見出し画像

AWS ENI(所有者によってはセキュリティグループが直接変更できない話)

こぐま

こんにちはこぐまです。

不要なセキュリティグループを削除するには、そのセキュリティグループが誰にも使われていないという前提が必要です。具体的にはアタッチされているすべてのENI(Elastic Network Interface)からデタッチしないといけません。各ENIはそれぞれ別のインスタンスにアタッチされているので、それらを確認しつつ進めていきます。今回はそんな話。

テスト用に作成したElasticache(Redis)に、2つのセキュリティグループが
付与されていました。(正確には、Redisが利用するENIにアタッチされていました)

このうちの一つは一時的なものでしたので、ゆるゆるでした。
「TrustedAdvisor」にて確認すると、「危ないからやめたほうがいいよ」と警告を出されてたので、「EC2コンソール」の「ネットワークインターフェイス」の画面において、(警告が出た)片方のセキュリティグループをデタッチしてから削除しようとしました。そしたらこんなエラーが・・

あれ、自分で作ったもののはずなのに、変更できない。。
ネットワークインタフェースの詳細の部分をよく見ると、こんな風に書かれていました。

「インスタンス所有者」という部分に名前が・・

なるほど。
所有者が「AWSサービス」なので、Elasticache(Redis)側の画面から消さないといけないんですね。
作成するときは、それぞれのサービスのウィザードみたいなところで、
複数アタッチできるのでそれほど気にしていませんでしたが、変更についても、その作成したサービス側から行う必要があるということですね。

ちなみに、EC2インスタンスの場合は、アカウント名が表記されるようです。こちらは、先ほどと同じ画面からデタッチできました。

インスタンス所有者がアカウントのIDとなっていました。
そしてインスタンスIDも記載されていました。

まとめると・・ENIに付与したセキュリティグループの変更は

1)「インスタンス所有者」がAWSサービス名となっている
→ そのサービス側の画面から変更する必要がある。
(今回でいえばElasticache(Redis)側の管理画面)

2)「インスタンス所有者」が自身のAWSアカウントIDとなっている。
→ EC2コンソールのネットワークインタフェース画面から直接変更できる。

ということのようです。マニュアルにも書かれていました!
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-eni.html#modify-groups

ということで、Elasticache(Redis)の管理画面側から、無事に不要なセキュリティグループをデタッチし、セキュリティグループ自体も削除できました!

読んで下さってありがとうございました。

この記事が気に入ったらサポートをしてみませんか?