使用 Python 和 Boto3 查找并验证 AWS 中未使用的安全组-Python教程-PHP中文网

首页

后端开发

Python教程

使用 Python 和 Boto3 查找并验证 AWS 中未使用的安全组

Linda Hamilton

Dec 17, 2024 am 06:50 AM

Finding and Validating Unused Security Groups in AWS with Python and Boto3

有效管理 AWS 安全组对于维护安全且经济高效的云环境至关重要。安全组是 AWS 网络安全的重要组成部分，但随着时间的推移，未使用的安全组会不断累积。这些未使用的组不仅会使您的环境变得混乱，还可能带来安全风险或不必要地增加成本。

在本文中，我们将探讨如何使用 Python 和 Boto3 识别 AWS 环境中未使用的安全组、验证它们并确保它们不被任何其他资源引用。我们还将研究如何安全地确定是否可以删除这些组。

先决条件

要学习本教程，您需要以下内容：

AWS 账户：确保您有权访问要搜索未使用的安全组的 AWS 环境。
Boto3 已安装：您可以通过运行以下命令来安装 Boto3 Python SDK：

   pip install boto3

已配置 AWS 凭证：确保您使用 AWS CLI 或使用 IAM 角色或环境变量直接在代码中配置了 AWS 凭证。

代码分解

让我们看一下代码，用于识别给定 AWS 区域中未使用的安全组、验证它们并检查它们是否被任何其他组引用。

步骤 1：获取所有安全组和 ENI

   pip install boto3

获取安全组：我们首先调用describe_security_groups方法获取指定区域内的所有安全组。
检索网络接口：接下来，我们使用describe_network_interfaces检索所有网络接口。每个网络接口都可以有一个或多个与其关联的安全组。
识别已使用的安全组：对于每个网络接口，我们将关联的安全组 ID 添加到名为used_sg_ids 的集合中。
查找未使用的组：然后我们将安全组 ID 与正在使用的组 ID 进行比较。如果一个组没有被使用（即它的ID不在used_sg_ids集合中），我们认为它没有被使用，除了默认的安全组，它不能被删除。

步骤 2：检查安全组引用

import boto3
from botocore.exceptions import ClientError

def get_unused_security_groups(region='us-east-1'):
    """
    Find security groups that are not being used by any resources.
    """
    ec2_client = boto3.client('ec2', region_name=region)

    try:
        # Get all security groups
        security_groups = ec2_client.describe_security_groups()['SecurityGroups']

        # Get all network interfaces
        enis = ec2_client.describe_network_interfaces()['NetworkInterfaces']

        # Create set of security groups in use
        used_sg_ids = set()

        # Check security groups attached to ENIs
        for eni in enis:
            for group in eni['Groups']:
                used_sg_ids.add(group['GroupId'])

        # Find unused security groups
        unused_groups = []
        for sg in security_groups:
            if sg['GroupId'] not in used_sg_ids:
                # Skip default security groups as they cannot be deleted
                if sg['GroupName'] != 'default':
                    unused_groups.append({
                        'GroupId': sg['GroupId'],
                        'GroupName': sg['GroupName'],
                        'Description': sg['Description'],
                        'VpcId': sg.get('VpcId', 'EC2-Classic')
                    })

        # Print results
        if unused_groups:
            print(f"\nFound {len(unused_groups)} unused security groups in {region}:")
            print("-" * 80)
            for group in unused_groups:
                print(f"Security Group ID: {group['GroupId']}")
                print(f"Name: {group['GroupName']}")
                print(f"Description: {group['Description']}")
                print(f"VPC ID: {group['VpcId']}")
                print("-" * 80)
        else:
            print(f"\nNo unused security groups found in {region}")

        return unused_groups

    except ClientError as e:
        print(f"Error retrieving security groups: {str(e)}")
        return None

检查引用：此函数检查特定安全组是否被任何其他安全组引用。它通过根据入站 (ip-permission.group-id) 和出站 (egress.ip-permission.group-id) 规则过滤安全组来实现此目的。
返回引用组：如果引用组，则该函数返回引用安全组的列表。如果没有，则返回 None。

步骤 3：验证未使用的安全组

def check_sg_references(ec2_client, group_id):
    """
    Check if a security group is referenced in other security groups' rules
    """
    try:
        # Check if the security group is referenced in other groups
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups = response['SecurityGroups']

        # Check for egress rules
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'egress.ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups.extend(response['SecurityGroups'])

        return referencing_groups

    except ClientError as e:
        print(f"Error checking security group references: {str(e)}")
        return None

验证未使用的安全组：在最后一步中，脚本首先检索未使用的安全组。然后，对于每个未使用的组，它会检查是否有任何其他安全组在其规则中引用它。
输出：脚本输出该组是否被引用，如果没有，则可以安全删除。

运行脚本

要运行脚本，只需执行 validate_unused_groups 函数即可。例如，当区域设置为 us-east-1 时，脚本将：

检索 us-east-1 中的所有安全组和网络接口。
识别未使用的安全组。
验证并报告这些未使用的组是否被其他安全组引用。

示例输出

def validate_unused_groups(region='us-east-1'):
    """
    Validate and provide detailed information about unused security groups
    """
    ec2_client = boto3.client('ec2', region_name=region)
    unused_groups = get_unused_security_groups(region)

    if not unused_groups:
        return

    print("\nValidating security group references...")
    print("-" * 80)

    for group in unused_groups:
        group_id = group['GroupId']
        referencing_groups = check_sg_references(ec2_client, group_id)

        if referencing_groups:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is referenced by:")
            for ref_group in referencing_groups:
                print(f"- {ref_group['GroupId']} ({ref_group['GroupName']})")
        else:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is not referenced by any other groups")
            print("This security group can be safely deleted if not needed")

结论

使用此脚本，您可以自动执行在 AWS 中查找未使用的安全组的过程，并确保您不会保留不必要的资源。这有助于减少混乱、改善安全状况，并可能通过删除未使用的资源来降低成本。

您可以将此脚本扩展为：

根据标签、VPC 或其他条件处理额外的过滤。
在检测到未使用的组时实施更高级的报告或警报。
与 AWS Lambda 集成以进行自动定期检查。

确保您的 AWS 环境安全且组织良好！

以上是使用 Python 和 Boto3 查找并验证 AWS 中未使用的安全组的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

Python的混合方法：编译和解释合并May 08, 2025 am 12:16 AM

pythonuseshybridapprace，ComminingCompilationTobyTecoDeAndInterpretation.1）codeiscompiledtoplatform-Indepententbybytecode.2）bytecodeisisterpretedbybythepbybythepythonvirtualmachine，增强效率和通用性。

了解python的' for”和' then”循环之间的差异May 08, 2025 am 12:11 AM

theKeyDifferencesBetnewpython's“ for”和“ for”和“ loopsare：1）” for“ loopsareIdealForiteringSequenceSquencesSorkNowniterations，而2）”，而“ loopsareBetterforConterContinuingUntilacTientInditionIntionismetismetistismetistwithOutpredefinedInedIterations.un

Python串联列表与重复May 08, 2025 am 12:09 AM

在Python中，可以通过多种方法连接列表并管理重复元素：1)使用运算符或extend()方法可以保留所有重复元素；2)转换为集合再转回列表可以去除所有重复元素，但会丢失原有顺序；3)使用循环或列表推导式结合集合可以去除重复元素并保持原有顺序。

Python列表串联性能：速度比较May 08, 2025 am 12:09 AM

fasteStmethodMethodMethodConcatenationInpythondependersonListsize：1）forsmalllists，operatorseffited.2）forlargerlists，list.extend.extend（）orlistComprechensionfaster，withextendEffaster，withExtendEffers，withextend（）withextend（）是extextend（）asmoremory-ememory-emmoremory-emmoremory-emmodifyinginglistsin-place-place-place。

您如何将元素插入python列表中？May 08, 2025 am 12:07 AM

toInSerteLementIntoApythonList，useAppend（）toaddtotheend，insert（）foreSpificPosition，andextend（）formultiplelements.1）useappend（）foraddingsingleitemstotheend.2）useAddingsingLeitemStotheend.2）useeapecificindex，toadapecificindex，toadaSpecificIndex，toadaSpecificIndex，blyit'ssssssslorist.3 toaddextext.3

Python是否列表动态阵列或引擎盖下的链接列表？May 07, 2025 am 12:16 AM

pythonlistsareimplementedasdynamicarrays，notlinkedlists.1）他们areStoredIncoNtiguulMemoryBlocks，mayrequireRealLealLocationWhenAppendingItems，EmpactingPerformance.2）LinkesedlistSwoldOfferefeRefeRefeRefeRefficeInsertions/DeletionsButslowerIndexeDexedAccess，Lestpypytypypytypypytypy

如何从python列表中删除元素？May 07, 2025 am 12:15 AM

pythonoffersFourmainMethodStoreMoveElement Fromalist：1）删除（值）emovesthefirstoccurrenceofavalue，2）pop（index）emovesanderturnsanelementataSpecifiedIndex，3）delstatementremoveselemsbybybyselementbybyindexorslicebybyindexorslice，and 4）

试图运行脚本时，应该检查是否会遇到'权限拒绝”错误？May 07, 2025 am 12:12 AM

toresolvea“ dermissionded”错误Whenrunningascript，跟随台词：1）CheckAndAdjustTheScript'Spermissions ofchmod xmyscript.shtomakeitexecutable.2）nesureThEseRethEserethescriptistriptocriptibationalocatiforecationAdirectorywherewhereyOuhaveWritePerMissionsyOuhaveWritePermissionsyYouHaveWritePermissions，susteSyAsyOURHomeRecretectory。

See all articles