我正在尝试创建一个云托管过滤器,该过滤器用于识别暴露于ping的安全组。一位同事建议使用以下类型的过滤器:ingress,IpProtocol:-1,但是当我知道--dryrun中的匹配项超过0时,它将在--dryrun中识别出0个匹配项。允许答复,但到目前为止还没有找到我想要的东西。我认为它必须存在,因为可以从AWS Web界面中进行搜索。
policies:
- name: sg-ping-noncompliance
resource: security-group
comment: |
Identify security groups which allow ping on any port(s)
filters:
- type: ingress
IpProtocol: -1