Boto3在authorize_security_group_egress上的误差

Question

当我试图使用boto3更新出口规则时。我得到以下错误：

client.authorize_security_group_egress(
  GroupId=group_id,CidrIp="0.0.0.0/0",
  IpProtocol='tcp',
  FromPort=from_port,
  ToPort=to_port)

警告:root:意外错误:调用AuthorizeSecurityGroupEgress操作时发生错误(AuthorizeSecurityGroupEgress)：参数CidrIp不可识别

但这在入口规则上很有效。

Answer 1

这里可能有多个问题。

首先，它只适用于EC2-VPC.它不适用于EC2-经典的http://boto3.readthedocs.io/en/latest/reference/services/ec2.html#EC2.Client.authorize_安全性_组_出口，出口

只限于EC2-VPC将一个或多个出口规则添加到一个安全组中，以便与VPC一起使用。具体而言，此操作允许实例将通信量发送到一个或多个目的地CIDR IP地址范围，或发送到同一个VPC的一个或多个目的地安全组。此操作不适用于用于EC2-Classc中的安全组。有关更多信息，请参见Amazon虚拟私有云用户指南中VPC的安全组。

其次，boto3确实包含一些文档错误。正如@Tayler所提到的，也许您应该省略CidrIp。老实说，我不明白为什么您需要创建这样的出口规则，因为它是默认的所有安全组。

如果希望删除组中的所有规则，则需要使用revoke_security_group_egress。authorize_security_group_egress不能“更新”规则，它只添加规则。