安全群組 | 授權輸出規則 - AMS 進階變更類型參考
變更類型詳細資訊其他資訊執行輸入參數範例:必要參數範例:所有參數

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全群組 | 授權輸出規則

授權指定安全群組 (SG) 的輸出規則。您必須指定您要授權之輸出規則的組態。請注意,這會將輸出規則新增至指定的 SG,但不會修改任何現有的輸出規則。

完整分類:管理 | 進階堆疊元件 | 安全群組 | 授權輸出規則

變更類型詳細資訊

變更類型 ID

ct-0lqruajvhwsbk

目前版本

1.0

預期的執行持續時間

60 分鐘

AWS 核准

必要

客戶核准

非必要

執行模式

自動化

其他資訊

授權安全群組輸出規則

AMS 主控台中此變更類型的螢幕擷取畫面:

Authorize Egress Rule interface with description, ID, and version fields for security group configuration.

運作方式:

  1. 導覽至建立 RFC 頁面:在 AMS 主控台的左側導覽窗格中,按一下 RFCs以開啟 RFCs清單頁面,然後按一下建立 RFC

  2. 在預設瀏覽變更類型檢視中選擇熱門的變更類型 (CT),或在依類別選擇檢視中選擇 CT。

    • 依變更類型瀏覽:您可以在快速建立區域中按一下熱門的 CT,以立即開啟執行 RFC 頁面。請注意,您無法透過快速建立選擇較舊的 CT 版本。

      若要排序 CTs,請使用卡片資料表檢視中的所有變更類型區域。在任一檢視中,選取 CT,然後按一下建立 RFC 以開啟執行 RFC 頁面。如果適用,建立較舊版本選項會顯示在建立 RFC 按鈕旁。

    • 依類別選擇:選取類別、子類別、項目和操作,如果適用,CT 詳細資訊方塊會開啟,其中包含使用較舊版本建立的選項。按一下建立 RFC 以開啟執行 RFC 頁面。

  3. 執行 RFC 頁面上,開啟 CT 名稱區域以查看 CT 詳細資訊方塊。需要主旨 (如果您在瀏覽變更類型檢視中選擇 CT,則會為您填入)。開啟其他組態區域以新增 RFC 的相關資訊。

    執行組態區域中,使用可用的下拉式清單或輸入必要參數的值。若要設定選用的執行參數,請開啟其他組態區域。

  4. 完成後,請按一下執行。如果沒有錯誤,RFC 成功建立的頁面會顯示已提交的 RFC 詳細資訊,以及初始的執行輸出

  5. 開啟執行參數區域以查看您提交的組態。重新整理頁面以更新 RFC 執行狀態。或者,取消 RFC 或使用頁面頂端的選項建立 RFC 的副本。

運作方式:

  1. 使用內嵌建立 (您發出包含所有 RFC 和執行參數的create-rfc命令) 或範本建立 (您建立兩個 JSON 檔案,一個用於 RFC 參數,另一個用於執行參數),並使用兩個檔案作為輸入發出create-rfc命令。此處說明這兩種方法。

  2. 使用傳回的 RFC ID 提交 RFC: aws amscm submit-rfc --rfc-id ID命令。

    監控 RFC: aws amscm get-rfc --rfc-id ID命令。

若要檢查變更類型版本,請使用下列命令:

aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
注意

您可以將任何CreateRfc參數與任何 RFC 搭配使用,無論它們是否為變更類型結構描述的一部分。例如,若要在 RFC 狀態變更時取得通知,請將此行新增至請求的 --notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}" RFC 參數部分 (而非執行參數)。如需所有 CreateRfc 參數的清單,請參閱 AMS 變更管理 API 參考

內嵌建立

使用內嵌提供的執行參數發出建立 RFC 命令 (在內嵌提供執行參數時逸出引號),然後提交傳回的 RFC ID。例如,您可以將內容取代為類似以下內容:

aws amscm create-rfc --change-type-id "ct-0lqruajvhwsbk" --change-type-version "1.0" --title "Authorize security group egress rule" --execution-parameters '{"DocumentName":"AWSManagedServices-AuthorizeSecurityGroupEgressRule","Region":"us-east-1","Parameters":{"SecurityGroupId":["SG_ID"],"IpProtocol":["tcp"],"FromPort":[80],"ToPort":[80],"Destination":["10.0.0.1/24"],"Description":["HTTP Port for 10.0.0.1/24"]}}'

範本建立

  1. 將此變更類型的執行參數 JSON 結構描述輸出至檔案;此範例將其命名為 AuthSGEgressParams.json.

    aws amscm get-change-type-version --change-type-id "ct-0lqruajvhwsbk" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > AuthSGEgressParams.json

  2. 修改並儲存 AuthSGEgressParams 檔案。例如,您可以將內容取代為類似以下內容:

    {
"DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
"Region" : "us-east-1",
"Parameters" : {
"SecurityGroupId" : ["SG_ID"],
"IpProtocol" : ["tcp"],
"FromPort" : [80],
"ToPort" : [80],
"Destination" : ["10.0.0.1/24"]
"Description" : ["HTTP Port for 10.0.0.1/24"]
}
}

  3. 將 RFC 範本 JSON 檔案輸出至名為 AuthSGEgressRfc.json:

    aws amscm create-rfc --generate-cli-skeleton > AuthSGEgressRfc.json

  4. 修改並儲存 AuthSGEgressRfc.json 檔案。例如,您可以將內容取代為類似以下內容:

    {
  "ChangeTypeId": "ct-0lqruajvhwsbk",
  "ChangeTypeVersion": "1.0",
  "Title": "Authorize security group egress rule"
}

  5. 建立 RFC,指定 AuthSGEgressRfc 檔案和 AuthSGEgressParams 檔案:

    aws amscm create-rfc --cli-input-json file://AuthSGEgressRfc.json  --execution-parameters file://AuthSGEgressParams.json

    您會在回應中收到新 RFC 的 ID,並且可以使用它來提交和監控 RFC。在您提交之前,RFC 會保持在編輯狀態,不會啟動。

注意

有兩種方式可以授權新的輸出規則:一個安全群組:更新變更類型 (ct-3memthlcmvc1b)、有 ExecutionMode=Manual,並為自訂規則提供大量緯度;不過,手動執行需要更長的時間,因為 AMS Operations 必須檢閱它以確保安全,並且可能需要通訊。另一個輸出規則授權方式是安全群組:授權輸出規則變更類型 (ct-3j2zstluz6dxq),具有 ExecutionMode=Automated,並提供建立標準 TCP/UDP 或 ICMP 輸出規則的選項。它的範圍更有限;但是,自動化後,執行速度更快。

此演練適用於安全群組:授權輸出規則變更類型。

若要進一步了解 AWS 安全群組和安全群組規則,請參閱安全群組規則參考;此頁面可協助您判斷所需的規則,更重要的是,如何為您的安全群組命名,以便在建立其他資源時選擇它。另請參閱適用於 Linux 執行個體的 Amazon EC2 安全群組和/或適用於 VPC 的安全群組

建立安全群組後,請使用 將安全群組與您的 AMS 資源建立將安全群組與資源建立關聯關聯。若要刪除安全群組,它必須具有相關聯的資源。

執行輸入參數

如需執行輸入參數的詳細資訊,請參閱 變更類型的結構描述 ct-0lqruajvhwsbk

範例:必要參數

{
  "DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
  "Region" : "us-east-1",
  "Parameters" : {
    "SecurityGroupId" : [
      "sg-abcd1234"
    ],
    "IpProtocol" : [
      "tcp"
    ],
    "FromPort" : [
      "80"
    ],
    "ToPort" : [
      "80"
    ],
    "Destination" : [
      "10.0.0.1/32"
    ]
  }
}

範例:所有參數

{
  "DocumentName" : "AWSManagedServices-AuthorizeSecurityGroupEgressRule",
  "Region" : "us-east-1",
  "Parameters" : {
    "SecurityGroupId" : [
      "sg-abcd1234"
    ],
    "IpProtocol" : [
      "tcp"
    ],
    "FromPort" : [
      "80"
    ],
    "ToPort" : [
      "80"
    ],
    "Destination" : [
      "10.0.0.1/32"
    ],
    "Description" : [
      "New rule"
    ]
  }
}