Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Groupes de sécurité pour votre Application Load Balancer
<a name="load-balancer-update-security-groups"></a>

Le groupe de sécurité de votre Application Load Balancer contrôle le trafic autorisé à atteindre et à quitter l'équilibreur de charge. Vous devez vous assurer que votre équilibreur de charge peut communiquer avec les cibles enregistrées sur le port d'écoute et le port de vérification de l'état. Chaque fois que vous ajoutez un écouteur à votre équilibreur de charge ou que vous mettez à jour le port de vérification de l'état d'un groupe cible utilisé par l'équilibreur de charge pour acheminer les demandes, vous devez vérifier que les groupes de sécurité associés à l'équilibreur de charge autorisent le trafic sur le nouveau port dans les deux sens. Dans le cas contraire, vous pouvez modifier les règles des groupes de sécurité actuellement associés ou associer des groupes de sécurité différents à l'équilibreur de charge. Vous pouvez choisir les ports et protocoles à autoriser. Par exemple, vous pouvez ouvrir des connexions Internet Control Message Protocol (ICMP) pour que l'équilibreur de charge réponde aux demandes ping (par contre, les demandes ping ne sont pas transmises aux instances).

**Considérations**
+ Pour garantir que vos cibles reçoivent du trafic exclusivement en provenance de l'équilibreur de charge, limitez les groupes de sécurité associés à vos cibles afin qu'ils n'acceptent que le trafic provenant de l'équilibreur de charge. Cela peut être réalisé en définissant le groupe de sécurité de l'équilibreur de charge comme source dans la règle d'entrée du groupe de sécurité de la cible.
+ Si votre Application Load Balancer est la cible d'un Network Load Balancer, les groupes de sécurité de votre Application Load Balancer utilisent le suivi des connexions pour suivre les informations relatives au trafic provenant du Network Load Balancer. Cela se produit quelles que soient les règles de groupe de sécurité définies pour votre Application Load Balancer. Pour plus d'informations, consultez [la section Suivi des connexions des groupes de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) dans le *guide de l'utilisateur Amazon EC2*.
+ Nous vous recommandons d'autoriser le trafic ICMP entrant pour prendre en charge Path MTU Discovery. Pour plus d'informations, consultez [Path MTU Discovery](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery) dans le guide de l'*utilisateur Amazon EC2.*

## Règles recommandées
<a name="security-group-recommended-rules"></a>

Les règles suivantes sont recommandées pour un équilibreur de charge connecté à Internet avec des instances comme cibles.


| 
| 
| **Inbound** | 
| --- |
|  Source  |  Port Range  |  Comment  | 
|  0.0.0.0/0  |  *listener*  |  Autoriser tout le trafic entrant sur le port d'écoute de l'équilibreur de charge  | 
|   **Outbound**   | 
| --- |
|  Destination  |  Port Range  |  Comment  | 
|  *instance security group*  |  *instance listener*  |  Autoriser le trafic sortant vers les instances sur le port d'écoute des instances  | 
|  *instance security group*  |  *health check*  |  Autoriser le trafic sortant vers les instances sur le port de vérification de l'état  | 

Les règles suivantes sont recommandées pour un équilibreur de charge interne avec des instances comme cibles.


| 
| 
| **Inbound** | 
| --- |
|  Source  |  Port Range  |  Comment  | 
|  *VPC CIDR*  |  *listener*  |  Autoriser le trafic entrant à partir du CIDR VPC vers le port d'écoute de l'équilibreur de charge  | 
|   **Outbound**   | 
| --- |
|  Destination  |  Port Range  |  Comment  | 
|  *instance security group*  |  *instance listener*  |  Autoriser le trafic sortant vers les instances sur le port d'écoute des instances  | 
|  *instance security group*  |  *health check*  |  Autoriser le trafic sortant vers les instances sur le port de vérification de l'état  | 

Les règles suivantes sont recommandées pour un Application Load Balancer dont les cibles sont des instances et qui est lui-même la cible d'un Network Load Balancer.


| 
| 
| **Inbound** | 
| --- |
|  Source  |  Port Range  |  Comment  | 
|  *client IP addresses/CIDR*  |  *`alb `listener*  |  Autoriser le trafic client entrant sur le port de l'écouteur de l'équilibreur de charge  | 
|  *VPC CIDR*  |  *`alb `listener*  |  Autoriser le trafic client entrant via le port d' AWS PrivateLink écoute de l'équilibreur de charge  | 
|  *VPC CIDR*  |  *`alb `listener*  |  Autoriser le trafic de l'état entrant à partir du Network Load Balancer  | 
|   **Outbound**   | 
| --- |
|  Destination  |  Port Range  |  Comment  | 
|  *instance security group*  |  *instance listener*  |  Autoriser le trafic sortant vers les instances sur le port d'écoute des instances  | 
|  *instance security group*  |  *health check*  |  Autoriser le trafic sortant vers les instances sur le port de vérification de l'état  | 

## Mise à jour des groupes de sécurité associés
<a name="update-group"></a>

Vous pouvez mettre à jour à tout moment les groupes de sécurité associés à votre équilibreur de charge.

------
#### [ Console ]

**Pour mettre à jour les groupes de sécurité**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.

1. Sélectionnez l'équilibreur de charge.

1. Dans l'onglet **Security**, choisissez **Edit**.

1. Pour associer un groupe de sécurité à votre équilibreur de charge, sélectionnez-le. Pour supprimer une association de groupe de sécurité, choisissez l'icône **X** correspondant au groupe de sécurité.

1. Sélectionnez **Enregistrer les modifications**.

------
#### [ AWS CLI ]

**Pour mettre à jour les groupes de sécurité**  
Utilisez la commande [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html).

```
aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
```

------
#### [ CloudFormation ]

**Pour mettre à jour les groupes de sécurité**  
Mettez à jour la [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html)ressource.

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup
```

------