如何使用 AWS 配置规则 vpc-sg-open-only-to-authorized-ports 的自动修正功能来排除“InvalidPermission.NotFound”错误？

简短描述

AWS Config 规则 vpc-sg-open-only-to-authorized-ports 会检查安全组是否允许去往 0.0.0.0/0 的入站 TCP 或 UDP 流量。例如，要允许 TCP 端口 443 和 1020-1025 访问 0.0.0.0/0，请在 AWS Config 规则参数中指定这些端口。

AWS Systems Manager Automation 运行手册 AWS-DisablePublicAccessForSecurityGroup 仅限于以下端口：

• 默认 SSH 22 和 RDP 3389 端口向所有 IP 地址开放（0.0.0.0/0）。
• 一个使用 IpAddressToBlock 参数的 IPv4 地址。

解决方法

当您未正确配置安全组时，AWS-DisablePublicAccessForSecurityGroup 运行手册将失败，出现 InvalidPermission.NotFound 客户端错误和 RevokeSecurityGroupIngress API 操作。

**注意：**如果在运行 AWS 命令行界面（AWS CLI）命令时收到错误，请参阅 Troubleshoot AWS CLI errors。此外，确保您使用的是最新版本的 AWS CLI。

要验证错误消息，请运行与以下示例类似的 describe-remediation-execution-status 命令：

aws configservice describe-remediation-execution-status
  --config-rule-name vpc-sg-open-only-to-authorized-ports
  --region us-east-1
  --resource-keys resourceType=AWS::EC2::SecurityGroup,resourceId=sg-1234567891234567891

安全组的入站规则必须使用 AWS-DisablePublicAccessForSecurityGroup 运行手册页面上提供的模式指定开放端口。

要为其他端口（包括 22 和 3389）配置自动修正，请使用自定义 Systems Manager 文档来自动执行该过程。有关更多信息，请参阅创建 SSM 文档内容。