amazon.aws.ec2_security_group 模块 – 管理 EC2 安全组

注意

此模块是 amazon.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装它，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install amazon.aws。您需要其他要求才能使用此模块，有关详细信息，请参阅 要求。

要在剧本中使用它，请指定：amazon.aws.ec2_security_group。

amazon.aws 1.0.0 中的新增功能

概要

• 管理 EC2 安全组。

别名：ec2_group

要求

执行此模块的主机需要以下要求。

• python >= 3.6

• boto3 >= 1.28.0

• botocore >= 1.31.0

参数

参数	注释
access_key 别名：aws_access_key_id, aws_access_key, ec2_access_key 字符串	AWS 访问密钥 ID。 有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。 还可以按优先级递减的顺序使用 AWS_ACCESS_KEY_ID、AWS_ACCESS_KEY 或 EC2_ACCESS_KEY 环境变量。 aws_access_key 和 profile 选项是互斥的。 为了与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_access_key_id 别名。 ec2_access_key 别名已弃用，并将在 2024-12-01 之后某个版本中删除。 EC2_ACCESS_KEY 环境变量的支持已弃用，并将在 2024-12-01 之后某个版本中删除。
aws_ca_bundle 路径	验证 SSL 证书时使用的 CA 证书包的位置。 还可以使用 AWS_CA_BUNDLE 环境变量。
aws_config 字典	用于修改 botocore 配置的字典。 参数可在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config。
debug_botocore_endpoint_logs 布尔值	使用 botocore.endpoint 日志记录器来解析任务期间进行的唯一（而不是总计）"resource:action" API 调用，并将集合输出到任务结果中的 resource_actions 密钥。使用 aws_resource_action 回调将输出到剧本期间进行的总列表。 还可以使用 ANSIBLE_DEBUG_BOTOCORE_LOGS 环境变量。 选项 false ← (默认) true
description 字符串	安全组的描述。 当 state 为 present 时必需。
endpoint_url 别名：ec2_url, aws_endpoint_url, s3_url 字符串	连接到的 URL，而不是默认的 AWS 端点。虽然这可以用于连接到其他与 AWS 兼容的服务，但 amazon.aws 和 community.aws 集合仅针对 AWS 进行了测试。 还可以按优先级递减的顺序使用 AWS_URL 或 EC2_URL 环境变量。 ec2_url 和 s3_url 别名已弃用，并将在 2024-12-01 之后某个版本中删除。 EC2_URL 环境变量的支持已弃用，并将在 2024-12-01 之后某个版本中删除。
group_id 字符串	要删除的组的 ID（仅适用于 absent）。 name 或 group_id 之一且只有一个是必需的。
name 字符串	安全组的名称。 name 或 group_id 之一且只有一个是必需的。 如果 state=present，则需要。
profile 别名：aws_profile 字符串	用于身份验证的命名 AWS 配置文件。 有关命名配置文件的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。 还可以使用 AWS_PROFILE 环境变量。 profile 选项与 aws_access_key、aws_secret_key 和 security_token 选项互斥。
purge_rules 布尔值	清除安全组中在规则中找不到的现有规则。 选项 false true ← (默认)
purge_rules_egress 别名：purge_egress_rules 布尔值	清除安全组中在 rules_egress 中找不到的现有 rules_egress。 选项 false true ← (默认)
purge_tags 布尔值	如果 purge_tags=true 并且设置了 tags，则将从资源中清除现有标签，以完全匹配 tags 参数中定义的内容。 如果未设置 tags 参数，则即使 purge_tags=True，也不会修改标签。 以 aws: 开头的标签键由 Amazon 保留，不能修改。因此，在 purge_tags 参数中将忽略它们。有关更多信息，请参见 Amazon 文档 https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-conventions。 选项 false true ← (默认)
区域 (region) 别名：aws_region、ec2_region 字符串	要使用的 AWS 区域。 对于 IAM、Route53 和 CloudFront 等全局服务，将忽略区域。 也可以使用 AWS_REGION 或 EC2_REGION 环境变量。 有关更多信息，请参见 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region。 ec2_region 别名已弃用，将在 2024-12-01 之后的一个版本中移除。 对 EC2_REGION 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中移除。
规则 (rules) 列表 / 元素=字典	要在该组中强制执行的防火墙入站规则列表（参见示例）。如果没有提供任何规则，则不会启用任何入站规则。规则列表可在 rules.group_name 中包含其自己的名称。这允许幂等环回添加（例如，允许组访问自身）。
cidr_ip 列表 / 元素=任意	流量来源的 IPv4 CIDR 范围。 只能指定 rules.cidr_ip、rules.cidr_ipv6、rules.ip_prefix、rules.group_id 和 group_name 之一。 对将嵌套字符串列表传递给 rules.cidr_ip 的支持已弃用，将在 2024-12-01 之后的一个版本中移除。
cidr_ipv6 列表 / 元素=任意	流量来源的 IPv6 CIDR 范围。 只能指定 rules.cidr_ip、rules.cidr_ipv6、rules.ip_prefix、rules.group_id 和 rules.group_name 之一。 对将嵌套字符串列表传递给 rules.cidr_ipv6 的支持已弃用，将在 2024-12-01 之后的一个版本中移除。
起始端口 (from_port) 整数	流量目标端口范围的起始端口。 值可以在 0 到 65535 之间。 当 rules.proto=icmp 时，值为 -1 表示所有端口。 与 rules.icmp_code、rules.icmp_type 和 rules.ports 互斥。
安全组描述 (group_desc) 字符串	如果设置了 rules.group_name 并且安全组不存在，则将创建一个新的安全组，并使用 rules.group_desc 作为其描述。
group_id 列表 / 元素=字符串	流量来源的安全组 ID。 只能指定 rules.cidr_ip、rules.cidr_ipv6、rules.ip_prefix、rules.group_id 和 rules.group_name 之一。
安全组名称 (group_name) 列表 / 元素=字符串	流量来源的安全组名称。 如果安全组不存在，则将创建一个新的安全组，并使用 rules.group_desc 作为其描述。 rules.group_name 可以接受 str 和列表类型的值。 只能指定 rules.cidr_ip、rules.cidr_ipv6、rules.ip_prefix、rules.group_id 和 rules.group_name 之一。
ICMP 代码 (icmp_code) 整数 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 代码。 值为 -1 表示所有 ICMP 代码。 需要 rules.proto=icmp 或 rules.proto=icmpv6。 与 rules.ports、rules.from_port 和 rules.to_port 互斥。
ICMP 类型 (icmp_type) 整数 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 类型。 值为 -1 表示所有 ICMP 类型。 需要 rules.proto=icmp 或 rules.proto=icmpv6。 与 rules.ports、rules.from_port 和 rules.to_port 互斥。
IP 前缀 (ip_prefix) 列表 / 元素=字符串	流量来源的 IP 前缀 https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-prefix-lists.html。 只能指定 rules.cidr_ip、rules.cidr_ipv6、rules.ip_prefix、rules.group_id 和 rules.group_name 之一。
端口 (ports) 列表 / 元素=字符串	流量目标的端口列表。 列表中的元素可以是单个端口（例如 8080），也可以是指定为 <START>-<END> 的端口范围（例如 1011-1023）。 与 rules.icmp_code、rules.icmp_type、rules.from_port 和 rules.to_port 互斥。
proto 字符串	IP协议名称（tcp、udp、icmp、icmpv6）或编号（https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers）。 默认值： "tcp"
rule_desc 字符串	规则描述。
to_port 整数	流量目标端口范围的结束端口。 值可以在 0 到 65535 之间。 当 rules.proto=icmp 时，值为 -1 表示所有端口。 与 rules.icmp_code、rules.icmp_type 和 rules.ports 互斥。
rules_egress 别名：egress_rules 列表 / 元素=字典	要在该组中实施的防火墙出站规则列表（参见示例）。如果没有提供任何规则，则假定为默认的全部允许出站规则。如果提供空列表，则不会启用任何出站规则。
cidr_ip 列表 / 元素=任意	流量目标的IPv4 CIDR范围。 您只能指定一个：rules_egress.cidr_ip、rules_egress.cidr_ipv6、rules_egress.ip_prefix、rules_egress.group_id 和 rules_egress.group_name。 传递嵌套字符串列表到 rules_egress.cidr_ip 的支持已弃用，并将在2024-12-01之后的发行版中移除。
cidr_ipv6 列表 / 元素=任意	流量目标的IPv6 CIDR范围。 您只能指定一个：rules_egress.cidr_ip、rules_egress.cidr_ipv6、rules_egress.ip_prefix、rules_egress.group_id 和 rules_egress.group_name。 传递嵌套字符串列表到 rules_egress.cidr_ipv6 的支持已弃用，并将在2024-12-01之后的发行版中移除。
from_port 整数	流量目标端口范围的起始端口。 值可以在 0 到 65535 之间。 当 rules_egress.proto=icmp 时，值为 -1 表示所有端口。 与 rules_egress.icmp_code、rules_egress.icmp_type 和 rules_egress.ports 互斥。
group_desc 字符串	如果设置了 rules_egress.group_name 并且安全组不存在，则将使用 rules_egress.group_desc 作为描述创建一个新的安全组。
group_id 列表 / 元素=字符串	流量目标安全组的ID。 您只能指定一个：rules_egress.cidr_ip、rules_egress.cidr_ipv6、rules_egress.ip_prefix、rules_egress.group_id 和 rules_egress.group_name。
group_name 列表 / 元素=字符串	流量目标安全组的名称。 如果安全组不存在，则将使用 rules_egress.group_desc 作为描述创建一个新的安全组。 您只能指定一个：rules_egress.cidr_ip、rules_egress.cidr_ipv6、rules_egress.ip_prefix、rules_egress.group_id 和 rules_egress.group_name。
icmp_code 整数 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 代码。 值为 -1 表示所有 ICMP 代码。 需要 rules_egress.proto=icmp 或 rules_egress.proto=icmpv6。 与 rules_egress.ports、rules_egress.from_port 和 rules_egress.to_port 互斥。
icmp_type 整数 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 类型。 值为CV(-1)表示所有ICMP类型。 需要 rules_egress.proto=icmp 或 rules_egress.proto=icmpv6。 与 rules_egress.ports、rules_egress.from_port 和 rules_egress.to_port 互斥。
ip_prefix 列表 / 元素=字符串	流量目标的IP前缀 https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-prefix-lists.html。 您只能指定一个：rules_egress.cidr_ip、rules_egress.cidr_ipv6、rules_egress.ip_prefix、rules_egress.group_id 和 rules_egress.group_name。
ports 列表 / 元素=字符串	流量目标的端口列表。 列表中的元素可以是单个端口（例如 8080），也可以是指定为 <START>-<END> 的端口范围（例如 1011-1023）。 与 rules_egress.icmp_code、rules_egress.icmp_type、rules_egress.from_port 和 rules_egress.to_port 互斥。
proto 字符串	IP协议名称（tcp、udp、icmp、icmpv6）或编号（https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers）。 默认值： "tcp"
rule_desc 字符串	规则描述。
to_port 整数	流量目标端口范围的结束端口。 值可以在 0 到 65535 之间。 当 rules_egress.proto=icmp 时，值为 -1 表示所有端口。 与 rules_egress.icmp_code、rules_egress.icmp_type 和 rules_egress.ports 互斥。
secret_key 别名：aws_secret_access_key, aws_secret_key, ec2_secret_key 字符串	AWS 密钥访问密钥。 有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。 也可以使用 AWS_SECRET_ACCESS_KEY、AWS_SECRET_KEY 或 EC2_SECRET_KEY 环境变量，优先级依次递减。 secret_key 和 profile 选项互斥。 为与AWS botocore SDK保持一致，在5.1.0版本中添加了aws_secret_access_key别名。 ec2_secret_key 别名已弃用，并将在2024-12-01之后的发行版中移除。 EC2_SECRET_KEY环境变量的支持已弃用，并将在2024-12-01之后的发行版中移除。
session_token 别名：aws_session_token, security_token, aws_security_token, access_token 字符串	用于临时凭证的AWS STS会话令牌。 有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。 也可以使用 AWS_SESSION_TOKEN、AWS_SECURITY_TOKEN 或 EC2_SECURITY_TOKEN 环境变量，优先级依次递减。 security_token 和 profile 选项互斥。 别名 aws_session_token 和 session_token 在 3.2.0 版本中添加，参数名称在 6.0.0 版本中从 security_token 重命名为 session_token。 security_token、aws_security_token 和 access_token 别名已弃用，并将在2024-12-01之后的发行版中移除。 EC2_SECRET_KEY 和 AWS_SECURITY_TOKEN 环境变量的支持已弃用，并将在2024-12-01之后的发行版中移除。
state 字符串	创建或删除安全组。 选项 "present" ← (默认) "absent"
tags 别名：resource_tags 字典	表示要应用于资源的标签的字典。 如果未设置tags参数，则不会修改标签。
validate_certs 布尔值	设置为false时，将不会验证与 AWS API 通信的 SSL 证书。 强烈建议不要设置validate_certs=false，作为替代方案，请考虑设置aws_ca_bundle。 选项 false true ← (默认)
vpc_id 字符串	要创建安全组的 VPC ID。

备注

注意

• 如果规则声明了一个group_name，并且该组不存在，则会自动创建它。在这种情况下，也应提供group_desc。模块将拒绝创建没有描述的依赖组。

• 在 5.0.0 版本之前，此模块名为amazon.aws.ec2_group_info。用法没有改变。

• 警告：对于模块，环境变量和配置文件是从 Ansible 的“主机”上下文而不是“控制器”上下文读取的。因此，可能需要将文件显式复制到“主机”。对于查找和连接插件，环境变量和配置文件是从 Ansible 的“控制器”上下文而不是“主机”上下文读取的。

• Ansible 使用的 AWS SDK (boto3) 也可能从 Ansible “主机”上下文中的配置文件读取凭据和其他设置的默认值，例如区域（通常为~/.aws/credentials）。有关更多信息，请参见https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html。

示例

# Note: These examples do not set authentication details, see the AWS Guide for details.

- name: example using security group rule descriptions
  amazon.aws.ec2_security_group:
    name: "{{ name }}"
    description: sg with rule descriptions
    vpc_id: vpc-xxxxxxxx
    rules:
      - proto: tcp
        ports:
          - 80
        cidr_ip: 0.0.0.0/0
        rule_desc: allow all on port 80

- name: example using ICMP types and codes
  amazon.aws.ec2_security_group:
    name: "{{ name }}"
    description: sg for ICMP
    vpc_id: vpc-xxxxxxxx
    rules:
      - proto: icmp
        icmp_type: 3
        icmp_code: 1
        cidr_ip: 0.0.0.0/0

- name: example ec2 group
  amazon.aws.ec2_security_group:
    name: example
    description: an example EC2 group
    vpc_id: 12345
    rules:
      - proto: tcp
        from_port: 80
        to_port: 80
        cidr_ip: 0.0.0.0/0
      - proto: tcp
        from_port: 22
        to_port: 22
        cidr_ip: 10.0.0.0/8
      - proto: tcp
        from_port: 443
        to_port: 443
        # this should only be needed for EC2 Classic security group rules
        # because in a VPC an ELB will use a user-account security group
        group_id: amazon-elb/sg-87654321/amazon-elb-sg
      - proto: tcp
        from_port: 3306
        to_port: 3306
        group_id: 123456789012/sg-87654321/exact-name-of-sg
      - proto: udp
        from_port: 10050
        to_port: 10050
        cidr_ip: 10.0.0.0/8
      - proto: udp
        from_port: 10051
        to_port: 10051
        group_id: sg-12345678
      - proto: icmp
        from_port: 8 # icmp type, -1 = any type
        to_port: -1 # icmp subtype, -1 = any subtype
        cidr_ip: 10.0.0.0/8
      - proto: all
        # the containing group name may be specified here
        group_name: example
      - proto: all
        # in the 'proto' attribute, if you specify -1 (only supported when I(proto=icmp)), all, or a protocol number
        # other than tcp, udp, icmp, or 58 (ICMPv6), traffic on all ports is allowed, regardless of any ports that
        # you specify.
        from_port: 10050 # this value is ignored
        to_port: 10050   # this value is ignored
        cidr_ip: 10.0.0.0/8

    rules_egress:
      - proto: tcp
        from_port: 80
        to_port: 80
        cidr_ip: 0.0.0.0/0
        cidr_ipv6: 64:ff9b::/96
        group_name: example-other
        # description to use if example-other needs to be created
        group_desc: other example EC2 group

- name: example2 ec2 group
  amazon.aws.ec2_security_group:
    name: example2
    description: an example2 EC2 group
    vpc_id: 12345
    rules:
      # 'ports' rule keyword was introduced in version 2.4. It accepts a single
      # port value or a list of values including ranges (from_port-to_port).
      - proto: tcp
        ports: 22
        group_name: example-vpn
      - proto: tcp
        ports:
          - 80
          - 443
          - 8080-8099
        cidr_ip: 0.0.0.0/0
      # Rule sources list support was added in version 2.4. This allows to
      # define multiple sources per source type as well as multiple source types per rule.
      - proto: tcp
        ports:
          - 6379
          - 26379
        group_name:
          - example-vpn
          - example-redis
      - proto: tcp
        ports: 5665
        group_name: example-vpn
        cidr_ip:
          - 172.16.1.0/24
          - 172.16.17.0/24
        cidr_ipv6:
          - 2607:F8B0::/32
          - 64:ff9b::/96
        group_id:
          - sg-edcd9784
  diff: true

- name: "Delete group by its id"
  amazon.aws.ec2_security_group:
    group_id: sg-33b4ee5b
    state: absent

返回值

常见的返回值已在此处记录，以下是此模块独有的字段

键	描述
description 字符串	安全组的描述。 返回：在创建/更新时 示例："My Security Group"
group_id 字符串	安全组 ID。 返回：在创建/更新时 示例："sg-abcd1234"
安全组名称 (group_name) 字符串	安全组名称。 返回：在创建/更新时 示例："My Security Group"
ip_permissions 列表 / 元素=字典	与安全组关联的入站规则。 返回：始终
起始端口 (from_port) 整数	如果协议是 TCP 或 UDP，则这是端口范围的起始值。 返回：成功 示例：80
ip_protocol 字符串	IP 协议名称或编号。 返回：始终
ip_ranges 列表 / 元素=字典	IPv4 范围。 返回：始终
cidr_ip 字符串	IPv4 CIDR 范围。 返回：始终
ipv6_ranges 列表 / 元素=字典	IPv6 范围。 返回：始终
cidr_ipv6 字符串	IPv6 CIDR 范围。 返回：始终
prefix_list_ids 列表 / 元素=字典	前缀列表 ID。 返回：始终
prefix_list_id 字符串	前缀的 ID。 返回：始终
to_group 整数	如果协议是 TCP 或 UDP，则这是端口范围的结束值。 返回：成功 示例：80
user_id_group_pairs 列表 / 元素=字典	安全组和 AWS 账户 ID 对。 返回：始终
group_id 字符串	对的安全组 ID。 返回：始终
user_id 字符串	对的用户 ID。 返回：始终
ip_permissions_egress 列表 / 元素=字典	与安全组关联的出站规则。 返回：始终
ip_protocol 字符串	IP 协议名称或编号。 返回：始终
ip_ranges 列表 / 元素=字典	IPv4 范围。 返回：始终
cidr_ip 字符串	IPv4 CIDR 范围。 返回：始终
ipv6_ranges 列表 / 元素=字典	IPv6 范围。 返回：始终
cidr_ipv6 字符串	IPv6 CIDR 范围。 返回：始终
prefix_list_ids 列表 / 元素=字典	前缀列表 ID。 返回：始终
prefix_list_id 字符串	前缀的 ID。 返回：始终
user_id_group_pairs 列表 / 元素=字典	安全组和 AWS 账户 ID 对。 返回：始终
group_id 字符串	对的安全组 ID。 返回：始终
user_id 字符串	对的用户 ID。 返回：始终
owner_id 整数	安全组的 AWS 账户 ID。 返回：在创建/更新时 示例：123456789012
tags 字典	与安全组关联的标签。 返回：在创建/更新时 示例：{"Name": "My Security Group", "Purpose": "protecting stuff"}
vpc_id 字符串	安全组所属 VPC 的 ID。 返回：在创建/更新时 示例："vpc-abcd1234"

作者

• Andrew de Quincey (@adq)

• Razique Mahroua (@Razique)

收藏链接

• 问题追踪器
• 代码库（源代码）
• 通信