AWSのSecurity GroupのDescriptionは変更不可という話

AWS Security GroupのDescriptionを変更したくなったができなかったのでメモ

（Nameも同様に変更不可ですがこのメモでは触れません）

背景とか

Terraformで作成していたSecurity Groupにdescriptionを設定していなかったところ、tfsecでチェックしたらAWS018が検出されたのが始まりでした。

AWS018

Security GroupのDescriptionとは

「説明」という項目で表示されるアレです。
公式ドキュメントにも記載があります

セキュリティグループの操作 - Amazon Elastic Compute Cloud

セキュリティグループの分かりやすい名前と簡単な説明を入力します。セキュリティグループの作成後は編集できません。

変更したい場合はどうすればいいか

GUIの場合は下記手順で良いらしいです。

1. Security Groupをコピーする
2. NameとDescriptionを意図したものにする
3. 同一対象(EC2とかALBとか）に付与する（一時的に二重に付与）
4. 変更元（コピー元）を削除する

Terraformの場合はどうしたらいいか

下記のいずれかの対応になるはず。ただしPlan 2. はSecurity Group Nameのユニーク制約に抵触しないように設定している場合のみになるはず。未検証なのでどこかで検証しておきたい。

・Plan 1. 前述の手順をTerraformで実施
・Plan 2. lifecycleのcreate_before_destroy = trueにより対応
・Plan 3. Plan 1. + あとでterraform importとか実施

いずれも本番ではあまり実施したいタイプの作業ではないです。

なので、最初からちゃんとしたDescriptionやNameを付与しておきたいところです。

または諦めてしまうのも手です。

自分は実は諦める派でして、最終的には下記のようにdescriptionはdefault値を埋めてお茶を濁すでいいかなーとか思っています。

description = "Managed by Terraform"

大事なのは個別ルールの方のdescriptionなので。