使用AWS Cli修改制定的EC2的安全组为本次上网的公网IP

原创 已于 2023-06-24 21:14:43 修改 · 510 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#aws #安全 #tcp/ip

于 2023-06-23 14:35:44 首次发布
这个脚本用于启动或停止EC2实例,并动态更新SSH和RDP端口,使其只允许来自当前公网IP的访问。通过AWSCLI,脚本获取本地IP,修改安全组规则,并在停用时清理规则,适应移动办公场景。 
## 这个脚本的目的是打开或停止EC2,并且在打开的时候,把ssh和RDP的端口都制定本机的公网IP
#!/bin/bash

# 输入要操作的EC2实例ID
# instance_id="YOUR_INSTANCE_ID"

# 启动EC2实例
start_instance() {
    aws ec2 start-instances --instance-ids "$instance_id" > null
    echo "已启动EC2实例:$instance_id"
}

# 关闭EC2实例
stop_instance() {
    aws ec2 stop-instances --instance-ids "$instance_id" --output text
    echo "已关闭EC2实例:$instance_id"
}

# 修改安全组的SSH和RDP端口的地址
modify_SG() {

    # 获取本地IP地址
    local_ip=$(curl -s https://api.ipify.org)
    
    # 获取特定EC2实例的安全组ID
    security_groups=$(aws ec2 describe-instances --instance-ids "$instance_id" --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' --output text)

    # 打印安全组ID
    echo "安全组ID:$security_groups"
    # 修改所有EC2实例的SSH端口源
    # aws ec2 describe-instances --query 'Reservations[*].Instances[*].[InstanceId]' --output text | while read -r instance_id; do
    #     aws ec2 authorize-security-group-ingress --group-id YOUR_SECURITY_GROUP_ID --protocol tcp --port 22 --cidr "$local_ip/32"
    # done

    # 修改所有EC2实例的SSH端口源
    # aws ec2 describe-instances --query 'Reservations[*].Instances[*].[InstanceId]' --output text | while read -r instance_id; do
    aws ec2 authorize-security-group-ingress --group-id $security_groups --protocol tcp --port 22 --cidr "$local_ip/32" > null
    aws ec2 authorize-security-group-ingress --group-id $security_groups --protocol tcp --port 3389 --cidr "$local_ip/32" > null
    # done
    echo "安全组修改完成"
}

# 清除安全组的所有规则
clean_sg() {
    security_group_id=$(aws ec2 describe-instances --instance-ids "$instance_id" --query 'Reservations[*].Instances[*].SecurityGroups[*].GroupId' --output text)
    echo $security_group_id
    echo '###############'

    # 获取安全组中的所有规则
    # rules=$(aws ec2 describe-security-group-rules --group-id $security_group_id --output text)
    rules=$(aws ec2 describe-security-group-rules --filter 'Name="group-id",Values="'$security_group_id'"' --output text)
    echo $rules
    echo '--------------'

    # 逐个删除规则
    while read -r rule; do
        rule_id=$(echo $rule | awk '{print $8}')
        # aws ec2 revoke-security-group-ingress --group-id $security_group_id --rule-id $rule_id
                aws ec2 revoke-security-group-ingress --group-id $security_group_id --security-group-rule-ids $rule_id >null
        echo '==========='
        echo $rule_id
    done <<< "$rules"

    echo "已成功删除安全组 $security_group_id 的所有规则。"
    # 清除安全组的所有规则
    # for security_group in $security_groups; do
    #     aws ec2 describe-security-groups --group-ids "$security_group" --query 'SecurityGroups[*].IpPermissions[*]' --output text | while read -r line; do
    #         echo $line
    #         echo '----------'
    #         aws ec2 revoke-security-group-ingress --group-id "$security_group" --protocol $line
    #     done
    #     echo "已清除安全组规则:$security_group"
    # done
}



# 根据输入参数执行相应操作
if [[ "$1" == "start" ]]; then
    start_instance
    modify_SG
elif [[ "$1" == "stop" ]]; then
    stop_instance
elif [[ "$1" == "clean" ]]; then
    clean_sg
else
    echo "无效的操作参数。请使用 'start' 或 'stop'或‘clean’。"
fi

因为安全原因,每次使用AWS EC2都要在安全组中指定公网IP,因为要移动办公,每次公网IP是不一样的,特此写了shell脚本自动化实现。

要运行这个脚本,你需要确保在你的Mac上已经安装了AWS CLI,并且已经配置了正确的AWS访问凭证(Access Key和Secret Access Key)。你可以使用 aws configure 命令来配置这些凭证。

在脚本中,将 YOUR_INSTANCE_ID 替换为要查询的特定EC2实例的实际ID。然后,使用 aws ec2 describe-instances 命令查询该实例的安全组ID,并将结果保存在 security_groups 变量中。最后,使用 echo 命令打印安全组ID。

在modify_SG函数中

在这个脚本中,我们使用 curl 命令从 https://api.ipify.org 获取本地IP地址,并将结果保存在 local_ip 变量中。并使用 aws ec2 authorize-security-group-ingress 命令将SSH端口的源IP更改为刚刚获取到的本地IP。

在clean_SG函数中

在脚本中,将 YOUR_INSTANCE_ID 替换为要清除规则的实际EC2实例的ID。首先,使用 aws ec2 describe-instances 命令获取该实例的安全组ID列表,并将结果保存在 security_groups 变量中。

然后,使用循环遍历每个安全组ID。在循环中,使用 aws ec2 describe-security-groups 命令获取每个安全组的规则,并使用 aws ec2 revoke-security-group-ingress 命令逐个清除规则。这里使用了 --protocol 参数,以便在清除规则时指定正确的协议。

刘老师@AI
关注
AWS public IP 重启后改变
shenghuiping2001的专栏
05-13 2033
今天给客户加密disk 后重启,发现他们的public 变了,以前的public IP 找不到了,一开始找原因,开了case, 到系统cloud trail 里发现,这个ip 根本就不是Elastic IP 1: 查找方法:(可以看到下图的resource name 里面有生成的ip). 2: 如果这个Elastic IP 被绑定到一个instance 里面,可以看如下的查找:(右下角有instance ID). 3: 如果是查找其它的操作,也可以同样方法,查找 addtag 的记录: ..
AWS CLI常用命令记录
zhuzixiangshui的博客
10-31 4072
关于Cli工具的安装就不多说了,到处都可以查到,这里主要记录下工作中常用的一些命令,因为官方文档的举例有时候并不完全,得亲自尝试才知道操作效果。 EC2: #修改实例类型,先stop aws ec2 stop-instances --instance-ids i-1234567890abcdef0 aws ec2 modify-instance-attribute --instance-id...
AWS EC2安全组规则添加修改
SINGWIN01的博客
07-30 1108
类型选中对应的网络协议,源因为需要外部ping进来要公开访问选择任何位置或者填0.0.0.0/0,然后保存规则。第二步,在左侧导航栏找到实例,选中一个EC2,在下面找到安全,点击安全组蓝色字体就可以去到对应的安全组那。客户问题:例如 服务器为什么ping不通,80或者其它端口为什么不通,在哪里修改对应安全组规则等。例子1,服务器为什么ping不通,没有配置ICMP对应出入站规则前。第一步登陆控制台,在左上角搜索框搜索EC2。第三步编辑入站规则或出站规则。
AWS EC2 instance IP网络 - Private/Public/Elastic IP address
Tom098的博客
05-25 2560
1. 登录到EC2 instance(也即EC2虚拟机)的操作系统里边,运行查看主机网卡的命令,比如'ifconfig' or 'ip address', 我们能看到的只有private IP address。 2. Public IP address是由图二中的Internet gateway(IGW),为我们的instance动态分配的一个公网IP。IGW上有一个public IP pool,每次启动一个处于public subnet的虚机时,就会从public IP pool中选中一个可用的IP,然
AWS配置内网EC2服务器上网【图形化配置】
ma_qi_chao的博客
02-07 2371
绑定后实例即可上网
powershell 管理更新AWS安全组
shrekz的专栏
04-08 2216
#导入亚马逊云模块 import-module "C:\Program Files (x86)\AWS Tools\PowerShell\AWSPowerShell\AWSPowerShell.psd1" #获取最新外网地址 $WebClient=new-object System.Net.WebClient $uri="http://myip.dnsomatic.com/" $ipaddr=$W
AWSEC2 安全组设置
最新发布
搞运维的万精油的博客
02-11 893
aws云服务器使用
使用 AWS CLI 自动在 Amazon EC2 实例上部署 Apache Web 服务器
2401_85233349的博客
08-19 1561
要检索我们的 EC2 Web 服务器实例 ID,请运行以下命令 - aws ec2 描述实例 复制并保存您的 EC2 Web 服务器实例 ID。步骤 3:从新创建的 AMI 启动 EC2 Web 服务器 要从我们新创建的 AMI 启动具有预配置配置的 EC2 Web 服务器实例,我们可以使用之前的资源信息运行以下命令 -。步骤 2:从我们之前启动的 EC2 Web 服务器创建一个新的 AMI 现在我们知道了要从中创建 AMI 的 EC2 实例 ID,我们可以运行以下命令来实际创建它 -。
aws cli 查看ec2
weixin_42562106的博客
04-03 1814
列出所有运行中的EC2 aws ec2 describe-instances --filters "Name=instance-state-name,Values=running" --query "Reservations[].Instances[].[Tags[?Key=='Namete.Name,InstanceType,Placement.AvailabilityZone]" --output table 列出所有的EC2,包括已关闭的 aws ec2 describe-instances --
如何通过AWS CLI查看EC2实例的公网IP地址?
12-04
AWS CLI (Amazon Web Services Command Line Interface) 中,你可以使用 `describe-instances` 命令来查看EC2实例的公网IP地址。以下是详细的步骤: 1. 首先,确保你已经在本地计算机上安装了AWS CLI,并且已经...
aws ec2服务器怎么用命令看公网ip
12-04
AWS EC2上,如果你想要通过命令行工具查看服务器的公网IP地址,可以使用AWS CLI (Command Line Interface)。以下是操作步骤: 1. 确保已安装并配置好AWS CLI。如果没有,请先下载并按照官方文档安装:...
Open Sesame:动态IP下管理AWS安全组入站规则的CLI工具
由于这类网络连接通常不具备静态公网IP地址,每次重新拨号或切换网络时,公网IP都会发生变化,从而导致原本配置在AWS安全组中的IP白名单失效,无法远程访问EC2实例、RDS数据库或其他受安全组保护的资源。Open Sesame...
AWS cli
q1975420992的博客
10-14 297
1.1awscli 安装 msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msi 1.2AWS登录 aws configure 1.3cli 指令 aws ec2 create-vpc --cidr-block 10.0.0.0/16 #VPC # aws ec2 create-key-pair --key-name MyKeyPair --query "KeyMaterial" --output tex...
AWS EC2配置公网IP (Elastic IP
数据之路
09-07 2万+
EC2机器launch后只有一个VPC内网IP,外网访问的话,需要设定公网IP,步骤如下: 选定Instance -> Action -> Networking -> Manage IP Address Allocate an Elastic IP Class -> Allocate, 这样就获取了一个IP 选定IP,然后Associate addres
[小白]AWS可批量添加安全组列表 cmd bat命令
可信计算的博客
10-19 1150
AWS CLI 添加安全组IP地址的命令为: aws ec2 authorize-security-group-ingress --group-id sg-08766ba4fc77ee16b --ip-permissions IpProtocol=tcp,FromPort=443,ToPort=929,IpRanges="[{CidrIp=223.104.20.0/24}]" 效法此修改即可。 本文适用于Windows平台。利用bat批量添加安全组IP地址。 仅限于研究不深的小白使用,大佬请略
AWS EC2 虚拟机IP以及auto scalling实现
Tom098的博客
05-23 431
EC2 实例都是虚拟机,他的公网,私网IP,以及auto scalling实现方式,见下图。
亚马逊AWS学习——多网络接口下配置EC2实例连接公网的一个“bug”
干勾鱼的优快云博客
08-15 1万+
之前在《亚马逊AWS学习——EC2的自定义VPC配置》这篇文章中讲述了如何设置自定义VPC并使自己的EC2实例能够连接公网。本篇说一下连接公网时会出现的一个小问题。如题所示,在一个EC2实例具有多个网络接口的环境下,如果为其配置公网连接会有一个“bug”。其实也不能说是“bug”,而是AWS网络环境的限制。
AWS 常用CLI命令总结
热门推荐
李兵的专栏
08-29 2万+
AWS 常用CLI命令 对AWS服务操作可以通过管理控制台、各语言SDK、CLI以及API等方式。管理控制台最简单,可以直接通过Web界面操作,但是有些服务或者服务下的某些操作无法直接用控制台调用;API的方式最复杂,需要自己生成哈希值签署请求以及处理请求错误等低级别的操作,AWS 的大部分服务都提供REST的API以及类似于REST的查询API,API提供的服务操作是最新最全面的;SDK ...
AWS EC2设置安全组开放端口
qq_20259383的博客
08-29 8995
https://jingyan.baidu.com/article/aa6a2c14e8b5080d4c19c4e1.html
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值