Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôler le trafic vers vos AWS ressources à l'aide de groupes de sécurité
Un groupe de sécurité contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, après avoir associé un groupe de sécurité à une EC2 instance, il contrôle le trafic entrant et sortant pour l'instance.
Lorsque vous créez unVPC, celui-ci est fourni avec un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires pour aVPC, chacun avec ses propres règles entrantes et sortantes. Vous pouvez spécifier la source, la plage de ports et le protocole pour chaque règle entrante. Vous pouvez spécifier la destination, la plage de ports et le protocole pour chaque règle sortante.
Le schéma suivant illustre VPC un sous-réseau, une passerelle Internet et un groupe de sécurité. Le sous-réseau contient une l'EC2instance. Le groupe de sécurité est attribué à l'instance. Le groupe de sécurité fonctionne comme un pare-feu virtuel. Le seul trafic qui atteint l'instance est le trafic autorisé par les règles du groupe de sécurité. Par exemple, si le groupe de sécurité contient une règle qui autorise le ICMP trafic vers l'instance depuis votre réseau, vous pouvez envoyer une commande ping à l'instance depuis votre ordinateur. Si le groupe de sécurité ne contient pas de règle autorisant le SSH trafic, vous ne pourrez pas vous connecter à votre instance viaSSH.
Table des matières
- Principes de base des groupes de sécurité
- Exemple de groupe de sécurité
- Règles des groupes de sécurité
- Groupes de sécurité par défaut
- Création d’un groupe de sécurité
- Configuration des règles de groupe de sécurité
- Supprimer un groupe de sécurité
- Associer des groupes de sécurité à plusieurs VPCs
- Partager les groupes de sécurité avec AWS Organizations
Tarification
L’utilisation de groupes de sécurité n’entraîne aucuns frais supplémentaires.
Principes de base des groupes de sécurité
-
Vous pouvez attribuer un groupe de sécurité uniquement aux ressources créées dans le VPC même groupe de sécurité. Vous pouvez attribuer plusieurs groupes de sécurité à une ressource.
-
Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s’appliquent :
-
Un nom de groupe de sécurité doit être unique dansVPC.
-
Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.
-
Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et ._-:/()#,@[]+=&;{}!$*.
-
Lorsque le nom contient des espaces de fin, nous supprimons l'espace situé à la fin du nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».
-
Un nom de groupe de sécurité ne peut pas commencer par
sg-
.
-
-
Les groupes de sécurité sont avec état. Par exemple, si vous envoyez une demande à partir d'une instance, le trafic de réponse pour cette demande est autorisé à atteindre l'instance, quelles que soient les règles du groupe de sécurité entrant. Les réponses au trafic entrant autorisé sont autorisées à quitter l'instance, quelles que soient les règles de trafic sortant.
-
Les groupes de sécurité ne filtrent pas le trafic vers et depuis les services suivants :
-
Amazon Domain Name Services (DNS)
-
Amazon Dynamic Host Configuration Protocol (DHCP)
-
Métadonnées de EC2 l'instance Amazon
-
Points de terminaison des points de terminaison des métadonnées de ECS tâches
-
Activation de licence pour les instances Windows
-
Service de synchronisation temporelle d’Amazon
-
Adresses IP réservées utilisées par le VPC routeur par défaut
-
-
Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer parVPC, au nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour de plus amples informations, veuillez consulter VPCQuotas Amazon.
Bonnes pratiques
-
Autorisez uniquement certains IAM principaux à créer et à modifier les groupes de sécurité.
-
Créez le nombre minimum de groupes de sécurité dont vous avez besoin afin de réduire le risque d'erreur. Utilisez chaque groupe de sécurité pour gérer l'accès aux ressources possédant des fonctions et des exigences de sécurité similaires.
-
Lorsque vous ajoutez des règles entrantes pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos EC2 instances, autorisez uniquement les plages d'adresses IP spécifiques. Si vous spécifiez 0.0.0.0/0 (IPv4) et : :/ (IPv6), cela permet à n'importe qui d'accéder à vos instances à partir de n'importe quelle adresse IP qui utilise le protocole spécifié.
-
N'ouvrez pas des plages de ports trop vastes. Assurez-vous que l'accès via chaque port est limité aux sources ou aux destinations qui en ont besoin.
-
Envisagez de créer ACLs un réseau avec des règles similaires à celles de vos groupes de sécurité, afin d'ajouter une couche de sécurité supplémentaire à votreVPC. Pour plus d'informations sur les différences entre les groupes de sécurité et le réseauACLs, consultezComparer les groupes de sécurité et le réseau ACLs.
Exemple de groupe de sécurité
Le schéma suivant illustre un VPC avec deux groupes de sécurité et deux sous-réseaux. Les instances du sous-réseau A ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 1. Les instances du sous-réseau B ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 2. Les règles du groupe de sécurité autorisent le trafic comme suit :
-
La première règle entrante du groupe de sécurité 1 autorise le SSH trafic vers les instances du sous-réseau A à partir de la plage d'adresses spécifiée (par exemple, une plage de votre propre réseau).
-
La deuxième règle entrante du groupe de sécurité 1 permet aux instances du sous-réseau A de communiquer entre elles en utilisant n'importe quel protocole et port.
-
La première règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau B de communiquer entre elles en utilisant n'importe quel protocole et port.
-
La deuxième règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau A de communiquer avec les instances du sous-réseau B en utilisant. SSH
-
Les deux groupes de sécurité utilisent la règle sortante par défaut, qui autorise tout le trafic.