Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Règles des groupes de sécurité
Les règles d'un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les ressources associées au groupe de sécurité. Les règles contrôlent également le trafic sortant autorisé à les quitter.
Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore autoriser ou révoquer un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une source ou une destination spécifique.
Table des matières
Règles de base de groupe de sécurité
-
Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.
-
Lorsque vous créez un groupe de sécurité pour la première fois, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant n'est autorisé tant que vous n'avez pas ajouté de règles entrantes au groupe de sécurité.
-
Lorsque vous créez un groupe de sécurité pour la première fois, il possède une règle sortante qui autorise tout le trafic sortant de la ressource. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant n'est autorisé.
-
Lorsque vous associez plusieurs groupes de sécurité à une ressource, les règles de chaque groupe de sécurité sont regroupées pour former un ensemble unique de règles utilisées pour déterminer s'il faut autoriser l'accès.
-
Lorsque vous ajoutez, mettez à jour ou supprimez des règles, vos modifications sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. L’effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi. Pour plus d'informations, consultez la section Suivi des connexions dans le guide de l'utilisateur Amazon EC2.
-
Lorsque vous créez une règle de groupe de sécurité, AWS attribuez un identifiant unique à la règle. Vous pouvez utiliser l’ID d’une règle lorsque vous utilisez l’API ou la CLI pour modifier ou supprimer la règle.
Limitation
Les groupes de sécurité ne peuvent pas bloquer les requêtes DNS à destination ou en provenance du résolveur Route 53, parfois appelé « adresse IP VPC+2 » (voir le guide Amazon Route 53 Resolverdu développeur Amazon Route 53) ou DNS. AmazonProvided Afin de filtrer les demandes DNS via Route 53 Resolver, utilisez Route 53 Resolver DNS Firewall.
Composants d'une règle de groupe de sécurité
-
Protocole : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).
-
Port range (Plage de ports) : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple,
22), ou une plage de numéros de port (par exemple,7000-8000). -
ICMP type and code (Type et code ICMP) : pour ICMP, le code et le type ICMP. Par exemple, utilisez le type 8 pour la requête ICMP Echo ou 128 pour la requête ICMPv6 Echo.
-
Source or destination (Source ou destination) : la source (règles entrantes) ou la destination (règles sortantes) pour le trafic à autoriser. Spécifiez l’un des éléments suivants :
-
Adresse IPv4 unique. Vous devez utiliser la longueur de préfixe
/32. Par exemple,203.0.113.1/32. -
Adresse IPv6 unique. Vous devez utiliser la longueur de préfixe
/128. Par exemple,2001:db8:1234:1a00::123/128. -
Plage d’adresses IPv4, en notation de bloc d’adresses CIDR. Par exemple,
203.0.113.0/24. -
Plage d’adresses IPv6, en notation de bloc d’adresses CIDR. Par exemple,
2001:db8:1234:1a00::/64. -
ID d’une liste des préfixes. Par exemple,
pl-1234abc1234abc123. Pour plus d’informations, consultez Grouper des blocs d’adresse CIDR à l’aide de listes de préfixes gérées. -
ID d'un groupe de sécurité. Par exemple,
sg-1234567890abcdef0. Pour plus d’informations, consultez Référencement des groupes de sécurité.
-
-
(Facultatif) Description : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l’identifier ultérieurement. Une description peut inclure jusqu’à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.
Référencement des groupes de sécurité
Lorsque vous spécifiez un groupe de sécurité comme source ou destination d'une règle, cette règle affecte toutes les instances associées aux groupes de sécurité. Les instances peuvent communiquer dans la direction spécifiée, en utilisant les adresses IP privées des instances, via le protocole et le port spécifiés.
Par exemple, ce qui suit présente une règle entrante pour un groupe de sécurité référençant le groupe de sécurité sg-0abcdef1234567890. Cette règle autorise le trafic SSH entrant depuis les instances associées à sg-0abcdef1234567890.
| Source | Protocole | Plage de ports |
|---|---|---|
sg-0abcdef1234567890 |
TCP | 22 |
Lorsque vous référencez un groupe de sécurité dans une règle de groupe de sécurité, tenez compte des points suivants :
-
Les groupes de sécurité doivent appartenir au même VPC ou VPC appairé.
-
Aucune règle du groupe de sécurité référencé n'est ajoutée au groupe de sécurité le référençant.
-
Pour les règles entrantes, les instances EC2 associées au groupe de sécurité peuvent recevoir le trafic entrant des adresses IP privées des instances EC2 associées au groupe de sécurité.
-
Pour les règles sortantes, les instances EC2 associées au groupe de sécurité peuvent envoyer le trafic sortant aux adresses IP privées des instances EC2 associées au groupe de sécurité.
Limitation
Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.
Exemple
Le schéma suivant montre un VPC avec des sous-réseaux dans deux zones de disponibilité, une passerelle Internet et un Application Load Balancer. Chaque zone de disponibilité possède un sous-réseau public pour les serveurs Web et un sous-réseau privé pour les serveurs de base de données. Il existe des groupes de sécurité distincts pour l'équilibreur de charge, les serveurs Web et les serveurs de base de données. Créez les règles du groupe de sécurité suivantes pour autoriser le trafic.
-
Ajoutez des règles au groupe de sécurité de l'équilibreur de charge pour autoriser le trafic HTTP et HTTPS en provenance d'Internet. La source est 0.0.0.0/0.
-
Ajoutez des règles au groupe de sécurité pour les serveurs Web afin d'autoriser le trafic HTTP et HTTPS uniquement en provenance de l'équilibreur de charge. La source est le groupe de sécurité pour l'équilibreur de charge.
-
Ajoutez des règles au groupe de sécurité pour les serveurs de base de données afin d'autoriser les demandes de base de données provenant des serveurs Web. La source est le groupe de sécurité pour les serveurs Web.
Taille de groupe de sécurité
Le type de source ou de destination détermine la façon dont chaque règle est prise en compte dans le nombre maximum de règles que vous pouvez avoir par groupe de sécurité.
-
Une règle référençant un bloc CIDR compte comme une seule règle.
-
Une règle référençant un autre groupe de sécurité compte comme une seule règle, quelle que soit la taille du groupe de sécurité référencé.
-
Une règle référençant une liste de préfixes gérée par le client compte comme la taille maximale de la liste de préfixes. Par exemple, si la taille maximale de votre liste de préfixes est égale à 20, une règle la référençant compte comme 20 règles.
-
Une règle qui fait référence à une liste de préfixes AWS gérée compte comme le poids de la liste de préfixes. Par exemple, si le poids de la liste de préfixes est égale à 10, une règle la référençant compte comme 10 règles. Pour plus d’informations, consultez Listes AWS de préfixes gérées disponibles.
Règles du groupe de sécurité obsolètes
Si votre VPC est connecté à un autre VPC par appairage de VPC ou s'il utilise un VPC partagé par un autre compte, une règle de groupe de sécurité peut référencer un groupe de sécurité dans le VPC pair ou le VPC partagé. Cela permet aux ressources associées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencement de communiquer entre elles.
Si le groupe de sécurité du VPC partagé est supprimé ou si la connexion d'appairage de VPC est supprimée, la règle de groupe de sécurité est marquée comme étant obsolète. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité. Pour plus d'informations, consultez la section Travailler avec des règles de groupe de sécurité obsolètes dans le guide Amazon VPC Peering.
Utiliser des règles de groupe de sécurité
Les tâches suivantes vous montrent comment utiliser les règles de groupe de sécurité.
Autorisations nécessaires
Tâches
Ajouter des règles à un groupe de sécurité
Lorsque vous ajoutez une règle à un groupe de sécurité, la nouvelle règle est automatiquement appliquée à toutes les ressources associées au groupe de sécurité.
Si vous disposez d'une connexion d'appairage VPC, vous pouvez référencer des groupes de sécurité à partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles de votre groupe de sécurité. Pour de plus amples informations, veuillez consulter Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité de VPC appairé dans le Guide d'appairage Amazon VPC.
Pour plus d'informations sur les autorisations requises pour gérer des règles de groupe de sécurité, veuillez consulter Gérer les règles de groupe de sécurité.
Avertissement
Si vous choisissez Anywhere-IPv4, vous autorisez le trafic provenant de toutes les adresses IPv4. Si vous choisissez Anywhere-IPv6, vous autorisez le trafic provenant de toutes les adresses IPv6. Lorsque vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP), autorisez uniquement une plage d'adresses IP spécifique à accéder à vos instances.
Pour ajouter une règle à l'aide de la console
Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Groupes de sécurité.
-
Sélectionnez le groupe de sécurité.
-
Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).
-
Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :
-
Pour Type, choisissez le type de protocole à autoriser.
-
Pour TCP ou UDP, vous devez saisir la plage de ports à autoriser.
-
Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d'ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports.
-
Pour un autre type, le protocole et la plage de ports sont configurés automatiquement.
-
-
Pour Source type (Type de source) (règles entrantes) ou Destination type (Type de destination) (règles sortantes), effectuez l'une des opérations suivantes pour autoriser le trafic :
-
Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d’adresse CIDR, un autre groupe de sécurité ou une liste de préfixes.
-
Choisissez Anywhere-IPv4 (Partout-IPv4) pour autoriser le trafic de toute adresse IPv4 (règles entrantes) ou permettre au trafic d'atteindre toutes les adresses IPv4 (règles sortantes). Cela ajoute automatiquement une règle pour le bloc d'adresses CIDR IPv4 0.0.0.0/0.
-
Choisissez Anywhere-IPv6 (Partout-IPv6) pour autoriser le trafic de toute adresse IPv6 (règles entrantes) ou permettre au trafic d'atteindre toutes les adresses IPv6 (règles sortantes). Cela ajoute automatiquement une règle pour le bloc d'adresse CIDR IPv6 ::/0.
-
Choisissez My IP (Mon adresse IP) pour autoriser uniquement le trafic provenant de (règles entrantes) ou à destination de (règles sortantes) l'adresse IPv4 publique de votre ordinateur local.
-
-
(Facultatif) Pour Description, saisissez une brève description de la règle.
-
-
Sélectionnez Enregistrer les règles.
Pour ajouter une règle à un groupe de sécurité à l'aide du AWS CLI
Utilisez les commandes authorize-security-group-ingress et authorize-security-group-egress.
Mettre à jour les règles du groupe de sécurité
Lorsque vous mettez à jour une règle, la règle mise à jour est automatiquement appliquée à toutes les ressources associées au groupe de sécurité.
Pour en savoir plus sur les autorisations requises pour gérer des règles de groupe de sécurité, consultez Gérer les règles de groupe de sécurité.
Pour mettre à jour une règle à l'aide de la console
Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Groupes de sécurité.
-
Sélectionnez le groupe de sécurité.
-
Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).
-
Mettez à jour la règle comme requis.
-
Sélectionnez Enregistrer les règles.
Pour mettre à jour une règle de groupe de sécurité à l'aide du AWS CLI
Utilisez les commandes modify-security-group-rules, update-security-group-rule-descriptions-ingress et update-security-group-rule-descriptions-egress.
Étiqueter des règles de groupe de sécurité
Ajoutez des étiquettes à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter des étiquettes aux règles de groupe de sécurité. Les clés d'étiquette doivent être uniques pour chaque règle de groupe de sécurité. Si vous ajoutez une étiquette avec une clé qui est déjà associée à la règle de groupe de sécurité, cela a pour effet de mettre à jour la valeur de cette étiquette.
Pour étiqueter une règle à l'aide de la console
Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Groupes de sécurité.
-
Sélectionnez le groupe de sécurité.
-
Sous l’onglet Règles entrantes ou Règles sortantes, sélectionnez la case à cocher de la règle, puis choisissez Gérer les étiquettes.
-
La page Gérer les étiquettes affiche toutes les étiquettes affectées à la règle. Pour ajouter une étiquette, choisissez Ajouter une étiquette, puis entrez la clé et la valeur de l’étiquette. Pour supprimer une balise, choisissez Remove (Supprimer) en regard de la balise à supprimer.
-
Sélectionnez Save changes (Enregistrer les modifications).
Pour baliser une règle à l'aide du AWS CLI
Utilisez la commande create-tags.
Supprimer des règles de groupe de sécurité
Lorsque vous supprimez une règle d'un groupe de sécurité, la modification est automatiquement appliquée à toutes les instances qui sont associées au groupe de sécurité.
Pour supprimer une règle de groupe de sécurité à l'aide de la console
Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Groupes de sécurité.
-
Sélectionnez le groupe de sécurité.
-
Choisissez Actions, puis Edit inbound rules (Modifier les règles entrantes) pour supprimer une règle entrante ou Edit outbound rules (Modifier les règles sortantes) pour supprimer une règle sortante.
-
Cliquez sur le bouton Delete (Supprimer) à côté de la règle à supprimer.
-
Sélectionnez Enregistrer les règles. Vous pouvez également choisir Prévisualiser les modifications, vérifier vos modifications, puis cliquer sur Confirmer.
Pour supprimer une règle de groupe de sécurité à l'aide du AWS CLI
Utilisez les commandes revoke-security-group-ingress et revoke-security-group-egress.
Exemple de règles
Serveurs Web
Voici des exemples de règles pour un groupe de sécurité pour vos serveurs web. Les serveurs web peuvent recevoir du trafic HTTP et HTTPS de toutes les adresses IPv4 et IPv6 et envoyer du trafic SQL ou MySQL à vos serveurs de base de données.
Avertissement
Lorsque vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos instances EC2, nous vous recommandons de n'autoriser que des plages d'adresses IP spécifique. Si vous spécifiez 0.0.0.0/0 (IPv4) et ::/ (IPv6), cela permet à n'importe qui d'accéder à vos instances à partir de n'importe quelle adresse IP qui utilise le protocole spécifié.
Entrant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Source | Protocole | Plage de ports | Description | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
0.0.0.0/0 |
TCP |
80 |
Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ::/0 | TCP | 80 | Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv6 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
0.0.0.0/0 |
TCP |
443 |
Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv4 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ::/0 | TCP | 443 | Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv6 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Plage d'adresses IPv4 publiques de votre réseau |
TCP |
22 |
(Facultatif) Autorise l'accès SSH entrant à partir des adresses IP IPv4 de votre réseau |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Plage d'adresses IPv6 de votre réseau |
TCP | 22 | (Facultatif) Autorise l'accès SSH entrant à partir des adresses IP IPv6 de votre réseau | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Plage d'adresses IPv4 publiques de votre réseau |
TCP |
3389 |
(Facultatif) Autorise l'accès RDP entrant à partir des adresses IP IPv4 de votre réseau |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Plage d'adresses IPv6 de votre réseau |
TCP | 3389 | (Facultatif) Autorise l'accès RDP entrant à partir des adresses IP IPv6 de votre réseau | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID de ce groupe de sécurité |
Tous | Tous | (Facultatif) Autorise le trafic entrant à partir des autres serveurs associés à ce groupe de sécurité | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sortant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Destination | Protocole | Plage de ports | Description | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID du groupe de sécurité pour les instances exécutant Microsoft SQL Server |
TCP |
1433 |
Autorise l'accès sortant à Microsoft SQL Server |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ID du groupe de sécurité pour les instances exécutant MySQL |
TCP |
3306 |
Autorise l'accès sortant à MySQL |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Serveurs de base de données
Les serveurs de base de données nécessitent des règles qui autorisent des protocoles spécifiques entrants, tels que MySQL ou Microsoft SQL Server. Pour obtenir des exemples, consultez Règles de serveur de base de données dans le Guide de l'utilisateur Amazon EC2. Pour de plus amples informations sur les groupes de sécurité pour les instances DB Amazon RDS, veuillez consulter Contrôle d'accès par groupes de sécurité dans le Guide de l'utilisateur Amazon RDS.
Résoudre les problèmes d'accessibilité
Reachability Analyzer est un outil d'analyse de configuration statique. Utilisez Reachability Analyzer pour analyser et déboguer l'accessibilité réseau entre deux ressources de votre VPC. Reachability Analyzer hop-by-hop fournit des détails sur le chemin virtuel entre ces ressources lorsqu'elles sont accessibles, et identifie le composant bloquant dans le cas contraire. Par exemple, il peut identifier les règles de groupe de sécurité manquantes ou mal configurées.
Pour plus d'informations, reportez-vous au Guide de l'Analyseur d'accessibilité.
