EC2: セキュリティグループからインバウンドルールを削除する

概要

当アクションを利用することで、Cloud Automatorで用意しているトリガーをきっかけに、セキュリティグループから既存のルールの削除が可能になります。

当アクションと「セキュリティグループにインバウンドルールを追加」アクションを併用することで、

1. メンテナンス時間や業務時間になると、自動的にサーバーへのアクセスを許可
2. 終業時間になると、自動的にサーバーへのアクセスを拒否

このようなことも出来るようになります。(例ではタイマートリガーを使用)
参考:EC2: セキュリティグループにインバウンドルールを追加

releasing-update-security-group-inbound-rule-action14.png

設定時のオプション

No. オプション 説明
1 リージョン セキュリティグループが存在するリージョンを指定します
2 セキュリティグループ 対象のセキュリティグループを指定します。
「Can't find any security groups in this region or aws account」と表示される場合はAWSアカウントやリージョンの選択が正しいかご確認下さい。
特定のタグがついたセキュリティグループ key と value を入力して、対象のセキュリティグループをタグで指定します。指定されたリージョン内で、入力された key と value に一致するタグがついたすべてのセキュリティグループが対象となります。
3 IPプロトコル TCP か UDP を選択します
4 ポート ポート番号を指定します(※範囲指定はできません)
5 CIDR IP トラフィックの送信元 (CIDR の範囲) を指定します
例) 10.0.0.0/16

設定例

ここでは、ジョブ作成後に手動実行できる「手動トリガー」を使って、「セキュリティグループからインバウンドルールを削除」アクションの運用ジョブを登録する例を示します。

Note:
  • 指定した プロトコル / ポート / IPアドレス が同一の設定 が存在しない場合は何も行いません(skip 処理されます)
  • 1 回のアクションで対象とするセキュリティグループの上限は 30 個 です。アクション開始時にこの上限を超えている場合、アクションは実行せず、failed で終了します。

 

  1. コンソール画面左メニューの運用ジョブからジョブの追加をクリックします。
  2. グループ選択で、ジョブを追加するグループを選択します。
  3. トリガーの選択で「手動トリガー」を選択します。
  4. アクションの選択で「EC2: セキュリティグループからインバウンドルールを削除」を選択します。
  5. AWS アカウントの選択で、任意の AWS アカウントを選択します。
  6. アクションのパラメーターに削除したいインバウンドルールを指定します。

    revoke_security_group_ingress.png
  7. 後処理選択で、ジョブの成功/失敗時に実行する後処理を設定します。
  8. ジョブ名を入力します。
  9. 「作成する」ボタンをクリックします。

動作確認

  1. ジョブ一覧で、先程追加したジョブの「今すぐ実行」をクリックし、ジョブを実行します。
  2. 運用ジョブ一覧画面で作成したジョブの「ログ」ボタンをクリックします。
  3. 確認するログの「詳細」ボタンをクリックします。
  4. 結果が 成功 もしくは 失敗 となっていることを確認します。
  5. それぞれのリソースの操作結果は「リソース操作結果」項目で確認することができます。
  6. 必要に応じてAWSマネジメントコンソールで、インバウンドルールが追加されていることを確認します。

 

ログのステータス条件

ジョブの実行結果 条件
成功 以下のいずれかの場合に成功となります。
  • インバウンドルールの削除に成功した場合
  • 指定された、プロトコル / ポート / IPアドレス が同一の設定が存在しないため、何もせず終了した場合(スキップ処理された場合)
失敗 以下のいずれかの場合に失敗となります。
  • 対象となるセキュリティグループが30個以上ある場合

 

このアクションで利用されるAWS API

当アクションの実行には以下のAWS APIを利用しています。
実行するAWSアカウントにはこれらのAPIを実行可能なIAMポリシーがアタッチされている必要があります。

 

関連

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください