AWSのSecurity GroupのDescriptionは変更不可という話
AWS Security GroupのDescriptionを変更したくなったができなかったのでメモ
(Nameも同様に変更不可ですがこのメモでは触れません)
背景とか
Terraformで作成していたSecurity Groupにdescriptionを設定していなかったところ、tfsecでチェックしたらAWS018が検出されたのが始まりでした。
Security GroupのDescriptionとは
「説明」という項目で表示されるアレです。
公式ドキュメントにも記載があります
セキュリティグループの分かりやすい名前と簡単な説明を入力します。セキュリティグループの作成後は編集できません。
変更したい場合はどうすればいいか
GUIの場合は下記手順で良いらしいです。
1. Security Groupをコピーする
2. NameとDescriptionを意図したものにする
3. 同一対象(EC2とかALBとか)に付与する(一時的に二重に付与)
4. 変更元(コピー元)を削除する
Terraformの場合はどうしたらいいか
下記のいずれかの対応になるはず。ただしPlan 2. はSecurity Group Nameのユニーク制約に抵触しないように設定している場合のみになるはず。未検証なのでどこかで検証しておきたい。
・Plan 1. 前述の手順をTerraformで実施
・Plan 2. lifecycleのcreate_before_destroy = trueにより対応
・Plan 3. Plan 1. + あとでterraform importとか実施
いずれも本番ではあまり実施したいタイプの作業ではないです。
なので、最初からちゃんとしたDescriptionやNameを付与しておきたいところです。
または諦めてしまうのも手です。
自分は実は諦める派でして、最終的には下記のようにdescriptionはdefault値を埋めてお茶を濁すでいいかなーとか思っています。
description = "Managed by Terraform"
大事なのは個別ルールの方のdescriptionなので。
この記事が気に入ったらサポートをしてみませんか?