Question

В веб-консоли AWS при просмотре входящих правил группы безопасности может отображаться другой идентификатор группы безопасности в столбце источника вместо IP-адреса.Мне нужно просматривать входящие правила группы безопасности через powershell, которые ссылаются на другие группы безопасности в качестве источника.

Get-EC2SecurityGroup не содержит информации о других входящих группах безопасности.

Чтобы получить информацию оВ одной группе безопасности EC2 в AWS может использоваться следующая команда Powershell:

Get-EC2SecurityGroup -GroupId sg-121kRandStringf912j

Результаты выглядят следующим образом:

Description         : My Security Group Description
GroupId             : sg-121kRandStringf912j
GroupName           : SSHIn
IpPermissions       : {Amazon.EC2.Model.IpPermission}
IpPermissionsEgress : {Amazon.EC2.Model.IpPermission}
OwnerId             : 123456789012
Tags                : {Name, aws:cloudformation:stack-name, aws:cloudformation:logical-id, aws:cloudformation:stack-id}
VpcId               : vpc-01q23RandString09ab817

Более тщательная проверка свойства IPPermissions для правила, котороеИспользование IP-адресов выглядит примерно так:

FromPort         : 22
IpProtocol       : tcp
IpRanges         : {192.168.1.0/32, 192.168.2.0/32}
Ipv6Ranges       : {}
PrefixListIds    : {}
ToPort           : 22
UserIdGroupPairs : {}

Обратите внимание, что в приведенном выше выводе перечислены диапазоны IP-адресов.

Я ожидал бы найти аналогичные выходные данные, когда правило входа разрешает ввод всей группы безопасности. Я ожидал бы найти информацию, подобную этой:

FromPort         : 22
IpProtocol       : tcp
IpRanges         : {sg-1q9b2RandomString93q47}
Ipv6Ranges       : {}
PrefixListIds    : {}
ToPort           : 22
UserIdGroupPairs : {}

Вместо этого все остальные свойства восновной объект SecurityGroup похожи, но при проверке свойства IPPermissions присутствует правило для этого порта, в то время как свойство IpRanges пустое, и нет никаких дополнительных свойств, которые содержат идентификаторы группы безопасности.

FromPort         : 22
IpProtocol       : tcp
IpRanges         : {}
Ipv6Ranges       : {}
PrefixListIds    : {}
ToPort           : 22
UserIdGroupPairs : {}

Как я могу использовать Powershell для поиска правил, разрешающих входящие другие группы безопасности?

jarmod · Answer 1 · 16 мая 2019

Вы должны увидеть список настроенных групп безопасности в UserIdGroupPairs, каждая из которых имеет Description, GroupId и UserId. Вот что возвращает awscli . Я бы хотел убедиться, что вы указали правильный идентификатор группы безопасности в своем запросе.

Как использовать инструменты AWS Powershell для получения идентификаторов групп безопасности, разрешенных в правилах доступа?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как использовать инструменты AWS Powershell для получения идентификаторов групп безопасности, разрешенных в правилах доступа?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы