AWS Config 규칙 vpc-sg-open-only-to-authorized-ports 및 Systems Manager Automation 문서 AWS-DisablePublicAccessForSecurityGroup과 관련된 "InvalidPermission.NotFound" 오류를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 8월 12일

SSH 및 RDP 포트를 비활성화하기 위해 AWS Systems Manager Automation 문서 AWS-DisablePublicAccessForSecurityGroup을 생성했습니다. 그러나 AWS Config 규칙 vpc-sg-open-only-to-authorized-ports에서 자동 수정 오류가 발생합니다. 오류는 다음과 유사합니다.

"An error occurred (InvalidPermission.NotFound) when calling the RevokeSecurityGroupIngress operation: The specified rule does not exist in this security group."  

간략한 설명

AWS Config 규칙은 보안 그룹이 0.0.0.0/0으로의 인바운드 TCP 또는 UDP 트래픽을 허용하는지 확인합니다. 예를 들어 TCP 포트 443과 1020~1025가 0.0.0.0/0에 액세스할 수 있도록 허용하려면 AWS Config 규칙 파라미터에서 포트를 지정합니다. SSM 문서 AWS-DisablePublicAccessForSecurityGroup은 모든 IP 주소(0.0.0.0/0) 또는 IpAddressToBlock 파라미터를 사용하여 지정된 IPv4 주소에 열려 있는 기본 SSH 22 및 RDP 3389 포트로 제한됩니다.

해결 방법

RevokeSecurityGroupIngress API 작업과 관련된 클라이언트 오류 InvalidPermission.NotFound는 대상 보안 그룹에 인바운드 규칙이 없거나 대상 보안 그룹이 기본 Amazon Virtual Private Cloud(Amazon VPC)에 없음을 의미합니다.

중요: 시작하기 전에 AWS 명령줄 인터페이스(AWS CLI)를 설치구성해야 합니다.

오류 메시지를 확인하려면 다음과 유사한 AWS CLI 명령 describe-remediation-execution-status를 실행합니다.

aws configservice describe-remediation-execution-status --config-rule-name vpc-sg-open-only-to-authorized-ports --region af-south-1 --resource-keys resourceType=AWS::EC2::SecurityGroup,resourceId=sg-1234567891234567891

보안 그룹에 대한 인바운드 규칙은 다음 패턴 중 하나를 사용하여 열린 포트를 지정해야 합니다.

0.0.0.0/0

::/0

SSH or RDP port + 0.0.0.0/0

SSH or RDP port + ::/0

22 및 3389를 포함한 다른 포트에 대한 자동 수정을 구성하려면 사용자 지정 SSM 문서를 사용하여 프로세스를 자동화할 수 있습니다. 지침은 Systems Manager 문서 생성을 참조하십시오.