Невозможно revoke_ingress для нестандартного VPC с boto3

Question

AWS Lambda / python 2.7 / boto3

Я пытаюсь отозвать одно правило из нескольких в группе безопасности (SG_we_are_working_with), но получаю ошибку

Ошибкапроизошло (InvalidGroup.NotFound) при вызове операции RevokeSecurityGroupIngress: группа безопасности 'sg-xxxxx' не существует в VPC по умолчанию 'none'

SG на самом деле не в VPC по умолчанию, а в пользовательском, но я упоминаю идентификатор VPC явно!

SG_we_are_working_with = 'sg-xxxxx'
SG_which_is_the_source_of_the_traffic = 'sg-11111111'
VpcId = 'vpc-2222222'

#first I load the group to find the necessary rule
ec2 = boto3.resource('ec2')
security_group = ec2.SecurityGroup(SG_we_are_working_with)
security_group.load()   # get current data

# here is loop over rules
for item in security_group.ip_permissions:

здесь мы берем необходимый элемент, он имеет что-то вроде:

{ 
"PrefixListIds": [], 
"FromPort": 6379, 
"IpRanges": [], 
"ToPort": 11211, 
"IpProtocol": "tcp", 
"UserIdGroupPairs": [ { 
    "UserId": "00111111111", 
    "Description": "my descr", 
    "GroupId": "sg-11111111" 
} ], 
"Ipv6Ranges": [] 
}

затем:

# now attempt to delete, the necessary data is in 'item' variable:
IpPermissions=[
    {
        'FromPort': item['FromPort'],
        'ToPort': item['ToPort'],
        'IpProtocol': 'tcp',
        'UserIdGroupPairs': [
            {
                'Description': item['UserIdGroupPairs'][0]["Description"],
                'GroupId': item['UserIdGroupPairs'][0]["GroupId"],
                'UserId': item['UserIdGroupPairs'][0]["UserId"],
                'VpcId': str(VpcId)
            },
        ]
    }
]
security_group.revoke_ingress(
    FromPort =  item['FromPort'],
    GroupName = SG_we_are_working_with,
    IpPermissions = IpPermissions,
    IpProtocol = 'tcp',
    SourceSecurityGroupName = SG_which_is_the_source_of_the_traffic,
    ToPort = item['ToPort']
)

Я использую документ здесь

Что я делаю не так?

Спасибо.

Answer 1

Весь приведенный выше код является правильным, кроме последней части, понятия не имею, почему это не объяснено в документе.

Решение, используя код из вопроса:

security_group.revoke_ingress(
    IpPermissions = IpPermissions,
)

Итак, все эти вещи

FromPort =  item['FromPort'],
GroupName = SG_we_are_working_with,
IpProtocol = 'tcp',
SourceSecurityGroupName = SG_which_is_the_source_of_the_traffic,
ToPort = item['ToPort']

был чрезмерным и вызвал ошибку.

Answer 2

Я обнаружил, что самый простой способ отозвать разрешения - это передать разрешения уже для группы безопасности:

import boto3

# Connect to the Amazon EC2 service
ec2 = boto3.resource('ec2')

# Retrieve the security group
security_groups = ec2.security_groups.filter(GroupNames=['MY-GROUP-NAME'])

# Delete all rules in the group
for group in security_groups:
    group.revoke_ingress(IpPermissions = group.ip_permissions)