community.aws.networkfirewall 模块 – 管理 AWS 网络防火墙

注意

此模块是 community.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 软件包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install community.aws。您需要其他要求才能使用此模块,有关详细信息,请参阅 要求

要在 playbook 中使用它,请指定: community.aws.networkfirewall

community.aws 4.0.0 中的新增功能

概要

  • 用于创建、更新和删除 AWS 网络防火墙的模块。

要求

执行此模块的主机需要以下要求。

  • python >= 3.6

  • boto3 >= 1.28.0

  • botocore >= 1.31.0

参数

参数

注释

access_key

别名:aws_access_key_id、aws_access_key、ec2_access_key

字符串

AWS 访问密钥 ID。

有关访问令牌的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

还可以按优先级递减的顺序使用 AWS_ACCESS_KEY_IDAWS_ACCESS_KEYEC2_ACCESS_KEY 环境变量。

aws_access_keyprofile 选项是互斥的。

为了与 AWS botocore SDK 保持一致,在 5.1.0 版本中添加了 aws_access_key_id 别名。

ec2_access_key 别名已被弃用,并将在 2024-12-01 之后的发行版中删除。

EC2_ACCESS_KEY 环境变量的支持已被弃用,并将在 2024-12-01 之后的发行版中删除。

arn

别名:firewall_arn

字符串

防火墙的 ARN。

必须提供 arnname 中的其中一个。

aws_ca_bundle

路径

验证 SSL 证书时要使用的 CA 捆绑包的位置。

还可以使用 AWS_CA_BUNDLE 环境变量。

aws_config

字典

用于修改 botocore 配置的字典。

参数可在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config

debug_botocore_endpoint_logs

布尔值

使用 botocore.endpoint 记录器来解析在任务期间进行的唯一(而不是总计)"resource:action" API 调用,并将集合输出到任务结果中的 resource_actions 密钥。使用 aws_resource_action 回调将输出到 playbook 期间进行的总列表。

还可以使用 ANSIBLE_DEBUG_BOTOCORE_LOGS 环境变量。

选项

  • false ← (默认)

  • true

delete_protection

布尔值

delete_protection=True 时,防火墙受到保护,无法删除。

创建时未提供时,默认为 false

选项

  • false

  • true

description

字符串

防火墙的描述。

endpoint_url

别名:ec2_url、aws_endpoint_url、s3_url

字符串

连接到非默认 AWS 端点的 URL。虽然这可以用于连接到其他与 AWS 兼容的服务,但 amazon.aws 和 community.aws 集合仅针对 AWS 进行测试。

还可以按优先级递减的顺序使用 AWS_URLEC2_URL 环境变量。

ec2_urls3_url 别名已被弃用,并将在 2024-12-01 之后的发行版中删除。

对环境变量EC2_URL的支持已弃用,将在2024-12-01之后的一个版本中移除。

name

别名:firewall_name

字符串

防火墙的名称。

创建后无法更新。

必须提供 arnname 中的其中一个。

policy

别名:firewall_policy_arn

字符串

防火墙使用的网络防火墙策略的ARN。

创建新防火墙时必填。

policy_change_protection

别名:firewall_policy_change_protection

布尔值

policy_change_protection=True时,防火墙受到保护,防止更改附加到防火墙的策略。

创建时未提供时,默认为 false

选项

  • false

  • true

profile

别名:aws_profile

字符串

用于身份验证的命名AWS配置文件。

有关命名配置文件的更多信息,请参阅AWS文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html

也可以使用AWS_PROFILE环境变量。

profile选项与aws_access_keyaws_secret_keysecurity_token选项互斥。

purge_subnets

布尔值

如果purge_subnets=true,则会根据subnets的定义,必要时从防火墙中删除现有子网。

选项

  • false

  • true ← (默认)

purge_tags

布尔值

如果purge_tags=true并且设置了tags,则将从资源中清除现有标签,以完全匹配tags参数的定义。

如果没有设置tags参数,则即使purge_tags=True,也不会修改标签。

aws:开头的标签键由Amazon保留,无法修改。因此,在purge_tags参数中将忽略它们。有关更多信息,请参阅Amazon文档 https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-conventions

选项

  • false

  • true ← (默认)

region

别名:aws_region, ec2_region

字符串

要使用的AWS区域。

对于IAM、Route53和CloudFront等全局服务,将忽略region

也可以使用AWS_REGIONEC2_REGION环境变量。

有关更多信息,请参阅Amazon AWS文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region

别名ec2_region已弃用,将在2024-12-01之后的一个版本中移除。

对环境变量EC2_REGION的支持已弃用,将在2024-12-01之后的一个版本中移除。

secret_key

别名:aws_secret_access_key, aws_secret_key, ec2_secret_key

字符串

AWS密钥访问密钥。

有关访问令牌的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以使用AWS_SECRET_ACCESS_KEYAWS_SECRET_KEYEC2_SECRET_KEY环境变量,优先级依次递减。

secret_keyprofile选项互斥。

为与AWS botocore SDK保持一致,在5.1.0版本中添加了aws_secret_access_key别名。

别名ec2_secret_key已弃用,将在2024-12-01之后的一个版本中移除。

对环境变量EC2_SECRET_KEY的支持已弃用,将在2024-12-01之后的一个版本中移除。

session_token

别名:aws_session_token, security_token, aws_security_token, access_token

字符串

与临时凭证一起使用的AWS STS会话令牌。

有关访问令牌的更多信息,请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys

也可以使用AWS_SESSION_TOKENAWS_SECURITY_TOKENEC2_SECURITY_TOKEN环境变量,优先级依次递减。

security_tokenprofile选项互斥。

在3.2.0版本中添加了别名aws_session_tokensession_token,在6.0.0版本中将参数名称从security_token重命名为session_token

别名security_tokenaws_security_tokenaccess_token已弃用,将在2024-12-01之后的一个版本中移除。

对环境变量EC2_SECRET_KEYAWS_SECURITY_TOKEN的支持已弃用,将在2024-12-01之后的一个版本中移除。

state

字符串

创建或删除防火墙。

选项

  • "present" ← (默认)

  • "absent"

subnet_change_protection

布尔值

subnet_change_protection=True时,防火墙受到保护,防止更改附加到防火墙的子网。

创建时未提供时,默认为 false

选项

  • false

  • true

subnets

列表 / 元素=字符串

防火墙将关联到的子网ID。

创建新防火墙时必填。

tags

别名:resource_tags

字典

表示要应用于资源的标签的字典。

如果没有设置tags参数,则不会修改标签。

validate_certs

布尔值

设置为false时,不会验证与AWS API通信的SSL证书。

强烈建议不要设置validate_certs=false,作为替代方案,请考虑设置aws_ca_bundle

选项

  • false

  • true ← (默认)

wait

布尔值

创建时,是否等待防火墙达到READY状态。

删除时,是否等待防火墙达到DELETED状态。

更新时,是否等待防火墙达到IN_SYNC配置同步状态。

选项

  • false

  • true ← (默认)

wait_timeout

整数

等待防火墙达到预期状态的最长时间(秒)。

默认为600秒。

注释

注意

  • 注意:对于模块,环境变量和配置文件是从Ansible的“主机”上下文而不是“控制器”上下文读取的。因此,可能需要显式地将文件复制到“主机”。对于查找和连接插件,环境变量和配置文件是从Ansible的“控制器”上下文而不是“主机”上下文读取的。

  • Ansible使用的AWS SDK (boto3)也可能从Ansible“主机”上下文中的配置文件(通常为~/.aws/credentials)读取凭据和其他设置(例如区域)的默认值。有关更多信息,请参阅 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html

示例

# Create an AWS Network Firewall
- community.aws.networkfirewall:
    name: 'ExampleFirewall'
    state: present
    policy: 'ExamplePolicy'
    subnets:
      - 'subnet-123456789abcdef01'

# Create an AWS Network Firewall with various options, don't wait for creation
# to finish.
- community.aws.networkfirewall:
    name: 'ExampleFirewall'
    state: present
    delete_protection: true
    description: "An example Description"
    policy: 'ExamplePolicy'
    policy_change_protection: true
    subnets:
      - 'subnet-123456789abcdef01'
      - 'subnet-abcdef0123456789a'
    subnet_change_protection: true
    tags:
      ExampleTag: Example Value
      another_tag: another_example
    wait: false


# Delete an AWS Network Firewall
- community.aws.networkfirewall:
    state: absent
    name: 'ExampleFirewall'

返回值

此处记录了常见的返回值 此处,以下是此模块特有的字段

描述

firewall

字典

防火墙的完整详细信息

返回:成功

firewall

字典

防火墙的详细信息

返回:成功

delete_protection

字符串

指示是否可以删除防火墙的标志。

返回:成功

示例: "True"

description

字符串

防火墙的描述。

返回:成功

示例: "Description"

firewall_arn

字符串

防火墙的 ARN。

返回:成功

示例: "arn:aws:network-firewall:us-east-1:123456789012:firewall/ExampleFirewall"

firewall_id

字符串

防火墙的唯一 ID。

返回:成功

示例: "12345678-abcd-1234-abcd-123456789abc"

firewall_name

字符串

防火墙的名称。

返回:成功

示例: "ExampleFirewall"

firewall_policy_arn

字符串

防火墙使用的防火墙策略的 ARN。

返回:成功

示例: "arn:aws:network-firewall:us-east-1:123456789012:firewall-policy/ExamplePolicy"

firewall_policy_change_protection

布尔值

指示是否可以更改防火墙使用的防火墙策略的标志。

返回:成功

示例: false

subnet_change_protection

布尔值

指示是否可以更改防火墙端点所在的子网的标志。

返回:成功

示例: true

subnet_mappings

列表 / 元素=字典

表示防火墙端点所在的子网的列表。

返回:成功

subnet_id

字符串

子网的 ID。

返回:成功

示例: "subnet-12345678"

subnets

列表 / 元素=字符串

防火墙端点所在的子网列表。

返回:成功

示例: ["subnet-12345678", "subnet-87654321"]

tags

字典

与防火墙关联的标签。

返回:成功

示例: {"SomeTag": "SomeValue"}

vpc_id

字符串

防火墙使用的 VPC 的 ID。

返回:成功

示例: "vpc-0123456789abcdef0"

firewall_metadata

字典

关于防火墙的元数据

返回:成功

configuration_sync_state_summary

字符串

策略和规则组同步状态的简短摘要。

返回:成功

示例: "IN_SYNC"

status

字符串

防火墙端点状态的简短摘要。

返回:成功

示例: "READY"

sync_states

字典

按可用区细分的防火墙端点状态以及策略和规则组同步状态的描述。

返回:成功

示例: {"us-east-1a": {"attachment": {"endpoint_id": "vpce-123456789abcdef01", "status": "READY", "subnet_id": "subnet-12345678"}, "config": {"arn:aws:network-firewall:us-east-1:123456789012:firewall-policy/Ansible-Example": {"sync_status": "IN_SYNC", "update_token": "abcdef01-0000-0000-0000-123456789abc"}, "arn:aws:network-firewall:us-east-1:123456789012:stateful-rulegroup/ExampleDomainList": {"sync_status": "IN_SYNC", "update_token": "12345678-0000-0000-0000-abcdef012345"}}}}

作者

  • Mark Chappell (@tremble)