Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Règles de groupe de sécurité pour différents cas d’utilisation
Vous pouvez créer un groupe de sécurité et ajouter des règles qui reflètent le rôle de l’instance qui est associée à ce groupe. Par exemple, une instance configurée en tant que serveur Web a besoin de règles de groupe de sécurité qui autorisent l'entrée HTTP et l'HTTPSaccès. De même, une instance de base de données a besoin de règles qui autorisent l'accès au type de base de données, comme l'accès via le port 3306 pour MySQL.
Voici des exemples de types de règles que vous pouvez ajouter à des groupes de sécurité pour des types d’accès spécifiques.
Exemples
- Règles de serveur web
- Règles de serveur de base de données
- Règles pour la connexion à des instances à partir de votre ordinateur
- Règles pour la connexion à des instances à partir d’une instance avec le même groupe de sécurité
- Règles pour le ping/ ICMP
- DNSrègles du serveur
- EFSRègles d'Amazon
- Règles Elastic Load Balancing
Règles de serveur web
Les règles de trafic entrant suivantes autorisent HTTP l'HTTPSaccès à partir de n'importe quelle adresse IP. Si vous êtes VPC activé pourIPv6, vous pouvez ajouter des règles pour contrôler le HTTPS trafic entrant HTTP et en provenance des IPv6 adresses.
| Type de protocole | Numéro de protocole | Port | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permet l'HTTPaccès entrant depuis n'importe quelle adresse IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permet l'HTTPSaccès entrant depuis n'importe quelle adresse IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | Permet l'HTTPaccès entrant depuis n'importe quelle adresse IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | Permet l'HTTPSaccès entrant depuis n'importe quelle adresse IPv6 |
Règles de serveur de base de données
Les règles entrantes suivantes sont des exemples de règles que vous pouvez ajouter pour un accès à une base de données selon le type de base de données que vous exécutez sur votre instance. Pour plus d'informations sur les RDS instances Amazon, consultez le guide de RDS l'utilisateur Amazon.
Pour l’adresse IP source, spécifiez l’une des options suivantes :
-
Une adresse IP spécifique ou une plage d'adresses IP (en notation par CIDR blocs) sur votre réseau local
-
Un ID de groupe de sécurité pour un groupe d’instances qui accèdent à la base de données
| Type de protocole | Numéro de protocole | Port | Remarques |
|---|---|---|---|
| TCP | 6 | 1433 (MSSQL) | Port par défaut pour accéder à une base de données Microsoft SQL Server, par exemple, sur une RDS instance Amazon |
| TCP | 6 | 3306 (MYSQL/Aurore) | Port par défaut pour accéder à une base de données My SQL ou Aurora, par exemple, sur une RDS instance Amazon |
| TCP | 6 | 5439 (Redshift) | Port par défaut pour accéder à une base de données de cluster Amazon Redshift. |
| TCP | 6 | 5432 (SQLPoster) | Le port par défaut pour accéder à une SQL base de données Postgre, par exemple, sur une instance Amazon RDS |
| TCP | 6 | 1521 (Oracle) | Port par défaut pour accéder à une base de données Oracle, par exemple, sur une RDS instance Amazon |
Vous pouvez éventuellement restreindre le trafic sortant de vos serveurs de base de données. Par exemple, vous pouvez autoriser l’accès à Internet pour les mises à jour logicielles, mais limiter tous les autres types de trafic. Vous devez d’abord supprimer la règle sortante par défaut qui autorise tout le trafic sortant.
| Type de protocole | Numéro de protocole | Port | IP de destination | Remarques |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Permet l'HTTPaccès sortant à n'importe quelle adresse IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permet l'HTTPSaccès sortant à n'importe quelle adresse IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | (IPv6activé VPC uniquement) Autorise l'HTTPaccès sortant à n'importe quelle adresse IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | (IPv6activé VPC uniquement) Autorise l'HTTPSaccès sortant à n'importe quelle adresse IPv6 |
Règles pour la connexion à des instances à partir de votre ordinateur
Pour se connecter à votre instance, votre groupe de sécurité doit disposer de règles entrantes autorisant l'SSHaccès (pour les instances Linux) ou l'RDPaccès (pour les instances Windows).
| Type de protocole | Numéro de protocole | Port | IP Source |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | L'IPv4adresse publique de votre ordinateur ou une série d'adresses IP de votre réseau local. Si vous êtes VPC activé pour IPv6 et que votre instance possède une IPv6 adresse, vous pouvez saisir une IPv6 adresse ou une plage. |
| TCP | 6 | 389 () RDP | L'IPv4adresse publique de votre ordinateur ou une série d'adresses IP de votre réseau local. Si vous êtes VPC activé pour IPv6 et que votre instance possède une IPv6 adresse, vous pouvez saisir une IPv6 adresse ou une plage. |
Règles pour la connexion à des instances à partir d’une instance avec le même groupe de sécurité
Pour autoriser les instances associées au même groupe de sécurité à communiquer les unes avec les autres, vous devez à cette fin ajouter des règles explicitement.
Note
Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit faire référence à l'adresse IP privée de l'autre instance, ou à la CIDR plage du sous-réseau qui contient l'autre instance, comme source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.
Le tableau suivant décrit la règle entrante pour un groupe de sécurité qui permet aux instances associées de communiquer les unes avec les autres. La règle autorise tous les types de trafic.
| Type de protocole | Numéro de protocole | Ports | IP Source |
|---|---|---|---|
| -1 (Tout) | -1 (Tout) | -1 (Tout) | L'ID du groupe de sécurité ou la CIDR plage du sous-réseau qui contient l'autre instance (voir note). |
Règles pour le ping/ ICMP
La ping commande est un type de ICMP trafic. Pour envoyer un ping à votre instance, vous devez ajouter l'une des ICMP règles entrantes suivantes.
| Type | Protocole | Source |
|---|---|---|
| Personnalisé ICMP - IPv4 | Demande Echo | L'IPv4adresse publique de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. |
| Tout ICMP - IPv4 | IPv4ICMP(1) | L'IPv4adresse publique de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. |
Pour utiliser la ping6 commande pour envoyer un ping à l'IPv6adresse de votre instance, vous devez ajouter la ICMPv6 règle entrante suivante.
| Type | Protocole | Source |
|---|---|---|
| Tout ICMP - IPv6 | IPv6ICMP(58) | L'IPv6adresse de votre ordinateur, une IPv4 adresse spécifique ou une IPv4 adresse ou depuis n'importe quel endroit. IPv6 |
DNSrègles du serveur
Si vous avez configuré votre EC2 instance en tant que DNS serveur, vous devez vous assurer que TCP le UDP trafic peut atteindre votre DNS serveur via le port 53.
Pour l’adresse IP source, spécifiez l’une des options suivantes :
-
Adresse IP ou plage d'adresses IP (en notation par CIDR blocs) dans un réseau
-
L'ID d'un groupe de sécurité pour l'ensemble des instances de votre réseau qui nécessitent un accès au DNS serveur
| Type de protocole | Numéro de protocole | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
EFSRègles d'Amazon
Si vous utilisez un système de EFS fichiers Amazon avec vos EC2 instances Amazon, le groupe de sécurité que vous associez à vos cibles de EFS montage Amazon doit autoriser le trafic via le NFS protocole.
| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 2049 () NFS | ID du groupe de sécurité | Autorise l'NFSaccès entrant depuis les ressources (y compris la cible de montage) associées à ce groupe de sécurité |
Pour monter un système de EFS fichiers Amazon sur votre EC2 instance Amazon, vous devez vous connecter à votre instance. Par conséquent, le groupe de sécurité associé à votre instance doit disposer de règles autorisant le trafic entrant SSH depuis votre ordinateur local ou votre réseau local.
| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | La plage d'adresses IP de votre ordinateur local ou la plage d'adresses IP (en notation par CIDR blocs) de votre réseau. | Autorise l'SSHaccès entrant depuis votre ordinateur local. |
Règles Elastic Load Balancing
Si vous enregistrez vos EC2 instances auprès d'un équilibreur de charge, le groupe de sécurité associé à votre équilibreur de charge doit autoriser la communication avec les instances. Pour plus d'informations, consultez les informations suivantes dans la documentation d'Elastic Load Balancing.
