CloudFormation でアウトバウンドをすべて許可したセキュリティグループを作成する方法を教えてください

困っていた内容

すべてのアウトバウンド通信を許可するセキュリティグループを CloudFormation で作成したいです。
次のテンプレートを実行しましたが、通信が許可されません。

 MySecurityGroup: Type: AWS::EC2::SecurityGroup Properties: GroupName: "hato-CloudFormation-SecurityGroup" GroupDescription: "SecurityGroup created by CloudFormation" VpcId: "vpc-123abc" SecurityGroupEgress: - IpProtocol: 0 CidrIp: '0.0.0.0/0' 

すべてのアウトバウンド通信を許可するセキュリティグループを作成するにはどうしたら良いでしょうか。

どう対応すればいいの?

IpProtocolで-1を指定してください。

 MySecurityGroup: Type: AWS::EC2::SecurityGroup Properties: GroupName: "hato-CloudFormation-SecurityGroup" GroupDescription: "SecurityGroup created by CloudFormation" VpcId: "vpc-123abc" SecurityGroupEgress: - IpProtocol: "-1" CidrIp: '0.0.0.0/0' 

AWS マネジメントコンソールからセキュリティグループを作成すると、デフォルトですべてのアウトバウンドトラフィックを許可するルールが設定されます。

CloudFormation で同様のセキュリティグループを作成する場合、IpProtocolで「すべて」を意味する-1を指定してください。

なお、0を指定するとプロトコル番号：0となり、HOPOPT（IPv6 Hop-by-Hop Option）プロトコルの指定となります。

CloudFormation に限らず、IaC ツールを使用する際にはご注意ください。

参考資料

• AWS::EC2::SecurityGroupIngress - AWS CloudFormation

IpProtocol
The IP protocol name (tcp, udp, icmp, icmpv6) or number (see Protocol Numbers).

Use -1 to specify all protocols.

• AWS::EC2::SecurityGroupEgress - AWS CloudFormation

IpProtocol
The IP protocol name (tcp, udp, icmp, icmpv6) or number (see Protocol Numbers).
Use -1 to specify all protocols.

• Protocol Numbers

Decimal	Keyword	Protocol	IPv6 Extension Header	Reference
0	HOPOPT	IPv6 Hop-by-Hop Option	Y	[RFC8200]

• Amazon EC2 インスタンス用のセキュリティグループの作成 - Amazon Elastic Compute Cloud

新しいセキュリティグループには、すべてのトラフィックがリソースを離れることを許可するアウトバウンドルールのみで開始されます。