amazon-web-services - 筛选具有特定端口和 IP ACL 的安全组的 AWS CLI 输出-6ren

amazon-web-services - 筛选具有特定端口和 IP ACL 的安全组的 AWS CLI 输出

转载作者：行者123 更新时间：2023-12-03 01:34:30

26

4

我在过滤 AWS CLI 描述安全组输出时遇到困难

目标:找到所有在端口 22 上具有 cidr 0.0.0.0/0 入口规则的 SG

亚马逊自己的文档提供了一个示例，但声明其查询存在限制，因为它将首先过滤端口 22 的整个数据集，然后过滤 0.0.0.0/0 的整个数据集。这意味着具有以下规则的 SG 仍会触发:

ingress 22 sg-12345678
ingress 443 0.0.0.0/0

这完全违背了过滤的目的，我什至不确定为什么亚马逊会提供带有“描述具有特定规则的安全组”标题的示例

路线1:先aws cli查询，然后jq

这条路线基于我在这里找到的内容:https://github.com/aws/aws-cli/issues/971

aws ec2 describe-security-groups --output json --query 'SecurityGroups[*].[GroupName,GroupId,IpPermissions[?ToPort==`22`].[IpRanges[?CidrIp==`0.0.0.0/0`]]]'

其中提供了所有安全组的列表，但显示具有 22 个 0.0.0.0/0 的任何 SG 的嵌套数据(并成功忽略其他端口的任何 0.0.0.0/0 ACL)下面的输出中，SG1 是我感兴趣的，SG2/SG3 需要过滤掉。

[
    [
        "SG 1", 
        "sg-11111111", 
        [
            [
                [
                    {
                        "CidrIp": "0.0.0.0/0"
                    }
                ]
            ]
        ]
    ],
    [
        "SG 2",
        "sg-22222222",
        [
            [
                []
            ]
        ]
    ],
    [
        "SG 3", 
        "sg-33333333", 
        []
    ]
]

这是一个很好的第一步，因为我已经消除了与端口 22 无关的 0.0.0.0/0 ACL。但是当我尝试运行 jq 以简单地删除具有空数据集的条目时，我遇到了困难是因为所有的 key 都被剥夺了。

当我尝试更深入地选择嵌套部分时，我最终遇到了诸如无法迭代 null 之类的错误
如果我尝试使用 contains，我什么也得不到，所以我什至不确定哪里出了问题

路线 2:jq 未查询的 CLI 输出

我从一开始就使用 jq 无法摆脱原始 AWS 示例的陷阱，我可以首先查询包含端口 22 的所有 SG，然后查询 0.0.0.0/0 的任何 ACL ，这当然会给我带来误报。由于jq的流性质，我还没有弄清楚如何检查条件A(端口22)然后仅在与条件A相关的项目上检查条件B(0.0.0.0/0)。

这是 2 个 SG 的一些经过清理的原始 CLI 输出，同样，我需要获取第一个 SG，而不会在第二个 SG 上触发误报

{
    "SecurityGroups": [
        {
            "Description": "SG 1", 
            "IpPermissions": [
                {
                    "PrefixListIds": [], 
                    "FromPort": 22, 
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ], 
                    "ToPort": 22, 
                    "IpProtocol": "tcp", 
                    "UserIdGroupPairs": [], 
                    "Ipv6Ranges": []
                }
            ], 
            "GroupName": "SG 1",
            "VpcId": "vpc-12345678", 
            "OwnerId": "1234567890", 
            "GroupId": "sg-11111111"
        }, 
        {
            "Description": "SG 2", 
            "IpPermissions": [
                {
                    "PrefixListIds": [], 
                    "FromPort": 22, 
                    "IpRanges": [], 
                    "ToPort": 22, 
                    "IpProtocol": "tcp", 
                    "UserIdGroupPairs": [
                        {
                            "UserId": "1234567890", 
                            "GroupId": "sg-abcdefab"
                        }
                    ], 
                    "Ipv6Ranges": []
                },
                {
                    "PrefixListIds": [], 
                    "FromPort": 443, 
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ], 
                    "ToPort": 443, 
                    "IpProtocol": "tcp", 
                    "UserIdGroupPairs": [], 
                    "Ipv6Ranges": []
                }
            ], 
            "GroupName": "SG 2", 
            "VpcId": "vpc-12345678", 
            "OwnerId": "1234567890", 
            "GroupId": "sg-22222222"
        } 
    ]
}

最佳答案

您需要使用高级JMESPath条件。看看下面的 cli 命令是否满足您的要求。

aws ec2 describe-security-groups \
    --filters "Name=ip-permission.to-port,Values=22" \
    --query 'SecurityGroups[?IpPermissions[?ToPort==`22` && contains(IpRanges[].CidrIp, `0.0.0.0/0`)]].{GroupId: GroupId, GroupName: GroupName}' \
    --output json \
    --region us-east-1

关于amazon-web-services - 筛选具有特定端口和 IP ACL 的安全组的 AWS CLI 输出，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/46938368/

26

4

0

文章推荐： youtube-dl - 如何从 1 以外的数字开始 youtube-dl 自动编号？

文章推荐： haskell - hlint、hdevtools 和 ghc-mod 之间有什么不同

文章推荐： Perl Authen::OATH 和 Google Authenticator - 不兼容？

文章推荐： multithreading - 哪种线程实践在 90% 的时间里都是好的？

aws-sdk - AWS SDK 与 AWS CLI - AWS 云形成 - Terraform
对于在 AWS 云中配置基础设施，我们目前使用从 ansible 角色调用的云形成模板，但我们发现在增加基础设施的规模后，此代码在 GitHub 中变得非结构化或未模块化 Github上有意大利面条式
aws-cloudformation - AWS Cloudformation 创建 AWS Cloudwatch 事件以触发 AWS Batch
我一直在阅读documentation for AWS Cloudwatch events至trigger AWS Batch我不知道如何从 cloudwatch 事件触发 aws 批处理: 在 aw
AWS EKS aws-load-balancer-controller(AWS EKS AWS-负载平衡器控制器)
我正在尝试使用入口控制器安装我的CA证书。我正在遵循这份指南。Https://docs.aws.amazon.com/eks/latest/userguide/aws-load-balancer-co
aws-cloudformation - 如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表？
如何使用 aws cloudformation 或 aws cdk 设置 aws aurora mysql 表？在我的设置中，我有一个使用 lambda 实现各种微服务的无服务器应用程序。数据库是无
typescript - aws-cdk-lib vs @aws-cdk/core, @aws-cdk/aws-iam, ... 的目的是什么？
我看到了各种使用 AWS CDK 的示例，其中一些使用 aws-cdk-lib，另一些使用 @aws-cdk/core。这些之间有什么区别，什么时候应该使用一个或另一个？最佳答案 aws-cdk-l
typescript - aws-cdk-lib vs @aws-cdk/core, @aws-cdk/aws-iam, ... 的目的是什么？
我看到了各种使用 AWS CDK 的示例，其中一些使用 aws-cdk-lib，另一些使用 @aws-cdk/core。这些之间有什么区别，什么时候应该使用一个或另一个？最佳答案 aws-cdk-l
aws-lambda - AWS Lambda 是否支持 aws-sdk v3？
我在 cdk 研讨会上建立了一个小的 lambda 函数 here .我正在用 typescript 编写 lambda 函数，通过管道进行部署，该管道创建了一个包含 lambda 函数的云形成堆栈。
aws-lambda - 如何在 AWS lambda 中使用 AWS KMS
我刚刚开始使用 AWS 服务，尤其是 AWS Lambda。有没有办法从 Lambda 代码 (Java) 中使用 AWS KMS 服务。我想使用 KMS 来解密加密的外化(从属性读取) secret
aws-cloudformation - AWS CloudFormation - AWS::ElasticLoadBalancingV2::LoadBalancer - 安全组
CFN 模板是否可以根据参数向 ALB 添加一些特定的安全组？我遇到了两个安全组添加到 ALB 的情况: ALB Type: AWS::ElasticLoadBalancingV2::LoadB
security - 一个 AWS 账户上的 AWS 安全组可以引用另一个 AWS 账户上的安全组吗？
例如，我有一个主要公司 AWS 账户，其安全组为 xxxxx。现在我有了我的个人 aws 安全组-yyyyy。这些帐户根本不相关。我可以将接受组-yyyyy 添加到组-xxxxx 中，从而允许我的
aws-lambda - AWS Lambda 的 AWS MSK 触发器 - 同一执行上下文中的多个主题
我有一个 Lambda 函数，它有多个 MSK 触发器配置 - 每个都针对不同的主题。如果 Lambda 的输入 ( MSKEvent ) 可以包含多个不同的主题，则未在官方文档中找到任何信息。官
aws-glue - 来自 AWS secret 管理器的 AWS Glue 连接
在 AWS Glue 中创建 JDBC 连接时，有什么方法可以从 AWS secret manager 获取密码而不是手动硬编码吗？最佳答案我必须在我当前的项目中这样做才能连接到 Cassandr
aws-appsync - : aws-sdk/clients/appsync and aws-appsync?有什么区别
谁能告诉我: aws-sdk/clients/appsync , 和 aws-appsync 根据文档，aws-sdk/clients/appsync使用是因为只包括 aws-sdk当我们只需要 ap
aws-amplify - 如何将现有的 AWS Amplify 后端导入本地的空 AWS Amplify 项目？
我不小心删除了我的放大前端并创建了一个新前端。如何将现有的放大后端导入新创建的放大应用项目文件夹？我按照后端标签上的步骤操作 amplify init --appId(“您的新AMPLIFY APP
aws-glue - 如何使用 AWS java SDK 使用 AWS 胶水作业自动生成脚本
我正在使用 Java Sdk 创建粘合作业。它只有两个必需的参数 Command 和 Glue 版本。但我需要使用自动脚本生成来创建工作。正如我们可以从控制台做的那样，我们添加数据源、AWS Glu
aws-lambda - 有没有办法在 AWS Glue 作业结束时触发 AWS Lambda 函数？
目前我正在使用 AWS Glue 作业将数据加载到 RedShift，但在加载之后我需要运行一些可能使用 AWS Lambda 函数的数据清理任务。有没有办法在 Glue 作业结束时触发 Lambda
aws-lambda - AWS lambda 和 AWS Lambda@EDGE 之间有什么区别？
简单的 aws lambda 和 aws lambda@edge 有什么区别？最佳答案 Lambda 根据某些触发器执行函数。 Lambda 的用例非常广泛，并且与许多 AWS 服务高度集成。您甚至
ruby-on-rails - AWS OpsWorks、AWS Beanstalk 与 AWS CloudFormation？
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 9 个月前。社区 9
aws-cdk - 无法使用 python 使用 AWS-CDK 创建 AWS 管理的事件目录
我正在尝试使用 Python 使用 AWS-CDK 创建托管广告。以下是错误，从 JavaScriptError(resp.stack) 引发 JSIIError(resp.error)jsii.er
javascript - @aws-cdk/pipelines 和 @aws-cdk/aws-codepipeline 有什么区别？
这两个包似乎在很大程度上做同样的事情？这两个包之间的预期区别是什么，我应该使用哪个包？最佳答案 Pipelines 是较新的 --experimental-- (编辑:它不再在 Experiment

首页

博学

6Ren·AI

商城

amazon-web-services - 筛选具有特定端口和 IP ACL 的安全组的 AWS CLI 输出