Utilisation des groupes de sécurité - AWS OpsWorks
Groupes de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des groupes de sécurité

Important

Le AWS OpsWorks Stacks service a atteint sa fin de vie le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post ou via le AWS Support Premium.

Groupes de sécurité

Important

Le AWS OpsWorks Stacks service a atteint sa fin de vie le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post ou via le AWS Support Premium.

Chaque instance Amazon EC2 possède un ou plusieurs groupes de sécurité associés qui régissent le trafic réseau de l'instance, un peu comme un pare-feu. Un groupe de sécurité a une ou plusieurs règles, chacune spécifiant une catégorie spécifique de trafic autorisé. Une règle spécifie les éléments suivants :

  • Le type de trafic autorisé, par exemple SSH ou HTTP

  • Le protocole du trafic, tel que TCP ou UDP

  • La plage d'adresses IP dont le trafic peut provenir

  • La plage de ports autorisée pour le trafic

Les groupes de sécurité ont deux types de règles :

  • Les règles de trafic entrant qui gèrent le trafic réseau entrant.

    Par exemple, les instances de serveur d'applications ont généralement une règle entrante qui autorise le trafic HTTP entrant à partir de n'importe quelle adresse IP sur le port 80 et une autre règle de trafic entrant qui autorise le trafic SSH entrant vers le port 22 et provenant d'une plage d'adresses IP spécifiée.

  • Les règles de trafic sortant gèrent le trafic réseau sortant.

    Une pratique courante consiste à utiliser le paramètre par défaut, qui autorise tout le trafic sortant.

Pour plus d'informations sur les groupes de sécurité, consultez la section Groupes de sécurité Amazon EC2.

La première fois que vous créez une pile dans une région, AWS OpsWorks Stacks crée un groupe de sécurité intégré pour chaque couche avec un ensemble de règles approprié. Tous les groupes ont des règles de trafic sortant par défaut qui autorisent tout le trafic sortant. En général, les règles de trafic entrant autorisent les éléments suivants :

  • Trafic TCP, UDP et ICMP entrant provenant des couches Stacks appropriées AWS OpsWorks

  • Trafic TCP entrant sur le port 22 (connexion SSH)

    Avertissement

    La configuration du groupe de sécurité par défaut ouvre SSH (port 22) vers n'importe quel emplacement réseau (0.0.0.0/0.). Cela permet à toutes les adresses IP d'accéder à votre instance à l'aide de SSH. Pour les environnements de production, vous devez utiliser une configuration qui autorise uniquement l'accès SSH à partir d'une adresse IP spécifique ou d'une plage d'adresses. Mettez à jour les groupes de sécurité par défaut immédiatement après leur création ou utilisez des groupes de sécurité personnalisés à la place.

  • Pour les couches de serveur web, tout le trafic entrant TCP et UDP vers les ports 80 (HTTP) et 443 (HTTPS)

Note

Le groupe de sécurité intégré AWS-OpsWorks-RDP-Server est attribué à toutes les instances Windows pour autoriser un accès RDP. Toutefois, par défaut, il n'a pas de règles. Si vous exécutez une pile Windows et que vous souhaitez utiliser RDP pour accéder aux instances, vous devez ajouter une règle entrante qui autorise l'accès RDP. Pour plus d’informations, consultez Connexion avec RDP.

Pour consulter les détails de chaque groupe, accédez à la console Amazon EC2, sélectionnez Security Groups dans le volet de navigation, puis sélectionnez le groupe de sécurité de la couche appropriée. Par exemple, AWS- OpsWorks -Default-Server est le groupe de sécurité intégré par défaut pour toutes les piles, et AWS OpsWorks WebApp - est le groupe de sécurité intégré par défaut pour la pile d'échantillons Chef 12.

Note

Si vous supprimez accidentellement un groupe de sécurité AWS OpsWorks Stacks, il est préférable de le recréer en demandant à AWS OpsWorks Stacks d'effectuer la tâche à votre place. Créez simplement une nouvelle pile dans la même région AWS (et un VPC, le cas échéant AWS OpsWorks ). Stacks recréera automatiquement tous les groupes de sécurité intégrés, y compris celui que vous avez supprimé. Vous pouvez ensuite supprimer la pile si vous n'en avez plus l'utilisation ; les groupes de sécurité demeureront. Si vous souhaitez recréer le groupe de sécurité manuellement, il doit être une copie exacte de l'original, y compris les majuscules du nom du groupe.

En outre, AWS OpsWorks Stacks tentera de recréer tous les groupes de sécurité intégrés si l'une des situations suivantes se produit :

  • Vous pouvez apporter des modifications à la page des paramètres de la pile dans la console AWS OpsWorks Stacks.

  • Vous démarrez l'un des instances de la pile.

  • Vous créez une pile.

Vous pouvez utiliser l'une des approches suivantes pour spécifier les groupes de sécurité. Vous utilisez le paramètre Utiliser les groupes de OpsWorks sécurité pour définir vos préférences lorsque vous créez une pile.

  • Oui (paramètre par défaut) — AWS OpsWorks Stacks associe automatiquement le groupe de sécurité intégré approprié à chaque couche.

    Vous pouvez ajuster le groupe de sécurité intégré d'une couche en ajoutant un groupe de sécurité personnalisé avec vos paramètres préférés. Toutefois, lorsqu'Amazon EC2 évalue plusieurs groupes de sécurité, il utilise les règles les moins restrictives. Vous ne pouvez donc pas utiliser cette approche pour spécifier des règles plus restrictives que le groupe intégré.

  • Non, AWS OpsWorks Stacks n'associe pas les groupes de sécurité intégrés aux couches.

    Vous devez créer des groupes de sécurité appropriés et en associer au moins un à chaque couche que vous créez. Cette approche permet de spécifier des règles plus contraignantes que celles des groupes intégrés. Notez qu'il reste possible d'associer manuellement un groupe de sécurité intégré à une couche. Les groupes de sécurité personnalisés ne sont nécessaires que pour les couches requérant des paramètres personnalisés.

Important

Si vous utilisez les groupes de sécurité intégrés, vous ne pouvez pas créer de règles plus contraignantes en modifiant manuellement les paramètres du groupe. Chaque fois que vous créez une pile, AWS OpsWorks Stacks remplace les configurations des groupes de sécurité intégrés, de sorte que toutes les modifications que vous apportez seront perdues lors de la prochaine création d'une pile. Si une couche nécessite des paramètres de groupe de sécurité plus restrictifs que le groupe de sécurité intégré, définissez Utiliser les groupes de OpsWorks sécurité sur Non, créez des groupes de sécurité personnalisés avec vos paramètres préférés et attribuez-les aux couches lors de leur création.