如何确定AWS安全组依赖关系？

Amazon EC2不允许我删除安全组，并抱怨该组仍然具有依赖性。我如何找到那些依赖项？

AWS ec2 describe-security-groups没有说。

将安全组ID粘贴到EC2的“网络接口”部分。这将在EC2，EB，RDS，ELB中找到用法。

CLI： aws ec2 describe-network-interfaces --filters Name=group-id,Values=sg-123abc45

在AWS EC2控制台中执行此操作的最佳方法是在EC2-> Instances部分的搜索字段中粘贴安全组名称。

然后将填充与粘贴的安全组关联的所有实例，这些实例将是ec2对象（依赖项）。

您还可以在ELB部分和其他利用安全组的AWS产品中运行此搜索。

如果要删除安全组，则需要为每个实例“更改安全组”（如果它们在VPC中），或者创建AMI并使用其他安全组重新启动，然后删除旧实例（如果使用EC2经典版）

希望有帮助-

您需要查看您的EC2实例对象，而不是组本身：

$ aws ec2 describe-instances --output text

然后寻找“ sg- *”或使用标准的unix文本流处理工具提取所需的数据。

另外，如果您的实例数量很少，请使用--output table格式正确的列表。

您可以查询aws cli以获取所需的数据。

您需要：

• 列出所有安全组，以查找对相关组的引用
• 列出所有EC2及其组
• 列出所有ELB及其组
• 列出所有RDS及其组

您也可以使用诸如boto https://code.google.com/p/boto/之类的库，而不是原始的aws cli。

Lambda函数可能还具有安全组。在撰写本文时，Amazon不会阻止删除Lambda函数使用的安全组。

我用这个：

aws lambda list-functions | jq -c '.Functions[] | {FunctionArn, SecurityGroups: (.VpcConfig.SecurityGroupIds[]? // null) }'

另一个问题是依赖于其他安全组的安全组。可以使用此命令生成邻接列表（直接依赖项）：

aws ec2 describe-security-groups --query "SecurityGroups[*].{ID:GroupId,Name:GroupName,dependentOnSGs:IpPermissions[].UserIdGroupPairs[].GroupId}

理想情况下，此结果应用于查找传递闭包（所有依赖项，直接和间接）。不幸的是，我没有找到Transitive闭包工具。

最初询问问题时，此功能可能不可用，但是如果您进入AWS控制台的安全组，请选择有问题的组，然后选择Delete Action，结果提示将告诉您是否引用了该引用以及引用的内容。

您可以使用此Python工具列出安全组及其相关性。它还允许列出未使用的（过时的）安全组：

https://github.com/mingbowan/sgdeps

标记的答案不正确。如果看到依赖关系违规，则很可能在IP权限（入口）配置中引用了另一个安全组。您将需要撤消所有包含安全组作为其来源的入口权限。