Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
La fonctionnalité Groupe de sécurité partagé vous permet de partager un groupe de sécurité avec d'autres comptes AWS Organizations et de rendre le groupe de sécurité disponible pour qu'il puisse être utilisé par ces comptes.
Le schéma suivant montre comment vous pouvez utiliser la fonctionnalité de groupe de sécurité partagé pour simplifier la gestion des groupes de sécurité entre les comptes de vos AWS Organisations :
Ce diagramme montre trois comptes qui font partie de la même organisation. Le compte A partage un VPC sous-réseau avec les comptes B et C. Le compte A partage le groupe de sécurité avec les comptes B et C à l'aide de la fonctionnalité Groupe de sécurité partagé. Les comptes B et C utilisent ensuite ce groupe de sécurité lorsqu'ils lancent des instances dans le sous-réseau partagé. Cela permet au compte A de gérer le groupe de sécurité ; toute mise à jour du groupe de sécurité s'applique aux ressources que les comptes B et C exécutent dans le VPC sous-réseau partagé.
Exigences relatives à la fonctionnalité de groupe de sécurité partagé
-
Cette fonctionnalité n'est disponible que pour les comptes de la même organisation dans AWS Organizations. Le partage des ressources doit être activé dans AWS Organizations.
-
Le compte qui partage le groupe de sécurité doit posséder à la fois le groupe de sécurité VPC et le groupe de sécurité.
-
Vous ne pouvez pas partager de groupes de sécurité par défaut.
-
Vous ne pouvez pas partager les groupes de sécurité définis par défautVPC.
-
Les comptes participants peuvent créer des groupes de sécurité dans un partageVPC, mais ils ne peuvent pas partager ces groupes de sécurité.
-
Un ensemble minimal d'autorisations est requis pour qu'un IAM principal puisse partager un groupe de sécurité avec AWS RAM. Utilisez les IAM politiques
AWSResourceAccessManagerFullAccess
géréesAmazonEC2FullAccess
et pour vous assurer que vos IAM principaux disposent des autorisations requises pour partager et utiliser des groupes de sécurité partagés. Si vous utilisez une IAM politique personnalisée, lesec2:DeleteResourcePolicy
actionsc2:PutResourcePolicy
et sont obligatoires. Il s'agit d'actions soumises à autorisation uniquement. IAM Si ces autorisations ne sont pas accordées à un IAM principal, une erreur se produira lors de la tentative de partage du groupe de sécurité à l'aide du AWS RAM.
Services compatibles avec cette fonctionnalité
-
APIPasserelle Amazon
-
Amazon EC2
-
Amazon ECS
-
Amazon EFS
-
Amazon EKS
-
Amazon EMR
-
Amazon FSx
-
Amazon ElastiCache
-
AWS Elastic Beanstalk
-
AWS Glue
Amazon MQ
Amazon SageMaker
Elastic Load Balancing
Application Load Balancer
Network Load Balancer
Comment cette fonctionnalité affecte les quotas existants
Les quotas des groupes de sécurité s'appliquent. En ce qui concerne le quota « Groupes de sécurité par interface réseau », toutefois, si un participant utilise à la fois des groupes détenus et partagés sur une interface réseau élastique (ENI), le quota minimum de propriétaire et de participant s'applique.
Exemple pour montrer comment le quota est affecté par cette fonctionnalité :
-
Quota de comptes propriétaires : 4 groupes de sécurité par interface
-
Quota de comptes participants : 5 groupes de sécurité par interface.
-
Le propriétaire partage les groupes SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 avec le participant. Le participant a déjà ses propres groupes dans VPC : SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
-
Si le participant crée un groupe ENI et utilise uniquement ses propres groupes, il peut associer les 5 groupes de sécurité (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) car c'est son quota.
-
Si le participant crée un groupe partagé ENI et y utilise des groupes partagés, il ne peut associer que 4 groupes au maximum. Dans ce cas, le quota pour un tel montant ENI est le minimum des quotas du propriétaire et du participant. Les configurations valides possibles se présente comme suit :
-
SG-O1, SG-P1, SG-P2, SG-P3
-
SG-O1, SG-O2, SG-O3, SG-O4
-
Partager un groupe de sécurité
Cette section explique comment utiliser AWS Management Console et pour AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.
Pour partager un groupe de sécurité
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. Dans le panneau de navigation de gauche, sélectionnez Security Groups (Groupes de sécurité).
Sélectionnez un groupe de sécurité pour afficher les informations.
Cliquez sur l'onglet Sharing (Partager) .
Choisissez Partager le groupe de sécurité.
Choisissez Créer une ressource. Par conséquent, la AWS RAM console s'ouvre dans laquelle vous allez créer le partage de ressources pour le groupe de sécurité.
Entrez un nom pour le partage de ressources.
Sous Ressources - facultatif, choisissez Security Groups.
Sélectionnez un groupe de sécurité. Le groupe de sécurité ne peut pas être un groupe de sécurité par défaut et ne peut pas être associé au groupe par défautVPC.
Choisissez Suivant.
Passez en revue les actions que les directeurs seront autorisés à effectuer et choisissez Next.
Sous Principaux - facultatif, choisissez Autoriser le partage uniquement au sein de votre organisation.
Sous Principaux, sélectionnez l'un des types principaux suivants et entrez les numéros appropriés :
AWS compte : numéro de compte d'un compte dans votre organisation.
Organisation : The AWS Organizations ID.
Unité organisationnelle (UO) : ID d'une UO dans l'organisation.
IAMrôle : celui ARN d'un IAM rôle. Le compte qui a créé le rôle doit être membre de la même organisation que le compte qui a créé ce partage de ressources.
IAMutilisateur : celui ARN d'un IAM utilisateur. Le compte qui a créé l'utilisateur doit être membre de la même organisation que le compte qui a créé ce partage de ressources.
Principal de service : vous ne pouvez pas partager un groupe de sécurité avec un principal de service.
Choisissez Ajouter.
Choisissez Suivant.
Choisissez Créer une ressource.
Sous Ressources partagées, attendez de voir le statut de
Associated
. Si une association de groupes de sécurité échoue, cela peut être dû à l'une des limitations répertoriées ci-dessus. Consultez les détails du groupe de sécurité et l'onglet Partage de la page de détails pour voir les messages indiquant pourquoi un groupe de sécurité ne peut pas être partagé.Revenez à la liste des groupes de sécurité de la VPC console.
Choisissez le groupe de sécurité que vous avez partagé.
Cliquez sur l'onglet Sharing (Partager) . Votre AWS RAM ressource doit y être visible. Si ce n'est pas le cas, la création du partage de ressources a peut-être échoué et vous devrez peut-être le recréer.
Le groupe de sécurité est désormais partagé.
Arrêter de partager un groupe de sécurité
Cette section explique comment utiliser AWS Management Console et pour arrêter de AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.
Pour arrêter de partager un groupe de sécurité
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. Dans le panneau de navigation de gauche, sélectionnez Security Groups (Groupes de sécurité).
Sélectionnez un groupe de sécurité pour afficher les informations.
Cliquez sur l'onglet Sharing (Partager) .
Choisissez un partage de ressources de groupe de sécurité, puis sélectionnez Arrêter le partage.
Choisissez Oui, arrêter le partage.
Le groupe de sécurité n'est plus partagé. Lorsque le propriétaire a cessé de partager un groupe de sécurité, les règles suivantes doivent être respectées :
Les Elastic Network Interfaces (ENIs) des participants existants continuent de recevoir toutes les mises à jour des règles des groupes de sécurité apportées aux groupes de sécurité non partagés. L'annulation du partage empêche uniquement le participant de créer de nouvelles associations avec le groupe non partagé.
Les participants ne peuvent plus associer le groupe de sécurité non partagé à un groupe qui ENIs leur appartient.
Les participants peuvent décrire et supprimer ceux ENIs qui sont toujours associés à des groupes de sécurité non partagés.
Si les participants sont toujours ENIs associés au groupe de sécurité dont le partage a été annulé, le propriétaire ne peut pas supprimer le groupe de sécurité. Le propriétaire ne peut supprimer le groupe de sécurité qu'une fois que les participants ont dissocié (supprimé) le groupe de sécurité de tous leurs ENIs membres.