AWSセキュリティグループをコピーすることは可能ですか?


17

かなりの数のルールを含むセキュリティグループがいくつかあります。わずかな違いに対応するためだけに多数のセキュリティグループに対して同じルールを再作成するのではなく、セキュリティグループをコピーして開始点として使用したり、継承を使用したりすることはできますか?


2
1つのリソースに複数のセキュリティグループを適用できます。セキュリティグループのコピーを作成するのは、悪い考えのようです。新しいルールを新しいグループに追加して、適切なインスタンスに適用するだけです。
ラダダダダ

この情報を検索してみましたが、単一のEC2インスタンスに追加のセキュリティグループを追加する方法を示すものは見つかりません。リンクを提供できますか?
ビルロスマス

ゆっくり追加するPython Botoクラスライブラリに新しい関数を作成しました。対処する必要はありませんでした(多くのことはそうでしたが)PITAですが、少なくとも今では、これまでに見た中で最もシンプルでわかりやすいインターフェイスがあります。
ビルロスマス

回答:


17

Webインターフェイスからセキュリティグループをコピーできるようには見えません。ただし、AWS CLI使用してセキュリティグループ作成できます

コマンド:

$ aws ec2 describe-security-groups --group-id MySecurityGroupID

出力:

{
    "securityGroupInfo": [
        {
            "ipPermissionsEgress": [],
            "groupId": "sg-903004f8",
            "ipPermissions": [],
            "groupName": "MySecurityGroup",
            "ownerId": "803981987763",
            "groupDescription": "AWS-CLI-Example"
        }
    ],
    "requestId": "afb680df-d7b1-4f6a-b1a7-344fdb1e3532"
}

そして、コマンドを使用してルールを追加します:

aws ec2 authorize-security-group-ingress --group-id MySecurityGroupID --ip-protocol tcp --from-port 22 --to-port 22 --cidr-ip 0.0.0.0/0

出力:

{
    "return": "true",
    "requestId": "c24a1c93-150b-4a0a-b56b-b149c0e660d2"
}

そこから、セキュリティグループの作成を簡素化する方法を理解できるはずです。


ええ、私はこれが取られる必要のあるルートだと思いました...ボトを使用してこれに似た何かをすることも考えていました。例に感謝...それはあなたにそれを親指を与えます。ありがとう。
ビルロスマス

リージョンbtwを指定する必要があります。例aws ec2 describe-security-groups --group-id MySecurityGroupID --region us-west-2
evan.bovie

7

AWS EC2コンソールでは、セキュリティグループを選択し、UIで「新規にコピー」操作を今すぐ実行できます。


4

AWSセキュリティグループの作成ドキュメントを、あなたはコンソールを使用して、セキュリティグループをコピーすることができます。

  1. コピーするセキュリティグループを選択します
  2. アクションを選択
  3. 新規にコピー

AWSセキュリティグループ-新規にコピー


コピーを作成するための最も直感に反する場所。ありがとう。EC2コンソールを指定した方が良いでしょう。
マイケルマクガラ

4
同じリージョン内でコピーしている限り、これは機能します。別のリージョンに複製する必要がある場合でも、EC2 CLIを使用する必要があります。
デール・アンダーソン

このオプションはVPCダッシュボードには存在しません。
evan.bovie

3

これらの種類の物事を容易にする/自動化するために私が書いたカスタムライブラリからの「コピーセキュリティグループ」python / botoメソッドは次のとおりです。最終的にこれは私が思いついた解決策でした。

vpcId is the Virtual Private Cloud Id
keys is a dictionary with your AWS keys

残りは理解するのに簡単なはずです。

def copyEC2SecurityGroup(self, keys, region, securityGroupName, newSecurityGroupName = None, newRegion = None, vpcId = None):


newEc2Connection = None
print("Creating ec2Connection for source region: " + region)
ec2Connection = lib.getEc2Connection(region, keys)

if newRegion is None:
    newRegion = region
else:
    print("New Region Detected, creating for New region: " + newRegion)
    newEc2Connection = lib.getEc2Connection(newRegion, keys)
    newRegionInfo = newEc2Connection.region

print("new region is: %s" % newRegion)

if newSecurityGroupName is None:
    newSecurityGroupName = securityGroupName

print ("new security group is: %s" % newSecurityGroupName)

# if copying in the same region the new security group cannot have the same name.
if newRegion == region:
    if newSecurityGroupName == securityGroupName:
        print ("Old and new security groups cannot have the same name when copying to the same region.")
        exit(1)

groups = [group for group in ec2Connection.get_all_security_groups() if group.name == securityGroupName]
print"got groups count " + str(len(groups))
if groups:
    theOldGroup = groups[0]
    print theOldGroup.rules
else:
    print("Can't find security group by the name of: %s" % securityGroupName)
    exit(1)
print groups
pprint(theOldGroup)

if newEc2Connection is not None:
    print("Creating new security group in new region")
    sg = newEc2Connection.create_security_group(newSecurityGroupName, newSecurityGroupName, vpcId)
    sleep(5)
else:
    print("Creating new security group in current region")
    sg = ec2Connection.create_security_group(newSecurityGroupName, newSecurityGroupName, vpcId)
    sleep(5)

source_groups = []
for rule in theOldGroup.rules:
    for grant in rule.grants:
        strGrant = str(grant)
        print(strGrant)
        if strGrant.startswith("sg"):
            print("Cannot copy 'security group rule' (%s)... only cidr_ip's e.g. xxx.xxx.xxx.xxx/yy." % strGrant)
            continue
        grant_nom = grant.name or grant.group_id
        if grant_nom:
            if grant_nom not in source_groups:
                source_groups.append(grant_nom)
                sg.authorize(rule.ip_protocol, rule.from_port, rule.to_port, grant)
        else:
            sg.authorize(rule.ip_protocol, rule.from_port, rule.to_port, grant.cidr_ip)
return sg 

コードのインデントは強打の外に見えます。直せますか?
Shoan

@ショーン-長すぎて申し訳ありません。私は今これを実際に使っていません。これは、私が書いたライブラリから切り取った方法であり、それを使用していたときに定期的に使用していました。ここに投稿した時点で機能していたことはわかっています。それがインデントの場合、それを理解するのはそれほど難しくないはずです(しかし、私は今それをいじる環境を構築する時間がありませんが、あなたはできます;))。また、ライブラリのバージョンに問題がある可能性がありますか?いずれにせよ、これは、これをBotoを使用してプログラムで行いたい人にとっては、まだ良い出発点である可能性があります。
ビルロスマス

1
libとは何ですか?どこからインポートする必要がありますか?
サンキャッチャー

2

このブログをご覧ください。あなたが見ているものに役立つかもしれません。

http://ry4an.org/unblog/post/ec2_security_group_tools/


これを行うためにPython Botoを作成しました。私が見た何よりも使いやすい。
ビルロスマス

リンクの内容を要約してください
ワード-モニカの復職

動作しません。Use of uninitialized value $type in string eq at create-firewall-script.pl line 43, <> line 1 (#1)
サンキャッチャー

1

これを実現するために作成したスクリプトは次のとおりです。aws_sg_migrate

サンプル使用法は

python3 aws_sg_migrate.py --vpc=vpc-05643b6c --shell --src=us-east-1 --dest=us-west-1 sg-111111

これに基づいおり、Python3に適合しています。


使い方は面白いようですが、スクリプトは添付されていませんか?
JJarava

すみません、= :)リンクを追加
Suncatcher

1

同じAWSリージョン内で、オンラインGUIを使用してセキュリティポリシーをコピーできます。ただし、プログラムによって物事をコピーしたい場合があります。たとえば、コピーするセキュリティポリシーが多数ある場合や、リージョン間でコピーする場合。

これを行う簡単なスニペットを次に示します。

import boto3
from os import environ as env


def copy_security_groups(src_region, tgt_region, grp_names):

    # Initialize client connections for regions
    src_client = boto3.client('ec2', region_name=src_region,
                              aws_access_key_id=env['AWS_ACCESS_KEY_ID'],
                              aws_secret_access_key=env['AWS_SECRET_ACCESS_KEY'])
    tgt_client = boto3.client('ec2', region_name=tgt_region,
                              aws_access_key_id=env['AWS_ACCESS_KEY_ID'],
                              aws_secret_access_key=env['AWS_SECRET_ACCESS_KEY'])

    # Get info for all security groups and copy them one-by-one
    g_info = src_client.describe_security_groups(
        GroupNames=grp_names)['SecurityGroups']
    for g in g_info:
        resp = tgt_client.create_security_group(
            GroupName=g['GroupName'], Description=g['Description'])
        new_grp_id = resp['GroupId']
        tgt_client.authorize_security_group_ingress(
            GroupId=new_grp_id, IpPermissions=g['IpPermissions'])
        tgt_client.authorize_security_group_egress(
            GroupId=new_grp_id, IpPermissions=g['IpPermissionsEgress'])


if __name__ == '__main__':
    copy_security_groups('us-east-1', 'ap-south-1', ['rds-public'])

0

これをオンラインで行う適切な方法がないため、私はそれを処理するための非常にシンプルなスクリプトを作成しました。興味のある方はご覧ください。

https://github.com/pedropregueiro/migrate-ec2-secgroups


これは、実際には「回答」提出の良い候補ではありません。それらを投稿するのに十分な担当者がいる場合、コメントとして役に立つかもしれません。
アンドリューB

0

EC2コンソールから、[Launch Instance]をクリックし、セキュリティグループセクションに到達するまでダミー情報を入力します。

ここから[既存のセキュリティグループを選択]をクリックすると、その特定のVPCにあるすべてのセキュリティグループが下に表示されます。[Actions]の下に[Copy to New]リンクが表示されます。これを使用して、すべてのACLを新しいSGにコピーします。

または、スクリプトを使用できると思います-これはより高速なIMOです。


0

同様の問題がありましたが、異なるアカウント間でSGをコピーしました。

最初にいくつかの定数を指定するだけで、関数copy_sgはそれらをコピーします。

エラーチェックは行われていないため、ターゲットSGが既に存在する場合、失敗します。

アカウント内でも使用できる一般的なソリューションに従ってください:

#!/usr/bin/env python3
# coding: utf-8

import boto3
from typing import Any,  List

# This profile needs to be able to assume the specified role in SRC/TGT account
appops_session = boto3.Session(profile_name='YOUR_PRECONFIGURE_PROFILE')

ROLE = "THE ROLE TO BE ASSUMED"  # I presume it is the same in SRC/TGT Account
SRC_ACCOUNT = "YOUR SRC ACCOUNT NUMBER"

TGT_REGION = "eu-central-1"
DST_ACCOUNT = "YOUR TARGET ACCOUNT NUMBER"
TGT_VPC = "vpc-XXXXXXXXXXXXXXX"

region = "ap-southeast-2"
dst_vpc_id = "vpc-XXXXXXXXXXXXXXX"
sg_list = ["sg-XXXXXXXX", "sg-YYYYYYYYY"]

def aws_sts_cred(account, role):
    """Get the STS credential.

    return  credential_object
    """
    sts_creds = {}
    sts_conn = appops_session.client('sts')

    role_arn = "arn:aws:iam::" + account + ":role/" + role
    assumed_role = sts_conn.assume_role(RoleArn=role_arn,
                                        RoleSessionName="TMPROLE")
    sts_creds["aws_access_key_id"] = assumed_role['Credentials']['AccessKeyId']
    sts_creds["aws_secret_access_key"] = assumed_role['Credentials']['SecretAccessKey']
    sts_creds["aws_session_token"] = assumed_role['Credentials']['SessionToken']
    return sts_creds


def aws_conn(service: str, region: str, **kwargs) -> Any:
    """Create a client object."""
    return boto3.client(service, region_name=region, **kwargs)


def dump_sg(client, vpcid: str = "", sgids: List = []) -> List:
    """Dump the specified SG."""
    print(sgids)
    sg_info = client.describe_security_groups(
            Filters = [{'Name': 'group-id', 'Values': sgids}])['SecurityGroups']
    return sg_info


def copy_sg(tgt_client, sgs, vpcid=""):
    for sg in sgs:
        # With no Vpc ID the SG is created in the default VPC.
        resp = tgt_client.create_security_group(
            GroupName=sg['GroupName'], Description=sg['Description'], VpcId=vpcid)
        new_grp_id = resp['GroupId']
        tgt_client.authorize_security_group_ingress(
            GroupId=new_grp_id, IpPermissions=sg.get('IpPermissions', list()))
        if sg.get('IpPermissionsEgress') != []:
            # It doesn't work with an empty list
            tgt_client.authorize_security_group_egress(
                GroupId=new_grp_id, IpPermissions=sg.get('IpPermissionsEgress'))
        print("Create SG {} - \"{}\" - \"{}\" in VPCID: {}".format(new_grp_id, sg['GroupName'], sg['Description'], vpcid))


STS_CRED = aws_sts_cred(SRC_ACCOUNT, ROLE)
STS_CRED_TGT = aws_sts_cred(DST_ACCOUNT, ROLE)

src_client = aws_conn("ec2", region, **STS_CRED)

sg_list = dump_sg(src_client, sgids=sg_list)

tgt_client = aws_conn("ec2", TGT_REGION, **STS_CRED_TGT)

copy_sg(tgt_client, sg_list)

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.