안전하고 비용 효율적인 클라우드 환경을 유지하려면 AWS 보안 그룹을 효과적으로 관리하는 것이 중요합니다. 보안 그룹은 AWS 네트워크 보안의 중요한 부분이지만 시간이 지남에 따라 사용되지 않는 보안 그룹이 누적될 수 있습니다. 이러한 사용되지 않는 그룹은 환경을 복잡하게 만들 뿐만 아니라 보안 위험을 초래하거나 불필요하게 비용을 증가시킬 수도 있습니다.
이 기사에서는 Python 및 Boto3를 사용하여 AWS 환경에서 사용되지 않는 보안 그룹을 식별하고 검증하며 다른 리소스에서 참조되지 않는지 확인하는 방법을 살펴보겠습니다. 또한 이러한 그룹을 삭제할 수 있는지 안전하게 확인하는 방법도 살펴보겠습니다.
전제조건
이 튜토리얼을 진행하려면 다음이 필요합니다.
AWS 계정: 사용하지 않는 보안 그룹을 검색하려는 AWS 환경에 대한 액세스 권한이 있는지 확인하세요.
Boto3 설치: 다음을 실행하여 Boto3 Python SDK를 설치할 수 있습니다.
pip install boto3
AWS 자격 증명 구성: AWS CLI를 사용하거나 IAM 역할 또는 환경 변수를 사용하여 코드에서 직접 AWS 자격 증명을 구성했는지 확인하세요.
코드 분석
특정 AWS 리전에서 사용되지 않는 보안 그룹을 식별하고 검증하며 다른 그룹에서 참조하는지 확인하는 코드를 살펴보겠습니다.
1단계: 모든 보안 그룹 및 ENI 가져오기
pip install boto3
- 보안 그룹 검색: 먼저 지정된 지역의 모든 보안 그룹을 가져오기 위해 explain_security_groups 메서드를 호출합니다.
- 네트워크 인터페이스 검색: 다음으로, explain_network_interfaces를 사용하여 모든 네트워크 인터페이스를 검색합니다. 각 네트워크 인터페이스에는 하나 이상의 보안 그룹이 연결될 수 있습니다.
- 사용된 보안 그룹 식별: 각 네트워크 인터페이스에 대해 관련 보안 그룹 ID를 Used_sg_ids라는 집합에 추가합니다.
- 사용하지 않는 그룹 찾기: 그런 다음 보안 그룹 ID를 사용 중인 그룹 ID와 비교합니다. 그룹이 사용 중이 아닌 경우(즉, 해당 ID가 Used_sg_ids 세트에 없음) 삭제할 수 없는 기본 보안 그룹을 제외하고는 해당 그룹이 사용되지 않은 것으로 간주됩니다.
2단계: 보안 그룹 참조 확인
import boto3
from botocore.exceptions import ClientError
def get_unused_security_groups(region='us-east-1'):
"""
Find security groups that are not being used by any resources.
"""
ec2_client = boto3.client('ec2', region_name=region)
try:
# Get all security groups
security_groups = ec2_client.describe_security_groups()['SecurityGroups']
# Get all network interfaces
enis = ec2_client.describe_network_interfaces()['NetworkInterfaces']
# Create set of security groups in use
used_sg_ids = set()
# Check security groups attached to ENIs
for eni in enis:
for group in eni['Groups']:
used_sg_ids.add(group['GroupId'])
# Find unused security groups
unused_groups = []
for sg in security_groups:
if sg['GroupId'] not in used_sg_ids:
# Skip default security groups as they cannot be deleted
if sg['GroupName'] != 'default':
unused_groups.append({
'GroupId': sg['GroupId'],
'GroupName': sg['GroupName'],
'Description': sg['Description'],
'VpcId': sg.get('VpcId', 'EC2-Classic')
})
# Print results
if unused_groups:
print(f"\nFound {len(unused_groups)} unused security groups in {region}:")
print("-" * 80)
for group in unused_groups:
print(f"Security Group ID: {group['GroupId']}")
print(f"Name: {group['GroupName']}")
print(f"Description: {group['Description']}")
print(f"VPC ID: {group['VpcId']}")
print("-" * 80)
else:
print(f"\nNo unused security groups found in {region}")
return unused_groups
except ClientError as e:
print(f"Error retrieving security groups: {str(e)}")
return None
- 참조 확인: 특정 보안 그룹이 다른 보안 그룹에서 참조되는지 확인하는 기능입니다. 인바운드(ip-permission.group-id) 및 아웃바운드(egress.ip-permission.group-id) 규칙을 기반으로 보안 그룹을 필터링하여 이를 수행합니다.
- 참조 그룹 반환: 그룹이 참조되면 함수는 참조 보안 그룹 목록을 반환합니다. 그렇지 않은 경우 None을 반환합니다.
3단계: 사용되지 않는 보안 그룹 검증
def check_sg_references(ec2_client, group_id):
"""
Check if a security group is referenced in other security groups' rules
"""
try:
# Check if the security group is referenced in other groups
response = ec2_client.describe_security_groups(
Filters=[
{
'Name': 'ip-permission.group-id',
'Values': [group_id]
}
]
)
referencing_groups = response['SecurityGroups']
# Check for egress rules
response = ec2_client.describe_security_groups(
Filters=[
{
'Name': 'egress.ip-permission.group-id',
'Values': [group_id]
}
]
)
referencing_groups.extend(response['SecurityGroups'])
return referencing_groups
except ClientError as e:
print(f"Error checking security group references: {str(e)}")
return None
- 사용되지 않는 보안 그룹 유효성 검사: 이 마지막 단계에서 스크립트는 먼저 사용되지 않는 보안 그룹을 검색합니다. 그런 다음 사용되지 않는 각 그룹에 대해 다른 보안 그룹이 규칙에서 이를 참조하는지 확인합니다.
- 출력: 그룹이 참조되는지 여부를 스크립트에서 출력하고, 참조되지 않으면 안전하게 삭제할 수 있습니다.
스크립트 실행
스크립트를 실행하려면 단순히 verify_unused_groups 함수를 실행하면 됩니다. 예를 들어 지역이 us-east-1로 설정된 경우 스크립트는 다음을 수행합니다.
- us-east-1의 모든 보안 그룹 및 네트워크 인터페이스를 검색합니다.
- 사용하지 않는 보안 그룹을 식별하세요.
- 사용하지 않는 그룹이 다른 보안 그룹에서 참조되는지 확인하고 보고하세요.
예제 출력
def validate_unused_groups(region='us-east-1'):
"""
Validate and provide detailed information about unused security groups
"""
ec2_client = boto3.client('ec2', region_name=region)
unused_groups = get_unused_security_groups(region)
if not unused_groups:
return
print("\nValidating security group references...")
print("-" * 80)
for group in unused_groups:
group_id = group['GroupId']
referencing_groups = check_sg_references(ec2_client, group_id)
if referencing_groups:
print(f"\nSecurity Group {group_id} ({group['GroupName']}) is referenced by:")
for ref_group in referencing_groups:
print(f"- {ref_group['GroupId']} ({ref_group['GroupName']})")
else:
print(f"\nSecurity Group {group_id} ({group['GroupName']}) is not referenced by any other groups")
print("This security group can be safely deleted if not needed")
결론
이 스크립트를 사용하면 AWS에서 사용되지 않는 보안 그룹을 찾는 프로세스를 자동화하고 불필요한 리소스를 유지하지 않도록 할 수 있습니다. 이를 통해 혼란을 줄이고 보안 상태를 개선하며 사용하지 않는 리소스를 제거하여 잠재적으로 비용을 절감할 수 있습니다.
이 스크립트를 다음으로 확장할 수 있습니다.
- 태그, VPC 또는 기타 기준에 따라 추가 필터링을 처리합니다.
- 사용하지 않는 그룹이 감지되면 더욱 고급 보고 또는 경고를 구현합니다.
- 자동화된 예약 확인을 위해 AWS Lambda와 통합하세요.
AWS 환경을 안전하고 체계적으로 유지하세요!
위 내용은 Python 및 Boto3를 사용하여 AWS에서 사용되지 않는 보안 그룹 찾기 및 검증의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
파이썬 : 자동화, 스크립팅 및 작업 관리Apr 16, 2025 am 12:14 AM파이썬은 자동화, 스크립팅 및 작업 관리가 탁월합니다. 1) 자동화 : 파일 백업은 OS 및 Shutil과 같은 표준 라이브러리를 통해 실현됩니다. 2) 스크립트 쓰기 : PSUTIL 라이브러리를 사용하여 시스템 리소스를 모니터링합니다. 3) 작업 관리 : 일정 라이브러리를 사용하여 작업을 예약하십시오. Python의 사용 편의성과 풍부한 라이브러리 지원으로 인해 이러한 영역에서 선호하는 도구가됩니다.
파이썬과 시간 : 공부 시간을 최대한 활용Apr 14, 2025 am 12:02 AM제한된 시간에 Python 학습 효율을 극대화하려면 Python의 DateTime, Time 및 Schedule 모듈을 사용할 수 있습니다. 1. DateTime 모듈은 학습 시간을 기록하고 계획하는 데 사용됩니다. 2. 시간 모듈은 학습과 휴식 시간을 설정하는 데 도움이됩니다. 3. 일정 모듈은 주간 학습 작업을 자동으로 배열합니다.
파이썬 : 게임, Guis 등Apr 13, 2025 am 12:14 AMPython은 게임 및 GUI 개발에서 탁월합니다. 1) 게임 개발은 Pygame을 사용하여 드로잉, 오디오 및 기타 기능을 제공하며 2D 게임을 만드는 데 적합합니다. 2) GUI 개발은 Tkinter 또는 PYQT를 선택할 수 있습니다. Tkinter는 간단하고 사용하기 쉽고 PYQT는 풍부한 기능을 가지고 있으며 전문 개발에 적합합니다.
Python vs. C : 응용 및 사용 사례가 비교되었습니다Apr 12, 2025 am 12:01 AMPython은 데이터 과학, 웹 개발 및 자동화 작업에 적합한 반면 C는 시스템 프로그래밍, 게임 개발 및 임베디드 시스템에 적합합니다. Python은 단순성과 강력한 생태계로 유명하며 C는 고성능 및 기본 제어 기능으로 유명합니다.
2 시간의 파이썬 계획 : 현실적인 접근Apr 11, 2025 am 12:04 AM2 시간 이내에 Python의 기본 프로그래밍 개념과 기술을 배울 수 있습니다. 1. 변수 및 데이터 유형을 배우기, 2. 마스터 제어 흐름 (조건부 명세서 및 루프), 3. 기능의 정의 및 사용을 이해하십시오. 4. 간단한 예제 및 코드 스 니펫을 통해 Python 프로그래밍을 신속하게 시작하십시오.
파이썬 : 기본 응용 프로그램 탐색Apr 10, 2025 am 09:41 AMPython은 웹 개발, 데이터 과학, 기계 학습, 자동화 및 스크립팅 분야에서 널리 사용됩니다. 1) 웹 개발에서 Django 및 Flask 프레임 워크는 개발 프로세스를 단순화합니다. 2) 데이터 과학 및 기계 학습 분야에서 Numpy, Pandas, Scikit-Learn 및 Tensorflow 라이브러리는 강력한 지원을 제공합니다. 3) 자동화 및 스크립팅 측면에서 Python은 자동화 된 테스트 및 시스템 관리와 같은 작업에 적합합니다.
2 시간 안에 얼마나 많은 파이썬을 배울 수 있습니까?Apr 09, 2025 pm 04:33 PM2 시간 이내에 파이썬의 기본 사항을 배울 수 있습니다. 1. 변수 및 데이터 유형을 배우십시오. 이를 통해 간단한 파이썬 프로그램 작성을 시작하는 데 도움이됩니다.
10 시간 이내에 프로젝트 및 문제 중심 방법에서 컴퓨터 초보자 프로그래밍 기본 사항을 가르치는 방법?Apr 02, 2025 am 07:18 AM10 시간 이내에 컴퓨터 초보자 프로그래밍 기본 사항을 가르치는 방법은 무엇입니까? 컴퓨터 초보자에게 프로그래밍 지식을 가르치는 데 10 시간 밖에 걸리지 않는다면 무엇을 가르치기로 선택 하시겠습니까?
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
PhpStorm 맥 버전
최신(2018.2.1) 전문 PHP 통합 개발 도구
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
