Bagaimana cara menentukan rentang IP berulang untuk grup keamanan AWS?

Kami akhirnya menulis skrip yang menggunakan alat AWS CLI untuk menghasilkan grup keamanan kami. Singkatnya, ini memanggil ec2-describe-group untuk mendapatkan status grup keamanan saat ini, lalu lakukan loop melalui layanan & rentang alamat IP untuk memanggil ec2-authorize untuk menambahkan aturan baru ke grup keamanan.

Membuat skrip ini adalah cara terbaik yang dapat kami temukan untuk mengelola serangkaian kelompok keamanan yang saling bergantung yang cukup kompleks tidak hanya di beberapa wilayah AWS tetapi juga di beberapa lokasi kantor. Ini bekerja cukup baik selama beberapa tahun sekarang. Satu-satunya hal yang mungkin saya lakukan secara berbeda jika saya harus mengulangi semuanya adalah menulis ulang skrip ini dengan Python menggunakan boto, tapi itu sebagian besar hanya preferensi pribadi.

Sunting: Berikut cuplikan bagian penting dari salah satu skrip bash yang kami gunakan:

CORPORATE_NETBLOCKS="1.2.3.4/24 4.3.2.1/27"
REMOTE_OFFICE="5.6.7.8/32"
...
ec2-describe-group --show-empty-fields > $TMPGRPFILE
...
echo "Allow access to the utility server"
grp=${myregion}-util
for cidr in $CORPORATE_NETBLOCKS $REMOTE_OFFICE; do
  for p in 22 80 443 8000-8080; do
    ptest=$(echo $p | sed -e 's/-/[[:space:]]+/')
    egrep "PERMISSION.*${AWS_ACCOUNT_ID}.*${grp}[[:space:]].*ALLOWS.*tcp.*${ptest}.*CIDR.*${cidr}.*ingress" $TMPGRPFILE > /dev/null
    if [[ $? -eq 0 ]]; then
      echo "$cidr -> $grp:${p} already in place"
      continue
    fi
    CMD="ec2-authorize -P tcp -p ${p} -s $cidr $grp"
    # echo $CMD
    $CMD
    if [ $? -ne 0 ]; then
      echo "Failed to create permission. Line $LINENO"
      exit 2
    fi
  done
done

Skrip ini memiliki selusin loop yang mirip dengan ini yang menerima berbagai port/cidrs dalam output dari ec2-describe-group dan memanggil ec2-authorize untuk menambahkan aturan apa pun yang belum ada.