Je souhaite utiliser le dossier d’exploitation AWS-DisablePublicAccessForSecurityGroup pour désactiver les ports SSH et RDP. Cependant, la correction automatique échoue avec l'erreur « InvalidPermission.NotFound ».
Brève description
La règle AWS Config vpc-sg-open-only-to-authorized-ports vérifie si un groupe de sécurité autorise le trafic TCP ou UDP entrant à 0.0.0.0/0. Par exemple, pour permettre aux ports TCP 443 et 1020-1025 d'accéder à 0.0.0.0/0, spécifiez les ports dans le paramètre de règle AWS Config.
Le dossier d'exploitation AWS Systems Manager Automation AWS-DisablePublicAccessForSecurityGroup est limité aux ports suivants :
- SSH 22 et RDP 3389 par défaut ouverts à toutes les adresses IP (0.0.0.0/0).
- Une adresse IPv4 spécifiée à l'aide du paramètre IpAddressToBlock.
Résolution
Lorsque votre groupe de sécurité n'est pas correctement configuré, le dossier d'exploitation AWS-DisablePublicAccessForSecurityGroup échoue avec une erreur client InvalidPermission.NotFound et l'action API RevokeSecurityGroupIngress.
Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez Résoudre les problèmes d’erreurs liées à AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.
Pour vérifier le message d'erreur, exécutez la commande describe-remediation-execution-status de la manière suivante :
aws configservice describe-remediation-execution-status
--config-rule-name vpc-sg-open-only-to-authorized-ports
--region us-east-1
--resource-keys resourceType=AWS::EC2::SecurityGroup,resourceId=sg-1234567891234567891
Les règles entrantes pour le groupe de sécurité doivent indiquer les ports ouverts avec les modèles fournis sur la page du dossier d’exploitation AWS-DisablePublicAccessForSecurityGroup.
Pour configurer la correction automatique pour d'autres ports, y compris 22 et 3389, vous pouvez utiliser un document SSM personnalisé pour automatiser le processus. Pour plus d'informations, consultez Création du contenu d'un document SSM.