Я ищу возможность получить список групп безопасности, которые разрешают весь трафик с 0.0.0.0/0.
У меня есть фильтр, настроенный следующим образом:
$AllSecurityGroupFilter = @(
@{
name = "ip-permission.cidr"
value = "0.0.0.0/0"
},
@{
name = "ip-permission.protocol"
value = "-1"
}
)
И когда я запускаю следующую команду, я получаю обратно группы безопасности, которые разрешают весь трафик ICMP вместо любого трафика.
Get-EC2SecurityGroup -Filter $SSHSecurityGroupFilter -Region $Region
Вот выходные данные свойств групп безопасности, которые разрешают всетрафик, против тех, которые разрешают все для ICMP.
Весь трафик
FromPort : 0
IpProtocol : -1
Ipv4Ranges : {Amazon.EC2.Model.IpRange}
Ipv6Ranges : {}
PrefixListIds : {}
ToPort : 0
UserIdGroupPairs : {}
Все ICMP
FromPort : -1
IpProtocol : icmp
Ipv4Ranges : {Amazon.EC2.Model.IpRange}
Ipv6Ranges : {}
PrefixListIds : {}
ToPort : -1
UserIdGroupPairs : {}
Я также попытался просто найти любые группы, которые позволяютпорты from и to игнорируют фильтрацию протокола ip, но он не перехватывает группу безопасности All Traffic.
> $AllSecurityGroupFilter = @(
@{
name = "ip-permission.cidr"
value = "0.0.0.0/0"
},
@{
name = "ip-permission.from-port"
value = "0"
},
@{
name = "ip-permission.to-port"
value = "0"
}
)
> Get-EC2SecurityGroup -Filter $AllSecurityGroupFilter -Region "us-east-1"
>
В крайнем случае, я думаю, что я могу просто фильтровать по факту, но я хотел бы использовать -Filter для получения моих данных, поскольку это то, для чего это было построено.