community.aws.networkfirewall_rule_group 模块 – 创建、删除和修改 AWS 网络防火墙规则组

注意

此模块是 community.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.aws。您需要其他要求才能使用此模块，请参阅 要求 获取详细信息。

要在剧本中使用它，请指定：community.aws.networkfirewall_rule_group。

community.aws 4.0.0 中的新增功能

概要

• 用于管理 AWS 网络防火墙规则组的模块。

• https://docs.aws.amazon.com/network-firewall/latest/developerguide/index.html

• 目前仅支持 stateful 防火墙组。

要求

在执行此模块的主机上需要以下要求。

• python >= 3.6

• boto3 >= 1.28.0

• botocore >= 1.31.0

参数

参数	注释
access_key 别名：aws_access_key_id，aws_access_key，ec2_access_key 字符串	AWS 访问密钥 ID。 有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。 AWS_ACCESS_KEY_ID、AWS_ACCESS_KEY 或 EC2_ACCESS_KEY 环境变量也可以按优先级递减的顺序使用。 aws_access_key 和 profile 选项是互斥的。 aws_access_key_id 别名在 5.1.0 版本中添加，以与 AWS botocore SDK 保持一致。 ec2_access_key 别名已弃用，将在 2024-12-01 后的某个版本中删除。 EC2_ACCESS_KEY 环境变量的支持已弃用，并将 2024-12-01 后的某个版本中删除。
arn 字符串	网络防火墙规则组的 ARN。 必须提供 arn 和 name 中的一个。
aws_ca_bundle 路径	验证 SSL 证书时要使用的 CA 证书包的位置。 也可以使用 AWS_CA_BUNDLE 环境变量。
aws_config 字典	用于修改 botocore 配置的字典。 参数可在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config。
capacity 整数	此规则组可以使用最大操作资源。 创建规则组后，此参数将不可变。 另请参见有关如何计算 capacity 的 AWS 文档 https://docs.aws.amazon.com/network-firewall/latest/developerguide/nwfw-rule-group-capacity.html 创建新规则组时，此选项是必需的。
debug_botocore_endpoint_logs 布尔值	使用 botocore.endpoint 日志记录器来解析任务期间进行的唯一（而不是总计）"resource:action" API 调用，并将集合输出到任务结果中的 resource_actions 密钥。使用 aws_resource_action 回调将输出到剧本期间进行的总列表。 也可以使用 ANSIBLE_DEBUG_BOTOCORE_LOGS 环境变量。 选择 false ← (默认) true
描述 字符串	AWS 网络防火墙规则组的描述。
domain_list 字典	域列表规则组的检查标准。 设置后将使用新配置覆盖所有域列表设置。 有关基于域名过滤的更多信息，请阅读 AWS 文档 https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-domain-names.html。 与rule_type=stateless互斥。 与ip_variables、rule_list和rule_strings互斥。 创建时必须指定rule_strings、domain_list或rule_list中的一个。
action 字符串 / 必需	对与规则匹配设置匹配的流量执行的操作。 选择 "允许" "拒绝"
domain_names 列表 / 元素=字符串 / 必需	要在流量流中查找的域名列表。
filter_http 布尔值	是否应检查 HTTP 流量（使用主机标头）。 选择 false ← (默认) true
filter_https 布尔值	是否应检查 HTTPS 流量（使用 SNI）。 选择 false ← (默认) true
source_ips 列表 / 元素=字符串	用于将本地网络定义扩展到部署网络防火墙的 VPC 的 CIDR 范围之外。
endpoint_url 别名：ec2_url、aws_endpoint_url、s3_url 字符串	用于连接到非默认 AWS 端点的 URL。虽然这可以用于连接到其他与 AWS 兼容的服务，但 amazon.aws 和 community.aws 集合仅针对 AWS 进行了测试。 还可以使用AWS_URL或EC2_URL环境变量，优先级依次递减。 ec2_url和s3_url别名已被弃用，将在 2024-12-01 之后的一个版本中删除。 对EC2_URL环境变量的支持已被弃用，将在 2024-12-01 之后的一个版本中删除。
ip_variables 别名：ip_set_variables 字典	一个字典，将变量名映射到 IP 地址和地址范围（CIDR 表示法）列表。 例如{EXAMPLE_HOSTS:["192.0.2.0/24", "203.0.113.42"]}。 与domain_list互斥。
name 字符串	网络防火墙规则组的名称。 设置name时，也必须设置rule_type。
port_variables 别名：port_set_variables 字典	一个字典，将变量名映射到端口列表。 例如{SECURE_PORTS:["22", "443"]}。
profile 别名：aws_profile 字符串	用于身份验证的命名 AWS 配置文件。 有关命名配置文件的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。 还可以使用AWS_PROFILE环境变量。 profile选项与aws_access_key、aws_secret_key和security_token选项互斥。
purge_ip_variables 别名：purge_ip_set_variables 布尔值	是否清除ip_variables字典中未提及的变量名。 要删除所有 IP 集变量，必须显式设置ip_variables={}和purge_port_variables=true。 选择 false true ← (默认)
purge_port_variables 别名：purge_port_set_variables 布尔值	是否清除port_variables字典中未提及的变量名。 要删除所有端口集变量，必须显式设置port_variables={}和purge_port_variables=true。 选择 false true ← (默认)
purge_tags 布尔值	如果purge_tags=true且tags已设置，则将从资源中清除现有标签以完全匹配tags参数定义的内容。 如果未设置tags参数，则即使purge_tags=True，也不会修改标签。 以aws:开头的标签键由 Amazon 保留，无法修改。因此，在purge_tags参数中将忽略它们。有关更多信息，请参阅 Amazon 文档 https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-conventions。 选择 false true ← (默认)
region 别名：aws_region、ec2_region 字符串	要使用的 AWS 区域。 对于 IAM、Route53 和 CloudFront 等全球服务，将忽略region。 还可以使用AWS_REGION或EC2_REGION环境变量。 有关更多信息，请参阅 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region。 ec2_region别名已被弃用，将在 2024-12-01 之后的一个版本中删除。 对EC2_REGION环境变量的支持已被弃用，将在 2024-12-01 之后的一个版本中删除。
rule_list 别名：stateful_rule_list 列表 / 元素=字典	要用于基于 5 元组的规则组的检查标准。 设置后将使用新配置覆盖所有现有的 5 元组规则。 与domain_list和rule_strings互斥。 与rule_type=stateless互斥。 创建时必须指定rule_strings、domain_list或rule_list中的一个。 有关有效值的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_StatefulRule.html 和 https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_Header.html。 注意：无法保证比较 AWS Web UI 和 Ansible 管理的规则时的幂等性。
action 字符串 / 必需	当流量匹配时，网络防火墙应如何处理流量流中的数据包。 选择 "通过" "丢弃" "告警"
destination 字符串 / 必需	要检查的目标 IP 地址或地址范围（CIDR 表示法）。 要匹配任何地址，请指定ANY。
destination_port 字符串 / 必需	要检查的源端口。 要匹配任何端口，请指定ANY。
direction 字符串	要检查的流量流的方向。 如果设置为any，则检查将匹配从源到目标以及从目标到源的流量。 如果设置为forward，则检查只匹配从源到目标的流量。 选择 "forward" ← (默认) "any"
protocol 字符串 / 必需	要检查的协议。要指定所有协议，可以使用IP，因为 AWS 上的所有流量都是IP。
rule_options 字典	规则的其他选项。 AWS 将基于 5 元组的规则转换为 Suricata 规则，对于需要考虑顺序的更复杂的选项要求，请考虑使用rule_strings。 一个字典，将 Suricata RuleOptions 名称映射到值列表。 示例部分包含一些使用 rule_options 的示例。 有关更多信息，请阅读 AWS 文档 https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-limitations-caveats.html 和 Suricata 文档 https://suricata.readthedocs.io/en/suricata-6.0.0/rules/intro.html。
sid 整数 / 必需	规则的签名 ID。 必须为所有规则传递唯一的sid。
source 字符串 / 必需	要检查的源 IP 地址或地址范围（CIDR 表示法）。 要匹配任何地址，请指定ANY。
source_port 字符串 / 必需	要检查的源端口。 要匹配任何端口，请指定ANY。
rule_order 别名：stateful_rule_order 字符串	指示如何管理规则组的规则评估顺序。 创建规则组后，此参数将不可变。 与rule_type=stateless互斥。 有关规则评估方式的更多信息，请阅读 AWS 文档 https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-rule-evaluation-order.html。 选择 "默认" "严格"
rule_strings 列表 / 元素=字符串	Suricata 格式的规则。 如果指定了 rule_strings，则必须包含至少一个条目。 有关更多信息，请阅读 AWS 文档 https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-limitations-caveats.html 和 Suricata 文档 https://suricata.readthedocs.io/en/suricata-6.0.0/rules/intro.html。 与rule_type=stateless互斥。 与 domain_list 和 rule_list 互斥。 创建时必须指定rule_strings、domain_list或rule_list中的一个。
rule_type 别名：type 字符串	指示规则组是无状态的还是有状态的。 目前不支持无状态规则集。 如果设置了 name，则为必需。 选择 "stateful"
secret_key 别名：aws_secret_access_key, aws_secret_key, ec2_secret_key 字符串	AWS 密钥访问密钥。 有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。 也可以使用 AWS_SECRET_ACCESS_KEY、AWS_SECRET_KEY 或 EC2_SECRET_KEY 环境变量，优先级依次递减。 secret_key 和 profile 选项互斥。 为了与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_secret_access_key 别名。 ec2_secret_key 别名已弃用，将在 2024-12-01 之后的一个版本中删除。 EC2_SECRET_KEY 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中删除。
session_token 别名：aws_session_token, security_token, aws_security_token, access_token 字符串	用于临时凭证的 AWS STS 会话令牌。 有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。 也可以使用 AWS_SESSION_TOKEN、AWS_SECURITY_TOKEN 或 EC2_SECURITY_TOKEN 环境变量，优先级依次递减。 security_token 和 profile 选项互斥。 别名 aws_session_token 和 session_token 在 3.2.0 版本中添加，参数名称在 6.0.0 版本中从 security_token 重命名为 session_token。 security_token、aws_security_token 和 access_token 别名已弃用，将在 2024-12-01 之后的一个版本中删除。 EC2_SECRET_KEY 和 AWS_SECURITY_TOKEN 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中删除。
state 字符串	创建或删除网络防火墙规则组。 选择 "present" ← (默认) "absent"
tags 别名：resource_tags 字典	表示要应用于资源的标签的字典。 如果没有设置 tags 参数，则不会修改标签。
validate_certs 布尔值	设置为 false 时，将不会验证与 AWS API 通信的 SSL 证书。 强烈建议不要设置 validate_certs=false，作为替代方案，可以考虑设置 aws_ca_bundle。 选择 false true ← (默认)
wait 布尔值	模块返回之前是否等待防火墙规则组达到 ACTIVE 或 DELETED 状态。 选择 false true ← (默认)
wait_timeout 整数	等待防火墙规则组达到预期状态的最大时间（秒）。 默认为 600 秒。

备注

注意

• 注意：对于模块，环境变量和配置文件是从 Ansible 的“主机”上下文读取的，而不是“控制器”上下文。因此，可能需要将文件显式复制到“主机”。对于查找和连接插件，环境变量和配置文件是从 Ansible 的“控制器”上下文读取的，而不是“主机”上下文。

• Ansible 使用的 AWS SDK (boto3) 也可能从 Ansible “主机”上下文中的配置文件（通常为 ~/.aws/credentials）读取凭据和其他设置的默认值，例如区域。有关更多信息，请参见 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html。

示例

# Create a rule group
- name: Create a minimal AWS Network Firewall Rule Group
  community.aws.networkfirewall_rule_group:
    name: 'MinimalGroup'
    type: 'stateful'
    capacity: 200
    rule_strings:
      - 'pass tcp any any -> any any (sid:1000001;)'

# Create an example rule group using rule_list
- name: Create 5-tuple Rule List based rule group
  community.aws.networkfirewall_rule_group:
    name: 'ExampleGroup'
    type: 'stateful'
    description: 'My description'
    rule_order: default
    capacity: 100
    rule_list:
      - sid: 1
        direction: forward
        action: pass
        protocol: IP
        source: any
        source_port: any
        destination: any
        destination_port: any

# Create an example rule group using rule_list
- name: Create 5-tuple Rule List based rule group
  community.aws.networkfirewall_rule_group:
    name: 'ExampleGroup'
    type: 'stateful'
    description: 'My description'
    ip_variables:
      SOURCE_IPS: ['203.0.113.0/24', '198.51.100.42']
      DESTINATION_IPS: ['192.0.2.0/24', '198.51.100.48']
    port_variables:
      HTTP_PORTS: [80, 8080]
    rule_order: default
    capacity: 100
    rule_list:
      # Allow 'Destination Unreachable' traffic
      - sid: 1
        action: pass
        protocol: icmp
        source: any
        source_port: any
        destination: any
        destination_port: any
        rule_options:
          itype: 3
      - sid: 2
        action: drop
        protocol: tcp
        source: "$SOURCE_IPS"
        source_port: any
        destination: "$DESTINATION_IPS"
        destination_port: "$HTTP_PORTS"
        rule_options:
          urilen: ["20<>40"]
          # Where only a keyword is needed, add the keword, but no value
          http_uri:
          # Settings where Suricata expects raw strings (like the content
          # keyword) will need to have the double-quotes explicitly escaped and
          # passed because there's no practical way to distinguish between them
          # and flags.
          content: '"index.php"'

# Create an example rule group using Suricata rule strings
- name: Create Suricata rule string based rule group
  community.aws.networkfirewall_rule_group:
    name: 'ExampleSuricata'
    type: 'stateful'
    description: 'My description'
    capacity: 200
    ip_variables:
      EXAMPLE_IP: ['203.0.113.0/24', '198.51.100.42']
      ANOTHER_EXAMPLE: ['192.0.2.0/24', '198.51.100.48']
    port_variables:
      EXAMPLE_PORT: [443, 22]
    rule_strings:
      - 'pass tcp any any -> $EXAMPLE_IP $EXAMPLE_PORT (sid:1000001;)'
      - 'pass udp any any -> $ANOTHER_EXAMPLE any (sid:1000002;)'

# Create an example Domain List based rule group
- name: Create Domain List based rule group
  community.aws.networkfirewall_rule_group:
    name: 'ExampleDomainList'
    type: 'stateful'
    description: 'My description'
    capacity: 100
    domain_list:
      domain_names:
        - 'example.com'
        - '.example.net'
      filter_https: true
      filter_http: true
      action: allow
      source_ips: '192.0.2.0/24'

# Update the description of a rule group
- name: Update the description of a rule group
  community.aws.networkfirewall_rule_group:
    name: 'MinimalGroup'
    type: 'stateful'
    description: 'Another description'

# Update IP Variables for a rule group
- name: Update IP Variables
  community.aws.networkfirewall_rule_group:
    name: 'ExampleGroup'
    type: 'stateful'
    ip_variables:
      EXAMPLE_IP: ['192.0.2.0/24', '203.0.113.0/24', '198.51.100.42']
    purge_ip_variables: false

# Delete a rule group
- name: Delete a rule group
  community.aws.networkfirewall_rule_group:
    name: 'MinimalGroup'
    type: 'stateful'
    state: absent

返回值

常见的返回值已在 此处 记录，以下是此模块特有的字段

键	描述
rule_group 字典	规则组中规则的详细信息 返回：成功
rule_group 字典	规则组中规则的详细信息 返回：成功
rule_variables 复杂	可在规则组中的规则中使用的设置。 返回：当规则变量附加到规则组时。
ip_sets 字典	将变量名映射到 CIDR 格式的 IP 地址的字典。 返回：成功 示例： ["192.0.2.0/24"]
port_sets 字典	将变量名映射到端口的字典 返回：成功 示例： ["42"]
rules_source 字典	基于 5 元组的规则组使用的检查标准。 返回：成功
rules_source_list 字典	域列表规则组标准的描述。 返回：当规则组基于“域列表”时。
generated_rules_type 字符串	规则组是否允许或拒绝访问列表中的域。 返回：成功 示例： "ALLOWLIST"
target_types 列表 / 元素=字符串	规则组要检查的协议。 返回：成功 示例： ["TLS_SNI", "HTTP_HOST"]
targets 列表 / 元素=字符串	要检查的域名列表。 返回：成功 示例： ["abc.example.com", ".example.net"]
rules_string 字符串	描述规则组包含的规则的字符串。 返回：当规则组基于“规则字符串”时。
stateful_rules 列表 / 元素=字典	描述规则组包含的规则的字典列表。 返回：当规则组基于“规则列表”时。
action 字符串	当流匹配规则条件时要执行的操作。 返回：成功 示例： "PASS"
header 字典	规则使用标准的描述。 返回：成功
destination 字符串	要检查的目标地址或地址范围。 返回：成功 示例： "198.51.100.0/24"
destination_port 字符串	要检查的目标端口。 返回：成功 示例： "6666:6667"
direction 字符串	要检查的流量流的方向。 返回：成功 示例： "FORWARD"
protocol 字符串	要检查的协议。 返回：成功 示例： "IP"
source 字符串	要检查的源地址或地址范围。 返回：成功 示例： "203.0.113.98"
source_port 字符串	要检查的源端口。 返回：成功 示例： "42"
rule_options 列表 / 元素=字典	规则的附加 Suricata RuleOptions 设置。 返回：成功
keyword 字符串	设置的关键字。 返回：成功 示例： "sid:1"
settings 列表 / 元素=字符串	传递给设置的值列表。 返回：当值可用时
stateless_rules_and_custom_actions 字典	无状态规则组标准的描述。 返回：当规则组是无状态规则组时。
custom_actions 列表 / 元素=字典	可在无状态规则中使用的单个自定义操作定义列表。 返回：成功
action_definition 字典	与操作名称关联的自定义操作。 返回：成功
publish_metric_action 字典	发布到 CloudWatch 的操作的描述。 返回：当操作发布到 CloudWatch 时。
dimensions 列表 / 元素=字典	在 Amazon CloudWatch 自定义指标维度中使用的值。 返回：成功
value 字符串	在自定义指标维度中使用的值。 返回：成功
action_name 字符串	自定义操作的名称。 返回：成功
stateless_rules 列表 / 元素=字典	可在无状态规则组中使用的无状态规则列表。 返回：成功
priority 整数	指示相对于为无状态规则组定义的所有规则运行此规则的顺序。 返回：成功
rule_definition 字典	描述规则的无状态 5 元组检查标准和操作。 返回：成功
actions 列表 / 元素=字符串	流匹配规则时要采取的操作。 返回：成功 示例： ["aws:pass", "CustomActionName"]
match_attributes 字典	描述规则的无状态 5 元组检查标准。 返回：成功
destination_ports 列表 / 元素=字典	要检查的目标端口范围。 返回：成功
from_port 整数	端口范围的下限。 返回：成功
to_port 整数	端口范围的上限。 返回：成功
destinations 列表 / 元素=字典	要检查的目标 IP 地址和地址范围。 返回：成功
address_definition 字符串	IP 地址或 CIDR 表示法中的 IP 地址块。 返回：成功 示例： "192.0.2.3"
protocols 列表 / 元素=整数	要检查的协议的 IANA 协议编号。 返回：成功 示例： [6]
source_ports 列表 / 元素=字典	要检查的源端口范围。 返回：成功
from_port 整数	端口范围的下限。 返回：成功
to_port 整数	端口范围的上限。 返回：成功
sources 列表 / 元素=字典	要检查的源IP地址和地址范围。 返回：成功
address_definition 字符串	IP 地址或 CIDR 表示法中的 IP 地址块。 返回：成功 示例： "192.0.2.3"
tcp_flags 列表 / 元素=字典	要检查的TCP标志和掩码。 返回：成功
flags 列表 / 元素=字符串	与掩码一起使用，定义检查数据流的TCP标志。 返回：成功
masks 列表 / 元素=字符串	检查期间考虑的标志集。 返回：成功
stateful_rule_options 字典	管理网络防火墙如何处理状态规则的其他选项。 返回：当规则组基于“规则字符串”或“规则列表”时。
rule_order 字符串	评估规则的顺序。 返回：成功 示例： "DEFAULT_ACTION_ORDER"
rule_group_metadata 字典	规则组中规则的详细信息 返回：成功
capacity 整数	此规则组可以使用最大操作资源。 返回：成功
consumed_capacity 整数	规则组规则当前消耗的容量单位数量。 返回：成功
描述 字符串	规则组的描述。 返回：成功
number_of_associations 整数	使用此规则组的防火墙策略数量。 返回：成功
rule_group_arn 整数	规则组的ARN。 返回：成功 示例： "arn:aws:network-firewall:us-east-1:123456789012:stateful-rulegroup/ExampleGroup"
rule_group_id 整数	规则组的唯一标识符。 返回：成功 示例： "12345678-abcd-1234-abcd-123456789abc"
rule_group_name 字符串	规则组的名称。 返回：成功
rule_group_status 字符串	规则组的当前状态。 返回：成功 示例： "DELETING"
tags 字典	表示与规则组关联的标签的字典。 返回：成功
type 字符串	规则组是无状态还是有状态的。 返回：成功 示例： "STATEFUL"

作者

• Mark Chappell (@tremble)

资源链接

• 问题追踪器
• 代码仓库
• 沟通