Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mettez à jour les groupes de sécurité pour votre Network Load Balancer
Vous pouvez associer un groupe de sécurité à votre Network Load Balancer pour contrôler le trafic autorisé à atteindre le Network Load Balancer et à le quitter. Vous spécifiez les ports, protocoles et sources à autoriser pour le trafic entrant, ainsi que les ports, protocoles et destinations à autoriser pour le trafic sortant. Si vous n'attribuez aucun groupe de sécurité à votre Network Load Balancer, tout le trafic client peut atteindre les écouteurs Network Load Balancer et tout le trafic peut quitter le Network Load Balancer.
Vous pouvez ajouter une règle aux groupes de sécurité associés à vos cibles qui fait référence au groupe de sécurité associé à votre Network Load Balancer. Cela permet aux clients d'envoyer du trafic vers vos cibles via votre Network Load Balancer, mais les empêche d'envoyer du trafic directement vers vos cibles. Le fait de référencer le groupe de sécurité associé à votre Network Load Balancer dans les groupes de sécurité associés à vos cibles garantit que celles-ci acceptent le trafic provenant de votre Network Load Balancer, même si vous activez la préservation de l'adresse IP du client pour votre Network Load Balancer.
Le trafic bloqué par les règles entrantes des groupes de sécurité ne vous est pas facturé.
Table des matières
Considérations
-
Vous pouvez associer des groupes de sécurité à un Network Load Balancer lorsque vous le créez. Si vous créez un Network Load Balancer sans associer de groupes de sécurité, vous ne pourrez pas les associer ultérieurement au Network Load Balancer. Nous vous recommandons d'associer un groupe de sécurité à votre Network Load Balancer lorsque vous le créez.
-
Après avoir créé un Network Load Balancer avec les groupes de sécurité associés, vous pouvez modifier les groupes de sécurité associés au Network Load Balancer à tout moment.
-
Les surveillances de l'état sont soumises aux règles sortantes, mais pas aux règles entrantes. Vous devez vous assurer que les règles sortantes ne bloquent pas le trafic lié aux surveillances de l'état. Dans le cas contraire, le Network Load Balancer considère que les cibles ne sont pas saines.
-
Vous pouvez contrôler si le PrivateLink trafic est soumis à des règles entrantes. Si vous activez les règles de PrivateLink trafic entrant, la source du trafic est l'adresse IP privée du client, et non l'interface du point de terminaison.
Exemple : filtrer le trafic client
Les règles entrantes suivantes dans le groupe de sécurité associé à votre Network Load Balancer autorisent uniquement le trafic provenant de la plage d'adresses spécifiée. S'il s'agit d'un Network Load Balancer interne, vous pouvez spécifier une plage d'adresses CIDR VPC comme source pour autoriser uniquement le trafic provenant d'un VPC spécifique. S'il s'agit d'un Network Load Balancer connecté à Internet qui doit accepter le trafic provenant de n'importe quel endroit sur Internet, vous pouvez spécifier 0.0.0.0/0 comme source.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
protocol |
client IP address range |
listener port |
Autorise le trafic entrant depuis la plage d'adresses CIDR source sur le port d'écoute. |
| ICMP | 0.0.0.0/0 | Tous | Permet au trafic ICMP entrant de prendre en charge la MTU ou la détection de la MTU du chemin †. |
† Pour plus d'informations, consultez Path MTU Discovery dans le guide de l' EC2 utilisateur Amazon.
| Protocole | Destination | Plage de ports | Comment |
|---|---|---|---|
| Tous | N'importe où | Tous | Autorise tout le trafic sortant |
Exemple : accepter uniquement le trafic provenant du Network Load Balancer
Supposons que votre Network Load Balancer possède un groupe de sécurité sg-111112222233333. Utilisez les règles suivantes dans les groupes de sécurité associés à vos instances cibles pour vous assurer qu'elles n'acceptent que le trafic provenant du Network Load Balancer. Vous devez vous assurer que les cibles acceptent le trafic provenant du Network Load Balancer à la fois sur le port cible et sur le port de contrôle de santé. Pour de plus amples informations, veuillez consulter Groupes de sécurité cibles.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
protocol |
sg-111112222233333 | target port |
Autorise le trafic entrant depuis le Network Load Balancer sur le port cible |
protocol |
sg-111112222233333 | health check |
Autorise le trafic entrant depuis le Network Load Balancer sur le port de contrôle de santé |
| Protocole | Destination | Plage de ports | Comment |
|---|---|---|---|
| Tous | N'importe où | N’importe quel compte | Autorise tout le trafic sortant |
Mise à jour des groupes de sécurité associés
Si vous avez associé au moins un groupe de sécurité à un Network Load Balancer lors de sa création, vous pouvez mettre à jour les groupes de sécurité de ce Network Load Balancer à tout moment.
Pour mettre à jour les groupes de sécurité à l'aide de la console
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).
-
Sélectionnez le Network Load Balancer.
-
Dans l'onglet Security, choisissez Edit.
-
Pour associer un groupe de sécurité à votre Network Load Balancer, sélectionnez-le. Pour supprimer un groupe de sécurité de votre Network Load Balancer, supprimez-le.
-
Sélectionnez Enregistrer les modifications.
Pour mettre à jour les groupes de sécurité à l'aide du AWS CLI
Utilisez la commande set-security-groups.
Mise à jour des paramètres de sécurité
Par défaut, nous appliquons les règles du groupe de sécurité entrant à tout le trafic envoyé au Network Load Balancer. Toutefois, il se peut que vous ne souhaitiez pas appliquer ces règles au trafic envoyé au Network Load Balancer via AWS PrivateLink, qui peut provenir d'adresses IP qui se chevauchent. Dans ce cas, vous pouvez configurer le Network Load Balancer afin que nous n'appliquions pas les règles entrantes pour le trafic envoyé au Network Load Balancer via le Network Load Balancer. AWS PrivateLink
Pour mettre à jour les paramètres de sécurité à l'aide de la console
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/
. -
Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).
-
Sélectionnez le Network Load Balancer.
-
Dans l'onglet Security, choisissez Edit.
-
Sous Paramètre de sécurité, décochez Appliquer les règles de trafic entrant au PrivateLink trafic.
-
Sélectionnez Enregistrer les modifications.
Pour mettre à jour les paramètres de sécurité à l'aide du AWS CLI
Utilisez la commande set-security-groups.
Surveiller les groupes de sécurité Network Load Balancer
Utilisez les SecurityGroupBlockedFlowCount_Outbound CloudWatch métriques SecurityGroupBlockedFlowCount_Inbound et pour surveiller le nombre de flux bloqués par les groupes de sécurité Network Load Balancer. Le trafic bloqué n'est pas reflété dans les autres métriques. Pour de plus amples informations, veuillez consulter CloudWatch métriques pour votre Network Load Balancer.
Utilisez les journaux de flux VPC pour surveiller le trafic accepté ou rejeté par les groupes de sécurité Network Load Balancer. Pour plus d'informations, veuillez consulter Journaux de flux VPC dans le Guide de l'utilisateur Amazon VPC.
