使用 Python 和 Boto3 尋找並驗證 AWS 中未使用的安全性群組-Python教學-PHP中文網

首頁

後端開發

Python教學

使用 Python 和 Boto3 尋找並驗證 AWS 中未使用的安全性群組

Linda Hamilton

Dec 17, 2024 am 06:50 AM

Finding and Validating Unused Security Groups in AWS with Python and Boto3

有效管理 AWS 安全群組對於維護安全且經濟高效的雲端環境至關重要。安全群組是 AWS 網路安全的重要組成部分，但隨著時間的推移，未使用的安全群組會不斷累積。這些未使用的群組不僅會使您的環境變得混亂，還可能帶來安全風險或不必要地增加成本。

在本文中，我們將探討如何使用 Python 和 Boto3 識別 AWS 環境中未使用的安全群組、驗證它們並確保它們不被任何其他資源引用。我們還將研究如何安全地確定是否可以刪除這些群組。

先決條件

要學習本教程，您需要以下內容：

AWS 帳戶：確保您有權存取要搜尋未使用的安全群組的 AWS 環境。
Boto3 已安裝：您可以透過執行以下命令來安裝 Boto3 Python SDK：

   pip install boto3

已設定 AWS 憑證：確保您使用 AWS CLI 或使用 IAM 角色或環境變數直接在程式碼中配置了 AWS 憑證。

代碼分解

讓我們看一下程式碼，用於識別給定 AWS 區域中未使用的安全性群組、驗證它們並檢查它們是否被任何其他群組引用。

步驟 1：取得所有安全群組和 ENI

   pip install boto3

取得安全群組：我們先呼叫describe_security_groups方法取得指定區域內的所有安全性群組。
檢索網路介面：接下來，我們使用describe_network_interfaces檢索所有網路介面。每個網路介面都可以有一個或多個與其關聯的安全群組。
識別已使用的安全群組：對於每個網路接口，我們將關聯的安全群組 ID 新增到名為used_sg_ids 的集合中。
尋找未使用的群組：然後我們將安全群組 ID 與正在使用的群組 ID 進行比較。如果一個群組沒有被使用（即它的ID不在used_sg_ids集合中），我們認為它沒有被使用，除了預設的安全性群組，它不能被刪除。

步驟 2：檢查安全群組引用

import boto3
from botocore.exceptions import ClientError

def get_unused_security_groups(region='us-east-1'):
    """
    Find security groups that are not being used by any resources.
    """
    ec2_client = boto3.client('ec2', region_name=region)

    try:
        # Get all security groups
        security_groups = ec2_client.describe_security_groups()['SecurityGroups']

        # Get all network interfaces
        enis = ec2_client.describe_network_interfaces()['NetworkInterfaces']

        # Create set of security groups in use
        used_sg_ids = set()

        # Check security groups attached to ENIs
        for eni in enis:
            for group in eni['Groups']:
                used_sg_ids.add(group['GroupId'])

        # Find unused security groups
        unused_groups = []
        for sg in security_groups:
            if sg['GroupId'] not in used_sg_ids:
                # Skip default security groups as they cannot be deleted
                if sg['GroupName'] != 'default':
                    unused_groups.append({
                        'GroupId': sg['GroupId'],
                        'GroupName': sg['GroupName'],
                        'Description': sg['Description'],
                        'VpcId': sg.get('VpcId', 'EC2-Classic')
                    })

        # Print results
        if unused_groups:
            print(f"\nFound {len(unused_groups)} unused security groups in {region}:")
            print("-" * 80)
            for group in unused_groups:
                print(f"Security Group ID: {group['GroupId']}")
                print(f"Name: {group['GroupName']}")
                print(f"Description: {group['Description']}")
                print(f"VPC ID: {group['VpcId']}")
                print("-" * 80)
        else:
            print(f"\nNo unused security groups found in {region}")

        return unused_groups

    except ClientError as e:
        print(f"Error retrieving security groups: {str(e)}")
        return None

檢查引用：此函數檢查特定安全群組是否被任何其他安全群組引用。它透過根據入站 (ip-permission.group-id) 和出站 (egress.ip-permission.group-id) 規則過濾安全群組來實現此目的。
傳回引用組：如果引用組，則函數傳回引用安全組的清單。如果沒有，則傳回 None。

步驟 3：驗證未使用的安全性群組

def check_sg_references(ec2_client, group_id):
    """
    Check if a security group is referenced in other security groups' rules
    """
    try:
        # Check if the security group is referenced in other groups
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups = response['SecurityGroups']

        # Check for egress rules
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'egress.ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups.extend(response['SecurityGroups'])

        return referencing_groups

    except ClientError as e:
        print(f"Error checking security group references: {str(e)}")
        return None

驗證未使用的安全群組：在最後一步中，腳本首先檢索未使用的安全群組。然後，對於每個未使用的群組，它會檢查是否有任何其他安全性群組在其規則中引用它。
輸出：腳本輸出該群組是否被引用，如果沒有，則可以安全刪除。

運行腳本

要執行腳本，只需執行 validate_unused_groups 函數即可。例如，當區域設定為 us-east-1 時，腳本將：

檢索 us-east-1 中的所有安全群組和網路介面。
辨識未使用的安全群組。
驗證並報告這些未使用的群組是否被其他安全群組引用。

範例輸出

def validate_unused_groups(region='us-east-1'):
    """
    Validate and provide detailed information about unused security groups
    """
    ec2_client = boto3.client('ec2', region_name=region)
    unused_groups = get_unused_security_groups(region)

    if not unused_groups:
        return

    print("\nValidating security group references...")
    print("-" * 80)

    for group in unused_groups:
        group_id = group['GroupId']
        referencing_groups = check_sg_references(ec2_client, group_id)

        if referencing_groups:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is referenced by:")
            for ref_group in referencing_groups:
                print(f"- {ref_group['GroupId']} ({ref_group['GroupName']})")
        else:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is not referenced by any other groups")
            print("This security group can be safely deleted if not needed")

結論

使用此腳本，您可以自動執行在 AWS 中尋找未使用的安全群組的流程，並確保您不會保留不必要的資源。這有助於減少混亂、改善安全狀況，並可能透過刪除未使用的資源來降低成本。

您可以將此腳本擴展為：

根據標籤、VPC 或其他條件處理額外的過濾。
在偵測到未使用的群組時實施更進階的報告或警報。
與 AWS Lambda 整合以進行自動定期檢查。

確保您的 AWS 環境安全且組織良好！

以上是使用 Python 和 Boto3 尋找並驗證 AWS 中未使用的安全性群組的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

Python的執行模型：編譯，解釋還是兩者？May 10, 2025 am 12:04 AM

pythonisbothCompileDIntered。

Python是按線執行的嗎？May 10, 2025 am 12:03 AM

Python不是嚴格的逐行執行，而是基於解釋器的機制進行優化和條件執行。解釋器將代碼轉換為字節碼，由PVM執行，可能會預編譯常量表達式或優化循環。理解這些機制有助於優化代碼和提高效率。

python中兩個列表的串聯替代方案是什麼？May 09, 2025 am 12:16 AM

可以使用多種方法在Python中連接兩個列表：1.使用操作符，簡單但在大列表中效率低；2.使用extend方法，效率高但會修改原列表；3.使用 =操作符，兼具效率和可讀性；4.使用itertools.chain函數，內存效率高但需額外導入；5.使用列表解析，優雅但可能過於復雜。選擇方法應根據代碼上下文和需求。

Python：合併兩個列表的有效方法May 09, 2025 am 12:15 AM

有多種方法可以合併Python列表：1.使用操作符，簡單但對大列表不內存高效；2.使用extend方法，內存高效但會修改原列表；3.使用itertools.chain，適用於大數據集；4.使用*操作符，一行代碼合併小到中型列表；5.使用numpy.concatenate，適用於大數據集和性能要求高的場景；6.使用append方法，適用於小列表但效率低。選擇方法時需考慮列表大小和應用場景。

編譯的與解釋的語言：優點和缺點May 09, 2025 am 12:06 AM

CompiledLanguagesOffersPeedAndSecurity，而interneterpretledlanguages provideeaseafuseanDoctability.1）commiledlanguageslikec arefasterandSecureButhOnderDevevelmendeclementCyclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesclesandentency.2）cransportedeplatectentysenty

Python：對於循環，最完整的指南May 09, 2025 am 12:05 AM

Python中，for循環用於遍歷可迭代對象，while循環用於條件滿足時重複執行操作。 1）for循環示例：遍歷列表並打印元素。 2）while循環示例：猜數字遊戲，直到猜對為止。掌握循環原理和優化技巧可提高代碼效率和可靠性。

python concatenate列表到一個字符串中May 09, 2025 am 12:02 AM

要將列表連接成字符串，Python中使用join()方法是最佳選擇。 1)使用join()方法將列表元素連接成字符串，如''.join(my_list)。 2)對於包含數字的列表，先用map(str,numbers)轉換為字符串再連接。 3)可以使用生成器表達式進行複雜格式化，如','.join(f'({fruit})'forfruitinfruits)。 4)處理混合數據類型時，使用map(str,mixed_list)確保所有元素可轉換為字符串。 5)對於大型列表，使用''.join(large_li

Python的混合方法：編譯和解釋合併May 08, 2025 am 12:16 AM

pythonuseshybridapprace，ComminingCompilationTobyTecoDeAndInterpretation.1）codeiscompiledtoplatform-Indepententbybytecode.2）bytecodeisisterpretedbybythepbybythepythonvirtualmachine，增強效率和通用性。

See all articles