ Name=group-name,Values=${VPC_SG_NAME} \ --query 'SecurityGroups[].GroupName'
結果(例):
[ "balancer-handson-2017-10-09" ]
セキュリティグループIDを取得します。
コマンド:
VPC_SG_ID=$( \ aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${VPC_ID} \ Name=group-name,Values=${VPC_SG_NAME} \ --query "SecurityGroups[].GroupId" \ --output text \ ) \ && echo ${VPC_SG_ID}
結果(例):
sg-yyyyyyyy
事前条件3: VPC"vpc-handson-2017-10-09"のセキュリティグループ"balancer-handson-2017-10-09"に、送信元アドレス"0.0.0.0/0"から"80/tcp"に対する通信を許可するルールが存在しない。
「VPC"vpc-handson-2017-10-09"のセキュリティグループ"balancer-handson-2017-10-09"に、送信元アドレス"0.0.0.0/0"から"80/tcp"に対する通信を許可するルールが存在しない。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${VPC_ID} \ Name=group-name,Values=${VPC_SG_NAME} \ Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \ Name=ip-permission.to-port,Values=${VPC_SG_PORT} \ Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \ --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \ && ToPort == \`${VPC_SG_PORT}\` \ && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"
結果(例):
[]
2. 主処理¶
セキュリティグループのルール作成¶
変数の確認:
cat << ETX VPC_SG_ID actual: ${VPC_SG_ID} expect: sg-yyyyyyyy VPC_SG_PROTOCOL actual: ${VPC_SG_PROTOCOL} expect: tcp VPC_SG_PORT actual: ${VPC_SG_PORT} expect: 80 VPC_SG_CIDR actual: ${VPC_SG_CIDR} expect: 0.0.0.0/0 ETX
コマンド:
aws ec2 authorize-security-group-ingress \ --group-id ${VPC_SG_ID} \ --protocol ${VPC_SG_PROTOCOL} \ --port ${VPC_SG_PORT} \ --cidr ${VPC_SG_CIDR}
結果(例):
(出力なし)
3. 後処理¶
完了条件の確認¶
主処理は、以下を満たしたときに成功したものとします。
完了条件1: VPC"vpc-handson-2017-10-09"のセキュリティグループ"balancer-handson-2017-10-09"に、送信元アドレス"0.0.0.0/0"から"80/tcp"に対する通信を許可するルールが存在する。
「VPC"vpc-handson-2017-10-09"のセキュリティグループ"balancer-handson-2017-10-09"に、送信元アドレス"0.0.0.0/0"から"80/tcp"に対する通信を許可するルールが存在する。」ことを確認します。
コマンド:
aws ec2 describe-security-groups \ --filter Name=vpc-id,Values=${VPC_ID} \ Name=group-name,Values=${VPC_SG_NAME} \ Name=ip-permission.protocol,Values=${VPC_SG_PROTOCOL} \ Name=ip-permission.to-port,Values=${VPC_SG_PORT} \ Name=ip-permission.cidr,Values=${VPC_SG_CIDR} \ --query "SecurityGroups[].IpPermissions[?IpProtocol == \`${VPC_SG_PROTOCOL}\` \ && ToPort == \`${VPC_SG_PORT}\` \ && IpRanges[?CidrIp == \`${VPC_SG_CIDR}\`]]"
結果(例):
[ [ { "PrefixListIds": [], "FromPort": 80, "IpRanges": [ { "CidrIp": "0.0.0.0/0" } ], "ToPort": 80, "IpProtocol": "tcp", "UserIdGroupPairs": [], "Ipv6Ranges": [] } ] ]