Python 및 Boto3를 사용하여 AWS에서 사용되지 않는 보안 그룹 찾기 및 검증-파이썬 튜토리얼-php.cn

Finding and Validating Unused Security Groups in AWS with Python and Boto3

안전하고 비용 효율적인 클라우드 환경을 유지하려면 AWS 보안 그룹을 효과적으로 관리하는 것이 중요합니다. 보안 그룹은 AWS 네트워크 보안의 중요한 부분이지만 시간이 지남에 따라 사용되지 않는 보안 그룹이 누적될 수 있습니다. 이러한 사용되지 않는 그룹은 환경을 복잡하게 만들 뿐만 아니라 보안 위험을 초래하거나 불필요하게 비용을 증가시킬 수도 있습니다.

이 기사에서는 Python 및 Boto3를 사용하여 AWS 환경에서 사용되지 않는 보안 그룹을 식별하고 검증하며 다른 리소스에서 참조되지 않는지 확인하는 방법을 살펴보겠습니다. 또한 이러한 그룹을 삭제할 수 있는지 안전하게 확인하는 방법도 살펴보겠습니다.

전제조건

이 튜토리얼을 진행하려면 다음이 필요합니다.

AWS 계정: 사용하지 않는 보안 그룹을 검색하려는 AWS 환경에 대한 액세스 권한이 있는지 확인하세요.
Boto3 설치: 다음을 실행하여 Boto3 Python SDK를 설치할 수 있습니다.

   pip install boto3

로그인 후 복사

AWS 자격 증명 구성: AWS CLI를 사용하거나 IAM 역할 또는 환경 변수를 사용하여 코드에서 직접 AWS 자격 증명을 구성했는지 확인하세요.

코드 분석

특정 AWS 리전에서 사용되지 않는 보안 그룹을 식별하고 검증하며 다른 그룹에서 참조하는지 확인하는 코드를 살펴보겠습니다.

1단계: 모든 보안 그룹 및 ENI 가져오기

   pip install boto3

로그인 후 복사

보안 그룹 검색: 먼저 지정된 지역의 모든 보안 그룹을 가져오기 위해 explain_security_groups 메서드를 호출합니다.
네트워크 인터페이스 검색: 다음으로, explain_network_interfaces를 사용하여 모든 네트워크 인터페이스를 검색합니다. 각 네트워크 인터페이스에는 하나 이상의 보안 그룹이 연결될 수 있습니다.
사용된 보안 그룹 식별: 각 네트워크 인터페이스에 대해 관련 보안 그룹 ID를 Used_sg_ids라는 집합에 추가합니다.
사용하지 않는 그룹 찾기: 그런 다음 보안 그룹 ID를 사용 중인 그룹 ID와 비교합니다. 그룹이 사용 중이 아닌 경우(즉, 해당 ID가 Used_sg_ids 세트에 없음) 삭제할 수 없는 기본 보안 그룹을 제외하고는 해당 그룹이 사용되지 않은 것으로 간주됩니다.

2단계: 보안 그룹 참조 확인

import boto3
from botocore.exceptions import ClientError

def get_unused_security_groups(region='us-east-1'):
    """
    Find security groups that are not being used by any resources.
    """
    ec2_client = boto3.client('ec2', region_name=region)

    try:
        # Get all security groups
        security_groups = ec2_client.describe_security_groups()['SecurityGroups']

        # Get all network interfaces
        enis = ec2_client.describe_network_interfaces()['NetworkInterfaces']

        # Create set of security groups in use
        used_sg_ids = set()

        # Check security groups attached to ENIs
        for eni in enis:
            for group in eni['Groups']:
                used_sg_ids.add(group['GroupId'])

        # Find unused security groups
        unused_groups = []
        for sg in security_groups:
            if sg['GroupId'] not in used_sg_ids:
                # Skip default security groups as they cannot be deleted
                if sg['GroupName'] != 'default':
                    unused_groups.append({
                        'GroupId': sg['GroupId'],
                        'GroupName': sg['GroupName'],
                        'Description': sg['Description'],
                        'VpcId': sg.get('VpcId', 'EC2-Classic')
                    })

        # Print results
        if unused_groups:
            print(f"\nFound {len(unused_groups)} unused security groups in {region}:")
            print("-" * 80)
            for group in unused_groups:
                print(f"Security Group ID: {group['GroupId']}")
                print(f"Name: {group['GroupName']}")
                print(f"Description: {group['Description']}")
                print(f"VPC ID: {group['VpcId']}")
                print("-" * 80)
        else:
            print(f"\nNo unused security groups found in {region}")

        return unused_groups

    except ClientError as e:
        print(f"Error retrieving security groups: {str(e)}")
        return None

로그인 후 복사

참조 확인: 특정 보안 그룹이 다른 보안 그룹에서 참조되는지 확인하는 기능입니다. 인바운드(ip-permission.group-id) 및 아웃바운드(egress.ip-permission.group-id) 규칙을 기반으로 보안 그룹을 필터링하여 이를 수행합니다.
참조 그룹 반환: 그룹이 참조되면 함수는 참조 보안 그룹 목록을 반환합니다. 그렇지 않은 경우 None을 반환합니다.

3단계: 사용되지 않는 보안 그룹 검증

def check_sg_references(ec2_client, group_id):
    """
    Check if a security group is referenced in other security groups' rules
    """
    try:
        # Check if the security group is referenced in other groups
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups = response['SecurityGroups']

        # Check for egress rules
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'egress.ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups.extend(response['SecurityGroups'])

        return referencing_groups

    except ClientError as e:
        print(f"Error checking security group references: {str(e)}")
        return None

로그인 후 복사

사용되지 않는 보안 그룹 유효성 검사: 이 마지막 단계에서 스크립트는 먼저 사용되지 않는 보안 그룹을 검색합니다. 그런 다음 사용되지 않는 각 그룹에 대해 다른 보안 그룹이 규칙에서 이를 참조하는지 확인합니다.
출력: 그룹이 참조되는지 여부를 스크립트에서 출력하고, 참조되지 않으면 안전하게 삭제할 수 있습니다.

스크립트 실행

스크립트를 실행하려면 단순히 verify_unused_groups 함수를 실행하면 됩니다. 예를 들어 지역이 us-east-1로 설정된 경우 스크립트는 다음을 수행합니다.

us-east-1의 모든 보안 그룹 및 네트워크 인터페이스를 검색합니다.
사용하지 않는 보안 그룹을 식별하세요.
사용하지 않는 그룹이 다른 보안 그룹에서 참조되는지 확인하고 보고하세요.

예제 출력

def validate_unused_groups(region='us-east-1'):
    """
    Validate and provide detailed information about unused security groups
    """
    ec2_client = boto3.client('ec2', region_name=region)
    unused_groups = get_unused_security_groups(region)

    if not unused_groups:
        return

    print("\nValidating security group references...")
    print("-" * 80)

    for group in unused_groups:
        group_id = group['GroupId']
        referencing_groups = check_sg_references(ec2_client, group_id)

        if referencing_groups:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is referenced by:")
            for ref_group in referencing_groups:
                print(f"- {ref_group['GroupId']} ({ref_group['GroupName']})")
        else:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is not referenced by any other groups")
            print("This security group can be safely deleted if not needed")

로그인 후 복사