大家都知道aws是用安全组来控制每台 instance的访问权限的,如果设置了安全组,操作系统就不建议再设置了iptables或windows防火墙了,因为如果你一旦设置错误,把自己关闭在防火墙外面,那就比较麻烦了,因为亚马逊没有提供类似远程控制卡终端登录的管理功能,你得通过重新挂盘来解决,不过今天咱们重点不是它,如果有兴趣,下次我单独写一篇文章来说明具体如何操作,返回来再说我们的安全组问题,因为安全组设置多了,其实检查起来很费事费眼,因为在web页面上看,真是不容易的事,有时候刚看一眼回头看另一个安全组策略时,就不太记得刚才看的具体是什么策略了,反正安全组设置太多了,就会出现这种情况,另外呢,因为脱离的传统的系统防火墙设置,系统工程师无法实时了解目前系统的安全组设置,不方便故障排查,所以系统工程师需要了解目前安全组的设置情况,所以如果你也有上面的问题,今天这篇文章就是写给你的,说到底就解决两个问题:
1、自己方便检查,不用上了web页面一个一个点开看了。
2、跟业务运维同学信息互通,方便做故障排查。
直接上代码:
|
1 2 3 4 5 6 7 8 9 10 |
#!/usr/bin/env python import boto from boto import ec2 conn=ec2.connect_to_region('cn-north-1') for group in conn.get_all_security_groups(): for rule in group.rules: for grant in rule.grants: print group, rule,grant |
运行结果:
|
1 |
SecurityGroup:launch-wizard-1 IPPermissions:tcp(22-22) 0.0.0.0/0 |
三个字段分别是:安全组名称,开通的端口、协议,来源
可以把这些信息发邮件给需要的同事,具体发邮件的boto实现请参看我之前写的文章。