Contrôlez le trafic dans VPC Lattice à l'aide de groupes de sécurité - Amazon VPC Lattice
Liste de préfixes géréeRègles des groupes de sécuritéGérer les groupes de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez le trafic dans VPC Lattice à l'aide de groupes de sécurité

AWS les groupes de sécurité agissent comme des pare-feux virtuels, contrôlant le trafic réseau à destination et en provenance des entités auxquelles ils sont associés. Avec VPC Lattice, vous pouvez créer des groupes de sécurité et les attribuer à l'VPCassociation qui connecte un réseau de service VPC afin d'appliquer des protections de sécurité supplémentaires au niveau du réseau pour votre réseau de service. Si vous connectez un VPC à un réseau de service à l'aide d'un VPC point de terminaison, vous pouvez également attribuer des groupes de sécurité au VPC point de terminaison. De même, vous pouvez attribuer des groupes de sécurité aux passerelles de ressources que vous créez pour permettre l'accès aux ressources de votreVPC.

Liste de préfixes gérée

VPCLattice fournit des listes de préfixes gérées qui incluent les adresses IP utilisées pour acheminer le trafic sur le réseau VPC Lattice lorsque vous utilisez une association de services pour vous VPC connecter à un réseau de services à l'aide d'une association. VPC Vous pouvez faire référence aux listes de préfixes gérées par VPC Lattice dans les règles de votre groupe de sécurité. Cela permet au trafic de circuler depuis les clients, via le réseau de services VPC Lattice, et vers les cibles du service VPC Lattice.

Supposons, par exemple, qu'une EC2 instance soit enregistrée en tant que cible dans la région USA Ouest (Oregon) (us-west-2). Vous pouvez ajouter une règle au groupe de sécurité d'instance qui autorise l'HTTPSaccès entrant depuis la liste des préfixes gérés par VPC Lattice, afin que le trafic VPC Lattice de cette région puisse atteindre l'instance. Si vous supprimez toutes les autres règles entrantes du groupe de sécurité, vous pouvez empêcher tout trafic autre que le trafic VPC Lattice d'atteindre l'instance.

Les noms des listes de préfixes gérées pour VPC Lattice sont les suivants :

  • com.amazonaws. region.vpc en treillis

  • com.amazonaws. region.ipv6.vp-lattice

Pour plus d'informations, consultez les listes de AWS préfixes gérées par -dans le guide de VPCl'utilisateur Amazon.

Clients Windows

Les adresses figurant dans les listes de préfixes VPC Lattice sont des adresses locales liées à des liens et des adresses publiques non routables. Si vous vous connectez à VPC Lattice depuis un client Windows, vous devez mettre à jour la configuration du client Windows afin qu'il transfère les adresses lien-local utilisées par VPC Lattice vers l'adresse IP principale du client. Voici un exemple de commande qui met à jour la configuration du client Windows, où 169.254.171.0 est l'adresse lien-local utilisée par VPC Lattice.

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Règles des groupes de sécurité

L'utilisation de VPC Lattice avec ou sans groupes de sécurité n'aura aucun impact sur la configuration de votre groupe VPC de sécurité existant. Vous pouvez toutefois ajouter vos propres groupes de sécurité à tout moment.

Considérations clés

  • Les règles des groupes de sécurité pour les clients contrôlent le trafic sortant vers VPC Lattice.

  • Les règles des groupes de sécurité pour les cibles contrôlent le trafic entrant de VPC Lattice vers les cibles, y compris le trafic lié aux contrôles de santé.

  • Règles de groupe de sécurité pour l'association entre le réseau de service et le VPC contrôle des clients autorisés à accéder au réseau de service VPC Lattice.

  • Les règles de groupe de sécurité pour la passerelle de ressources contrôlent le trafic sortant de la passerelle de ressources vers les ressources.

Règles sortantes recommandées pour le trafic circulant d'une passerelle de ressources vers une ressource de base de données

Pour que le trafic circule de la passerelle de ressources vers les ressources, vous devez créer des règles de sortie pour les ports ouverts et des protocoles d'écoute acceptés pour les ressources.

Destination Protocole Plage de ports Comment
CIDR range for resource TCP 3306 Autoriser le trafic de la passerelle de ressources vers les bases de données
Règles d'entrée recommandées pour le réseau de services et les associations VPC

Pour que le trafic circule du client VPCs vers les services associés au réseau de services, vous devez créer des règles entrantes pour les ports d'écoute et des protocoles d'écoute pour les services.

Source Protocole Plage de ports Comment
VPC CIDR listener listener Autoriser le trafic des clients vers VPC Lattice
Règles sortantes recommandées pour le trafic circulant des instances clientes vers Lattice VPC

Par défaut, les groupes de sécurité autorisent la totalité du trafic sortant. Toutefois, si vous avez des règles de sortie personnalisées, vous devez autoriser le trafic sortant vers le préfixe VPC Lattice pour les ports d'écoute et les protocoles afin que les instances clientes puissent se connecter à tous les services associés au réseau de services Lattice. VPC Vous pouvez autoriser ce trafic en référençant l'ID de la liste de préfixes pour VPC Lattice.

Destination Protocole Plage de ports Comment
ID of the VPC Lattice prefix list listener listener Autoriser le trafic des clients vers VPC Lattice
Règles entrantes recommandées pour le trafic circulant de VPC Lattice vers les instances cibles

Vous ne pouvez pas utiliser le groupe de sécurité client comme source pour les groupes de sécurité de votre cible, car le trafic provient de VPC Lattice. Vous pouvez référencer l'ID de la liste de préfixes pour VPC Lattice.

Source Protocole Plage de ports Comment
ID of the VPC Lattice prefix list target target Autoriser le trafic de VPC Lattice vers les cibles
ID of the VPC Lattice prefix list health check health check Autoriser le trafic de contrôle de santé entre VPC Lattice et les cibles

Gérer les groupes de sécurité pour une VPC association

Vous pouvez utiliser le AWS CLI pour afficher, ajouter ou mettre à jour des groupes de sécurité sur l'association VPC de réseaux de services. Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la Région AWS configuration adaptée à votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre --region avec la commande.

Avant de commencer, vérifiez que vous avez créé le groupe de sécurité VPC tel que celui que VPC vous souhaitez ajouter au réseau de service. Pour plus d'informations, consultez la section Contrôler le trafic vers vos ressources à l'aide de groupes de sécurité dans le guide de VPC l'utilisateur Amazon

Pour ajouter un groupe de sécurité lorsque vous créez une VPC association à l'aide de la console

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sous VPCLattice, choisissez Service networks.

  3. Sélectionnez le nom du réseau de service pour ouvrir sa page de détails.

  4. Dans l'onglet VPCassociations, choisissez Créer des VPC associations, puis sélectionnez Ajouter une VPC association.

  5. Sélectionnez un groupe de sécurité VPC et jusqu'à cinq.

  6. Sélectionnez Enregistrer les modifications.

Pour ajouter ou mettre à jour des groupes de sécurité pour une VPC association existante à l'aide de la console

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sous VPCLattice, choisissez Service networks.

  3. Sélectionnez le nom du réseau de service pour ouvrir sa page de détails.

  4. Dans l'onglet VPCassociations, cochez la case correspondant à l'association, puis choisissez Actions, Modifier les groupes de sécurité.

  5. Ajoutez et supprimez des groupes de sécurité selon vos besoins.

  6. Sélectionnez Enregistrer les modifications.

Pour ajouter un groupe de sécurité lorsque vous créez une VPC association à l'aide du AWS CLI

Utilisez la commande create-service-network-vpc-association, en spécifiant l'ID VPC de l'VPCassociation et l'ID des groupes de sécurité à ajouter.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Si elle aboutit, la commande renvoie un résultat semblable au suivant :

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Pour ajouter ou mettre à jour des groupes de sécurité pour une VPC association existante à l'aide du AWS CLI

Utilisez la commande update-service-network-vpc-association, en spécifiant l'ID du réseau de service et celui IDs des groupes de sécurité. Ces groupes de sécurité remplacent tous les groupes de sécurité précédemment associés. Définissez au moins un groupe de sécurité lors de la mise à jour de la liste.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
Avertissement

Vous ne pouvez pas supprimer tous les groupes de sécurité. Au lieu de cela, vous devez d'abord supprimer l'VPCassociation, puis la VPC recréer sans aucun groupe de sécurité. Soyez prudent lorsque vous supprimez l'VPCassociation. Cela empêche le trafic d'atteindre les services qui se trouvent dans ce réseau de services.