¿Cómo puedo encontrar grupos de seguridad innecesarios en Amazon EC2?

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Solución de problemas de AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

Para identificar los grupos de seguridad innecesarios, siga estos pasos:

1. Para enumerar todos los ID de grupos de seguridad de su región de AWS, ejecute el siguiente comando describe-security-groups:

   aws ec2 describe-security-groups --region region-ID --query 'SecurityGroups[*].GroupId' --output text | tr '\t' '\n'

   Nota: Sustituya region-ID por su región.

2. Para enumerar todos los grupos de seguridad de una región que tienen un estado de interfaz de red conectada, ejecute el siguiente comando describe-network-interfaces:

   aws ec2 describe-network-interfaces --region region-ID --filters Name=attachment.status,Values=attached --query 'NetworkInterfaces[].Groups[].GroupId' --output text | tr '\t' '\n'| sort | uniq

   Nota: Sustituya region-ID por su región. El resultado del comando anterior incluye información de todos los servicios de AWS de la región, como Amazon EC2 o Elastic Load Balancing (ELB).

3. Para buscar todos los grupos de seguridad no utilizados, ejecute el siguiente comando comm para comparar el resultado de ambos comandos:

   comm -23 <(aws ec2 describe-security-groups --region region-ID --query 'SecurityGroups[*].GroupId' --output text | tr '\t' '\n' | sort) <(aws ec2 describe-network-interfaces --region region-ID --query 'NetworkInterfaces[*].Groups[*].GroupId' --output text| tr '\t' '\n' | sort | uniq)

   Nota: Sustituya region-ID por su región de AWS.

Información relacionada

Eliminación de un grupo de seguridad de Amazon EC2