経緯
Configルールの修復機能で使えそうなパターンなのでやってみました。
設定
IAMポリシーの作成
セキュリティポリシーから指定されたルールを削除するポリシー(RevokeSecurityGroupIngress)を作成します。
IAMサービスより、[ポリシー]メニューを選択して「ポリシーの作成」をクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_1-1024x215.png)
ビジュアルエディタでポリシーを作成します。
下記の内容でポリシーを作成します。
[サービス]:EC2
[アクション]:RevokeSecurityGroupIngress
[リソース]:全て
[名前]:RevokeSecurityGroupIngress
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_2-1024x582.png)
IAM Roleの作成
先ほど作成したポリシーをロールに割り当てます。
IAMサービスより、[ロール]メニューを選択して「ロールの作成」をクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_3-1024x205.png)
[AWSサービス]、[SystemManager]を選択します。
(SSMのAutomation機能で修復する為)
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_4-2-1024x935.png)
作成済みのポリシー(RevokeSecurityGroupIngress)を選択します。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_5-1024x678.png)
タグは何も指定せず次へ
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_6.png)
ロール名は”RemovePublicAccessForSSM”として作成しました。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_7-2.png)
Configルールの作成
Configサービスの[ルール]メニューより「ルールの追加」ボタンをクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_8-1-1024x137.png)
“restricted-ssh”を選択します。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_9-1-1024x426.png)
[修復アクション]:AWS-DisablePublicAccessForSecurityGroup
[自動修復]:はい、1再試行まで180秒
[リソースIDパラメタ]:GroupId
[パラメータ(GroupId)]:作成したIAM RoleのARN
GroupId(今回であれば修正すべきセキュリティグループのID)をパラメタとしてSSM Automationに渡します。
また、セキュリティグループを修正するためのIAM Role ARNをパラメタとして指定します。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_10-3-1024x987.png)
確認
セキュリティグループの作成
それではテスト用のセキュリティグループを作成します。
VPCサービスより、[セキュリティグループ]より「セキュリティグループを作成」ボタンをクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_11-1024x310.png)
下記の項目を入力してセキュリティグループ作成します。
[セキュリティグループ名]:sg_test
[説明]:test
[VPC]:適時選択してください
インバウンドは下記を登録しました。
- SSH 0.0.0.0/0,::/0
- RDP 0.0.0.0
- RDP ,::/0
- SSH 1.2.3.0/24
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_12-1-1024x553.png)
Configルールの確認
Configサービスのルールページで暫くすると”restricted-ssh”が非準拠となりました。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_14-1024x150.png)
”restricted-ssh”の詳細画面で確認すると、[アクションステータス]項目が”アクションが正常に実行されました”と表示されました。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_16-1024x364.png)
セキュリティグループの確認
セキュリティグループも確認します。
パブリック公開されていたSSHとRDPが削除され、特定IPからのSSH接続だけ許可されてました。
![](https://www.it-ouji.com/wp-content/uploads/2020/12/ssh_15-1024x328.png)