Frage Wie ermitteln Sie AWS-Sicherheitsgruppenabhängigkeiten?


Amazon EC2 lässt mich nicht eine Sicherheitsgruppe löschen, beschwert sich, dass die Gruppe noch Abhängigkeiten hat. Wie kann ich herausfinden, was diese Abhängigkeiten sind?

aws ec2 beschreiben-sicherheitsgruppen sagt das nicht.


21
2017-10-15 02:55


Ursprung


Die Antwort ist nicht richtig in dieser Frage @ Michael Hampton, obwohl es so markiert ist. - konr
@konr Wenn Sie glauben, dass die Frage bessere Antworten benötigt, können Sie Beginne ein Kopfgeld. - Michael Hampton♦
ähnlich zu stackoverflow.com/questions/24685508/... - LHWizard


Antworten:


Fügen Sie die Sicherheitsgruppen-ID im Abschnitt "Netzwerkschnittstellen" von EC2 ein. Dies findet Verwendung in EC2, EB, RDS, ELB.

CLI: aws ec2 describe-network-interfaces --filters Name=group-id,Values=sg-123abc45


21
2017-08-01 06:03





Sie müssen sich Ihre EC2-Instanzobjekte anschauen, nicht die Gruppen selbst:

$ aws ec2 describe-instances --output text

Suchen Sie dann entweder nach "sg- *" oder verwenden Sie standardmäßige Unix-Text-Stream-Verarbeitungstools, um die benötigten Daten zu extrahieren.

Alternativ, wenn Sie eine kleine Anzahl von Instanzen haben, verwenden Sie --output table für eine schön formatierte Liste.


7
2017-10-15 03:47



aws ec2 describe-instances --output text | grep sg- - cdmckay
Da eine Sicherheitsgruppe auf andere Sicherheitsgruppen verweisen kann, müssen Sie diese Funktion möglicherweise rekursiv ausführen? - brendan
Das ist ruhig unvollständig. Sicherheitsgruppen können an vielen Stellen neben EC2-Instanzen verwendet werden - ELBs, VPCs, andere Sicherheitsgruppen (wie bereits von @brendan erwähnt) usw. - Amos Shapira
@AmosShapira Das OP hat speziell nach EC2 gefragt. Wenn Sie möchten, können Sie meine Antwort immer bearbeiten, um sie zu verbessern. - EEAA
@AmosShapira Es löste das Problem, das das OP hatte. SF-Antworten müssen keine umfassende Antwort auf alle möglichen verwandten Situationen sein. - EEAA


Der beste Weg, dies in der AWS EC2-Konsole zu tun, besteht darin, den Namen der Sicherheitsgruppe in das Suchfeld im Abschnitt "EC2-> Instances" einzufügen.

Alle Instanzen, die der eingefügten Sicherheitsgruppe zugeordnet sind, werden dann ausgefüllt. Dies sind die ec2-Objekte (Abhängigkeiten).

Sie können diese Suche auch im ELB-Abschnitt und in anderen AWS-Angeboten ausführen, die Sicherheitsgruppen verwenden.

Wenn Sie versuchen, die Sicherheitsgruppe zu löschen, müssen Sie entweder die Sicherheitsgruppe für jede Instanz ändern (wenn sie sich in einer VPC befinden) oder eine AMI erstellen und eine andere Sicherheitsgruppe neu starten. Löschen Sie dann die alte Instanz (wenn mit EC2 classic)

Hoffentlich hilft das-


7
2018-02-18 01:47





Sie können den aws cli abfragen, um die gewünschten Daten zu erhalten.

Du musst:

  • Listen Sie alle Sicherheitsgruppen auf, die nach Verweisen auf die fragliche Gruppe suchen
  • Listen Sie alle EC2s und ihre Gruppen auf
  • Listen Sie alle ELBs und ihre Gruppen auf
  • Listen Sie alle RDS und ihre Gruppen auf

Sie können auch Bibliotheken wie Boto verwenden https://code.google.com/p/boto/ anstelle des rohen aws cli.


7
2018-02-18 08:33





Dies war möglicherweise nicht verfügbar, wenn die Frage ursprünglich gestellt wurde, aber wenn Sie die AWS Console für Sicherheitsgruppen aufrufen, die fraglichen Gruppen auswählen und die Aktion Löschen auswählen, werden Sie in der resultierenden Eingabeaufforderung darüber informiert, ob sie referenziert wird .


1
2018-06-22 22:31





Die markierte Antwort ist falsch. Wenn Sie eine Abhängigkeitsverletzung feststellen, wird wahrscheinlich auf eine andere Sicherheitsgruppe in Ihrer IP-Permissions (Ingress) -Konfiguration verwiesen. Sie müssen alle Ingress-Berechtigungen widerrufen, die Sicherheitsgruppen als Quelle enthalten.


0
2018-05-09 17:28



Ich vermute, die ursprüngliche Frage war, was auf eine Sicherheitsgruppe verweist. Gibt es Dinge, die keine Netzwerkschnittstellen sind, die auf Sicherheitsgruppen (und ihre Eingangsports) verweisen? Wenn nicht, dann ist die Liste der Netzwerkschnittstellen eine gute Antwort, nein? - user14645
In Ihrem Punkt gibt es zwar einen Wert, aber ein Verweis auf eine Sicherheitsgruppe ist keine Abhängigkeitsverletzung. Es ist möglich, eine Sicherheitsgruppe zu löschen, die keinem ENI zugeordnet ist, aber in einer anderen Sicherheitsgruppe referenziert wird. Nach dem Löschen erhalten Sie in Ihrer Konsole die Benachrichtigung "Sie haben neue veraltete Sicherheitsgruppenregeln", um darauf hinzuweisen, dass in einer Regel ein alter Verweis auf eine nicht vorhandene Sicherheitsgruppe vorhanden ist. Es wird Ihnen dann einen Hyperlink "View Stale Rules" geben, um die Situation danach zu ändern. - Denys Stroebel