Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes de sécurité pour EC2 Instance Connect Endpoint
Un groupe de sécurité contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, nous refusons le trafic à destination et en provenance d'une EC2 instance Amazon, sauf s'il est spécifiquement autorisé par les groupes de sécurité associés à l'instance.
Les exemples suivants vous montrent comment configurer les règles du groupe de sécurité pour le point de terminaison EC2 Instance Connect et les instances cibles.
Exemples
EC2Règles du groupe de sécurité Instance Connect Endpoint
Les règles du groupe de sécurité pour un point de terminaison EC2 Instance Connect doivent autoriser le trafic sortant destiné aux instances cibles à quitter le point de terminaison. Vous pouvez spécifier le groupe de sécurité de l'instance ou la plage d'IPv4adresses de l'instance VPC comme destination.
Le trafic vers le point de terminaison provient du service EC2 Instance Connect Endpoint, et il est autorisé quelles que soient les règles de trafic entrant pour le groupe de sécurité du point de terminaison. Pour contrôler qui peut utiliser EC2 Instance Connect Endpoint pour se connecter à une instance, utilisez une IAM politique. Pour de plus amples informations, veuillez consulter Autorisations d'utilisation du point de terminaison EC2 Instance Connect pour se connecter aux instances.
Exemple de règle sortante : référencement de groupes de sécurité
L'exemple suivant utilise le référencement des groupes de sécurité, ce qui signifie que la destination est un groupe de sécurité associé aux instances cibles. Cette règle autorise le trafic sortant du point de terminaison vers toutes les instances qui utilisent ce groupe de sécurité.
| Protocole | Destination | Plage de ports | Comment |
|---|---|---|---|
| TCP | ID of instance security group |
22 | Autorise le SSH trafic sortant vers toutes les instances associées au groupe de sécurité des instances |
Exemple de règle sortante : plage d'IPv4adresses
L'exemple suivant autorise le trafic sortant vers la plage d'IPv4adresses spécifiée. Les IPv4 adresses d'une instance sont attribuées à partir de son sous-réseau. Vous pouvez donc utiliser la plage d'IPv4adresses duVPC.
| Protocole | Destination | Plage de ports | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Autorise le SSH trafic sortant vers VPC |
Règles du groupe de sécurité de l'instance cible
Les règles du groupe de sécurité pour les instances cibles doivent autoriser le trafic entrant depuis le point de terminaison EC2 Instance Connect. Vous pouvez spécifier le groupe de sécurité du point de terminaison ou une plage d'IPv4adresses comme source. Si vous spécifiez une plage d'IPv4adresses, la source varie selon que la préservation de l'adresse IP du client est activée ou désactivée. Pour de plus amples informations, veuillez consulter Considérations.
Les groupes de sécurité étant dynamiques, le trafic de réponse est autorisé à quitter le statut, VPC quelles que soient les règles de sortie applicables au groupe de sécurité d'instance.
Exemple de règle entrante : référencement de groupes de sécurité
L'exemple suivant utilise le référencement des groupes de sécurité, ce qui signifie que la source est le groupe de sécurité associé au point de terminaison. Cette règle autorise le SSH trafic entrant depuis le point de terminaison vers toutes les instances qui utilisent ce groupe de sécurité, que la préservation de l'adresse IP du client soit activée ou non. S'il n'existe aucune autre règle de groupe de sécurité entrant pourSSH, les instances n'acceptent que le SSH trafic provenant du point de terminaison.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
| TCP | ID of endpoint security group |
22 | Autorise le SSH trafic entrant depuis les ressources associées au groupe de sécurité du point de terminaison |
Exemple de règle entrante : conservation de l'adresse IP du client désactivée
L'exemple suivant autorise le SSH trafic entrant à partir de la plage d'IPv4adresses spécifiée. La préservation de l'adresse IP du client étant désactivée, l'IPv4adresse source est l'adresse de l'interface réseau du point de terminaison. L'adresse de l'interface réseau du point de terminaison est attribuée à partir de son sous-réseau. Vous pouvez donc utiliser la plage d'IPv4adresses du VPC pour autoriser les connexions à toutes les instances duVPC.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | Autorise le SSH trafic entrant en provenance du VPC |
Exemple de règle entrante : préservation de l'adresse IP du client sur
L'exemple suivant autorise le SSH trafic entrant à partir de la plage d'IPv4adresses spécifiée. La préservation de l'adresse IP du client étant activée, l'IPv4adresse source est l'adresse du client.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
| TCP | Public IPv4 address range |
22 | Autorise le trafic entrant à partir de la plage d'IPv4adresses client spécifiée |
