Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Partager les groupes de sécurité avec AWS Organizations

Mode de mise au point
Partager les groupes de sécurité avec AWS Organizations - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

La fonctionnalité Groupe de sécurité partagé vous permet de partager un groupe de sécurité avec d'autres comptes AWS Organizations et de rendre le groupe de sécurité disponible pour qu'il puisse être utilisé par ces comptes.

Le schéma suivant montre comment vous pouvez utiliser la fonctionnalité de groupe de sécurité partagé pour simplifier la gestion des groupes de sécurité entre les comptes de vos AWS Organisations :

Schéma du partage de groupes de sécurité avec d'autres comptes dans un VPC sous-réseau partagé.

Ce diagramme montre trois comptes qui font partie de la même organisation. Le compte A partage un VPC sous-réseau avec les comptes B et C. Le compte A partage le groupe de sécurité avec les comptes B et C à l'aide de la fonctionnalité Groupe de sécurité partagé. Les comptes B et C utilisent ensuite ce groupe de sécurité lorsqu'ils lancent des instances dans le sous-réseau partagé. Cela permet au compte A de gérer le groupe de sécurité ; toute mise à jour du groupe de sécurité s'applique aux ressources que les comptes B et C exécutent dans le VPC sous-réseau partagé.

Exigences relatives à la fonctionnalité de groupe de sécurité partagé
  • Cette fonctionnalité n'est disponible que pour les comptes de la même organisation dans AWS Organizations. Le partage des ressources doit être activé dans AWS Organizations.

  • Le compte qui partage le groupe de sécurité doit posséder à la fois le groupe de sécurité VPC et le groupe de sécurité.

  • Vous ne pouvez pas partager de groupes de sécurité par défaut.

  • Vous ne pouvez pas partager les groupes de sécurité définis par défautVPC.

  • Les comptes participants peuvent créer des groupes de sécurité dans un partageVPC, mais ils ne peuvent pas partager ces groupes de sécurité.

  • Un ensemble minimal d'autorisations est requis pour qu'un IAM principal puisse partager un groupe de sécurité avec AWS RAM. Utilisez les IAM politiques AWSResourceAccessManagerFullAccess gérées AmazonEC2FullAccess et pour vous assurer que vos IAM principaux disposent des autorisations requises pour partager et utiliser des groupes de sécurité partagés. Si vous utilisez une IAM politique personnalisée, les ec2:DeleteResourcePolicy actions c2:PutResourcePolicy et sont obligatoires. Il s'agit d'actions soumises à autorisation uniquement. IAM Si ces autorisations ne sont pas accordées à un IAM principal, une erreur se produira lors de la tentative de partage du groupe de sécurité à l'aide du AWS RAM.

Services compatibles avec cette fonctionnalité

  • APIPasserelle Amazon

  • Amazon EC2

  • Amazon ECS

  • Amazon EFS

  • Amazon EKS

  • Amazon EMR

  • Amazon FSx

  • Amazon ElastiCache

  • AWS Elastic Beanstalk

  • AWS Glue

  • Amazon MQ

  • Amazon SageMaker

  • Elastic Load Balancing

    • Application Load Balancer

    • Network Load Balancer

Comment cette fonctionnalité affecte les quotas existants

Les quotas des groupes de sécurité s'appliquent. En ce qui concerne le quota « Groupes de sécurité par interface réseau », toutefois, si un participant utilise à la fois des groupes détenus et partagés sur une interface réseau élastique (ENI), le quota minimum de propriétaire et de participant s'applique.

Exemple pour montrer comment le quota est affecté par cette fonctionnalité :

  • Quota de comptes propriétaires : 4 groupes de sécurité par interface

  • Quota de comptes participants : 5 groupes de sécurité par interface.

  • Le propriétaire partage les groupes SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 avec le participant. Le participant a déjà ses propres groupes dans VPC : SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.

  • Si le participant crée un groupe ENI et utilise uniquement ses propres groupes, il peut associer les 5 groupes de sécurité (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) car c'est son quota.

  • Si le participant crée un groupe partagé ENI et y utilise des groupes partagés, il ne peut associer que 4 groupes au maximum. Dans ce cas, le quota pour un tel montant ENI est le minimum des quotas du propriétaire et du participant. Les configurations valides possibles se présente comme suit :

    • SG-O1, SG-P1, SG-P2, SG-P3

    • SG-O1, SG-O2, SG-O3, SG-O4

Partager un groupe de sécurité

Cette section explique comment utiliser AWS Management Console et pour AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.

AWS Management Console
Pour partager un groupe de sécurité
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, sélectionnez Security Groups (Groupes de sécurité).

  3. Sélectionnez un groupe de sécurité pour afficher les informations.

  4. Cliquez sur l'onglet Sharing (Partager) .

  5. Choisissez Partager le groupe de sécurité.

  6. Choisissez Créer une ressource. Par conséquent, la AWS RAM console s'ouvre dans laquelle vous allez créer le partage de ressources pour le groupe de sécurité.

  7. Entrez un nom pour le partage de ressources.

  8. Sous Ressources - facultatif, choisissez Security Groups.

  9. Sélectionnez un groupe de sécurité. Le groupe de sécurité ne peut pas être un groupe de sécurité par défaut et ne peut pas être associé au groupe par défautVPC.

  10. Choisissez Suivant.

  11. Passez en revue les actions que les directeurs seront autorisés à effectuer et choisissez Next.

  12. Sous Principaux - facultatif, choisissez Autoriser le partage uniquement au sein de votre organisation.

  13. Sous Principaux, sélectionnez l'un des types principaux suivants et entrez les numéros appropriés :

    • AWS compte : numéro de compte d'un compte dans votre organisation.

    • Organisation : The AWS Organizations ID.

    • Unité organisationnelle (UO) : ID d'une UO dans l'organisation.

    • IAMrôle : celui ARN d'un IAM rôle. Le compte qui a créé le rôle doit être membre de la même organisation que le compte qui a créé ce partage de ressources.

    • IAMutilisateur : celui ARN d'un IAM utilisateur. Le compte qui a créé l'utilisateur doit être membre de la même organisation que le compte qui a créé ce partage de ressources.

    • Principal de service : vous ne pouvez pas partager un groupe de sécurité avec un principal de service.

  14. Choisissez Ajouter.

  15. Choisissez Suivant.

  16. Choisissez Créer une ressource.

  17. Sous Ressources partagées, attendez de voir le statut deAssociated. Si une association de groupes de sécurité échoue, cela peut être dû à l'une des limitations répertoriées ci-dessus. Consultez les détails du groupe de sécurité et l'onglet Partage de la page de détails pour voir les messages indiquant pourquoi un groupe de sécurité ne peut pas être partagé.

  18. Revenez à la liste des groupes de sécurité de la VPC console.

  19. Choisissez le groupe de sécurité que vous avez partagé.

  20. Cliquez sur l'onglet Sharing (Partager) . Votre AWS RAM ressource doit y être visible. Si ce n'est pas le cas, la création du partage de ressources a peut-être échoué et vous devrez peut-être le recréer.

Le groupe de sécurité est désormais partagé.

Command line
Pour partager un groupe de sécurité
  1. Vous devez d'abord créer un partage de ressources pour le groupe de sécurité avec lequel vous souhaitez partager AWS RAM. Pour savoir comment créer un partage de ressources à AWS RAM l'aide du AWS CLI, voir Création d'un partage de ressources AWS RAM dans le guide de AWS RAM l'utilisateur

  2. Pour afficher les associations de partage de ressources créées, utilisez get-resource-share-associations.

Le groupe de sécurité est désormais partagé.

Pour partager un groupe de sécurité
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, sélectionnez Security Groups (Groupes de sécurité).

  3. Sélectionnez un groupe de sécurité pour afficher les informations.

  4. Cliquez sur l'onglet Sharing (Partager) .

  5. Choisissez Partager le groupe de sécurité.

  6. Choisissez Créer une ressource. Par conséquent, la AWS RAM console s'ouvre dans laquelle vous allez créer le partage de ressources pour le groupe de sécurité.

  7. Entrez un nom pour le partage de ressources.

  8. Sous Ressources - facultatif, choisissez Security Groups.

  9. Sélectionnez un groupe de sécurité. Le groupe de sécurité ne peut pas être un groupe de sécurité par défaut et ne peut pas être associé au groupe par défautVPC.

  10. Choisissez Suivant.

  11. Passez en revue les actions que les directeurs seront autorisés à effectuer et choisissez Next.

  12. Sous Principaux - facultatif, choisissez Autoriser le partage uniquement au sein de votre organisation.

  13. Sous Principaux, sélectionnez l'un des types principaux suivants et entrez les numéros appropriés :

    • AWS compte : numéro de compte d'un compte dans votre organisation.

    • Organisation : The AWS Organizations ID.

    • Unité organisationnelle (UO) : ID d'une UO dans l'organisation.

    • IAMrôle : celui ARN d'un IAM rôle. Le compte qui a créé le rôle doit être membre de la même organisation que le compte qui a créé ce partage de ressources.

    • IAMutilisateur : celui ARN d'un IAM utilisateur. Le compte qui a créé l'utilisateur doit être membre de la même organisation que le compte qui a créé ce partage de ressources.

    • Principal de service : vous ne pouvez pas partager un groupe de sécurité avec un principal de service.

  14. Choisissez Ajouter.

  15. Choisissez Suivant.

  16. Choisissez Créer une ressource.

  17. Sous Ressources partagées, attendez de voir le statut deAssociated. Si une association de groupes de sécurité échoue, cela peut être dû à l'une des limitations répertoriées ci-dessus. Consultez les détails du groupe de sécurité et l'onglet Partage de la page de détails pour voir les messages indiquant pourquoi un groupe de sécurité ne peut pas être partagé.

  18. Revenez à la liste des groupes de sécurité de la VPC console.

  19. Choisissez le groupe de sécurité que vous avez partagé.

  20. Cliquez sur l'onglet Sharing (Partager) . Votre AWS RAM ressource doit y être visible. Si ce n'est pas le cas, la création du partage de ressources a peut-être échoué et vous devrez peut-être le recréer.

Le groupe de sécurité est désormais partagé.

Arrêter de partager un groupe de sécurité

Cette section explique comment utiliser AWS Management Console et pour arrêter de AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.

AWS Management Console
Pour arrêter de partager un groupe de sécurité
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, sélectionnez Security Groups (Groupes de sécurité).

  3. Sélectionnez un groupe de sécurité pour afficher les informations.

  4. Cliquez sur l'onglet Sharing (Partager) .

  5. Choisissez un partage de ressources de groupe de sécurité, puis sélectionnez Arrêter le partage.

  6. Choisissez Oui, arrêter le partage.

Command line

Pour arrêter de partager un groupe de sécurité

Supprimez la ressource partagée avec delete-resource-share.

Pour arrêter de partager un groupe de sécurité
  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation de gauche, sélectionnez Security Groups (Groupes de sécurité).

  3. Sélectionnez un groupe de sécurité pour afficher les informations.

  4. Cliquez sur l'onglet Sharing (Partager) .

  5. Choisissez un partage de ressources de groupe de sécurité, puis sélectionnez Arrêter le partage.

  6. Choisissez Oui, arrêter le partage.

Le groupe de sécurité n'est plus partagé. Lorsque le propriétaire a cessé de partager un groupe de sécurité, les règles suivantes doivent être respectées :

  • Les Elastic Network Interfaces (ENIs) des participants existants continuent de recevoir toutes les mises à jour des règles des groupes de sécurité apportées aux groupes de sécurité non partagés. L'annulation du partage empêche uniquement le participant de créer de nouvelles associations avec le groupe non partagé.

  • Les participants ne peuvent plus associer le groupe de sécurité non partagé à un groupe qui ENIs leur appartient.

  • Les participants peuvent décrire et supprimer ceux ENIs qui sont toujours associés à des groupes de sécurité non partagés.

  • Si les participants sont toujours ENIs associés au groupe de sécurité dont le partage a été annulé, le propriétaire ne peut pas supprimer le groupe de sécurité. Le propriétaire ne peut supprimer le groupe de sécurité qu'une fois que les participants ont dissocié (supprimé) le groupe de sécurité de tous leurs ENIs membres.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2024, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.