Sicherheitsgruppe | Ausgangsregel autorisieren - AMS Advanced Change Typ-Referenz
Typdetails ändernZusätzliche InformationenEingabeparameter für die AusführungBeispiel: Erforderliche ParameterBeispiel: Alle Parameter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsgruppe | Ausgangsregel autorisieren

Autorisieren Sie die Ausgangsregel für die angegebene Sicherheitsgruppe (SG). Sie müssen die Konfigurationen der Ausgangsregel angeben, die Sie autorisieren. Beachten Sie, dass dadurch dem angegebenen SG eine Ausgangsregel hinzugefügt wird, aber keine vorhandenen Ausgangsregeln geändert werden.

Vollständige Klassifizierung: Verwaltung | Erweiterte Stack-Komponenten | Sicherheitsgruppe | Ausgangsregel autorisieren

Typdetails ändern

Typ-ID ändern

ct-0lqruajvhwsbk

Aktuelle Version

1,0

Erwartete Ausführungsdauer

60 Minuten

AWS-Zulassung

Erforderlich

Zustimmung durch den Kunden

Nicht erforderlich

Ausführungsmodus

Automatisiert

Zusätzliche Informationen

Regel zum Austreten von Sicherheitsgruppen autorisieren

Screenshot dieses Änderungstyps in der AMS-Konsole:

Authorize Egress Rule interface with description, ID, and version fields for security group configuration.

So funktioniert es:

  1. Navigieren Sie zur Seite RFC erstellen: Klicken Sie im linken Navigationsbereich der AMS-Konsole, um die RFCs Listenseite RFCszu öffnen, und klicken Sie dann auf RFC erstellen.

  2. Wählen Sie in der Standardansicht „Änderungstypen durchsuchen“ einen beliebten Änderungstyp (CT) oder wählen Sie in der Ansicht „Nach Kategorie auswählen“ einen CT aus.

    • Nach Änderungstyp suchen: Sie können im Bereich Schnellerstellung auf ein beliebtes CT klicken, um sofort die Seite RFC ausführen zu öffnen. Beachten Sie, dass Sie mit Quick Create keine ältere CT-Version auswählen können.

      Verwenden Sie zum Sortieren CTs den Bereich Alle Änderungstypen in der Karten - oder Tabellenansicht. Wählen Sie in einer der Ansichten einen CT aus und klicken Sie dann auf RFC erstellen, um die Seite RFC ausführen zu öffnen. Falls zutreffend, wird neben der Schaltfläche „RFC erstellen“ die Option Mit älterer Version erstellen angezeigt.

    • Nach Kategorie auswählen: Wählen Sie eine Kategorie, eine Unterkategorie, einen Artikel und einen Vorgang aus. Daraufhin wird das Feld mit den CT-Details geöffnet. Dort können Sie gegebenenfalls die Option „Mit älterer Version erstellen“ auswählen. Klicken Sie auf RFC erstellen, um die Seite RFC ausführen zu öffnen.

  3. Öffnen Sie auf der Seite RFC ausführen den Bereich CT-Name, um das Feld mit den CT-Details zu sehen. Ein Betreff ist erforderlich (dieser wird für Sie ausgefüllt, wenn Sie Ihr CT in der Ansicht „Änderungstypen durchsuchen“ auswählen). Öffnen Sie den Bereich Zusätzliche Konfiguration, um Informationen zum RFC hinzuzufügen.

    Verwenden Sie im Bereich Ausführungskonfiguration die verfügbaren Dropdownlisten oder geben Sie Werte für die erforderlichen Parameter ein. Um optionale Ausführungsparameter zu konfigurieren, öffnen Sie den Bereich Zusätzliche Konfiguration.

  4. Wenn Sie fertig sind, klicken Sie auf Ausführen. Wenn keine Fehler vorliegen, wird die Seite mit dem RFC erfolgreich erstellt mit den übermittelten RFC-Details und der ersten Run-Ausgabe angezeigt.

  5. Öffnen Sie den Bereich Run-Parameter, um die von Ihnen eingereichten Konfigurationen zu sehen. Aktualisieren Sie die Seite, um den RFC-Ausführungsstatus zu aktualisieren. Optional können Sie den RFC abbrechen oder eine Kopie davon mit den Optionen oben auf der Seite erstellen.

So funktioniert es:

  1. Verwenden Sie entweder Inline Create (Sie geben einen create-rfc Befehl mit allen RFC- und Ausführungsparametern aus) oder Template Create (Sie erstellen zwei JSON-Dateien, eine für die RFC-Parameter und eine für die Ausführungsparameter) und geben Sie den create-rfc Befehl mit den beiden Dateien als Eingabe aus. Beide Methoden werden hier beschrieben.

  2. Reichen Sie den aws amscm submit-rfc --rfc-id ID Befehl RFC: mit der zurückgegebenen RFC-ID ein.

    Überwachen Sie den RFC: -Befehl. aws amscm get-rfc --rfc-id ID

Verwenden Sie diesen Befehl, um die Version des Änderungstyps zu überprüfen:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
Anmerkung

Sie können alle CreateRfc Parameter mit jedem RFC verwenden, unabhängig davon, ob sie Teil des Schemas für den Änderungstyp sind oder nicht. Um beispielsweise Benachrichtigungen zu erhalten, wenn sich der RFC-Status ändert, fügen Sie diese Zeile dem RFC-Parameter-Teil der Anfrage hinzu (nicht den Ausführungsparametern). --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" Eine Liste aller CreateRfc Parameter finden Sie in der AMS Change Management API-Referenz.

INLINE-ERSTELLUNG:

Geben Sie den Befehl create RFC mit den direkt angegebenen Ausführungsparametern aus (vermeiden Sie Anführungszeichen, wenn Sie die Ausführungsparameter inline angeben), und senden Sie dann die zurückgegebene RFC-ID. Sie können den Inhalt beispielsweise durch etwas Ähnliches ersetzen:

aws amscm create-rfc --change-type-id "ct-0lqruajvhwsbk" --change-type-version "1.0" --title "Authorize security group egress rule" --execution-parameters '{"DocumentName":"AWSManagedServices-AuthorizeSecurityGroupEgressRule","Region":"us-east-1","Parameters":{"SecurityGroupId":["SG_ID"],"IpProtocol":["tcp"],"FromPort":[80],"ToPort":[80],"Destination":["10.0.0.1/24"],"Description":["HTTP Port for 10.0.0.1/24"]}}'

VORLAGE ERSTELLEN:

  1. Gibt das JSON-Schema der Ausführungsparameter für diesen Änderungstyp in eine Datei aus. In diesem Beispiel wird sie Auth SGEgress Params.json genannt.

    aws amscm get-change-type-version --change-type-id "ct-0lqruajvhwsbk" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > AuthSGEgressParams.json

  2. Ändern und speichern Sie die Auth SGEgress Params-Datei. Sie können den Inhalt beispielsweise durch etwas Ähnliches ersetzen:

    {
"DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
"Region" : "us-east-1",
"Parameters" : {
"SecurityGroupId" : ["SG_ID"],
"IpProtocol" : ["tcp"],
"FromPort" : [80],
"ToPort" : [80],
"Destination" : ["10.0.0.1/24"]
"Description" : ["HTTP Port for 10.0.0.1/24"]
}
}

  3. Geben Sie die RFC-Vorlagen-JSON-Datei in eine Datei mit dem Namen Auth SGEgress rfc.json aus:

    aws amscm create-rfc --generate-cli-skeleton > AuthSGEgressRfc.json

  4. Ändern und speichern Sie die Auth RFC.json-Datei. SGEgress Sie können den Inhalt beispielsweise durch etwas Ähnliches ersetzen:

    {
  "ChangeTypeId": "ct-0lqruajvhwsbk",
  "ChangeTypeVersion": "1.0",
  "Title": "Authorize security group egress rule"
}

  5. Erstellen Sie den RFC und geben Sie dabei die Auth SGEgress RFC-Datei und die SGEgress Auth Params-Datei an:

    aws amscm create-rfc --cli-input-json file://AuthSGEgressRfc.json  --execution-parameters file://AuthSGEgressParams.json

    Sie erhalten die ID des neuen RFC in der Antwort und können sie verwenden, um den RFC zu senden und zu überwachen. Bis Sie ihn abschicken, verbleibt der RFC im Bearbeitungszustand und startet nicht.

Anmerkung

Es gibt zwei Möglichkeiten, eine neue Ausgangsregel zu autorisieren: Sicherheitsgruppe: Änderungstyp aktualisieren (ct-3memthlcmvc1b), hat ExecutionMode =Manuell und bietet viel Spielraum für benutzerdefinierte Regeln. Da es sich jedoch um manuelle Regeln handelt, dauert die Ausführung länger, da AMS Operations sie aus Sicherheitsgründen überprüfen muss und möglicherweise eine Kommunikation erfordert. Die andere Methode zur Autorisierung von Ausgangsregeln, Sicherheitsgruppe: Authorize Egress Rule Change Type (ct-3j2zstluz6dxq), hat ExecutionMode =Automatisiert und bietet Optionen für die Erstellung von Standard TCP/UDP - oder ICMP-Ausgangsregeln. Der Umfang dieser Methode ist eingeschränkter, da sie jedoch automatisiert ist, lässt sie sich schneller ausführen.

Diese exemplarische Vorgehensweise bezieht sich auf den Änderungstyp Sicherheitsgruppe: Authorize Egress Rule.

Weitere Informationen zu AWS-Sicherheitsgruppen und Sicherheitsgruppenregeln finden Sie unter Referenz zu Sicherheitsgruppenregeln. Auf dieser Seite können Sie die gewünschten Regeln festlegen und vor allem, wie Sie Ihre Sicherheitsgruppe benennen, sodass Sie sie beim Erstellen anderer Ressourcen intuitiv auswählen können. Siehe auch Amazon EC2 Security Groups for Linux Instances and/or Sicherheitsgruppen für Ihre VPC.

Sobald die Sicherheitsgruppe erstellt wurde, können Sie Ordnen Sie die Sicherheitsgruppe der Ressource zu sie verwenden, um die Sicherheitsgruppe Ihren AMS-Ressourcen zuzuordnen. Um eine Sicherheitsgruppe zu löschen, müssen ihr Ressourcen zugeordnet sein.

Eingabeparameter für die Ausführung

Ausführliche Informationen zu den Eingabeparametern der Ausführung finden Sie unterSchema für den Änderungstyp ct-0lqruajvhwsbk.

Beispiel: Erforderliche Parameter

{
  "DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
  "Region" : "us-east-1",
  "Parameters" : {
    "SecurityGroupId" : [
      "sg-abcd1234"
    ],
    "IpProtocol" : [
      "tcp"
    ],
    "FromPort" : [
      "80"
    ],
    "ToPort" : [
      "80"
    ],
    "Destination" : [
      "10.0.0.1/32"
    ]
  }
}

Beispiel: Alle Parameter

{
  "DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
  "Region" : "us-east-1",
  "Parameters" : {
    "SecurityGroupId" : [
      "sg-abcd1234"
    ],
    "IpProtocol" : [
      "tcp"
    ],
    "FromPort" : [
      "80"
    ],
    "ToPort" : [
      "80"
    ],
    "Destination" : [
      "10.0.0.1/32"
    ],
    "Description" : [
      "New rule"
    ]
  }
}