AWS Config ルール vpc-sg-openlonly-to-authorized-ports の自動修正で「InvalidPermission.NotFound」というエラーをトラブルシューティングする方法を教えてください。

簡単な説明

AWS Config ルール vpc-sg-open-only-on-authorized-ports は、セキュリティグループが 0.0.0.0/0 へのインバウンド TCP または UDP トラフィックを許可しているかどうかを確認します。たとえば、TCP ポート 443 と 1020-1025 に 0.0.0.0/0 へのアクセスを許可するには、AWS Config ルールパラメータでポートを指定します。

AWS-DisablePublicAccessForSecurityGroup AWS Systems Manager automation ランブックは以下のポートに限定されています。

• デフォルトの SSH 22 ポートと RDP 3389 ポートは、すべての IP アドレス (0.0.0.0/0) に開かれています。
• IpAddressToBlock パラメータを使用する IPv4 アドレス。

解決策

セキュリティグループを正しく設定しないと、AWS-DisablePublicAccessForSecurityGroup ランブックが失敗し、InvalidPermission.NotFound クライアントエラーと RevokeSecurityGroupIngress API アクションが表示されます。

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用しているようにしてください。

エラーメッセージを確認するには、次の例のような describe-remediation-execution-status コマンドを実行します。

aws configservice describe-remediation-execution-status
  --config-rule-name vpc-sg-open-only-to-authorized-ports
  --region us-east-1
  --resource-keys resourceType=AWS::EC2::SecurityGroup,resourceId=sg-1234567891234567891

セキュリティグループのインバウンドルールでは、AWS-DisablePublicAccessForSecurityGroup のランブックページに記載されているパターンを使用してオープンポートを指定する必要があります。

22 や 3389 などの他のポートの自動修復を設定するには、カスタム Systems Manager ドキュメントを使用してプロセスを自動化します。詳細については、「SSM ドキュメントコンテンツの作成」を参照してください。