community.aws.networkfirewall_rule_group_info 模块 – 描述 AWS 网络防火墙规则组

注意

此模块是 community.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 包，则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.aws。您需要其他要求才能使用此模块，请参阅要求获取详细信息。

要在 playbook 中使用它，请指定：community.aws.networkfirewall_rule_group_info。

community.aws 4.0.0 中的新增功能

概要 

用于描述 AWS 网络防火墙规则组的模块。

要求 

执行此模块的主机需要以下要求。

python >= 3.6
boto3 >= 1.28.0
botocore >= 1.31.0

参数 

参数	注释
access_key 别名：aws_access_key_id、aws_access_key、ec2_access_key 字符串	AWS 访问密钥 ID。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以按优先级递减的顺序使用 `AWS_ACCESS_KEY_ID`、`AWS_ACCESS_KEY` 或 `EC2_ACCESS_KEY` 环境变量。 aws_access_key 和 profile 选项是互斥的。为与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_access_key_id 别名。 ec2_access_key 别名已弃用，并将在 2024-12-01 之后的一个版本中删除。 `EC2_ACCESS_KEY` 环境变量的支持已弃用，并将在 2024-12-01 之后的一个版本中删除。
arn 字符串	网络防火墙规则组的 ARN。在撰写本文时，AWS 不支持描述托管规则。
aws_ca_bundle 路径	验证 SSL 证书时使用的 CA 证书包的位置。也可以使用 `AWS_CA_BUNDLE` 环境变量。
aws_config 字典	用于修改 botocore 配置的字典。可以在 AWS 文档中找到参数 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config。
debug_botocore_endpoint_logs 布尔值	使用 `botocore.endpoint` 日志记录器来解析在任务期间进行的唯一（而不是总计）`"resource:action"` API 调用，并将集合输出到任务结果中的 resource_actions 密钥。使用 `aws_resource_action` 回调将输出到 playbook 期间进行的总列表。也可以使用 `ANSIBLE_DEBUG_BOTOCORE_LOGS` 环境变量。选项 `false` ← (默认) `true`
endpoint_url 别名：ec2_url、aws_endpoint_url、s3_url 字符串	连接到的 URL，而不是默认的 AWS 端点。虽然这可以用于连接到其他与 AWS 兼容的服务，但 amazon.aws 和 community.aws 集合仅针对 AWS 进行了测试。也可以按优先级递减的顺序使用 `AWS_URL` 或 `EC2_URL` 环境变量。 ec2_url 和 s3_url 别名已弃用，并将在 2024-12-01 之后的一个版本中删除。 `EC2_URL` 环境变量的支持已弃用，并将在 2024-12-01 之后的一个版本中删除。
name 字符串	网络防火墙规则组的名称。
profile 别名：aws_profile 字符串	用于身份验证的命名 AWS 配置文件。有关命名配置文件的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。也可以使用`AWS_PROFILE`环境变量。 profile选项与aws_access_key、aws_secret_key和security_token选项互斥。
region 别名：aws_region, ec2_region 字符串	要使用的AWS区域。对于IAM、Route53和CloudFront等全局服务，将忽略region。也可以使用`AWS_REGION`或`EC2_REGION`环境变量。更多信息请参见Amazon AWS文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region。 `ec2_region`别名已弃用，将在2024-12-01之后的发行版中移除。 `EC2_REGION`环境变量的支持已弃用，将在2024-12-01之后的发行版中移除。
rule_type 别名：type 字符串	指示规则组是无状态的还是有状态的。如果提供name，则为必填项。选项 `"stateful"` `"stateless"`
scope 字符串	请求的范围。当scope='account'时，返回帐户中所有规则组的描述。当scope='managed'时，返回可用托管规则组arn的列表。默认情况下，只在帐户范围内搜索。选项 `"managed"` `"account"`
secret_key 别名：aws_secret_access_key, aws_secret_key, ec2_secret_key 字符串	AWS密钥访问密钥。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用`AWS_SECRET_ACCESS_KEY`、`AWS_SECRET_KEY`或`EC2_SECRET_KEY`环境变量，优先级依次递减。 secret_key和profile选项互斥。为了与AWS botocore SDK保持一致，在5.1.0版本中添加了aws_secret_access_key别名。 ec2_secret_key别名已弃用，将在2024-12-01之后的发行版中移除。 `EC2_SECRET_KEY`环境变量的支持已弃用，将在2024-12-01之后的发行版中移除。
session_token 别名：aws_session_token, security_token, aws_security_token, access_token 字符串	用于临时凭证的AWS STS会话令牌。有关访问令牌的更多信息，请参阅 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用`AWS_SESSION_TOKEN`、`AWS_SECURITY_TOKEN`或`EC2_SECURITY_TOKEN`环境变量，优先级依次递减。 security_token和profile选项互斥。在3.2.0版本中添加了aws_session_token和session_token别名，在6.0.0版本中将参数名称从security_token重命名为session_token。 security_token、aws_security_token和access_token别名已弃用，将在2024-12-01之后的发行版中移除。 `EC2_SECRET_KEY`和`AWS_SECURITY_TOKEN`环境变量的支持已弃用，将在2024-12-01之后的发行版中移除。
validate_certs 布尔值	设置为`false`时，将不会验证与AWS API通信的SSL证书。强烈建议不要设置validate_certs=false，可以考虑改为设置aws_ca_bundle。选项 `false` `true` ← (默认)

备注 

注意

注意：对于模块，环境变量和配置文件是从Ansible的“主机”上下文而不是“控制器”上下文读取的。因此，可能需要将文件显式复制到“主机”。对于查找和连接插件，环境变量和配置文件是从Ansible的“控制器”上下文而不是“主机”上下文读取的。
Ansible使用的AWS SDK (boto3)也可能从其在Ansible“主机”上下文中的配置文件（通常为~/.aws/credentials）读取凭据和其他设置的默认值，例如区域。更多信息请参见 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html。

示例 

# Describe all Rule Groups in an account (excludes managed groups)
- community.aws.networkfirewall_rule_group_info: {}

# List the available Managed Rule groups (AWS doesn't support describing the
# groups)
- community.aws.networkfirewall_rule_group_info:
    scope: managed

# Describe a Rule Group by ARN
- community.aws.networkfirewall_rule_group_info:
    arn: arn:aws:network-firewall:us-east-1:123456789012:stateful-rulegroup/ExampleRuleGroup

# Describe a Rule Group by name
- community.aws.networkfirewall_rule_group_info:
    name: ExampleRuleGroup
    type: stateful

返回值 

常见的返回值已在此处记录，以下是此模块特有的字段

键	描述
rule_groups 列表 / 元素=字典	规则组的详细信息返回：成功
rule_group 字典	规则组中规则的详细信息返回：成功
rule_variables 复杂类型	可在规则组中的规则中使用的设置。返回：当规则变量附加到规则组时。
ip_sets 字典	一个字典，将变量名映射到CIDR格式的IP地址。返回：成功示例： `["192.0.2.0/24"]`
port_sets 字典	一个字典，将变量名映射到端口。返回：成功示例： `["42"]`
rules_source 字典	DEFAULT_ACTION_ORDER 返回：成功
rules_source_list 字典	域列表规则组条件的描述。返回：当规则组基于“域列表”时。
generated_rules_type 字符串	规则组允许还是拒绝访问列表中的域。返回：成功示例： `"ALLOWLIST"`
target_types 列表 / 元素=字符串	规则组要检查的协议。返回：成功示例： `["TLS_SNI", "HTTP_HOST"]`
targets 列表 / 元素=字符串	要检查的域名列表。返回：成功示例： `["abc.example.com", ".example.net"]`
rules_string 字符串	描述规则组组成的规则的字符串。返回：当规则组基于“规则字符串”时。
stateful_rules 列表 / 元素=字典	描述规则组组成的规则的字典列表。返回：当规则组基于“规则列表”时。
action 字符串	当流匹配规则条件时要执行的操作。返回：成功示例： `"PASS"`
header 字典	规则使用的条件描述。返回：成功
destination 字符串	要检查的目标地址或地址范围。返回：成功示例： `"198.51.100.0/24"`
destination_port 字符串	要检查的目标端口。返回：成功示例： `"6666:6667"`
direction 字符串	要检查的流量流方向。返回：成功示例： `"FORWARD"`
protocol 字符串	要检查的协议。返回：成功示例： `"IP"`
source 字符串	要检查的源地址或地址范围。返回：成功示例： `"203.0.113.98"`
source_port 字符串	要检查的源端口。返回：成功示例： `"42"`
rule_options 列表 / 元素=字典	规则的其他Suricata RuleOptions设置。返回：成功
keyword 字符串	设置的关键字。返回：成功示例： `"sid:1"`
settings 列表 / 元素=字符串	传递给设置的值列表。返回：当值可用时
stateless_rules_and_custom_actions 字典	无状态规则组条件的描述。返回：当规则组是无状态规则组时。
custom_actions 列表 / 元素=字典	可在无状态规则中使用的单个自定义操作定义列表。返回：成功
action_definition 字典	与操作名称关联的自定义操作。返回：成功
publish_metric_action 字典	发布到CloudWatch的操作的描述。返回：当操作发布到CloudWatch时。
dimensions 列表 / 元素=字典	在Amazon CloudWatch自定义指标维度中使用的值。返回：成功
value 字符串	在自定义指标维度中使用的值。返回：成功
action_name 字符串	自定义操作的名称。返回：成功
stateless_rules 列表 / 元素=字典	无状态规则组中使用的无状态规则列表。返回：成功
priority 整数	指示相对于为无状态规则组定义的所有规则运行此规则的顺序。返回：成功
rule_definition 字典	描述规则的无状态五元组检查条件和操作。返回：成功
actions 列表 / 元素=字符串	当流匹配规则时要采取的操作。返回：成功示例： `["aws:pass", "CustomActionName"]`
match_attributes 字典	描述规则的无状态五元组检查条件。返回：成功
destination_ports 列表 / 元素=字典	要检查的目标端口范围。返回：成功
from_port 整数	端口范围的下限。返回：成功
to_port 整数	端口范围的上限。返回：成功
destinations 列表 / 元素=字典	要检查的目标IP地址和地址范围。返回：成功
address_definition 字符串	IP地址或CIDR表示法的IP地址块。返回：成功示例： `"192.0.2.3"`
protocols 列表 / 元素=整数	要检查的协议的IANA协议号。返回：成功示例： `[6]`
source_ports 列表 / 元素=字典	要检查的源端口范围。返回：成功
from_port 整数	端口范围的下限。返回：成功
to_port 整数	端口范围的上限。返回：成功
sources 列表 / 元素=字典	要检查的源IP地址和地址范围。返回：成功
address_definition 字符串	IP地址或CIDR表示法的IP地址块。返回：成功示例： `"192.0.2.3"`
tcp_flags 列表 / 元素=字典	要检查的TCP标志和掩码。返回：成功
flags 列表 / 元素=字符串	与掩码一起使用，用于定义检查流量的 TCP 标志。返回：成功
masks (掩码) 列表 / 元素=字符串	检查期间考虑的标志集。返回：成功
stateful_rule_options (状态规则选项) 字典	控制网络防火墙如何处理状态规则的其他选项。返回值：当规则组基于“规则字符串”或“规则列表”时。
rule_order (规则顺序) 字符串	评估规则的顺序。返回：成功示例： `"DEFAULT_ACTION_ORDER"`
rule_group_metadata (规则组元数据) 字典	规则组中规则的详细信息返回：成功
capacity (容量) 整数	此规则组可以使用的最大运行资源。返回：成功
consumed_capacity (已使用容量) 整数	规则组规则当前使用的容量单位数量。返回：成功
description (描述) 字符串	规则组的描述。返回：成功
number_of_associations (关联数量) 整数	使用此规则组的防火墙策略数量。返回：成功
rule_group_arn (规则组ARN) 整数	规则组的 ARN。返回：成功示例： `"arn:aws:network-firewall:us-east-1:123456789012:stateful-rulegroup/ExampleGroup"`
rule_group_id (规则组 ID) 整数	规则组的唯一标识符。返回：成功示例： `"12345678-abcd-1234-abcd-123456789abc"`
rule_group_name (规则组名称) 字符串	规则组的名称。返回：成功
rule_group_status (规则组状态) 字符串	规则组的当前状态。返回：成功示例： `"DELETING"`
tags (标签) 字典	表示与规则组关联的标签的字典。返回：成功
type (类型) 字符串	规则组是无状态的还是有状态的。返回：成功示例： `"STATEFUL"`
rule_list (规则列表) 列表 / 元素=字符串	匹配规则组的 ARN 列表。返回值：未指定规则名称时。

作者

Mark Chappell (@tremble)