Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Groupes de sécurité Amazon EC2 pour vos instances EC2
<a name="ec2-security-groups"></a>

Un *groupe de sécurité* agit en tant que pare-feu virtuel pour vos instances EC2 afin de contrôler le trafic entrant et sortant. Les règles entrantes contrôlent le trafic entrant vers votre instance, et les règles sortantes contrôlent le trafic sortant de votre instance. Lorsque vous lancez une instance, vous pouvez spécifier un ou plusieurs groupes de sécurité. Si vous ne spécifiez pas de groupe de sécurité, Amazon EC2 utilise le groupe de sécurité par défaut pour le VPC. Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Pour plus d'informations, consultez[Sécurité dans Amazon EC2](ec2-security.md). AWS fournit des groupes de sécurité comme l'un des outils de sécurisation de vos instances, et vous devez les configurer pour répondre à vos besoins de sécurité. Si vous avez des exigences qui ne sont pas satisfaites par les groupes de sécurité, vous pouvez maintenir votre propre pare-feu sur l’une de vos instances, quelle qu’elle soit, en plus de l’utilisation des groupes de sécurité.

**Tarification**  
L’utilisation de groupes de sécurité n’entraîne aucuns frais supplémentaires.

**Topics**
+ [Présentation de](#security-group-basics)
+ [Créez un groupe de sécurité pour votre instance Amazon EC2](creating-security-group.md)
+ [Modifiez les groupes de sécurité de votre instance Amazon EC2](changing-security-group.md)
+ [Supprimer un groupe de sécurité Amazon EC2](deleting-security-group.md)
+ [Suivi de la connexion du groupe de sécurité Amazon EC2](security-group-connection-tracking.md)
+ [Règles de groupe de sécurité pour différents cas d’utilisation](security-group-rules-reference.md)

## Présentation de
<a name="security-group-basics"></a>

Vous pouvez associer chaque instance à plusieurs groupes de sécurité, et vous pouvez associer chaque groupe de sécurité à plusieurs instances. Vous ajoutez des règles à chaque groupe de sécurité pour autoriser le trafic vers ou depuis ses instances associées. Vous pouvez modifier les règles d'un groupe de sécurité à tout moment. Les nouvelles règles sont automatiquement appliquées à toutes les instances associées au groupe de sécurité. Lorsque Amazon EC2 décide d’autoriser ou non le trafic à atteindre une instance, il évalue toutes les règles de tous les groupes de sécurité associés à l’instance. Pour plus d’informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) dans le *Guide de l’utilisateur Amazon VPC*.

Le schéma suivant illustre un VPC avec un sous-réseau, une passerelle Internet et un groupe de sécurité. Le sous-réseau contient des instances EC2. Le groupe de sécurité est associé aux instances. Le seul trafic qui atteint l’instance est le trafic autorisé par les règles du groupe de sécurité. Par exemple, si le groupe de sécurité contient une règle qui autorise le trafic ICMP vers l’instance depuis votre réseau, vous pouvez envoyer une commande ping à l’instance depuis votre ordinateur. Si le groupe de sécurité contient une règle qui autorise tout le trafic provenant des ressources qui lui sont associées, chaque instance peut recevoir le trafic envoyé par les autres instances.

![\[Un VPC avec un groupe de sécurité. L’instance EC2 du sous-réseau est associée au groupe de sécurité.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ec2-security-groups.png)


Les groupes de sécurité sont dynamiques. Si vous envoyez une demande à partir de votre instance, le trafic de la réponse à cette demande est autorisé, indépendamment des règles entrantes des groupes de sécurité. De même, les réponses au trafic entrant autorisé sont autorisées à sortir, indépendamment des règles de sortie. Pour de plus amples informations, veuillez consulter [Suivi de la connexion](security-group-connection-tracking.md).

# Créez un groupe de sécurité pour votre instance Amazon EC2
<a name="creating-security-group"></a>

Les groupes de sécurité font office de pare-feu pour les instances associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l’instance. Vous pouvez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter à votre instance à l’aide de SSH (instances Linux) ou de RDP (instances Windows). Vous pouvez aussi ajouter des règles qui permettent le trafic client, par exemple le trafic HTTP et HTTPS à destination d’un serveur web.

Vous pouvez associer un groupe de sécurité à une instance lorsque vous lancez l’instance. Lorsque vous ajoutez ou supprimez des règles de groupes de sécurité associés, ces modifications sont automatiquement appliquées à toutes les instances auxquelles vous avez associé le groupe de sécurité.

Après avoir lancé une instance, vous pouvez associer des groupes de sécurité supplémentaires. Pour de plus amples informations, veuillez consulter [Modifiez les groupes de sécurité de votre instance Amazon EC2](changing-security-group.md).

Vous pouvez ajouter des règles de groupe de sécurité entrants et sortants lors de la création d’un groupe de sécurité ou ultérieurement. Pour de plus amples informations, veuillez consulter [Configurer les règles des groupes de sécurité](changing-security-group.md#add-remove-security-group-rules). Pour des exemples de règles que vous pouvez ajouter à un groupe de sécurité, consultez [Règles de groupe de sécurité pour différents cas d’utilisation](security-group-rules-reference.md).

**Considérations**
+ Les nouveaux groupes de sécurité commencent avec une seule règle sortante qui autorise tout le trafic à quitter la ressource. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.
+ Lorsque vous configurez une source pour une règle qui autorise l’accès SSH ou RDP à vos instances, n’autorisez pas l’accès depuis n’importe où, car cela autoriserait cet accès à votre instance à partir de toutes les adresses IP sur Internet. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n’est pas sécurisée pour les environnements de production.
+ S’il existe plusieurs règles pour un port spécifique, Amazon EC2 applique la règle la lus permissive. Par exemple, si vous avez une règle qui autorise l’accès au port TCP 22 (SSH) à partir de l’adresse IP 203.0.113.1, et une autre règle qui autorise l’accès au port TCP 22 à partir de n’importe où, alors tout le monde a accès au port TCP 22.
+ Vous pouvez associer plusieurs groupes de sécurité à une instance. Par conséquent, une instance peut avoir des centaines de règles qui s’appliquent. Cela peut entraîner des problèmes quand vous accédez à l’instance. Nous vous recommandons de condenser vos règles autant que possible.
+ Quand vous spécifiez un groupe de sécurité comme source ou destination d’une règle, celle-ci affecte toutes les instances associées au groupe de sécurité. Le trafic entrant est autorisé en fonction des adresses IP privées des instances associées au groupe de sécurité source (et non des adresses IP Elastic ou des adresses IP publiques). Pour plus d’informations sur les adresses IP, consultez [Adressage IP des instances Amazon EC2](using-instance-addressing.md).
+ Amazon EC2 bloque par défaut le trafic sur le port 25. Pour de plus amples informations, veuillez consulter [Restriction sur les e-mails envoyés à l’aide du port 25](ec2-resource-limits.md#port-25-throttle).

------
#### [ Console ]

**Pour créer un groupe de sécurité**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez **Create security group** (Créer un groupe de sécurité).

1. Entrez un nom descriptif et une brève description pour le groupe de sécurité. Vous ne pouvez pas modifier le nom et la description d’un groupe de sécurité créé.

1. Pour le **VPC**, choisissez le VPC dans lequel vous exécuterez vos instances Amazon EC2.

1. (Facultatif) Pour ajouter des règles entrantes, choisissez **Règles entrantes**. Pour chaque règle, choisissez **Ajouter une règle** et spécifiez le protocole, le port et la source. **Par exemple, pour autoriser le trafic SSH, choisissez **SSH** pour **Type** et spécifiez l' IPv4 adresse publique de votre ordinateur ou de votre réseau pour Source.**

1. (Facultatif) Pour ajouter des règles sortantes, choisissez **Règles sortantes**. Pour chaque règle, choisissez **Ajouter une règle** et spécifiez le protocole, le port et la destination. Sous l’onglet Sortant, conservez la règle par défaut qui autorise tout le trafic sortant.

1. (Facultatif) Pour ajouter une identification, choisissez **Add new tag** (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

1. Sélectionnez **Créer un groupe de sécurité**.

------
#### [ AWS CLI ]

**Pour créer un groupe de sécurité**  
Utilisez la commande [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html) suivante.

```
aws ec2 create-security-group \
    --group-name my-security-group \
    --description "my security group" \
    --vpc-id vpc-1234567890abcdef0
```

Pour des exemples d’ajout de règles, consultez la section [Configurer les règles des groupes de sécurité](changing-security-group.md#add-remove-security-group-rules).

------
#### [ PowerShell ]

**Pour créer un groupe de sécurité**  
Utilisez l’applet de commande [New-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html).

```
New-EC2SecurityGroup `
    -GroupName my-security-group `
    -Description "my security group" `
    -VpcId vpc-1234567890abcdef0
```

Pour des exemples d’ajout de règles, consultez la section [Configurer les règles des groupes de sécurité](changing-security-group.md#add-remove-security-group-rules).

------

# Modifiez les groupes de sécurité de votre instance Amazon EC2
<a name="changing-security-group"></a>

Vous pouvez spécifier des groupes de sécurité pour vos instances Amazon EC2 lors de leur lancement. Après avoir lancé une instance, vous pouvez ajouter ou supprimer des groupes de sécurité. Vous pouvez également ajouter, supprimer ou modifier des règles de groupe de sécurité pour les groupes de sécurité associés à tout moment.

Les groupes de sécurité sont associés à des interfaces réseau. L’ajout ou la suppression de groupes de sécurité modifie les groupes de sécurité associés à l’interface réseau principale. Vous pouvez également modifier les groupes de sécurité associés aux interfaces réseau secondaires. Pour de plus amples informations, veuillez consulter [Modifier les attributs d’interface réseau](modify-network-interface-attributes.md).

**Topics**
+ [Ajouter ou supprimer des groupes de sécurité](#add-remove-instance-security-groups)
+ [Configurer les règles des groupes de sécurité](#add-remove-security-group-rules)

## Ajouter ou supprimer des groupes de sécurité
<a name="add-remove-instance-security-groups"></a>

Après avoir lancé une instance, vous pouvez ajouter ou supprimer des groupes de sécurité de la liste des groupes de sécurité associés. Quand vous associez plusieurs groupes de sécurité à une instance, les règles de chaque groupe de sécurité sont effectivement regroupées pour créer un seul ensemble de règles. Amazon EC2 utilise cet ensemble de règles pour déterminer si le trafic est autorisé ou non.

**Exigences**
+ L’instance doit être dans l’état `running` ou `stopped`.

------
#### [ Console ]

**Pour changer les groupes de sécurité d’une instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez votre instance, puis **Actions (Actions)**, **Security (Sécurité)**, **Change security groups (Modifier les groupes de sécurité)**.

1. Pour **Associated security groups (Groupes de sécurité associés)**, sélectionnez un groupe de sécurité dans la liste et choisissez **Add security group (Ajouter un groupe de sécurité)**.

   Pour supprimer un groupe de sécurité déjà associé, choisissez **Remove (Supprimer)** pour ce groupe de sécurité.

1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

**Pour changer les groupes de sécurité d'une instance**  
Utilisez la commande [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html) suivante.

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Pour changer les groupes de sécurité d’une instance**  
Utilisez l’applet de commande [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html).

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## Configurer les règles des groupes de sécurité
<a name="add-remove-security-group-rules"></a>

Après avoir créé un groupe de sécurité, vous pouvez ajouter, mettre à jour et supprimer ses règles de groupe de sécurité. Lorsque vous ajoutez, mettez à jour ou supprimez une règle, la modification est automatiquement appliquée aux ressources associées au groupe de sécurité.

Pour des exemples de règles que vous pouvez ajouter à un groupe de sécurité, consultez [Règles de groupe de sécurité pour différents cas d’utilisation](security-group-rules-reference.md).

**Autorisations requises**  
Avant de commencer, vérifiez que vous disposez des autorisations requises. Pour de plus amples informations, veuillez consulter [Exemple : Utiliser des groupes de sécurité](iam-policies-ec2-console.md#ex-security-groups).

**Protocoles et ports**
+ Avec la console, lorsque vous sélectionnez un type prédéfini, le **Protocole** et la **Plage de ports** sont spécifiés à votre place. Pour saisir une plage de ports, vous devez sélectionner l’un des types personnalisés suivants : **TCP personnalisé** ou **UDP personnalisé**.
+ Avec le AWS CLI, vous pouvez ajouter une seule règle avec un seul port à l'aide des `--port` options `--protocol` et. Pour ajouter plusieurs règles, ou une règle avec une plage de ports, utilisez plutôt l’option `--ip-permissions`.

**Sources et destinations**
+ Avec la console, vous pouvez spécifier les éléments suivants comme sources pour les règles entrantes ou destinations pour les règles sortantes :
  + **Personnalisé** : bloc IPv4 CIDR, bloc IPv6 CIDR, groupe de sécurité ou liste de préfixes.
  + **N'importe où- IPv4** — Le bloc CIDR 0.0.0.0/0 IPv4 .
  + **N'importe où- IPv6** — Le bloc IPv6 CIDR : :/0.
  + **Mon adresse IP** : IPv4 adresse publique de votre ordinateur local.
+ Avec le AWS CLI, vous pouvez spécifier un bloc IPv4 CIDR à l'aide de l'`--cidr`option ou un groupe de sécurité à l'aide de l'`--source-group`option. Pour spécifier une liste de préfixes ou un bloc IPv6 CIDR, utilisez l'`--ip-permissions`option.

**Avertissement**  
Si vous ajoutez des règles d’entrée pour les ports 22 (SSH) ou 3389 (RDP), nous vous recommandons vivement de n’autoriser que l’adresse IP spécifique ou la plage d’adresses qui doivent accéder à vos instances. Si vous choisissez **Anywhere- IPv4**, vous autorisez le trafic provenant de toutes les IPv4 adresses à accéder à vos instances en utilisant le protocole spécifié. Si vous choisissez **Anywhere- IPv6**, vous autorisez le trafic provenant de toutes les IPv6 adresses à accéder à vos instances en utilisant le protocole spécifié.

------
#### [ Console ]

**Pour configurer des règles de groupe de sécurité**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le volet de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez le groupe de sécurité.

1. Pour modifier les règles entrantes, choisissez **Modifier les règles entrantes** dans **Actions** ou dans l’onglet **Règles entrantes**.

   1. Pour ajouter une règle, choisissez **Ajouter une règle** et entrez le type, le protocole, le port et la source de la règle.

      Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans **Protocole** et, le cas échéant, le nom de code dans **Plage de ports**. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

   1. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d'adresse IPv4 CIDR, vous ne pouvez pas spécifier de bloc d'adresse IPv6 CIDR, de liste de préfixes ou de groupe de sécurité.

   1. Pour supprimer une règle, cliquez sur **le bouton Supprimer**.

1. Pour modifier les règles sortantes, choisissez **Modifier les règles sortantes dans **Actions** ou dans l’onglet Règles** **sortantes**.

   1. Pour ajouter une règle, choisissez **Ajouter une règle** et entrez le type, le protocole, le port et la destination de la règle. Vous pouvez également saisir une description facultative.

      Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans **Protocole** et, le cas échéant, le nom de code dans **Plage de ports**. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

   1. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d'adresse IPv4 CIDR, vous ne pouvez pas spécifier de bloc d'adresse IPv6 CIDR, de liste de préfixes ou de groupe de sécurité.

   1. Pour supprimer une règle, cliquez sur **le bouton Supprimer**.

1. Sélectionnez **Enregistrer les règles**.

------
#### [ AWS CLI ]

**Pour ajouter des règles de groupe de sécurité**  
Utilisez la [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)commande pour ajouter des règles entrantes. L’exemple suivant autorise le trafic SSH entrant à partir des blocs CIDR de la liste de préfixes spécifiée.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

Utilisez la [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)commande pour ajouter des règles de sortie. L’exemple suivant autorise le trafic TCP sortant sur le port 80 à destination des instances dotées du groupe de sécurité spécifié.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**Pour supprimer les règles des groupes de sécurité**  
Utilisez la [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)commande suivante pour supprimer une règle entrante.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

Utilisez la [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)commande suivante pour supprimer une règle sortante.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**Pour modifier les règles de groupe de sécurité.**  
Utilisez la commande [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). L'exemple suivant modifie le bloc IPv4 CIDR de la règle de groupe de sécurité spécifiée.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**Pour ajouter des règles de groupe de sécurité**  
Utilisez l'[Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html)applet de commande pour ajouter des règles entrantes. L’exemple suivant autorise le trafic SSH entrant à partir des blocs CIDR de la liste de préfixes spécifiée.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Utilisez l'[Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html)applet de commande pour ajouter des règles de sortie. L’exemple suivant autorise le trafic TCP sortant sur le port 80 à destination des instances dotées du groupe de sécurité spécifié.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**Pour supprimer les règles des groupes de sécurité**  
Utilisez l'[Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html)applet de commande pour supprimer les règles entrantes.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

Utilisez l'[Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html)applet de commande pour supprimer les règles de sortie.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**Pour modifier les règles de groupe de sécurité.**  
Utilisez l’applet de commande [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html). L'exemple suivant modifie le bloc IPv4 CIDR de la règle de groupe de sécurité spécifiée.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------

# Supprimer un groupe de sécurité Amazon EC2
<a name="deleting-security-group"></a>

Lorsque vous avez terminé avec un groupe de sécurité que vous avez créé pour être utilisé avec vos instances Amazon EC2, vous pouvez le supprimer.

**Exigences**
+ Le groupe de sécurité ne peut pas être associé à une instance ou à une interface réseau.
+ Les groupes de sécurité qui sont référencés dans les règles d’un autre groupe de sécurité ne peuvent pas être supprimés.

------
#### [ Console ]

**Pour supprimer un groupe de sécurité**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. (Facultatif) Pour vérifier que votre groupe de sécurité n’est pas associé à une instance, procédez comme suit :

   1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

   1. Copiez l’ID du groupe de sécurité à supprimer.

   1. Dans le panneau de navigation, choisissez **Instances**.

   1. Dans la barre de recherche, ajouter le **groupe de sécurité IDs équivaut à** filtrer et collez l'ID du groupe de sécurité. S’il n’y a aucun résultat, le groupe de sécurité n’est pas associé à une instance. Dans le cas contraire, vous devez dissocier le groupe de sécurité avant de pouvoir le supprimer.

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez le groupe de sécurité, puis choisissez **Actions**, **Supprimer les groupes de sécurité**.

1. Si vous avez sélectionné plusieurs groupes de sécurité, vous êtes invité à confirmer. Si certains groupes de sécurité ne peuvent pas être supprimés, nous affichons le statut de chaque groupe de sécurité, qui indique s’il sera supprimé. Pour confirmer la suppression, saisissez **Supprimer**.

1. Sélectionnez **Delete (Supprimer)**.

------
#### [ AWS CLI ]

**Pour supprimer un groupe de sécurité**  
Utilisez la commande [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html) suivante.

```
aws ec2 delete-security-group --group-id sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Pour supprimer un groupe de sécurité**  
Utilisez l’applet de commande [Remove-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html).

```
Remove-EC2SecurityGroup -GroupId sg-1234567890abcdef0
```

------

# Suivi de la connexion du groupe de sécurité Amazon EC2
<a name="security-group-connection-tracking"></a>

Vos groupes de sécurité utilisent le suivi de connexion pour suivre les informations sur le trafic en provenance ou à destination de l’instance. Les règles s’appliquent en fonction de l’état de connexion du trafic pour déterminer si le trafic est autorisé ou refusé. Avec cette approche, les groupes de sécurité sont avec état. Les groupes de sécurité peuvent ainsi être avec état. Les réponses au trafic entrant sont autorisées à transiter en dehors de l’instance, indépendamment des règles sortantes des groupes de sécurité (et inversement).

À titre d’exemple, supposons que vous lanciez une commande telle que netcat ou similaire à vos instances depuis votre ordinateur personnel, et que vos règles de groupe de sécurité entrantes autorisent le trafic ICMP. Les informations sur la connexion (y compris sur le port) sont suivies. Le trafic de réponse à partir de l’instance pour la commande n’est pas suivi comme une nouvelle demande, mais plutôt comme une connexion établie, et est autorisé à circuler hors de l’instance, même si les règles de votre groupe de sécurité pour le trafic sortant limitent le trafic ICMP sortant.

Pour les protocoles autre que TCP, UDP ou ICMP, seuls l’adresse IP et le numéro de protocole sont suivis. Si votre instance envoie le trafic vers un autre hôte et que l’hôte envoie le même type de trafic vers votre instance dans un délai de 600 secondes, le groupe de sécurité de votre instance l’accepte indépendamment des règles de groupe de sécurité entrantes. Le groupe de sécurité l’accepte, car il est considéré comme un trafic de réponse pour le trafic d’origine.

Lorsque vous modifiez une règle de groupe de sécurité, ses connexions suivies ne sont pas immédiatement interrompues. Le groupe de sécurité continue d’autoriser les paquets jusqu’à l’expiration des connexions existantes. Pour vous assurer que le trafic est immédiatement interrompu ou que tout le trafic est soumis à des règles de pare-feu quel que soit l’état de suivi, vous pouvez utiliser une liste ACL réseau pour votre sous-réseau. ACLs Les réseaux sont apatrides et n'autorisent donc pas automatiquement le trafic de réponse. L’ajout d’une liste ACL réseau qui bloque le trafic dans les deux sens interrompt les connexions existantes. Pour plus d'informations, consultez la section [Réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) dans le guide de l'*utilisateur Amazon VPC*.

**Note**  
Les groupes de sécurité n'ont aucun effet sur le trafic DNS à destination ou en provenance du résolveur Route 53, parfois appelé « adresse IP VPC\$12 » (voir [Qu'est-ce qu'Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) ? dans le *guide du développeur Amazon Route 53*), ou le « AmazonProvided DNS » (voir [Travailler avec des ensembles d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/DHCPOptionSet.html) dans le *guide de l'utilisateur d'Amazon Virtual Private Cloud*). Si vous souhaitez filtrer les demandes DNS via Route 53 Resolver, vous pouvez activer Route 53 Resolver DNS Firewall (veuillez consulter la section [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) du *Guide du développeur Amazon Route 53*).

## Connexions non suivies
<a name="untracked-connections"></a>

Certains flux de trafic ne sont pas suivis. Si une règle de groupe de sécurité autorise les flux TCP ou UDP pour la totalité du trafic (0.0.0.0/0 ou ::/0) et qu’il existe une règle correspondante dans l’autre sens qui autorise tout le trafic de réponse (0.0.0.0/0 ou ::/0) pour tous les ports (0-65535), le flux de trafic n’est pas suivi, sauf s’il fait partie d’une [connexion suivie automatiquement](#automatic-tracking). Le trafic de la réponse d’un flux non suivi est autorisé en fonction de la règle entrante ou sortante qui autorise le trafic de la réponse, et non des informations de suivi.

Un flux de trafic non suivi est immédiatement interrompu si la règle qui active le flux est supprimée ou modifiée. Par exemple, si vous disposez d’une règle sortante ouverte (0.0.0.0/0) et que vous supprimez une règle qui autorise tout le trafic SSH (port TCP 22) entrant (0.0.0.0/0) vers l’instance (ou que vous la modifiez de telle sorte que la connexion ne soit plus autorisée), vos connexions SSH existantes à l’instance sont immédiatement supprimées. La connexion n’était pas suivie auparavant, de sorte que la modification rompt la connexion. D’autre part, si vous avez une règle entrante plus étroite qui autorise initialement une connexion SSH (ce qui signifie que la connexion a été suivie), mais que vous modifiez cette règle pour ne plus autoriser de nouvelles connexions à partir de l’adresse du client SSH actuel, la connexion SSH existante ne sera pas interrompue, car elle est suivie.

## Connexions suivies automatiquement
<a name="automatic-tracking"></a>

Les connexions établies comme suit sont automatiquement suivies, même si la configuration du groupe de sécurité ne requiert pas de suivi autrement :
+ Passerelles Internet de sortie uniquement
+ Accélérateurs Global Accelerator
+ Passerelles NAT
+ Points de terminaison de pare-feu Network Firewall
+ Network Load Balancers
+ AWS PrivateLink (points de terminaison VPC d'interface)
+ AWS Lambda (Interfaces réseau élastiques Hyperplane)
+ Points de terminaison de la passerelle DynamoDB : chaque connexion à DynamoDB consomme deux entrées conntrack.

## Allocations de suivi de la connexion
<a name="connection-tracking-throttling"></a>

Amazon EC2 définit le nombre maximal de connexions qui peuvent être suivies par instance. Une fois le maximum atteint, tous les paquets envoyés ou reçus sont abandonnées, car une nouvelle connexion ne peut pas être établie. Lorsque cela se produit, les applications qui envoient et reçoivent des paquets ne peuvent pas communiquer correctement. Utilisez la métrique de performance réseau `conntrack_allowance_available` pour déterminer le nombre de connexions suivies encore disponibles pour ce type d’instance.

Pour déterminer si des paquets ont été abandonnés parce que le trafic réseau de votre instance a dépassé le nombre maximal de connexions pouvant être suivies, utilisez la métrique de performance réseau `conntrack_allowance_exceeded`. Pour plus d’informations, consultez [Surveillez les performances du réseau pour les paramètres ENA sur votre instance EC2](monitoring-network-performance-ena.md).

Avec Elastic Load Balancing, si vous dépassez le nombre maximal de connexions pouvant être suivies par instance, nous vous recommandons de mettre à l’échelle soit le nombre d’instances enregistrées auprès de l’équilibreur de charge, soit la taille des instances enregistrées auprès de l’équilibreur de charge.

## Bonnes pratiques en matière de suivi des connexions
<a name="connection-tracking-performance"></a>

Le routage asymétrique, où le trafic entre dans une instance par une interface réseau et en sort par une autre interface réseau, peut réduire les performances maximales qu’une instance peut atteindre si les flux sont suivis.

Pour maintenir des performances optimales et optimiser la gestion des connexions lorsque le suivi des connexions est activé pour vos groupes de sécurité, nous recommandons la configuration suivante :
+ Évitez les topologies de routage asymétriques, si possible.
+ Au lieu d'utiliser des groupes de sécurité pour le filtrage, utilisez le réseau ACLs.
+ Si vous devez utiliser des groupes de sécurité avec suivi des connexions, configurez le délai de suivi des connexions inactives le plus court possible. Pour plus de détails sur le délai de suivi de la connexion inactive, consultez la section suivante.
+ Les délais d'expiration par défaut étant plus courts sur les instances Nitrov6, les applications dotées de connexions de longue durée (telles que les pools de connexions aux bases de données, les connexions HTTP persistantes ou les charges de travail en streaming) doivent configurer une `TcpEstablishedTimeout` valeur appropriée au lancement de l'instance.
+ Pour les connexions de longue durée, configurez le protocole TCP keep alives pour qu'il soit envoyé à des intervalles de moins de 5 minutes afin de garantir que les connexions restent ouvertes et de conserver leur état de suivi. Cela permet d'éviter les interruptions de connexion dues à un délai d'inactivité et de réduire les frais liés au rétablissement des connexions.

Pour plus d’informations sur l’activation de Performance Insights, consultez [Considérations relatives au système Nitro en vue de l’optimisation des performances](ena-nitro-perf.md).

## Délai de suivi d’inactivité de la connexion
<a name="connection-tracking-timeouts"></a>

Le groupe de sécurité assure le suivi de chaque connexion établie pour que les paquets de retour soient livrés comme prévu. Il existe un nombre maximal de connexions qui peuvent être suivies par instance. Les connexions qui restent inactives peuvent entraîner l’épuisement du suivi des connexions, empêcher le suivi des connexions et entraîner la perte de paquets. Vous pouvez définir le délai pour le suivi d’inactivité de la connexion sur une interface réseau Elastic.

**Note**  
Cette fonctionnalité n’est disponible que pour les instances [basées sur Nitro](instance-types.md#instance-hypervisor-type). Vous devez tester vos applications sur des instances de génération Nitrov6 avec un délai de suivi `350` de connexion par défaut réduit avant de les déployer en production.

Il existe trois délais configurables :
+ **Délai TCP établi** : délai d’expiration (en secondes) pour les connexions TCP inactives dans un état établi.
  + Min : `60` secondes.
  + Max : `432000` secondes.
  + Par défaut : `350` secondes pour les types d'instances [Nitrov6](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), à l'exception de P6e-. GB200 Et `432000` quelques secondes pour les autres types d'instances, y compris P6e-GB200.
  + Recommandé : moins de `432000` secondes.
+ **Délai UDP** : délai d’expiration (en secondes) pour les flux UDP inactifs qui n’ont vu du trafic que dans une seule direction ou une seule transaction requête-réponse.
  + Min : `30` secondes.
  + Max : `60` secondes.
  + Par défaut : `30` secondes
+ **Délai d’expiration des flux UDP** : délai d’expiration (en secondes) des flux UDP inactifs classés comme des flux ayant reçu plus d’une transaction requête-réponse.
  + Min : `60` secondes.
  + Max : `180` secondes.
  + Par défaut : `180` secondes

Vous pouvez modifier les délais par défaut dans les cas suivants :
+  Si vous [surveillez les connexions suivies à l’aide des métriques de performance réseau Amazon EC2](monitoring-network-performance-ena.md), les métriques *conntrack\$1allowance\$1exceeded* et *conntrack\$1allowance\$1available* vous permettent de surveiller les paquets perdus et les connexions suivies afin de gérer de manière proactive la capacité des instances EC2 avec des actions d’augmentation ou de montée en puissance pour répondre à la demande de connexions réseau avant de perdre des paquets. Si vous observez des baisses de *conntrack\$1allowance\$1exceeded* sur vos instances EC2, il peut être avantageux de définir un délai TCP plus court pour tenir compte des sessions TCP/UDP périmées résultant de clients ou de boîtiers réseau inappropriés.
+ Généralement, les équilibreurs de charge ou les pare-feu ont un délai d’inactivité établi de TCP compris entre 60 et 90 minutes. Si vous exécutez des charges de travail censées gérer un très grand nombre de connexions (plus de 100 000) à partir d’appareils tels que des pare-feu réseau, il est conseillé de configurer un délai similaire sur une interface réseau EC2.
+ Si vous exécutez une charge de travail qui utilise une topologie de routage asymétrique, nous vous recommandons de configurer un délai d’inactivité établi par TCP de 60 secondes.
+ Si vous exécutez des charges de travail comportant un grand nombre de connexions telles que DNS, SIP, SNMP, Syslog, Radius et d'autres services qui utilisent principalement le protocole UDP pour traiter les demandes, le fait de définir le délai d'expiration du « flux UDP » sur 60 permet d'augmenter la capacité existante et d'éviter scale/performance les défaillances grises.
+ Pour les TCP/UDP connexions via des équilibreurs de charge réseau, toutes les connexions sont suivies. La valeur du délai d’inactivité est de 350 secondes pour les flux TCP et de 120 secondes pour les flux UDP, et varie en fonction des valeurs de délai au niveau de l’interface. Vous pouvez configurer des délais d’expiration au niveau de l’interface réseau afin de bénéficier d’une plus grande flexibilité que les valeurs par défaut de l’équilibreur de charge.

Vous avez la possibilité de configurer les délais du suivi des connexions lorsque vous effectuez les actions suivantes :
+ [Créer une interface réseau](create-network-interface.md)
+ [Modifier les attributs d’interface réseau](modify-network-interface-attributes.md)
+ [Lancer une instance EC2](ec2-instance-launch-parameters.md#liw-network-settings)
+ [Créer un modèle de lancement d’instance EC2](ec2-instance-launch-parameters.md#liw-network-settings)

## Exemple
<a name="connection-tracking-example"></a>

Dans l’exemple suivant, le groupe de sécurité dispose de règles entrantes qui autorisent le trafic TCP et ICMP, et de règles sortantes qui autorisent tout le trafic sortant.


**Entrant**  

| Type de protocole | Numéro de port | Source | 
| --- | --- | --- | 
| TCP  | 22 (SSH) | 203.0.113.1/32 | 
| TCP  | 80 (HTTP) | 0.0.0.0/0 | 
| TCP  | 80 (HTTP) | ::/0 | 
| ICMP | Tous | 0.0.0.0/0 | 


**Sortant**  

| Type de protocole | Numéro de port | Destination | 
| --- | --- | --- | 
| Tous | Tous | 0.0.0.0/0 | 
| Tous | Tous | ::/0 | 

Avec une connexion réseau directe à l’instance ou à l’interface réseau, le suivi se comporte comme suit :
+ Le trafic TCP entrant et sortant sur le port 22 (SSH) est suivi, car la règle de trafic entrant autorise uniquement le trafic en provenance de 203.0.113.1/32, et pas de toutes les adresses IP (0.0.0.0/0).
+ Le trafic TCP entrant et sortant sur le port 80 (HTTP) n’est pas suivi, car les règles entrantes et sortantes autorisent le trafic de toutes les adresses IP.
+ Le trafic ICMP est toujours suivi.

Si vous supprimez la règle de trafic sortant, tout le IPv4 trafic entrant et sortant est suivi, y compris le IPv4 trafic sur le port 80 (HTTP). Il en va de même pour IPv6 le trafic si vous supprimez la règle de trafic sortant pour le IPv6 trafic.

# Règles de groupe de sécurité pour différents cas d’utilisation
<a name="security-group-rules-reference"></a>

Vous pouvez créer un groupe de sécurité et ajouter des règles qui reflètent le rôle de l’instance qui est associée à ce groupe. Par exemple, une instance configurée en tant que serveur web nécessite des règles de groupe de sécurité qui autorisent l’accès HTTP et HTTPS entrant. De même, une instance de base de données a besoin de règles permettant l’accès au type de base de données, telles que l’accès via le port 3306 pour MySQL.

Voici des exemples de types de règles que vous pouvez ajouter à des groupes de sécurité pour des types d’accès spécifiques.

**Topics**
+ [Règles de serveur web](#sg-rules-web-server)
+ [Règles de serveur de base de données](#sg-rules-db-server)
+ [Règles pour la connexion à des instances à partir de votre ordinateur](#sg-rules-local-access)
+ [Règles pour la connexion à des instances à partir d’une instance avec le même groupe de sécurité](#sg-rules-other-instances)
+ [Règles pour Ping/ICMP](#sg-rules-ping)
+ [Règles de serveur DNS](#sg-rules-dns)
+ [Règles Amazon EFS](#sg-rules-efs)
+ [Règles Elastic Load Balancing](#sg-rules-elb)

Pour obtenir les instructions, consultez [Création d’un groupe de sécurité](creating-security-group.md) et [Configurer les règles des groupes de sécurité](changing-security-group.md#add-remove-security-group-rules).

## Règles de serveur web
<a name="sg-rules-web-server"></a>

Les règles entrantes suivantes autorisent l’accès HTTP et HTTPS à partir de n’importe quelle adresse IP. Si votre VPC est activé pour IPv6, vous pouvez ajouter des règles pour contrôler le trafic HTTP et HTTPS entrant provenant des adresses. IPv6 


| Type de protocole | Numéro de protocole | Port | IP Source | Remarques | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permet l'accès HTTP entrant depuis n'importe quelle adresse IPv4  | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permet l'accès HTTPS entrant depuis n'importe quelle adresse IPv4  | 
| TCP | 6 | 80 (HTTP) | ::/0 | Permet l'accès HTTP entrant depuis n'importe quelle adresse IPv6 | 
| TCP | 6 | 443 (HTTPS) | ::/0 | Permet l'accès HTTPS entrant depuis n'importe quelle adresse IPv6 | 

## Règles de serveur de base de données
<a name="sg-rules-db-server"></a>

Les règles entrantes suivantes sont des exemples de règles que vous pouvez ajouter pour un accès à une base de données selon le type de base de données que vous exécutez sur votre instance. Pour plus d’informations sur les instances Amazon RDS, consultez le [Guide de l’utilisateur Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/).

Pour l’adresse IP source, spécifiez l’une des options suivantes :
+ Une adresse IP spécifique ou une plage d’adresses IP (en notation de bloc CIDR) de votre réseau local
+ Un ID de groupe de sécurité pour un groupe d’instances qui accèdent à la base de données


| Type de protocole | Numéro de protocole | Port | Remarques | 
| --- | --- | --- | --- | 
| TCP | 6 | 1433 (MS SQL) | Port par défaut pour accéder à une base de données Microsoft SQL Server, par exemple, sur une instance Amazon RDS | 
| TCP | 6 | 3306 (MYSQL/Aurora) | Port par défaut pour accéder à une base MySQL ou Aurora, par exemple, sur une instance Amazon RDS | 
| TCP | 6 | 5439 (Redshift) | Port par défaut pour accéder à une base de données de cluster Amazon Redshift. | 
| TCP | 6 | 5432 (PostgreSQL) | Port par défaut pour accéder à une base de données PostgreSQL, par exemple, sur une instance Amazon RDS | 
| TCP | 6 | 1521 (Oracle) | Port par défaut pour accéder à une base de données Oracle, par exemple, sur une instance Amazon RDS | 

Vous pouvez éventuellement restreindre le trafic sortant de vos serveurs de base de données. Par exemple, vous pouvez autoriser l’accès à Internet pour les mises à jour logicielles, mais limiter tous les autres types de trafic. Vous devez d’abord supprimer la règle sortante par défaut qui autorise tout le trafic sortant.


| Type de protocole | Numéro de protocole | Port | IP de destination | Remarques | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permet l'accès HTTP sortant à n'importe quelle adresse IPv4  | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permet l'accès HTTPS sortant à n'importe quelle adresse IPv4  | 
| TCP | 6 | 80 (HTTP) | ::/0 | (VPC IPv6 activé uniquement) Autorise l'accès HTTP sortant à n'importe quelle adresse IPv6  | 
| TCP | 6 | 443 (HTTPS) | ::/0 | (VPC IPv6 activé uniquement) Autorise l'accès HTTPS sortant à n'importe quelle adresse IPv6  | 

## Règles pour la connexion à des instances à partir de votre ordinateur
<a name="sg-rules-local-access"></a>

Pour se connecter à votre instance, votre groupe de sécurité doit avoir des règles entrantes qui autorisent l’accès SSH (pour les instances Linux) ou l’accès RDP (pour les instances Windows).


| Type de protocole | Numéro de protocole | Port | IP Source | 
| --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | L' IPv4 adresse publique de votre ordinateur ou une série d'adresses IP de votre réseau local. Si votre VPC est activé IPv6 et que votre instance possède une IPv6 adresse, vous pouvez saisir une IPv6 adresse ou une plage. | 
| TCP | 6 | 3389 (RDP) | L' IPv4 adresse publique de votre ordinateur ou une série d'adresses IP de votre réseau local. Si votre VPC est activé IPv6 et que votre instance possède une IPv6 adresse, vous pouvez saisir une IPv6 adresse ou une plage. | 

## Règles pour la connexion à des instances à partir d’une instance avec le même groupe de sécurité
<a name="sg-rules-other-instances"></a>

Pour autoriser les instances associées au même groupe de sécurité à communiquer les unes avec les autres, vous devez à cette fin ajouter des règles explicitement. 

**Note**  
Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via un dispositif middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l’adresse IP privée de l’autre instance ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.

Le tableau suivant décrit la règle entrante pour un groupe de sécurité qui permet aux instances associées de communiquer les unes avec les autres. La règle autorise tous les types de trafic.


| Type de protocole | Numéro de protocole | Ports | IP Source | 
| --- | --- | --- | --- | 
| -1 (Tout) | -1 (Tout) | -1 (Tout) | L’ID du groupe de sécurité, ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance (voir note). | 

## Règles pour Ping/ICMP
<a name="sg-rules-ping"></a>

La commande **ping** est un type de trafic ICMP. Pour envoyer une commande ping à votre instance, vous devez ajouter l’une des règles ICMP entrantes suivantes.


| Type | Protocole | Source | 
| --- | --- | --- | 
| ICMP personnalisé - IPv4 | Demande Echo | L' IPv4 adresse publique de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. | 
| Tous les ICMP - IPv4 | IPv4 ICMP (1) | L' IPv4 adresse publique de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. | 

Pour utiliser la **ping6** commande pour envoyer un ping à l' IPv6 adresse de votre instance, vous devez ajouter la ICMPv6 règle entrante suivante.


| Type | Protocole | Source | 
| --- | --- | --- | 
| Tous les ICMP - IPv6 | IPv6 ICMP (58) | L' IPv6 adresse de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. | 

## Règles de serveur DNS
<a name="sg-rules-dns"></a>

Si vous avez configuré votre instance EC2 en tant que serveur DNS, vous devez vous assurer que le trafic TCP et UDP peut accéder à votre serveur DNS via le port 53. 

Pour l’adresse IP source, spécifiez l’une des options suivantes :
+ Adresse IP ou plage d’adresses IP (en notation de bloc CIDR) d’un réseau
+ L’ID d’un groupe de sécurité pour l’ensemble d’instances de votre réseau devant d’accéder au serveur DNS


| Type de protocole | Numéro de protocole | Port | 
| --- | --- | --- | 
| TCP | 6 | 53 | 
| UDP | 17 | 53 | 

## Règles Amazon EFS
<a name="sg-rules-efs"></a>

Si vous utilisez un système de fichiers Amazon EFS avec vos instances Amazon EC2, le groupe de sécurité que vous associez à vos cibles de montage Amazon EFS doit autoriser le trafic via le protocole NFS. 


| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 2049 (NFS) | ID du groupe de sécurité | Autorise l’accès NFS entrant à partir des ressources (y compris la cible de montage) associées à ce groupe de sécurité. | 

Pour monter un système de fichiers Amazon EFS sur votre instance Amazon EC2 vous devez vous connecter à votre instance. Par conséquent, le groupe de sécurité associé à votre instance doit avoir des règles qui autorisent le trafic SSH entrant à partir de votre ordinateur local ou de votre réseau local.


| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | Plage d’adresses IP de votre ordinateur local ou plage d’adresses IP (en notation de bloc CIDR) de votre réseau. | Autorise l’accès SSH entrant depuis votre ordinateur local. | 

## Règles Elastic Load Balancing
<a name="sg-rules-elb"></a>

Si vous enregistrez vos instances EC2 auprès d’un équilibreur de charge, le groupe de sécurité associé à votre équilibreur de charge doit autoriser la communication avec les instances. Pour plus d’informations, consultez la documentation relative à l’équilibreur de charge élastique
+ [Groupes de sécurité pour votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
+ [Groupes de sécurité de votre Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html)
+ [Configurez les groupes de sécurité pour votre Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-security-groups.html)