amazon.aws.ec2_security_group 模块 – 维护 EC2 安全组

注意

此模块是 amazon.aws 集合（版本 9.0.0）的一部分。

如果您正在使用 ansible 包，您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install amazon.aws。您需要进一步的要求才能使用此模块，请参阅要求了解详细信息。

要在剧本中使用它，请指定：amazon.aws.ec2_security_group。

amazon.aws 1.0.0 中的新增功能

概要 

维护 EC2 安全组。

别名：ec2_group

要求 

执行此模块的主机上需要满足以下要求。

python >= 3.6
boto3 >= 1.28.0
botocore >= 1.31.0

参数 

参数	注释
access_key 别名：aws_access_key_id, aws_access_key, ec2_access_key 字符串	AWS 访问密钥 ID。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_ACCESS_KEY_ID`、`AWS_ACCESS_KEY` 或 `EC2_ACCESS_KEY` 环境变量，优先级依次降低。 aws_access_key 和 profile 选项是互斥的。为了与 AWS botocore SDK 保持一致，在版本 5.1.0 中添加了 aws_access_key_id 别名。 ec2_access_key 别名已被弃用，将在 2024-12-01 之后的版本中删除。对 `EC2_ACCESS_KEY` 环境变量的支持已被弃用，将在 2024-12-01 之后的版本中删除。
aws_ca_bundle 路径	验证 SSL 证书时使用的 CA 捆绑包的位置。也可以使用 `AWS_CA_BUNDLE` 环境变量。
aws_config 字典	用于修改 botocore 配置的字典。参数可以在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config。
debug_botocore_endpoint_logs 布尔值	使用 `botocore.endpoint` 记录器来解析任务期间进行的唯一（而不是总计）`"resource:action"` API 调用，将集合输出到任务结果中的 resource_actions 键。使用 `aws_resource_action` 回调输出到剧本期间生成的总列表。也可以使用 `ANSIBLE_DEBUG_BOTOCORE_LOGS` 环境变量。选择 `false` ← (默认) `true`
description 字符串	安全组的描述。当 `state` 为 `present` 时是必需的。
endpoint_url 别名：ec2_url, aws_endpoint_url, s3_url 字符串	要连接到的 URL，而不是默认的 AWS 端点。虽然这可以用来连接到其他 AWS 兼容的服务，但 amazon.aws 和 community.aws 集合仅针对 AWS 进行了测试。也可以使用 `AWS_URL` 或 `EC2_URL` 环境变量，优先级依次降低。 ec2_url 和 s3_url 别名已被弃用，将在 2024-12-01 之后的版本中删除。对 `EC2_URL` 环境变量的支持已被弃用，将在 2024-12-01 之后的版本中删除。
group_id 字符串	要删除的组的 ID（仅适用于 absent）。需要且只能需要 `name` 或 `group_id` 中的一个。
name 字符串	安全组的名称。需要且只能需要 `name` 或 `group_id` 中的一个。如果 `state=present`，则为必需项。
profile 别名：aws_profile 字符串	用于身份验证的已命名 AWS 配置文件。有关已命名配置文件的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。也可以使用 `AWS_PROFILE` 环境变量。 profile 选项与 aws_access_key、aws_secret_key 和 security_token 选项互斥。
purge_rules 布尔值	清除安全组中规则中不存在的现有规则。选择 `false` `true` ←（默认）
purge_rules_egress 别名：purge_egress_rules 布尔值	清除安全组中 rules_egress 中不存在的现有 rules_egress。选择 `false` `true` ←（默认）
purge_tags 布尔值	如果 `purge_tags=true` 且设置了 `tags`，则会从资源中清除现有标签，以完全匹配由 `tags` 参数定义的标签。如果未设置 `tags` 参数，则不会修改标签，即使 `purge_tags=True` 也不会。以 `aws:` 开头的标签键由 Amazon 保留，无法修改。因此，为了 `purge_tags` 参数的目的，它们将被忽略。有关更多信息，请参阅 Amazon 文档 https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-conventions。选择 `false` `true` ←（默认）
region 别名：aws_region, ec2_region 字符串	要使用的 AWS 区域。对于诸如 IAM、Route53 和 CloudFront 等全局服务，region 将被忽略。也可以使用 `AWS_REGION` 或 `EC2_REGION` 环境变量。有关更多信息，请参阅 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region。 `ec2_region` 别名已弃用，将在 2024-12-01 之后的版本中删除对 `EC2_REGION` 环境变量的支持已弃用，将在 2024-12-01 之后的版本中删除。
rules list / elements=dictionary	要在此组中强制执行的防火墙入站规则列表（请参阅示例）。如果未提供任何规则，则不会启用任何入站规则。规则列表可以在 `rules.group_name` 中包含其自身的名称。这允许幂等的环回添加（例如，允许组访问自身）。
cidr_ip list / elements=any	流量来自的 IPv4 CIDR 范围。您可以仅指定 `rules.cidr_ip`、`rules.cidr_ipv6`、`rules.ip_prefix`、`rules.group_id` 和 group_name 中的一个。将字符串的嵌套列表传递给 `rules.cidr_ip` 的支持已弃用，将在 2024-12-01 之后的版本中删除。
cidr_ipv6 list / elements=any	流量来自的 IPv6 CIDR 范围。您可以仅指定 `rules.cidr_ip`、`rules.cidr_ipv6`、`rules.ip_prefix`、`rules.group_id` 和 rules.group_name 中的一个。将字符串的嵌套列表传递给 `rules.cidr_ipv6` 的支持已弃用，将在 2024-12-01 之后的版本中删除。
from_port integer	流量到达的端口范围的起始位置。值可以在 `0` 到 `65535` 之间。当 `rules.proto=icmp` 时，值 `-1` 表示所有端口。与 `rules.icmp_code`、`rules.icmp_type` 和 `rules.ports` 互斥。
group_desc 字符串	如果设置了 `rules.group_name` 并且安全组不存在，则会创建一个新的安全组，并将 `rules.group_desc` 作为描述。
group_id list / elements=string	流量来自的安全组的 ID。您可以仅指定 `rules.cidr_ip`、`rules.cidr_ipv6`、`rules.ip_prefix`、`rules.group_id` 和 `rules.group_name` 中的一个。
group_name list / elements=string	流量来自的安全组的名称。如果安全组不存在，则会创建一个新的安全组，并将 `rules.group_desc` 作为描述。 `rules.group_name` 可以接受 str 和 list 类型的值。您可以仅指定 `rules.cidr_ip`、`rules.cidr_ipv6`、`rules.ip_prefix`、`rules.group_id` 和 `rules.group_name` 中的一个。
icmp_code integer 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 代码。值 `-1` 表示所有 ICMP 代码。需要 `rules.proto=icmp` 或 `rules.proto=icmpv6`。与 `rules.ports`、`rules.from_port` 和 `rules.to_port` 互斥。
icmp_type integer 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 类型。值 `-1` 表示所有 ICMP 类型。需要 `rules.proto=icmp` 或 `rules.proto=icmpv6`。与 `rules.ports`、`rules.from_port` 和 `rules.to_port` 互斥。
ip_prefix list / elements=string	流量来自的 IP 前缀 https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-prefix-lists.html。您可以仅指定 `rules.cidr_ip`、`rules.cidr_ipv6`、`rules.ip_prefix`、`rules.group_id` 和 `rules.group_name` 中的一个。
ports list / elements=string	流量到达的端口列表。列表的元素可以是单个端口（例如 `8080`），也可以是指定为 `<START>-<END>` 的端口范围（例如 `1011-1023`）。与 `rules.icmp_code`、 `rules.icmp_type`、 `rules.from_port` 和 `rules.to_port` 互斥。
proto 字符串	IP 协议名称 ( `tcp`, `udp`, `icmp`, `icmpv6`) 或数字 ( https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers)。默认值: `"tcp"`
rule_desc 字符串	规则的描述。
to_port integer	流量到达的端口范围的末尾。值可以在 `0` 到 `65535` 之间。当 `rules.proto=icmp` 时，值 `-1` 表示所有端口。与 `rules.icmp_code`、`rules.icmp_type` 和 `rules.ports` 互斥。
rules_egress 别名: egress_rules list / elements=dictionary	在此组中强制执行的防火墙出站规则列表 (请参阅示例)。如果未提供任何规则，则假定为默认全部允许出站的规则。如果提供了空列表，则不会启用任何出站规则。
cidr_ip list / elements=any	流量到达的 IPv4 CIDR 范围。您只能指定 `rules_egress.cidr_ip`、 `rules_egress.cidr_ipv6`、 `rules_egress.ip_prefix`、 `rules_egress.group_id` 和 rules_egress.group_name 中的一个。已弃用将字符串嵌套列表传递给 `rules_egress.cidr_ip` 的支持，并将在 2024-12-01 之后的版本中删除。
cidr_ipv6 list / elements=any	流量到达的 IPv6 CIDR 范围。您只能指定 `rules_egress.cidr_ip`、 `rules_egress.cidr_ipv6`、 `rules_egress.ip_prefix`、 `rules_egress.group_id` 和 `rules_egress.group_name` 中的一个。已弃用将字符串嵌套列表传递给 `rules_egress.cidr_ipv6` 的支持，并将在 2024-12-01 之后的版本中删除。
from_port integer	流量到达的端口范围的起始位置。值可以在 `0` 到 `65535` 之间。当 `rules_egress.proto=icmp` 时，值 `-1` 表示所有端口。与 `rules_egress.icmp_code`、 `rules_egress.icmp_type` 和 `rules_egress.ports` 互斥。
group_desc 字符串	如果设置了 `rules_egress.group_name` 并且安全组不存在，则将使用 `rules_egress.group_desc` 作为描述创建一个新的安全组。
group_id list / elements=string	流量到达的安全组的 ID。您只能指定 `rules_egress.cidr_ip`、 `rules_egress.cidr_ipv6`、 `rules_egress.ip_prefix`、 `rules_egress.group_id` 和 `rules_egress.group_name` 中的一个。
group_name list / elements=string	流量到达的安全组的名称。如果安全组不存在，将使用 `rules_egress.group_desc` 作为描述创建一个新的安全组。您只能指定 `rules_egress.cidr_ip`、 `rules_egress.cidr_ipv6`、 `rules_egress.ip_prefix`、 `rules_egress.group_id` 和 `rules_egress.group_name` 中的一个。
icmp_code integer 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 代码。值 `-1` 表示所有 ICMP 代码。需要 `rules_egress.proto=icmp` 或 `rules_egress.proto=icmpv6`。与 `rules_egress.ports`、 `rules_egress.from_port` 和 `rules_egress.to_port` 互斥。
icmp_type integer 在 amazon.aws 3.3.0 中添加	数据包的 ICMP 类型。值 CV(-1) 表示所有 ICMP 类型。需要 `rules_egress.proto=icmp` 或 `rules_egress.proto=icmpv6`。与 `rules_egress.ports`、 `rules_egress.from_port` 和 `rules_egress.to_port` 互斥。
ip_prefix list / elements=string	流量到达的 IP 前缀 https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-prefix-lists.html。您只能指定 `rules_egress.cidr_ip`、 `rules_egress.cidr_ipv6`、 `rules_egress.ip_prefix`、 `rules_egress.group_id` 和 `rules_egress.group_name` 中的一个。
ports list / elements=string	流量到达的端口列表。列表的元素可以是单个端口（例如 `8080`），也可以是指定为 `<START>-<END>` 的端口范围（例如 `1011-1023`）。与 `rules_egress.icmp_code`、 `rules_egress.icmp_type`、 `rules_egress.from_port` 和 `rules_egress.to_port` 互斥。
proto 字符串	IP 协议名称 ( `tcp`, `udp`, `icmp`, `icmpv6`) 或数字 ( https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers)。默认值: `"tcp"`
rule_desc 字符串	规则的描述。
to_port integer	流量到达的端口范围的末尾。值可以在 `0` 到 `65535` 之间。当 `rules_egress.proto=icmp` 时，值 `-1` 表示所有端口。与 `rules_egress.icmp_code`、 `rules_egress.icmp_type` 和 `rules_egress.ports` 互斥。
secret_key 别名: aws_secret_access_key, aws_secret_key, ec2_secret_key 字符串	AWS 秘密访问密钥。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_SECRET_ACCESS_KEY`、 `AWS_SECRET_KEY` 或 `EC2_SECRET_KEY` 环境变量，优先级递减。 secret_key 和 profile 选项互斥。为了与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_secret_access_key 别名。已弃用 ec2_secret_key 别名，并将在 2024-12-01 之后的版本中删除。已弃用对 `EC2_SECRET_KEY` 环境变量的支持，并将在 2024-12-01 之后的版本中删除。
session_token 别名: aws_session_token, security_token, aws_security_token, access_token 字符串	用于临时凭据的 AWS STS 会话令牌。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_SESSION_TOKEN`、 `AWS_SECURITY_TOKEN` 或 `EC2_SECURITY_TOKEN` 环境变量，优先级递减。 security_token 和 profile 选项互斥。在 3.2.0 版本中添加了别名 aws_session_token 和 session_token，并且在 6.0.0 版本中将参数从 security_token 重命名为 session_token。已弃用 security_token、 aws_security_token 和 access_token 别名，并将在 2024-12-01 之后的版本中删除。已弃用对 `EC2_SECRET_KEY` 和 `AWS_SECURITY_TOKEN` 环境变量的支持，并将在 2024-12-01 之后的版本中删除。
state 字符串	创建或删除安全组。选择 `"present"` ← (默认) `"absent"`
tags 别名: resource_tags 字典	一个表示要应用于资源的标签的字典。如果未设置 `tags` 参数，则不会修改标签。
validate_certs 布尔值	设置为 `false` 时，将不会验证用于与 AWS API 通信的 SSL 证书。强烈建议不要设置 validate_certs=false，作为替代方案，请考虑设置 aws_ca_bundle。选择 `false` `true` ←（默认）
vpc_id 字符串	要在其中创建组的 VPC 的 ID。

备注 

注意

如果规则声明了一个 group_name 且该组不存在，则会自动创建它。在这种情况下，还应提供 group_desc。该模块将拒绝创建没有描述的依赖组。
在 5.0.0 版本之前，此模块名为 amazon.aws.ec2_group_info。用法没有改变。
注意：对于模块，环境变量和配置文件是从 Ansible ‘主机’ 上下文而不是 ‘控制器’ 上下文读取的。因此，可能需要将文件显式复制到 ‘主机’。对于查找和连接插件，环境变量和配置文件是从 Ansible ‘控制器’ 上下文而不是 ‘主机’ 上下文读取的。
Ansible 使用的 AWS SDK (boto3) 也可能从其在 Ansible ‘主机’ 上下文中的配置文件（通常是 ~/.aws/credentials）读取凭据和其他设置（如区域）的默认值。有关更多信息，请参见 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html。

示例 

# Note: These examples do not set authentication details, see the AWS Guide for details.

- name: example using security group rule descriptions
  amazon.aws.ec2_security_group:
    name: "{{ name }}"
    description: sg with rule descriptions
    vpc_id: vpc-xxxxxxxx
    rules:
      - proto: tcp
        ports:
          - 80
        cidr_ip: 0.0.0.0/0
        rule_desc: allow all on port 80

- name: example using ICMP types and codes
  amazon.aws.ec2_security_group:
    name: "{{ name }}"
    description: sg for ICMP
    vpc_id: vpc-xxxxxxxx
    rules:
      - proto: icmp
        icmp_type: 3
        icmp_code: 1
        cidr_ip: 0.0.0.0/0

- name: example ec2 group
  amazon.aws.ec2_security_group:
    name: example
    description: an example EC2 group
    vpc_id: 12345
    rules:
      - proto: tcp
        from_port: 80
        to_port: 80
        cidr_ip: 0.0.0.0/0
      - proto: tcp
        from_port: 22
        to_port: 22
        cidr_ip: 10.0.0.0/8
      - proto: tcp
        from_port: 443
        to_port: 443
        # this should only be needed for EC2 Classic security group rules
        # because in a VPC an ELB will use a user-account security group
        group_id: amazon-elb/sg-87654321/amazon-elb-sg
      - proto: tcp
        from_port: 3306
        to_port: 3306
        group_id: 123456789012/sg-87654321/exact-name-of-sg
      - proto: udp
        from_port: 10050
        to_port: 10050
        cidr_ip: 10.0.0.0/8
      - proto: udp
        from_port: 10051
        to_port: 10051
        group_id: sg-12345678
      - proto: icmp
        from_port: 8 # icmp type, -1 = any type
        to_port: -1 # icmp subtype, -1 = any subtype
        cidr_ip: 10.0.0.0/8
      - proto: all
        # the containing group name may be specified here
        group_name: example
      - proto: all
        # in the 'proto' attribute, if you specify -1 (only supported when I(proto=icmp)), all, or a protocol number
        # other than tcp, udp, icmp, or 58 (ICMPv6), traffic on all ports is allowed, regardless of any ports that
        # you specify.
        from_port: 10050 # this value is ignored
        to_port: 10050   # this value is ignored
        cidr_ip: 10.0.0.0/8

    rules_egress:
      - proto: tcp
        from_port: 80
        to_port: 80
        cidr_ip: 0.0.0.0/0
        cidr_ipv6: 64:ff9b::/96
        group_name: example-other
        # description to use if example-other needs to be created
        group_desc: other example EC2 group

- name: example2 ec2 group
  amazon.aws.ec2_security_group:
    name: example2
    description: an example2 EC2 group
    vpc_id: 12345
    rules:
      # 'ports' rule keyword was introduced in version 2.4. It accepts a single
      # port value or a list of values including ranges (from_port-to_port).
      - proto: tcp
        ports: 22
        group_name: example-vpn
      - proto: tcp
        ports:
          - 80
          - 443
          - 8080-8099
        cidr_ip: 0.0.0.0/0
      # Rule sources list support was added in version 2.4. This allows to
      # define multiple sources per source type as well as multiple source types per rule.
      - proto: tcp
        ports:
          - 6379
          - 26379
        group_name:
          - example-vpn
          - example-redis
      - proto: tcp
        ports: 5665
        group_name: example-vpn
        cidr_ip:
          - 172.16.1.0/24
          - 172.16.17.0/24
        cidr_ipv6:
          - 2607:F8B0::/32
          - 64:ff9b::/96
        group_id:
          - sg-edcd9784
  diff: true

- name: "Delete group by its id"
  amazon.aws.ec2_security_group:
    group_id: sg-33b4ee5b
    state: absent

返回值 

常见的返回值已在此处记录这里，以下是此模块特有的字段

键	描述
description 字符串	安全组的描述。返回值: 创建/更新时示例: `"我的安全组"`
group_id 字符串	安全组 ID。返回值: 创建/更新时示例: `"sg-abcd1234"`
group_name 字符串	安全组名称。返回值: 创建/更新时示例: `"我的安全组"`
ip_permissions list / elements=dictionary	与安全组关联的入站规则。返回值: 始终
from_port integer	如果协议是 TCP 或 UDP，这是端口范围的起始端口。返回值: 成功时示例: `80`
ip_protocol 字符串	IP 协议名称或数字。返回值: 始终
ip_ranges list / elements=dictionary	IPv4 范围。返回值: 始终
cidr_ip 字符串	IPv4 CIDR 范围。返回值: 始终
ipv6_ranges list / elements=dictionary	IPv6 范围。返回值: 始终
cidr_ipv6 字符串	IPv6 CIDR 范围。返回值: 始终
prefix_list_ids list / elements=dictionary	前缀列表 ID。返回值: 始终
prefix_list_id 字符串	前缀的 ID。返回值: 始终
to_group integer	如果协议是 TCP 或 UDP，这是端口范围的结束端口。返回值: 成功时示例: `80`
user_id_group_pairs list / elements=dictionary	安全组和 AWS 账户 ID 对。返回值: 始终
group_id 字符串	该对的安全组 ID。返回值: 始终
user_id 字符串	该对的用户 ID。返回值: 始终
ip_permissions_egress list / elements=dictionary	与安全组关联的出站规则。返回值: 始终
ip_protocol 字符串	IP 协议名称或数字。返回值: 始终
ip_ranges list / elements=dictionary	IPv4 范围。返回值: 始终
cidr_ip 字符串	IPv4 CIDR 范围。返回值: 始终
ipv6_ranges list / elements=dictionary	IPv6 范围。返回值: 始终
cidr_ipv6 字符串	IPv6 CIDR 范围。返回值: 始终
prefix_list_ids list / elements=dictionary	前缀列表 ID。返回值: 始终
prefix_list_id 字符串	前缀的 ID。返回值: 始终
user_id_group_pairs list / elements=dictionary	安全组和 AWS 账户 ID 对。返回值: 始终
group_id 字符串	该对的安全组 ID。返回值: 始终
user_id 字符串	该对的用户 ID。返回值: 始终
owner_id integer	安全组的 AWS 账户 ID。返回值: 创建/更新时示例: `123456789012`
tags 字典	与安全组关联的标签。返回值: 创建/更新时示例: `{"Name": "我的安全组", "Purpose": "保护东西"}`
vpc_id 字符串	安全组所属的 VPC 的 ID。返回值: 创建/更新时示例: `"vpc-abcd1234"`

作者

Andrew de Quincey (@adq)
Razique Mahroua (@Razique)