Python と Boto3 を使用した AWS の未使用のセキュリティグループの検索と検証-Python チュートリアル-php.cn

Finding and Validating Unused Security Groups in AWS with Python and Boto3

AWS セキュリティグループを効果的に管理することは、安全でコスト効率の高いクラウド環境を維持するために重要です。セキュリティグループは AWS のネットワークセキュリティの重要な部分ですが、時間の経過とともに、未使用のセキュリティグループが蓄積される可能性があります。これらの未使用のグループは環境を乱雑にするだけでなく、セキュリティ上のリスクを引き起こしたり、不必要にコストを増加させたりする可能性があります。

この記事では、Python と Boto3 を使用して、AWS 環境内で未使用のセキュリティグループを特定し、検証し、それらが他のリソースによって参照されていないことを確認する方法を説明します。また、これらのグループを削除できるかどうかを安全に判断する方法についても説明します。

前提条件

このチュートリアルを進めるには、次のものが必要です:

AWS アカウント: 未使用のセキュリティグループを検索する AWS 環境にアクセスできることを確認してください。
Boto3 がインストールされました: 以下を実行して Boto3 Python SDK をインストールできます:

   pip install boto3

ログイン後にコピー

AWS 認証情報が設定されました: AWS CLI を使用するか、IAM ロールまたは環境変数を使用してコード内で直接 AWS 認証情報が設定されていることを確認します。

コードの内訳

特定の AWS リージョンで未使用のセキュリティグループを識別し、それらを検証し、他のグループによって参照されているかどうかを確認するコードを見てみましょう。

ステップ 1: すべてのセキュリティグループと ENI を取得する

   pip install boto3

ログイン後にコピー

セキュリティグループの取得: まず、describe_security_groups メソッドを呼び出して、指定されたリージョン内のすべてのセキュリティグループを取得します。
ネットワークインターフェイスの取得: 次に、describe_network_interfaces を使用してすべてのネットワークインターフェイスを取得します。各ネットワークインターフェイスには 1 つ以上のセキュリティグループを関連付けることができます。
使用されるセキュリティグループの識別: 各ネットワークインターフェイスについて、関連付けられたセキュリティグループ ID を used_sg_ids と呼ばれるセットに追加します。
未使用のグループの検索: 次に、セキュリティグループ ID を使用中のグループ ID と比較します。グループが使用されていない場合 (つまり、その ID が used_sg_ids セットにない場合)、削除できないデフォルトのセキュリティグループを除き、そのグループは未使用とみなされます。

ステップ 2: セキュリティグループ参照を確認する

import boto3
from botocore.exceptions import ClientError

def get_unused_security_groups(region='us-east-1'):
    """
    Find security groups that are not being used by any resources.
    """
    ec2_client = boto3.client('ec2', region_name=region)

    try:
        # Get all security groups
        security_groups = ec2_client.describe_security_groups()['SecurityGroups']

        # Get all network interfaces
        enis = ec2_client.describe_network_interfaces()['NetworkInterfaces']

        # Create set of security groups in use
        used_sg_ids = set()

        # Check security groups attached to ENIs
        for eni in enis:
            for group in eni['Groups']:
                used_sg_ids.add(group['GroupId'])

        # Find unused security groups
        unused_groups = []
        for sg in security_groups:
            if sg['GroupId'] not in used_sg_ids:
                # Skip default security groups as they cannot be deleted
                if sg['GroupName'] != 'default':
                    unused_groups.append({
                        'GroupId': sg['GroupId'],
                        'GroupName': sg['GroupName'],
                        'Description': sg['Description'],
                        'VpcId': sg.get('VpcId', 'EC2-Classic')
                    })

        # Print results
        if unused_groups:
            print(f"\nFound {len(unused_groups)} unused security groups in {region}:")
            print("-" * 80)
            for group in unused_groups:
                print(f"Security Group ID: {group['GroupId']}")
                print(f"Name: {group['GroupName']}")
                print(f"Description: {group['Description']}")
                print(f"VPC ID: {group['VpcId']}")
                print("-" * 80)
        else:
            print(f"\nNo unused security groups found in {region}")

        return unused_groups

    except ClientError as e:
        print(f"Error retrieving security groups: {str(e)}")
        return None

ログイン後にコピー

参照の確認: この機能は、特定のセキュリティグループが他のセキュリティグループによって参照されているかどうかを確認します。これは、受信 (ip-permission.group-id) および送信 (egress.ip-permission.group-id) ルールに基づいてセキュリティグループをフィルタリングすることによって行われます。
参照グループを返す: グループが参照されている場合、関数は参照しているセキュリティグループのリストを返します。そうでない場合は、None を返します。

ステップ 3: 未使用のセキュリティグループを検証する

def check_sg_references(ec2_client, group_id):
    """
    Check if a security group is referenced in other security groups' rules
    """
    try:
        # Check if the security group is referenced in other groups
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups = response['SecurityGroups']

        # Check for egress rules
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'egress.ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups.extend(response['SecurityGroups'])

        return referencing_groups

    except ClientError as e:
        print(f"Error checking security group references: {str(e)}")
        return None

ログイン後にコピー

未使用のセキュリティグループの検証: この最後のステップでは、スクリプトはまず未使用のセキュリティグループを取得します。次に、未使用のグループごとに、他のセキュリティグループがルール内でそのグループを参照しているかどうかを確認します。
出力: スクリプトはグループが参照されているかどうかを出力し、参照されていない場合は安全に削除できます。

スクリプトの実行

スクリプトを実行するには、validate_unused_groups 関数を実行するだけです。たとえば、リージョンを us-east-1 に設定すると、スクリプトは次のようになります:

us-east-1 のすべてのセキュリティグループとネットワークインターフェイスを取得します。
未使用のセキュリティグループを特定します。
これらの未使用のグループが他のセキュリティグループによって参照されているかどうかを検証してレポートします。

出力例

def validate_unused_groups(region='us-east-1'):
    """
    Validate and provide detailed information about unused security groups
    """
    ec2_client = boto3.client('ec2', region_name=region)
    unused_groups = get_unused_security_groups(region)

    if not unused_groups:
        return

    print("\nValidating security group references...")
    print("-" * 80)

    for group in unused_groups:
        group_id = group['GroupId']
        referencing_groups = check_sg_references(ec2_client, group_id)

        if referencing_groups:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is referenced by:")
            for ref_group in referencing_groups:
                print(f"- {ref_group['GroupId']} ({ref_group['GroupName']})")
        else:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is not referenced by any other groups")
            print("This security group can be safely deleted if not needed")

ログイン後にコピー