如何使用 AWS 配置规则 vpc-sg-open-only-to-authorized-ports 的自动修正功能来排除“InvalidPermission.NotFound”错误?

1 分钟阅读
0

我想使用 AWS-DisablePublicAccessForSecurityGroup 运行手册关闭 SSH 和 RDP 端口。但是,自动修正因出现“InvalidPermission.NotFound”错误而失败。

简短描述

AWS Config 规则 vpc-sg-open-only-to-authorized-ports 会检查安全组是否允许去往 0.0.0.0/0 的入站 TCP 或 UDP 流量。例如,要允许 TCP 端口 443 和 1020-1025 访问 0.0.0.0/0,请在 AWS Config 规则参数中指定这些端口。

AWS Systems Manager Automation 运行手册 AWS-DisablePublicAccessForSecurityGroup 仅限于以下端口:

  • 默认 SSH 22 和 RDP 3389 端口向所有 IP 地址开放(0.0.0.0/0)。
  • 一个使用 IpAddressToBlock 参数的 IPv4 地址。

解决方法

当您未正确配置安全组时,AWS-DisablePublicAccessForSecurityGroup 运行手册将失败,出现 InvalidPermission.NotFound 客户端错误和 RevokeSecurityGroupIngress API 操作。

**注意:**如果在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请参阅 Troubleshoot AWS CLI errors。此外,确保您使用的是最新版本的 AWS CLI

要验证错误消息,请运行与以下示例类似的 describe-remediation-execution-status 命令:

aws configservice describe-remediation-execution-status
  --config-rule-name vpc-sg-open-only-to-authorized-ports
  --region us-east-1
  --resource-keys resourceType=AWS::EC2::SecurityGroup,resourceId=sg-1234567891234567891

安全组的入站规则必须使用 AWS-DisablePublicAccessForSecurityGroup 运行手册页面上提供的模式指定开放端口。

要为其他端口(包括 22 和 3389)配置自动修正,请使用自定义 Systems Manager 文档来自动执行该过程。有关更多信息,请参阅创建 SSM 文档内容

AWS 官方
AWS 官方已更新 1 年前