En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Comment puis-je résoudre l'erreur « InvalidPermission.notFound » avec la correction automatique de la règle AWS Config vpc-sg-open-only-to-authorized-ports ?

Lecture de 2 minute(s)
0

Je souhaite utiliser le dossier d’exploitation AWS-DisablePublicAccessForSecurityGroup pour désactiver les ports SSH et RDP. Cependant, la correction automatique échoue avec l'erreur « InvalidPermission.NotFound ».

Brève description

La règle AWS Config vpc-sg-open-only-to-authorized-ports vérifie si un groupe de sécurité autorise le trafic TCP ou UDP entrant à 0.0.0.0/0. Par exemple, pour permettre aux ports TCP 443 et 1020-1025 d'accéder à 0.0.0.0/0, spécifiez les ports dans le paramètre de règle AWS Config.

Le dossier d'exploitation AWS Systems Manager Automation AWS-DisablePublicAccessForSecurityGroup est limité aux ports suivants :

  • SSH 22 et RDP 3389 par défaut ouverts à toutes les adresses IP (0.0.0.0/0).
  • Une adresse IPv4 spécifiée à l'aide du paramètre IpAddressToBlock.

Résolution

Lorsque votre groupe de sécurité n'est pas correctement configuré, le dossier d'exploitation AWS-DisablePublicAccessForSecurityGroup échoue avec une erreur client InvalidPermission.NotFound et l'action API RevokeSecurityGroupIngress.

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez Résoudre les problèmes d’erreurs liées à AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Pour vérifier le message d'erreur, exécutez la commande describe-remediation-execution-status de la manière suivante :

aws configservice describe-remediation-execution-status
  --config-rule-name vpc-sg-open-only-to-authorized-ports
  --region us-east-1
  --resource-keys resourceType=AWS::EC2::SecurityGroup,resourceId=sg-1234567891234567891

Les règles entrantes pour le groupe de sécurité doivent indiquer les ports ouverts avec les modèles fournis sur la page du dossier d’exploitation AWS-DisablePublicAccessForSecurityGroup.

Pour configurer la correction automatique pour d'autres ports, y compris 22 et 3389, vous pouvez utiliser un document SSM personnalisé pour automatiser le processus. Pour plus d'informations, consultez Création du contenu d'un document SSM.

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 8 mois