Lambda Revoke

보안그룹에 포트를 추가하거나 삭제하면 22, 2220포트를 제외한 포트를

자동으로 삭제되도록 만들어보겠습니다.

 

 

Lambda Code

IAM Role : EC2 FULL ACCESS

Lambda 실행시간 : 30초

import boto3

def lambda_handler(event, context):

    # 보안 그룹 ID
    security_group_id = '<보안그룹 아이디>'


    # EC2 클라이언트 생성
    ec2 = boto3.client('ec2')
    #보안 그룹의 현재 인바운드 규칙 가져오기
    response = ec2.describe_security_groups(GroupIds=[security_group_id])
    security_group = response['SecurityGroups'][0]
    ingress_permissions = security_group['IpPermissions']

    #인바운드 규칙 중 22와 2220 포트를 제외한 모든 포트 삭제
    for permission in ingress_permissions:
        if 'FromPort' in permission and permission['FromPort'] not in [22, 2220]:
            ec2.revoke_security_group_ingress(
                GroupId=security_group_id,
                IpPermissions=[permission]
            )
            
    # 아웃바운드 규칙 중 80와 443 포트를 제외한 모든 포트 삭제
    for permission in egress_permissions:
        if 'FromPort' in permission and permission['FromPort'] not in [80, 443]:
            ec2.revoke_security_group_egress(
                GroupId=security_group_id,
                IpPermissions=[permission]
            )  
            
            
    return {
        'statusCode': 200,
        'body': '22와 2220 포트를 제외한 모든 인바운드 규칙이 삭제되었습니다.'
    }

 

 

Cloud Trail

추적을 생성해줍니다.

추적을 생성할 반드시 "Cloud Watch Logs"를 활성화 해주어야 합니다.

그 뒤로는 상황에 맞게 선택해줍니다.

 

 

 

1분 정도 기다리고 람다 트리거에 생성한 Cloud Watch Logs를 연결해줍니다

이제 보안그룹에 포트를 추가하거나 삭제하면 자동으로 22이나 2220을 제외한 모든 포트가 삭제됩니다.