概要
当アクションを利用することで、Cloud Automatorで用意しているトリガーをきっかけに、セキュリティグループにインバウンドのルールを追加することが可能です。
システムを運用する上でセキュリティは非常に重要なポイントですが、中でも「セキュリティグループ」の管理は、AWSを利用する上で最も重要な運用の1つとしてあげられます。
手動での運用を続けていると、作業漏れによって意図せずルールが許可されたままになるなど、セキュリティ上の懸念が発生しますが、自動化することでこのような作業漏れを防ぐことが可能になります。
また、当アクションと「セキュリティグループからインバウンドルールを削除」アクションを併用することで、
1. メンテナンス時間や業務時間になると、自動的にサーバーへのアクセスを許可
2. 終業時間になると、自動的にサーバーへのアクセスを拒否
2. 終業時間になると、自動的にサーバーへのアクセスを拒否
このようなことも出来るようになります。(例ではタイマートリガーを使用)
参考:EC2: セキュリティグループからインバウンドルールを削除する
設定時のオプション
No. | オプション | 説明 |
---|---|---|
1 | リージョン | セキュリティグループが存在するリージョンを指定します |
2 | セキュリティグループ | 対象のセキュリティグループを指定します。 「Can't find any security groups in this region or aws account」と表示される場合はAWSアカウントやリージョンの選択が正しいかご確認下さい。 |
特定のタグがついたセキュリティグループ | key と value を入力して、対象のセキュリティグループをタグで指定します。指定されたリージョン内で、入力された key と value に一致するタグがついたすべてのセキュリティグループが対象となります。 | |
3 | IPプロトコル | TCP か UDP を選択します |
4 | ポート | ポート番号を指定します(※範囲指定はできません) |
5 | CIDR IP | トラフィックの送信元 (CIDR の範囲) を指定します 例) 10.0.0.0/16 |
設定例
ここでは、ジョブ作成後に手動実行できる「手動トリガー」を使って、「セキュリティグループにインバウンドルールを追加」アクションの運用ジョブを登録する例を示します。
Note:
- すでに、プロトコル / ポート / IPアドレス が同一の設定 が存在する場合は何も行いません(skip 処理されます)
- 1 回のアクションで対象とするセキュリティグループの上限は 30 個 です。アクション開始時にこの上限を超えている場合、アクションは実行せず、failed で終了します。
- コンソール画面左メニューの運用ジョブからジョブの追加をクリックします。
- グループ選択で、ジョブを追加するグループを選択します。
- トリガーの選択で「手動トリガー」を選択します。
- アクションで「EC2: セキュリティグループにインバウンドルールを追加」を選択します。
- AWS アカウントの選択で、任意の AWS アカウントを選択します。
- アクションのパラメーターに追加したいインバウンドルールを指定します。
- 後処理選択で、ジョブの成功/失敗時に実行する後処理を設定します。
- ジョブ名を入力します。
- 「作成する」ボタンをクリックします。
動作確認
- ジョブ一覧で、先程追加したジョブの「今すぐ実行」をクリックし、ジョブを実行します。
- 運用ジョブ一覧画面で作成したジョブの「ログ」ボタンをクリックします。
- 確認するログの「詳細」ボタンをクリックします。
- 結果が 成功 もしくは 失敗 となっていることを確認します。
- それぞれのリソースの操作結果は「リソース操作結果」項目で確認することができます。
- 必要に応じてAWSマネジメントコンソールで、インバウンドルールが追加されていることを確認します。
ログのステータス
実行結果
No | ステータス | 説明 |
---|---|---|
1 | 成功 | 以下のいずれかの場合に成功となります。
|
2 | 失敗 | 以下のいずれかの場合に失敗となります。
|
このアクションで利用されるAWS API
当アクションの実行には以下のAWS APIを利用しています。
実行するAWSアカウントにはこれらのAPIを実行可能なIAMポリシーがアタッチされている必要があります。