Retirer des règles d’un security group

Vous pouvez retirer des règles pour les flux entrants ou sortants à tout moment, même les règles initiales contenues dans les security groups par défaut ou que vous créez. Une fois la règle retirée, vos modifications sont automatiquement appliquées et les flux correspondants ne sont plus autorisés.

Retirer des règles d’un security group avec Cockpit v2

  1. Dans le dashboard Security Groups, cliquez sur l’ID du security group duquel vous voulez retirer une règle.
    Le volet de détails du security group apparaît.

  2. Cliquez à l’intérieur du volet pour faire apparaître des cases à cocher.

  3. Cochez la case de la règle que vous voulez retirer.
    La règle est sélectionnée et un menu d’actions apparaît.

  4. Cliquez sur IconTerminate Supprimer.
    Un boîte de dialogue de confirmation apparaît.

  5. Cliquez sur Supprimer des règles d’entrée, ou Supprimer des règles de sortie le cas échéant.
    La règle sélectionnée est supprimée.

Retirer des règles d’un security group avec OSC CLI

À ce jour, cette section est disponible en anglais uniquement.

The DeleteSecurityGroupRule command deletes one or more inbound or outbound rules from a security group. For the rule to be deleted, the values specified in the deletion request must exactly match the value of the existing rule.
In case of TCP and UDP protocols, you have to indicate the destination port or range of ports. In case of ICMP protocol, you have to specify the ICMP type and code numbers.
Rules (IP permissions) consist of the protocol, IP range or source security group.
To remove outbound access to a destination security group, we recommend to use a set of IP permissions. We also recommend to specify the protocol in a set of IP permissions.

Request sample: Deleting an inbound rule from an IP range
$ osc-cli api DeleteSecurityGroupRule --profile "default" \
    --Flow "Inbound" \
    --SecurityGroupId "sg-12345678" \
    --FromPortRange 80 \
    --ToPortRange 80 \
    --IpProtocol "tcp" \
    --IpRange "10.0.0.0/16"
Request sample: Deleting an inbound rule from another security group
$ osc-cli api DeleteSecurityGroupRule --profile "default" \
    --Flow "Inbound" \
    --SecurityGroupId "sg-12345678" \
    --Rules '[
        {
          "FromPortRange": 22,
          "ToPortRange": 22,
          "IpProtocol": "tcp",
          "SecurityGroupsMembers": [{"AccountId": "123456789012", "SecurityGroupName": "another-security-group"}],
        },
      ]'

This command contains the following attributes that you need to specify:

  • DryRun: (optional) If true, checks whether you have the required permissions to perform the action.

  • Flow: The direction of the flow: Inbound or Outbound. You can specify Outbound for Nets only.

  • FromPortRange: (optional) The beginning of the port range for the TCP and UDP protocols, or an ICMP type number.

  • IpProtocol: (optional) The IP protocol name (tcp, udp, icmp, or -1 for all protocols). By default, -1. In a Net, this can also be an IP protocol number. For more information, see the IANA.org website.

  • IpRange: (optional) The IP range for the security group rule, in CIDR notation (for example, 10.0.0.0/16).

  • Rules: (optional) One or more rules you want to delete from the security group.

    • FromPortRange: (optional) The beginning of the port range for the TCP and UDP protocols, or an ICMP type number.

    • IpProtocol: (optional) The IP protocol name (tcp, udp, icmp, or -1 for all protocols). By default, -1. In a Net, this can also be an IP protocol number. For more information, see the IANA.org website.

    • IpRanges: (optional) One or more IP ranges for the security group rules, in CIDR notation (for example, 10.0.0.0/16).

    • SecurityGroupsMembers: (optional) Information about one or more source or destination security groups.

      • AccountId: (optional) The account ID that owns the source or destination security group.

      • SecurityGroupId: (optional) The ID of a source or destination security group that you want to link to the security group of the rule.

      • SecurityGroupName: (optional) (Public Cloud only) The name of a source or destination security group that you want to link to the security group of the rule.

    • ServiceIds: (optional) One or more service IDs to allow traffic from a Net to access the corresponding OUTSCALE services. For more information, see ReadNetAccessPointServices.

    • ToPortRange: (optional) The end of the port range for the TCP and UDP protocols, or an ICMP code number.

  • SecurityGroupAccountIdToUnlink: (optional) The account ID of the owner of the security group you want to delete a rule from.

  • SecurityGroupId: The ID of the security group you want to delete a rule from.

  • SecurityGroupNameToUnlink: (optional) The ID of the source security group. If you are in the Public Cloud, you can also specify the name of the source security group.

  • ToPortRange: (optional) The end of the port range for the TCP and UDP protocols, or an ICMP code number.

The DeleteSecurityGroupRule command returns the following elements:

  • ResponseContext: Information about the context of the response.

    • RequestId: The ID of the request.

  • SecurityGroup: Information about the security group.

    • AccountId: The account ID that has been granted permission.

    • Description: The description of the security group.

    • InboundRules: The inbound rules associated with the security group.

      • FromPortRange: The beginning of the port range for the TCP and UDP protocols, or an ICMP type number.

      • IpProtocol: The IP protocol name (tcp, udp, icmp, or -1 for all protocols). By default, -1. In a Net, this can also be an IP protocol number. For more information, see the IANA.org website.

      • IpRanges: One or more IP ranges for the security group rules, in CIDR notation (for example, 10.0.0.0/16).

      • SecurityGroupsMembers: Information about one or more source or destination security groups.

        • AccountId: The account ID that owns the source or destination security group.

        • SecurityGroupId: The ID of a source or destination security group that you want to link to the security group of the rule.

        • SecurityGroupName: (Public Cloud only) The name of a source or destination security group that you want to link to the security group of the rule.

      • ServiceIds: One or more service IDs to allow traffic from a Net to access the corresponding OUTSCALE services. For more information, see ReadNetAccessPointServices.

      • ToPortRange: The end of the port range for the TCP and UDP protocols, or an ICMP code number.

    • NetId: The ID of the Net for the security group.

    • OutboundRules: The outbound rules associated with the security group.

      • FromPortRange: The beginning of the port range for the TCP and UDP protocols, or an ICMP type number.

      • IpProtocol: The IP protocol name (tcp, udp, icmp, or -1 for all protocols). By default, -1. In a Net, this can also be an IP protocol number. For more information, see the IANA.org website.

      • IpRanges: One or more IP ranges for the security group rules, in CIDR notation (for example, 10.0.0.0/16).

      • SecurityGroupsMembers: Information about one or more source or destination security groups.

        • AccountId: The account ID that owns the source or destination security group.

        • SecurityGroupId: The ID of a source or destination security group that you want to link to the security group of the rule.

        • SecurityGroupName: (Public Cloud only) The name of a source or destination security group that you want to link to the security group of the rule.

      • ServiceIds: One or more service IDs to allow traffic from a Net to access the corresponding OUTSCALE services. For more information, see ReadNetAccessPointServices.

      • ToPortRange: The end of the port range for the TCP and UDP protocols, or an ICMP code number.

    • SecurityGroupId: The ID of the security group.

    • SecurityGroupName: The name of the security group.

    • Tags: One or more tags associated with the security group.

      • Key: The key of the tag, with a minimum of 1 character.

      • Value: The value of the tag, between 0 and 255 characters.

Result sample: Deleting an inbound rule from an IP range
{
  "SecurityGroup": {
    "Tags": [],
    "SecurityGroupName": "security-group-example",
    "OutboundRules": [
      {
        "FromPortRange": -1,
        "IpProtocol": "-1",
        "ToPortRange": -1,
        "IpRanges": [
          "0.0.0.0/0"
        ]
      }
    ],
    "SecurityGroupId": "sg-12345678",
    "AccountId": "123456789012",
    "Description": "Example of security group",
    "InboundRules": [],
    "NetId": "vpc-12345678"
  },
  "ResponseContext": {
    "RequestId": "0475ca1e-d0c5-441d-712a-da55a4175157"
  }
}
Result sample: Creating an inbound rule from another security group
{
  "SecurityGroup": {
    "Tags": [],
    "SecurityGroupName": "security-group-example",
    "OutboundRules": [
      {
        "FromPortRange": -1,
        "IpProtocol": "-1",
        "ToPortRange": -1,
        "IpRanges": [
          "0.0.0.0/0"
        ]
      }
    ],
    "SecurityGroupId": "sg-12345678",
    "AccountId": "123456789012",
    "Description": "Example of security group",
    "InboundRules": [],
    "NetId": "vpc-12345678"
  },
  "ResponseContext": {
    "RequestId": "0475ca1e-d0c5-441d-712a-da55a4175157"
  }
}

Retirer des règles d’un security group avec AWS CLI

Retirer des règles pour les flux entrants d’un security group

Pour retirer une ou plusieurs règles pour les flux entrants, utilisez la commande revoke-security-group-ingress en suivant cette syntaxe :

Exemple de requête
$ aws ec2 revoke-security-group-ingress \
    --profile YOUR_PROFILE \
    --group-name my-security-group \
    --group-id NOT_SPECIFIED \
    --protocol NOT_SPECIFIED \
    --port NOT_SPECIFIED \
    --cidr NOT_SPECIFIED \
    --source-group NOT_SPECIFIED \
    --group-owner NOT_SPECIFIED \
    --ip-permissions "[ \
                        { \
                        \"IpProtocol\": \"tcp\", \
                        \"FromPort\": 22, \
                        \"ToPort\": 22, \
                        \"IpRanges\": [ \
                                        { \
                                        \"CidrIp\": \"10.0.0.0/16\" \
                                        } \
                                      ], \
                        \"UserIdGroupPairs\": [ \
                                                { \
                                                \"UserId\": \"123456789000\", \
                                                \"GroupName\": \"dev-sg\", \
                                                \"GroupId\": \"sg-87654321\" \
                                                } \
                                              ] \
                        } \
                      ]" \
    --endpoint https://fcu.eu-west-2.outscale.com

Cette commande contient les attributs suivants que vous devez spécifier :

  • (optionnel) profile : Le profil nommé que vous voulez utiliser, créé pendant la configuration d’AWS CLI. Pour en savoir plus, voir Installer et configurer AWS CLI.

  • (optionnel) group-name : Le nom du security group, si vous êtes dans le Cloud public.

  • (optionnel) group-id : L’ID du security group.

    Parmi les attributs qui suivent, vous devez spécifier soit :

    • les attributs protocol, port et cidr

    • les attributs protocol, port, source-group et group-owner

    • l’attribut ip-permissions

  • (optionnel) protocol : Le nom de protocole (tcp, udp, icmp, ou -1 pour tous les protocoles). Par défaut, -1. Dans un VPC, cette valeur peut aussi être un numéro de protocole IP. Pour en savoir plus, voir le site IANA.org.

  • (optionnel) port : Le port en tant que nombre entier, ou la plage de ports sous la forme min-max pour les protocoles TCP et UDP, ou le numéro de type de message et de code ICMP sous la forme type-code (-1 pour indiquer tous les types de messages ICMP).

  • (optionnel) cidr : La plage d’IP dont vous voulez retirer les permissions, en notation CIDR (préfixe /32 pour une IP individuelle).

  • (optionnel) source-group : Le nom ou l’ID du security group source pour lequel vous voulez retirer les permissions.

  • (optionnel) group-owner : L’ID de compte du propriétaire du security group source, s’il appartient à un autre compte.

  • (optionnel) ip-permissions : Un ensemble d’autorisations que vous pouvez utiliser pour retirer plusieurs règles dans une même requête. Cet attribut contient les éléments suivants que vous devez spécifier :

    • (optionnel) IpProtocol : Le nom de protocole (tcp, udp, icmp, ou -1 pour tous les protocoles). Par défaut, -1. Dans un VPC, cette valeur peut aussi être un numéro de protocole IP. Pour en savoir plus, voir le site IANA.org.

    • (optionnel) FromPort : Le début de la plage de port pour les protocoles TCP et UDP, ou un numéro de type de message ICMP (-1 pour indiquer tous les types de message ICMP).

    • (optionnel) ToPort : La fin de la plage de ports pour les protocoles TCP et UDP, ou le numéro d’un code ICMP (-1 pour indiquer tous les codes ICMP).

    • (optionnel) IpRanges : Une ou plusieurs plages d’IP.

      • (optionnel) CidrIp : La plage d’IP.

    • (optionnel) UserIdGroupPairs : Informations sur un ou plusieurs comptes ou security groups pour retirer les permissions pour les flux venant de security groups d’autres comptes. Cet attribut contient les éléments suivants que vous devez spécifier :

      • (optionnel) UserId : L’ID de compte du propriétaire du security group référencé.

      • (optionnel) GroupName : Le nom du security group référencé.

      • (optionnel) GroupId : L’ID du security group référencé.

  • endpoint : Le endpoint correspondant à la Région à laquelle vous voulez envoyer la requête.

Les règles spécifiées sont retirées du security group.

(VPC uniquement) Retirer des règles pour les flux sortant d’un security group

Pour retirer une ou plusieurs règles pour les flux sortants, utilisez la commande revoke-security-group-egress en suivant cette syntaxe :

Exemple de requête
$ aws ec2 revoke-security-group-egress \
    --profile YOUR_PROFILE \
    --group-id my-security-group \
    --protocol NOT_SPECIFIED \
    --port NOT_SPECIFIED \
    --cidr NOT_SPECIFIED \
    --source-group NOT_SPECIFIED \
    --group-owner NOT_SPECIFIED \
    --ip-permissions "[ \
                        { \
                        \"IpProtocol\": \"tcp\", \
                        \"FromPort\": 22, \
                        \"ToPort\": 22, \
                        \"IpRanges\": [ \
                                        { \
                                        \"CidrIp\": \"10.0.0.0/16\" \
                                        } \
                                      ], \
                        \"UserIdGroupPairs\": [ \
                                                { \
                                                \"UserId\": \"123456789000\", \
                                                \"GroupName\": \"dev-sg\", \
                                                \"GroupId\": \"sg-87654321\" \
                                                } \
                                              ], \
                        \"PrefixListIds\": [ \
                                             { \
                                             \"PrefixListId\": \"pl-12345678\" \
                                             } \
                                           ] \
                        } \
                      ]" \
    --endpoint https://fcu.eu-west-2.outscale.com

Cette commande contient les attributs suivants que vous devez spécifier :

  • (optionnel) profile : Le profil nommé que vous voulez utiliser, créé pendant la configuration d’AWS CLI. Pour en savoir plus, voir Installer et configurer AWS CLI.

  • group-id : L’ID du security group.

    Parmi les attributs qui suivent, vous devez spécifier soit :

    • les attributs protocol, port et cidr

    • les attributs protocol, port, source-group et group-owner

    • l’attribut ip-permissions

  • (optionnel) protocol : Le nom de protocole (tcp, udp, icmp, ou -1 pour tous les protocoles). Par défaut, -1. Dans un VPC, cette valeur peut aussi être un numéro de protocole IP. Pour en savoir plus, voir le site IANA.org.

  • (optionnel) port : Le port en tant que nombre entier, ou la plage de ports sous la forme min-max pour les protocoles TCP et UDP, ou le numéro de type de message et de code ICMP sous la forme type-code (-1 pour indiquer tous les types de messages ICMP).

  • (optionnel) cidr : La plage d’IP dont vous voulez retirer les permissions, en notation CIDR (préfixe /32 pour une IP individuelle).

  • (optionnel) source-group : Le nom ou l’ID du security group source pour lequel vous voulez retirer les permissions.

  • (optionnel) group-owner : L’ID de compte du propriétaire du security group source, s’il appartient à un autre compte.

  • (optionnel) ip-permissions : Un ensemble d’autorisations que vous pouvez utiliser pour retirer plusieurs règles dans une même requête. Cet attribut contient les éléments suivants que vous devez spécifier :

    • (optionnel) IpProtocol : Le nom de protocole (tcp, udp, icmp, ou -1 pour tous les protocoles). Par défaut, -1. Dans un VPC, cette valeur peut aussi être un numéro de protocole IP. Pour en savoir plus, voir le site IANA.org.

    • (optionnel) FromPort : Le début de la plage de port pour les protocoles TCP et UDP, ou un numéro de type de message ICMP (-1 pour indiquer tous les types de message ICMP).

    • (optionnel) ToPort : La fin de la plage de ports pour les protocoles TCP et UDP, ou le numéro d’un code ICMP (-1 pour indiquer tous les codes ICMP).

    • (optionnel) IpRanges : Une ou plusieurs plages d’IP.

      • (optionnel) CidrIp : La plage d’IP.

    • (optionnel) UserIdGroupPairs : Informations sur un ou plusieurs comptes ou security groups pour retirer les permissions pour les flux venant de security groups d’autres comptes. Cet attribut contient les éléments suivants que vous devez spécifier :

      • (optionnel) UserId : L’ID de compte du propriétaire du security group référencé.

      • (optionnel) GroupName : Le nom du security group référencé.

      • (optionnel) GroupId : L’ID du security group référencé.

    • (optionnel) PrefixListIds : Un ou plusieurs ID de prefix list. Pour en savoir plus, voir Obtenir des informations sur les prefix lists.

      • (optionnel) PrefixListId : L’ID d’une prefix list.

  • endpoint : Le endpoint correspondant à la Région à laquelle vous voulez envoyer la requête.

Les règles spécifiées sont retirées du security group.

Pages connexes

Méthodes API correspondantes

AWS™ et Amazon Web Services™ sont des marques de commerce d’Amazon Technologies, Inc. ou de ses affiliées aux États-Unis et/ou dans les autres pays.