Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gérer les responsabilités en matière de sécurité pour Amazon Virtual Private Cloud
<a name="security"></a>

La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.

La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon Virtual Private Cloud, consultez la section [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables. 

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lorsque vous utilisez Amazon VPC. Les rubriques suivantes expliquent comment configurer Amazon VPC pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources Amazon VPC. 

**Topics**
+ [Assurer la protection des données dans Amazon Virtual Private Cloud](data-protection.md)
+ [Appliquer le chiffrement VPC en transit](vpc-encryption-controls.md)
+ [Identity and Access Management pour Amazon VPC](security-iam.md)
+ [Sécurité de l'infrastructure dans Amazon VPC](infrastructure-security.md)
+ [Contrôlez le trafic vers vos AWS ressources à l'aide de groupes de sécurité](vpc-security-groups.md)
+ [Contrôler le trafic des sous-réseaux à l’aide de listes de contrôle d’accès réseau](vpc-network-acls.md)
+ [Résilience dans Amazon Virtual Private Cloud](disaster-recovery-resiliency.md)
+ [Validation de conformité pour cloud privé virtuel d'Amazon](VPC-compliance.md)
+ [Bloquer l'accès public aux sous-réseaux VPCs et aux sous-réseaux](security-vpc-bpa.md)
+ [Bonnes pratiques de sécurité pour votre VPC](vpc-security-best-practices.md)

# Assurer la protection des données dans Amazon Virtual Private Cloud
<a name="data-protection"></a>

Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon Virtual Private Cloud. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+  SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon VPC ou autre à Services AWS l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

# Assurer la confidentialité du trafic inter-réseau dans Amazon VPC
<a name="VPC_Security"></a>

Amazon Virtual Private Cloud propose trois fonctionnalités que vous pouvez utiliser pour accroître et surveiller la sécurité de votre Virtual Private Cloud (VPC) :
+ **Groupes de sécurité** : les groupes de sécurité autorisent un trafic entrant et sortant spécifique au niveau des ressources (comme une instance EC2). Lorsque vous lancez une instance, vous pouviez l'associer à un ou plusieurs groupes de sécurité. Chaque instance de votre VPC pourrait appartenir à un ensemble de groupes de sécurité différent. Si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance, celle-ci est automatiquement associée au groupe de sécurité par défaut pour sont VPC. Pour de plus amples informations, veuillez consulter [Groupes de sécurité](vpc-security-groups.md).
+ **Listes de contrôle d'accès réseau (ACL)** : le réseau ACLs autorise ou refuse un trafic entrant et sortant spécifique au niveau du sous-réseau. Pour de plus amples informations, veuillez consulter [Contrôler le trafic des sous-réseaux à l’aide de listes de contrôle d’accès réseau](vpc-network-acls.md).
+ **Journaux de flux** : les journaux de flux capturent les informations sur le trafic IP circulant vers et depuis les interfaces réseau de votre VPC. Vous pouvez créer un journal de flux pour un VPC, un sous-réseau ou une interface réseau. Les données des CloudWatch journaux de flux sont publiées sur Logs ou Amazon S3, et elles peuvent vous aider à diagnostiquer les règles ACL trop restrictives ou trop permissives des groupes de sécurité et des réseaux. Pour de plus amples informations, veuillez consulter [Journalisation du trafic IP à l'aide des journaux de flux VPC](flow-logs.md).
+ **Mise en miroir du trafic** : vous pouvez copier le trafic réseau à partir d'une interface réseau Elastic d'une instance Amazon EC2. Vous pouvez ensuite envoyer le trafic vers les dispositifs out-of-band de sécurité et de surveillance. Pour de plus amples informations, veuillez consulter le [Guide de mise en miroir du trafic](https://docs.aws.amazon.com/vpc/latest/mirroring/).

# Appliquer le chiffrement VPC en transit
<a name="vpc-encryption-controls"></a>

Les contrôles de chiffrement VPC sont une fonctionnalité de sécurité et de conformité qui vous offre un contrôle centralisé faisant autorité pour surveiller l'état de chiffrement de vos flux de trafic, vous aide à identifier les ressources qui permettent la communication en texte clair et vous fournit éventuellement des mécanismes pour appliquer le chiffrement en transit au sein et entre votre région VPCs 

VPC Encryption Controls utilise à la fois le chiffrement de la couche application et la capacité de chiffrement intégrée en transit du matériel du système AWS Nitro pour garantir l'application du chiffrement. Cette fonctionnalité étend également le chiffrement natif de la couche matérielle au-delà des instances Nitro modernes à d'autres services AWS tels que Fargate, Application Load Balancer, Transit Gateways et bien d'autres.

Cette fonctionnalité est conçue pour tous ceux qui souhaitent garantir la visibilité et le contrôle de l'état de chiffrement de l'ensemble de leur trafic. Il est particulièrement utile dans les industries où le chiffrement des données est essentiel pour respecter les normes de conformité telles que HIPAA FedRamp et PCI DSS. Les administrateurs de sécurité et les architectes du cloud peuvent l'utiliser pour appliquer de manière centralisée le chiffrement dans les politiques de transit dans leur AWS environnement

Cette fonctionnalité peut être utilisée dans deux modes : le mode surveillance et le mode application.

## Modes de contrôle du chiffrement
<a name="encryption-controls-modes"></a>

**Mode de surveillance**  
En mode surveillance, Encryption Controls fournit une visibilité sur l'état de chiffrement des flux de trafic entre vos AWS ressources internes et entre celles-ci VPCs. Il vous aide également à identifier les ressources VPC qui n'appliquent pas le chiffrement en transit. Vous pouvez configurer vos journaux de flux VPC pour émettre le champ enrichi - `encryption-status` - qui vous indique si votre trafic est chiffré. Vous pouvez également utiliser la console ou la `GetVpcResourcesBlockingEncryptionEnforcement` commande pour identifier les ressources qui n'appliquent pas le chiffrement en transit.

**Note**  
L'existant ne VPCs peut d'abord être activé qu'en mode moniteur. Cela vous donne une visibilité sur les ressources qui sont ou peuvent autoriser le trafic en texte clair. Vous ne pouvez activer le mode d'application sur votre VPC qu'une fois que ces ressources ont commencé à appliquer le chiffrement (ou que vous avez créé des exclusions pour elles).

**Mode appliquer**  
En mode d'application, les contrôles de chiffrement VPC vous empêchent d'utiliser les fonctionnalités ou les services qui autorisent le trafic non chiffré à l'intérieur des limites du VPC. Vous ne pouvez pas activer les contrôles de chiffrement en mode d'application directement sur votre système existant VPCs. Vous devez d'abord activer les contrôles de chiffrement en mode surveillance, identifier et modifier les ressources non conformes pour appliquer le chiffrement en transit, puis activer le mode d'application. Vous pouvez toutefois activer les contrôles de chiffrement en mode d'application pour les nouveaux VPCs lors de la création.

Lorsqu'il est activé, le mode d'application vous empêche de créer ou de joindre des ressources VPC non chiffrées, telles que les anciennes instances EC2 qui ne prennent pas en charge le chiffrement intégré natif, ou les passerelles Internet, etc. Si vous souhaitez exécuter une ressource non conforme dans un VPC basé sur le chiffrement, vous devez créer une exclusion pour cette ressource.

## Surveillance de l'état de chiffrement des flux de trafic
<a name="monitoring-encryption-status"></a>

Vous pouvez vérifier l'état de chiffrement des flux de trafic à l'intérieur du VPC à l'aide du `encryption-status` champ figurant dans vos journaux de flux VPC. Elle peut avoir les valeurs suivantes :
+ `0`= non crypté
+ `1`= crypté nitro (géré par VPC Encryption Controls)
+ `2`= crypté par application 
  +  flux sur le port TCP 443 pour le point de terminaison d'interface vers le AWS service \$1 
  +  flux sur le port TCP 443 pour le point de terminaison de la passerelle \$1 
  +  flux vers un cluster Redshift chiffré via le point de terminaison VPC\$1\$1 
+ `3`= Nitro ET application cryptées
+ `(-)`= État du chiffrement inconnu ou les contrôles de chiffrement VPC sont désactivés

**Remarque :**

\$1 Pour les points de terminaison de l'interface et de la passerelle, AWS il ne prend pas en compte les données des paquets pour déterminer l'état du chiffrement, nous nous basons plutôt sur le port utilisé pour assumer l'état du chiffrement.

\$1\$1 Pour les points de terminaison AWS gérés spécifiés, AWS détermine l'état du chiffrement en fonction des exigences du protocole TLS dans la configuration du service.

**Limites du journal de flux VPC**
+ Pour activer les journaux de flux pour les contrôles de chiffrement VPC, vous devez créer manuellement de nouveaux journaux de flux avec le champ d'état du chiffrement. Le champ d'état du chiffrement n'est pas automatiquement ajouté aux journaux de flux existants.
+ Il est recommandé d'ajouter les champs \$1 \$1traffic-path\$1 et \$1 \$1flow-direction\$1 aux journaux de flux pour obtenir des informations plus détaillées dans les journaux de flux.

  Exemple :

  ```
  aws ec2 create-flow-logs \
  --resource-type VPC \
  --resource-ids vpc-12345678901234567 \
  --traffic-type ALL \
  --log-group-name my-flow-logs \
  --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
  --log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'
  ```

## Exclusions relatives aux contrôles de chiffrement VPC
<a name="vpc-encryption-controls-exclusions"></a>

Le mode d'application des contrôles de chiffrement VPC exige que toutes les ressources du VPC appliquent le chiffrement. Cela garantit le chiffrement au AWS sein d'une région. Cependant, il se peut que vous disposiez de ressources telles qu'une passerelle Internet, une passerelle NAT ou une passerelle privée virtuelle qui permettent AWS la connectivité à des réseaux extérieurs où vous êtes responsable de la configuration et de la maintenance du end-to-end chiffrement. Pour exécuter ces ressources dans le cadre du chiffrement appliqué VPCs, vous pouvez créer des exclusions de ressources. Une exclusion crée une exception vérifiable pour les ressources pour lesquelles le client est responsable du maintien du chiffrement (généralement au niveau de la couche application).

Seules 8 exclusions sont prises en charge pour les contrôles de chiffrement VPC. Si vous disposez de ces ressources dans votre VPC et que vous souhaitez passer en mode d'application, vous devez ajouter ces exclusions lorsque vous passez du mode moniteur au mode d'application. Aucune autre ressource n'est exclue. Vous pouvez faire migrer votre VPC vers le mode d'application en créant des exclusions pour ces ressources. Vous êtes responsable du chiffrement des flux de trafic à destination et en provenance de ces ressources.
+ Internet Gateway
+ Passerelle NAT
+ Internet Gateway uniquement pour les sorties
+ Les connexions d'appairage VPC au chiffrement ne sont pas appliquées ( VPCs voir la section relative au support de peering VPC pour des scénarios détaillés)
+ Passerelle privée virtuelle
+ Fonctions Lambda au sein de votre VPC
+ Treillis en VPC
+ Système de fichiers Elastic

## Flux de travail d'implémentation
<a name="implementation-workflow"></a>

1. **Activer la surveillance** : créer un contrôle de chiffrement VPC en mode moniteur

1. **Analyser le trafic** : consultez les journaux de flux pour surveiller l'état de chiffrement du flux de trafic

1. **Analyser les ressources** : utilisez la console ou la `GetVpcResourcesBlockingEncryptionEnforcement` commande pour identifier les ressources qui n'appliquent pas le chiffrement en transit.

1. **Préparation [Facultatif]** - Planifiez les migrations de ressources et les exclusions requises si vous souhaitez activer le mode d'application

1. **Appliquer [Facultatif]** - Passez en mode d'application avec les exclusions requises configurées

1. **Audit** - Surveillance continue de la conformité par le biais de journaux de flux

Pour obtenir des instructions de configuration détaillées, consultez le blog [Présentation des contrôles de chiffrement VPC : appliquez le chiffrement en transit au sein d'une région et entre VPCs celles-ci](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).

## État des contrôles de chiffrement VPC
<a name="vpc-encryption-controls-states"></a>

Les contrôles de chiffrement VPC peuvent avoir l'un des états suivants :

**creating**  
Les contrôles de chiffrement VPC sont en cours de création sur le VPC.

**modify-in-progress**  
Les contrôles de chiffrement VPC sont en cours de modification sur le VPC

**deleting**  
Les contrôles de chiffrement VPC sont en cours de suppression sur le VPC

**available**  
Les contrôles de chiffrement VPC ont réussi à implémenter le mode de surveillance ou le mode d'application sur le VPC

## AWS support technique et compatibilité
<a name="aws-service-support-compatibility"></a>

Pour être conforme au chiffrement, une ressource doit toujours appliquer le chiffrement en transit, que ce soit au niveau de la couche matérielle ou au niveau de la couche application. Pour la plupart des ressources, aucune action n'est requise de votre part.

### Services avec mise en conformité automatique
<a name="services-automatic-compliance"></a>

La plupart AWS des services pris en charge par PrivateLink, y compris Cross-Region, PrivateLinks acceptent le trafic chiffré au niveau de la couche application. Vous n'êtes pas obligé d'apporter des modifications à ces ressources. AWS supprime automatiquement tout trafic qui ne l'est pas application-layer-encrypted. Certaines exceptions incluent les clusters Redshift (provisionnés et sans serveur, où vous devez migrer manuellement les ressources sous-jacentes)

### Ressources qui migrent automatiquement
<a name="resources-migrate-automatically"></a>

Les équilibreurs de charge réseau, les équilibreurs de charge d'application, les clusters Fargate et le plan de contrôle EKS migreront automatiquement vers du matériel prenant en charge le chiffrement de manière native une fois que vous aurez activé le mode moniteur. Vous n'êtes pas obligé de modifier ces ressources. AWS gère automatiquement la migration.

### Ressources nécessitant une migration manuelle
<a name="resources-requiring-manual-migration"></a>

Certaines ressources et certains services VPC nécessitent que vous sélectionniez les types d'instances sous-jacents. Toutes les instances EC2 modernes prennent en charge le chiffrement en transit. Vous n'avez aucune modification à apporter si vos services utilisent déjà des instances EC2 modernes. Vous pouvez utiliser la console ou la GetVpcResourcesBlockingEncryptionEnforcement commande pour identifier si l'un de ces services utilise des instances plus anciennes. Si vous identifiez de telles ressources, vous devez les mettre à niveau vers l'une des instances EC2 modernes prenant en charge le chiffrement natif du matériel du système Nitro. Ces services incluent les instances EC2, les groupes Auto Scaling, RDS (toutes les bases de données et Document-DB), Elasticache Provisioned, Amazon Redshift Provisioned Clusters, EKS, ECS-EC2, Provisioned et EMR. OpenSearch 

**Ressources compatibles :**  
Les ressources suivantes sont compatibles avec les contrôles de chiffrement VPC :
+ [Instances EC2 basées sur Nitro](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)
+ Équilibreurs de charge réseau (avec limitations)
+ Application Load Balancers
+ AWS Clusters de Fargate
+ Amazon Elastic Kubernetes Service (EKS)
+ Groupes Amazon EC2 Auto Scaling
+ Amazon Relational Database Service (RDS - Toutes les bases de données)
+ Clusters basés sur ElastiCache des nœuds Amazon
+ Clusters provisionnés et sans serveur Amazon Redshift
+ Amazon Elastic Container Service (ECS) - Instances de conteneur EC2
+ Amazon OpenSearch Service
+ Amazon Elastic MapReduce (EMR)
+ Amazon Managed Streaming for Apache Kafka (Amazon MSK)
+ Les contrôles de chiffrement VPC appliquent le chiffrement au niveau de la couche application pour tous les AWS services accessibles via. PrivateLink Tout trafic non chiffré au niveau de la couche application est supprimé par les PrivateLink points de terminaison hébergés dans le VPC avec des contrôles de chiffrement en mode appliqué.

### Limitations spécifiques au service
<a name="service-specific-limitations"></a>

**Limites du Network Load Balancer**  
Configuration TLS : vous ne pouvez pas utiliser un écouteur TLS pour déléguer le travail de chiffrement et de déchiffrement à votre équilibreur de charge lorsque vous appliquez des contrôles de chiffrement sur le VPC contenant. Vous pouvez toutefois configurer vos cibles pour effectuer le chiffrement et le déchiffrement TLS.

**Redshift provisionné et sans serveur**  
Les clients ne peuvent pas passer en mode Enforce sur un VPC doté d'un cluster/point de terminaison existant. Pour utiliser les contrôles de chiffrement VPC avec Redshift, vous devez restaurer votre cluster ou votre espace de noms à partir d'un instantané. Pour les clusters provisionnés, créez un instantané de votre cluster Redshift existant, puis restaurez à partir de cet instantané à l'aide de l'opération de restauration à partir d'un instantané de cluster. Pour Serverless, créez un instantané de votre espace de noms existant, puis restaurez à partir de cet instantané à l'aide de l'opération de restauration à partir d'un instantané sur votre groupe de travail sans serveur. Notez que les contrôles de chiffrement VPC ne peuvent pas être activés sur des clusters ou des espaces de noms existants sans exécuter le processus de capture instantanée et de restauration. Reportez-vous à la [documentation Amazon Redshift pour la création](https://docs.aws.amazon.com/redshift/latest/mgmt/welcome.html) d'instantanés.

**Amazon MSK (streaming géré pour Apache Kafka)**  
Cette fonctionnalité est prise en charge dans les nouveaux clusters pour la version 4.1 dans leur propre VPC. Les étapes suivantes vous aideront à utiliser le chiffrement VPC avec MSK.
+ Le client active le chiffrement VPC sur un VPC sans aucun autre cluster MSK
+ Le client crée un cluster avec la version 4.1 de Kafka et le type d'instance est m7G

### Limitations régionales et de zone
<a name="regional-zone-limitations"></a>
+ **Sous-réseaux de zone locale** : non pris en charge en mode d'application - doivent être supprimés du VPC

### Support de peering VPC
<a name="vpc-peering-support"></a>

Pour garantir le chiffrement en transit grâce à l'appairage VPC entre deux entités VPCs, les deux VPCs doivent résider dans la même région et les contrôles de chiffrement doivent être activés en mode d'application sans aucune exclusion. Vous devez créer une exclusion d'appairage si vous souhaitez associer un VPC à chiffrement à un autre VPC résidant dans une autre région ou dont les contrôles de chiffrement ne sont pas activés en mode d'application (sans exclusions).

Si deux d'entre eux VPCs sont en mode d'application et s'apparient l'un à l'autre, vous ne pouvez pas passer du mode appliquer au mode surveillance. Vous devez d'abord créer une exclusion de peering, avant de modifier le mode VPC Encryption Controls à surveiller.

### Prise en charge du chiffrement Transit Gateway
<a name="transit-gateway-encryption-support"></a>

Vous devez activer explicitement la prise en charge du chiffrement sur un Transit Gateway pour chiffrer le trafic entre ceux VPCs dont les contrôles de chiffrement sont activés. L'activation du chiffrement sur le Transit Gateway existant ne perturbe pas les flux de trafic existants et la migration des pièces jointes VPC vers des voies cryptées se fera de manière fluide et automatique. Le trafic entre deux VPCs personnes en mode forcé (sans exclusions) via le Transit Gateway traverse des voies cryptées à 100 %. Le chiffrement sur Transit Gateway vous permet également d'en connecter deux VPCs qui utilisent des modes de contrôle de chiffrement différents. Vous devez l'utiliser lorsque vous souhaitez appliquer des contrôles de chiffrement dans un VPC connecté à un non-encryption-enforced VPC. Dans un tel scénario, tout le trafic à l'intérieur de votre VPC soumis au chiffrement, y compris le trafic inter-VPC, est chiffré. Le trafic inter-VPC est chiffré entre les ressources du VPC à chiffrement appliqué et du Transit Gateway. En outre, le chiffrement dépend des ressources vers lesquelles le trafic est dirigé dans le VPC non imposé et il n'est pas garanti qu'il soit chiffré (étant donné que le VPC n'est pas en mode d'application). Tous VPCs doivent se trouver dans la même région. (voir les détails [ici](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html)).

![\[Flux de trafic entre les deux VPCs avec des états de contrôle de chiffrement différents\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/vpc-enc-control-arch.png)

+ Dans ce schéma, les VPC 1, VPC 2 et VPC VPC3 disposent de contrôles de chiffrement en mode d'application et ils sont connectés au VPC 4 dont les contrôles de chiffrement sont exécutés en mode moniteur.
+ Tout le trafic entre VPC1 VPC2 et VPC3 sera crypté.
+ Plus précisément, tout trafic entre une ressource du VPC 1 et une ressource du VPC 4 sera chiffré jusqu'au Transit Gateway en utilisant le cryptage proposé par le matériel du système Nitro. Au-delà de cela, l'état du chiffrement dépend de la ressource dans le VPC 4 et il n'est pas garanti qu'il soit chiffré.

Pour plus de détails sur la prise en charge du chiffrement Transit Gateway, consultez [la documentation relative à Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html).

## Tarification
<a name="pricing"></a>

Pour plus d'informations sur les tarifs, consultez la tarification [d'Amazon VPC.](https://aws.amazon.com/vpc/pricing/)

## AWS CLI référence de commande
<a name="cli-commands-reference"></a>

### Installation et configuration
<a name="setup-configuration"></a>
+ [AWS EC2 create-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-encryption-control.html)
+ [AWS EC2 modify-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-encryption-control.html)
+ [AWS EC2 TGW modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)

### Surveillance et résolution des problèmes
<a name="monitoring-troubleshooting"></a>
+ [AWS EC2 describe-vpc-encryption-controls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-encryption-controls.html)
+ [aws ec2 get-vpc-resources-blocking -mise en œuvre du chiffrement](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpc-resources-blocking-encryption-enforcement.html)
+ [AWS EC2 create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)
+ [AWS EC2 describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)
+ [Requête aws Logs](https://docs.aws.amazon.com/cli/latest/reference/logs/query.html)

### Nettoyage
<a name="cleanup"></a>
+ [AWS EC2 delete-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-encryption-control.html)

## Ressources supplémentaires
<a name="additional-resources"></a>

Pour obtenir des instructions de configuration détaillées, consultez le blog [Présentation des contrôles de chiffrement VPC : appliquez le chiffrement en transit au sein d'une région et entre VPCs celles-ci](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).

Pour des informations plus détaillées sur les API, consultez le [guide de référence des API EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Welcome.html).

# Identity and Access Management pour Amazon VPC
<a name="security-iam"></a>

Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui peuvent être *authentifiées* (connectées) et *autorisées* (disposant d'autorisations) pour utiliser des ressources Amazon VPC. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

**Topics**
+ [Public ciblé](#security_iam_audience)
+ [S'authentifier avec des identités](#security_iam_authentication)
+ [Gérer l'accès à l'aide de stratégies](#security_iam_access-manage)
+ [Fonctionnement d'Amazon VPC avec IAM](security_iam_service-with-iam.md)
+ [Exemples de stratégie Amazon VPC](vpc-policy-examples.md)
+ [Résoudre les problèmes d'identité et d'accès Amazon VPC](security_iam_troubleshoot.md)
+ [AWS politiques gérées pour Amazon Virtual Private Cloud](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour VPC](using-service-linked-roles.md)

## Public ciblé
<a name="security_iam_audience"></a>

La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction du travail que vous effectuez dans Amazon VPC.

**Utilisateur du service** : Si vous utilisez le service Amazon VPC pour effectuer vos tâches, votre administrateur vous fournira les informations d'identification et les autorisations nécessaires. Vous pourrez avoir besoin d'autorisations supplémentaires si vous utilisez davantage de fonctionnalités Amazon VPC. Comprendre la gestion des accès peut vous aider à demander à votre administrateur les autorisations appropriées. Si vous ne pouvez pas accéder à une fonctionnalité dans Amazon VPC, veuillez consulter [Résoudre les problèmes d'identité et d'accès Amazon VPC](security_iam_troubleshoot.md).

**Administrateur du service** : Si vous êtes le responsable des ressources Amazon VPC de votre entreprise, vous bénéficiez probablement d'un accès total à ce service. C'est à vous de déterminer les fonctionnalités et les ressources Amazon VPC auxquelles vos employés pourront accéder. Vous envoyez les demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs du service. Consultez les informations sur cette page pour comprendre les concepts de base d'IAM. Pour découvrir la façon dont votre entreprise peut utiliser IAM avec Amazon VPC, veuillez consulter [Fonctionnement d'Amazon VPC avec IAM](security_iam_service-with-iam.md).

**Administrateur IAM** : Si vous êtes un administrateur IAM, vous souhaiterez peut-être obtenir des informations sur la façon dont vous pouvez écrire des stratégies pour gérer l'accès à Amazon VPC. Pour afficher des exemples de stratégies, veuillez consulter [Exemples de stratégie Amazon VPC](vpc-policy-examples.md).

## S'authentifier avec des identités
<a name="security_iam_authentication"></a>

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS

Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.

Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.

### Compte AWS utilisateur root
<a name="security_iam_authentication-rootuser"></a>

 Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*. 

### Utilisateurs et groupes IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.

### Rôles IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération AWS CLI ou AWS API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Gérer l'accès à l'aide de stratégies
<a name="security_iam_access-manage"></a>

Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

### Politiques basées sur l’identité
<a name="security_iam_access-manage-id-based-policies"></a>

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.

### Politiques basées sur les ressources
<a name="security_iam_access-manage-resource-based-policies"></a>

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.

### Listes de contrôle d'accès (ACLs)
<a name="security_iam_access-manage-acl"></a>

Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.

Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.

### Autres types de politique
<a name="security_iam_access-manage-other-policies"></a>

AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.

### Plusieurs types de politique
<a name="security_iam_access-manage-multiple-policies"></a>

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.

# Fonctionnement d'Amazon VPC avec IAM
<a name="security_iam_service-with-iam"></a>

Avant d'utiliser IAM pour gérer l'accès à Amazon VPC, vous devez comprendre quelles sont les fonctionnalités IAM qui peuvent être utilisées dans cette situation. *Pour obtenir une vue d'ensemble de la manière dont Amazon VPC et les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services compatibles avec IAM dans le guide de l'utilisateur d'IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

**Topics**
+ [Actions](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressources](#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de condition](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Politiques basées sur les ressources Amazon VPC](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les balises](#security_iam_service-with-iam-tags)
+ [Rôles IAM](#security_iam_service-with-iam-roles)

Vous pouvez préciser les actions autorisées ou refusées grâce aux stratégies basées sur les identités IAM. Pour certaines actions, vous pouvez indiquer les ressources et les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon VPC est compatible avec des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.

## Actions
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Amazon VPC partage son espace de nom d'API avec Amazon EC2. Les actions de stratégie dans Amazon VPC utilisent le préfixe suivant avant l'action : `ec2:`. Par exemple, pour accorder à un utilisateur l'autorisation de créer un VPC à l'aide de l'opération d'API `CreateVpc`, vous accordez l'accès à l'action `ec2:CreateVpc`. Les déclarations de stratégie doivent inclure un élément `Action` ou `NotAction`.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme l'indique l'exemple suivant.

```
"Action": [
      "ec2:action1",
      "ec2:action2"
]
```

Vous pouvez aussi préciser plusieurs actions à l'aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante. 

```
"Action": "ec2:Describe*"
```

Pour afficher la liste des actions Amazon VPC, consultez [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) dans *Référence de l'autorisation de service*.

## Ressources
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.

```
"Resource": "*"
```

L'ARN de la ressource VPC est décrit dans l'exemple suivant.

```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```

Par exemple, pour indiquer le VPC `vpc-1234567890abcdef0` dans votre déclaration, utilisez l'ARN décrit dans l'exemple suivant.

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```

Pour spécifier tous VPCs ceux d'une région spécifique qui appartiennent à un compte spécifique, utilisez le caractère générique (\$1).

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```

Certaines actions Amazon VPC, telles que celles destinées à la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ce cas, vous devez utiliser le caractère générique (\$1).

```
"Resource": "*"
```

De nombreuses actions d’API Amazon EC2 nécessitent plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules. 

```
"Resource": [
      "resource1",
      "resource2"
]
```

Pour consulter la liste des types de ressources Amazon VPC et leurs caractéristiques ARNs, consultez la section Types de [ressources définis par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies) dans *le* Service Authorization Reference.

## Clés de condition
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.

Toutes les actions Amazon EC2 prennent en charge les clés de condition `aws:RequestedRegion` et `ec2:Region`. Pour de plus amples informations, veuillez consulter [Exemple : Restreindre l'accès à une région spécifique](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).

Amazon VPC définit son propre ensemble de clés de condition et est également compatible avec l'utilisation de certaines clés de condition globales. Pour afficher la liste des clés de condition Amazon VPC, consultez [Clés de condition pour Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys) dans *Référence de l'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, veuillez consulter [Actions définies par Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions).

## Politiques basées sur les ressources Amazon VPC
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Les stratégies basées sur les ressources sont des documents de stratégie JSON précisant les actions qu'un principal spécifié peut effectuer sur la ressource Amazon VPC et dans quelles conditions.

Pour permettre un accès comptes multiples , vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que [principal dans une stratégie basée sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). L’ajout d’un principal intercompte à une politique basée sur les ressources ne représente qu’une partie de l’instauration de la relation d’approbation. Lorsque le principal et la ressource se trouvent dans des AWS comptes différents, vous devez également accorder à l'entité principale l'autorisation d'accéder à la ressource. Accordez l'autorisation en attachant une stratégie basée sur les identités à l'entité. Toutefois, si une politique basée sur des ressources accorde l’accès à un principal dans le même compte, aucune autre politique basée sur l’identité n’est requise. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Autorisation basée sur les balises
<a name="security_iam_service-with-iam-tags"></a>

Vous pouvez attacher des balises aux ressources Amazon VPC ou transmettre des balises dans une demande. Pour le contrôle d'accès basé sur des balises, vous devez fournir les informations des balises dans l'[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d'une politique utilisant des clés de condition. Pour plus d’informations, consultez la section [Grant permission to tag resources during creation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html) du *Guide d’utilisation d’Amazon EC2*.

Pour afficher un exemple de stratégie basée sur l'identité permettant de limiter l'accès à une ressource basée sur les balises de cette ressource, veuillez consulter [Lancer des instances dans un VPC précis](vpc-policy-examples.md#subnet-ami-example-iam).

## Rôles IAM
<a name="security_iam_service-with-iam-roles"></a>

Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) est une entité au sein de vous Compte AWS qui possède des autorisations spécifiques.

### Utiliser des informations d'identification temporaires
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à l'aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

Amazon VPC est compatible avec l'utilisation des informations d'identification temporaires. 

### Rôles liés à un service
<a name="security_iam_service-with-iam-roles-service-linked"></a>

Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

Les [passerelles de transit](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html) sont compatibles avec les rôles liés au service. 

### Rôles de service
<a name="security_iam_service-with-iam-roles-service"></a>

Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

Amazon VPC est compatible avec les rôles de service pour les journaux de flux. Lorsque vous créez un journal de flux, vous devez choisir un rôle qui autorise le service de journaux de flux à accéder aux CloudWatch journaux. Pour de plus amples informations, veuillez consulter [Rôle IAM pour la publication des journaux de flux dans Logs CloudWatch](flow-logs-iam-role.md).

# Exemples de stratégie Amazon VPC
<a name="vpc-policy-examples"></a>

Les rôles IAM ne sont pas autorisés, par défaut, à créer ou modifier des ressources VPC. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. L'administrateur doit ensuite attacher ces politiques aux rôles IAM qui ont besoin de ces autorisations.

Pour apprendre à créer une politique basée sur l'identité IAM à l'aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.

**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utiliser la console Amazon VPC](#security_iam_id-based-policy-examples-console)
+ [Créer un VPC avec un sous-réseau public](#vpc-public-subnet-iam)
+ [Modifier et supprimer les ressources VPC](#modify-vpc-resources-iam)
+ [Gérer les groupes de sécurité](#vpc-security-groups-iam)
+ [Gérer les règles de groupe de sécurité](#vpc-security-group-rules-iam)
+ [Lancer des instances dans un sous-réseau précis](#subnet-sg-example-iam)
+ [Lancer des instances dans un VPC précis](#subnet-ami-example-iam)
+ [Bloquer l'accès public aux sous-réseaux VPCs et aux sous-réseaux](#vpc-bpa-example-iam)
+ [Exemples supplémentaires de stratégie Amazon VPC](#security-iam-additional-examples)

## Bonnes pratiques en matière de politiques
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Les politiques basées sur l'identité déterminent si une personne peut créer, consulter ou supprimer des ressources Amazon VPC dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.

## Utiliser la console Amazon VPC
<a name="security_iam_id-based-policy-examples-console"></a>

Pour accéder à la console Amazon VPC, vous devez disposer d'un ensemble minimum d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux ressources Amazon VPC de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (rôles IAM) tributaires de cette politique.

La stratégie suivante autorise les utilisateurs à répertorier les ressources dans la console VPC, mais pas à les créer, à les mettre à jour ou à les supprimer.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeClassicLinkInstances",
                "ec2:DescribeClientVpnEndpoints",
                "ec2:DescribeCustomerGateways",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeEgressOnlyInternetGateways",
                "ec2:DescribeFlowLogs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeManagedPrefixLists",
                "ec2:DescribeMovingAddresses",
                "ec2:DescribeNatGateways",
                "ec2:DescribeNetworkAcls",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePrefixLists",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroupReferences",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeStaleSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeTrafficMirrorFilters",
                "ec2:DescribeTrafficMirrorSessions",
                "ec2:DescribeTrafficMirrorTargets",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeTransitGatewayVpcAttachments",
                "ec2:DescribeTransitGatewayRouteTables",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcClassicLink",
                "ec2:DescribeVpcClassicLinkDnsSupport",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcEndpointConnectionNotifications",
                "ec2:DescribeVpcEndpointConnections",
                "ec2:DescribeVpcEndpointServiceConfigurations",
                "ec2:DescribeVpcEndpointServicePermissions",
                "ec2:DescribeVpcEndpointServices",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:GetManagedPrefixListAssociations",
                "ec2:GetManagedPrefixListEntries"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Il n'est pas nécessaire d'accorder des autorisations de console minimales pour les rôles qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l'accès uniquement aux actions qui correspondent à l'opération d'API que le rôle doit effectuer.

## Créer un VPC avec un sous-réseau public
<a name="vpc-public-subnet-iam"></a>

L'exemple suivant permet aux rôles de créer des sous-réseaux VPCs, des tables de routage et des passerelles Internet. Les rôles peuvent également attacher une passerelle Internet à un VPC et créer des routes dans les tables de routage. L'action `ec2:ModifyVpcAttribute` permet aux rôles d'activer les noms d'hôte DNS pour le VPC, de sorte que chaque instance lancée dans un VPC reçoit un nom d'hôte DNS.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateVpc", 
        "ec2:CreateSubnet", 
        "ec2:DescribeAvailabilityZones",
        "ec2:CreateRouteTable", 
        "ec2:CreateRoute", 
        "ec2:CreateInternetGateway", 
        "ec2:AttachInternetGateway", 
        "ec2:AssociateRouteTable", 
        "ec2:ModifyVpcAttribute"
      ],
      "Resource": "*"
    }
   ]
}
```

------

La politique précédente permet également aux rôles de créer un VPC dans la console Amazon VPC.

## Modifier et supprimer les ressources VPC
<a name="modify-vpc-resources-iam"></a>

Vous avez la possibilité de contrôler les ressources VPC que les rôles peuvent modifier ou supprimer. Par exemple, la stratégie suivante permet aux rôles de travailler avec les tables de routage et de supprimer celles comportant la balise `Purpose=Test`. La stratégie précise également que les rôles peuvent uniquement supprimer les passerelles Internet qui possèdent la balise `Purpose=Test`. Les rôles ne peuvent pas utiliser les tables de routage ou les passerelles Internet qui ne possèdent pas cette balise.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteInternetGateway",
            "Resource": "arn:aws:ec2:*:*:internet-gateway/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Purpose": "Test"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteRouteTable",
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:route-table/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Purpose": "Test"
                }
            }
        }
    ]
}
```

------

## Gérer les groupes de sécurité
<a name="vpc-security-groups-iam"></a>

La politique suivante permet aux rôles de gérer les groupes de sécurité. La première instruction permet aux rôles de supprimer tout groupe de sécurité comportant la balise `Stack=test` et de gérer les règles entrantes et sortantes de tout groupe de sécurité avec la balise `Stack=test`. La deuxième instruction exige des rôles qu'ils marquent tous les groupes de sécurité qu'ils créent avec la balise `Stack=Test`. La troisième instruction permet aux rôles de créer des identifications lors de la création d'un groupe de sécurité. La quatrième instruction permet aux rôles d'afficher tout groupe de sécurité et toute règle de groupe de sécurité. La cinquième instruction permet aux rôles de créer un groupe de sécurité dans un VPC.

**Note**  
Cette politique ne peut pas être utilisée par le AWS CloudFormation service pour créer un groupe de sécurité avec les balises requises. Si vous supprimez la condition de l'action `ec2:CreateSecurityGroup` qui nécessite la balise, la politique fonctionnera.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:ModifySecurityGroupRules",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Stack": "test"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateSecurityGroup",
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Stack": "test"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "Stack"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateSecurityGroup"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeVpcs",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateSecurityGroup",
            "Resource": "arn:aws:ec2:*:*:vpc/*"
        }
    ]
}
```

------

Pour permettre aux rôles de modifier le groupe de sécurité associé à une instance, ajoutez l'action `ec2:ModifyInstanceAttribute` à votre stratégie.

Ajoutez l'action `ec2:ModifyNetworkInterfaceAttribute` à votre stratégie pour permettre aux rôles de modifier les groupes de sécurité d'une interface réseau.

## Gérer les règles de groupe de sécurité
<a name="vpc-security-group-rules-iam"></a>

La stratégie suivante accorde aux rôles l'autorisation d'afficher tous les groupes de sécurité et toutes les règles de groupe de sécurité, d'ajouter et de supprimer des règles entrantes et sortantes pour les groupes de sécurité d'un VPC spécifique et de modifier des descriptions de règles pour le VPC spécifié. La première instruction utilise la clé de condition `ec2:Vpc` pour limiter les autorisations à un VPC spécifique. 

La deuxième instruction autorise les rôles à décrire tout l'ensemble des groupes de sécurité, règles de groupe de sécurité et balises. Cela permet aux rôles d'afficher les règles du groupe de sécurité pour les modifier.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:ModifySecurityGroupRules"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:security-group/*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifySecurityGroupRules"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:security-group-rule/*"
        }
    ]
}
```

------

## Lancer des instances dans un sous-réseau précis
<a name="subnet-sg-example-iam"></a>

La stratégie suivante autorise les rôles à lancer des instances dans un sous-réseau spécifique et à utiliser un groupe de sécurité spécifique dans la demande. La stratégie l'effectue en spécifiant l'ARN pour le sous-réseau et l'ARN pour le groupe de sécurité. Si les rôles tentent de lancer une instance dans un sous-réseau différent ou d'utiliser un groupe de sécurité différent, la demande échoue (à moins qu'une autre stratégie ou instruction n'autorise les rôles à le faire).

La stratégie autorise également l'utilisation des ressources de l'interface réseau. Une fois lancée dans un sous-réseau, la demande `RunInstances` crée une interface réseau principale par défaut, afin que le rôle ait besoin d'être autorisé à créer cette ressource lors du lancement de l'instance.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:us-east-1::image/ami-*",
                "arn:aws:ec2:us-east-1:123456789012:instance/*",
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-1234567890abcdef0",
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:volume/*",
                "arn:aws:ec2:us-east-1:123456789012:key-pair/*",
                "arn:aws:ec2:us-east-1:123456789012:security-group/sg-0abcdef1234567890"
            ]
        }
    ]
}
```

------

## Lancer des instances dans un VPC précis
<a name="subnet-ami-example-iam"></a>

La stratégie suivante autorise les rôles à lancer des instances dans n'importe quel sous-réseau au sein d'un VPC spécifique. La stratégie l'effectue en appliquant une clé de condition (`ec2:Vpc`) à la ressource du sous-réseau. 

La politique accorde également aux rôles l'autorisation de lancer des instances en utilisant uniquement AMIs les instances portant le tag « `department=dev` ». 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:us-east-1:123456789012:subnet/*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:us-east-1::image/ami-*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/department": "dev"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:instance/*",
                "arn:aws:ec2:us-east-1:123456789012:volume/*",
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:key-pair/*",
                "arn:aws:ec2:us-east-1:123456789012:security-group/*"
            ]
        }
    ]
}
```

------

## Bloquer l'accès public aux sous-réseaux VPCs et aux sous-réseaux
<a name="vpc-bpa-example-iam"></a>

Les exemples de politique suivants accordent aux rôles l'autorisation d'utiliser la [fonctionnalité VPC Block Public Access (BPA)](security-vpc-bpa.md) pour bloquer l'accès public aux ressources des sous-réseaux et des sous-réseaux. VPCs 

Exemple 1 : autoriser l’accès en lecture seule aux paramètres VPC BPA à l’échelle du compte et aux exclusions du VPC BPA.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VPCBPAReadOnlyAccess",
      "Action": [
        "ec2:DescribeVpcBlockPublicAccessOptions",
        "ec2:DescribeVpcBlockPublicAccessExclusions"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

Exemple 2 : autoriser un accès complet en lecture et en écriture aux paramètres VPC BPA à l’échelle du compte et aux exclusions du VPC BPA.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VPCBPAFullAccess",
      "Action": [
        "ec2:DescribeVpcBlockPublicAccessOptions",
        "ec2:DescribeVpcBlockPublicAccessExclusions",
        "ec2:ModifyVpcBlockPublicAccessOptions",
        "ec2:CreateVpcBlockPublicAccessExclusion",
        "ec2:ModifyVpcBlockPublicAccessExclusion",
        "ec2:DeleteVpcBlockPublicAccessExclusion"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

Exemple 3 - Autoriser l'accès à tous les EC2, à l' APIs exception de la modification des paramètres BPA du VPC et de la création d'exclusions.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2FullAccess",
            "Action": [
                "ec2:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "VPCBPAPartialAccess",
            "Action": [
                "ec2:ModifyVpcBlockPublicAccessOptions",
                "ec2:CreateVpcBlockPublicAccessExclusion"
            ],
            "Effect": "Deny",
            "Resource": "*"
        }
    ]
}
```

------

## Exemples supplémentaires de stratégie Amazon VPC
<a name="security-iam-additional-examples"></a>

Vous trouverez d'autres exemples de stratégies IAM liées à Amazon VPC dans la documentation suivante :
+ [Listes de préfixes gérées](managed-prefix-lists.md#managed-prefix-lists-iam)
+ [Mise en miroir du trafic](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html)
+ [Passerelles de transit](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies)
+ [Points de terminaison d’un VPC et services de point de terminaison d’un VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_id-based-policy-examples.html)
+ [Appairage de VPC](https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html)

# Résoudre les problèmes d'identité et d'accès Amazon VPC
<a name="security_iam_troubleshoot"></a>

Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon VPC et IAM.

**Topics**
+ [Action à effectuer dans Amazon VPC refusée](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon VPC](#security_iam_troubleshoot-cross-account-access)

## Action à effectuer dans Amazon VPC refusée
<a name="security_iam_troubleshoot-no-permissions"></a>

S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.

L'exemple d'erreur suivant se produit lorsque l'utilisateur IAM `mateojackson` tente d'utiliser la console pour afficher des informations concernant un sous-réseau mais qu'il appartient à un rôle IAM qui ne détient pas les autorisations `ec2:DescribeSubnets`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id
```

Dans ce cas, Mateo demande à son administrateur de mettre à jour la politique pour lui permettre d'accéder au sous-réseau.

## Je ne suis pas autorisé à effectuer iam : PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si vous recevez une erreur selon laquelle vous n'êtes pas autorisé à exécuter l'action `iam:PassRole`, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon VPC.

Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.

L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Amazon VPC. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon VPC
<a name="security_iam_troubleshoot-cross-account-access"></a>

Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.

Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon VPC est compatible avec ces fonctionnalités, veuillez consulter [Fonctionnement d'Amazon VPC avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

# AWS politiques gérées pour Amazon Virtual Private Cloud
<a name="security-iam-awsmanpol"></a>

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.

## AWS politique gérée : Amazon VPCFull Access
<a name="security-iam-awsmanpol-AmazonVPCFullAccess"></a>

Vous pouvez attacher la stratégie `AmazonVPCFullAccess` à vos identités IAM. Cette stratégie accorde des autorisations qui permettent un accès complet à Amazon VPC.

Pour consulter les autorisations associées à cette politique, consultez [Amazon VPCFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCFullAccess.html) dans le manuel *AWS Managed Policy Reference*.

## AWS politique gérée : Amazon VPCRead OnlyAccess
<a name="security-iam-awsmanpol-AmazonVPCReadOnlyAccess"></a>

Vous pouvez attacher la stratégie `AmazonVPCReadOnlyAccess` à vos identités IAM. Cette stratégie accorde des autorisations qui permettent d'accéder en lecture seule à Amazon VPC.

Pour consulter les autorisations associées à cette politique, consultez [Amazon VPCRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReadOnlyAccess.html) dans le *AWS Managed Policy Reference*.

## AWS politique gérée : Amazon VPCCross AccountNetworkInterfaceOperations
<a name="security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations"></a>

Vous pouvez associer la politique `AmazonVPCCrossAccountNetworkInterfaceOperations` à vos identités IAM. Cette politique accorde des autorisations qui permettent à l'identité de créer des interfaces réseau et de les attacher à des ressources entre comptes.

Pour consulter les autorisations associées à cette politique, consultez [Amazon VPCCross AccountNetworkInterfaceOperations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCCrossAccountNetworkInterfaceOperations.html) dans le *AWS Managed Policy Reference*.

## AWS politique gérée : AWSService RoleFor NATGateway
<a name="security-iam-awsmanpol-AWSServiceRoleForNATGateway"></a>

Vous pouvez associer la politique `AWSServiceRoleForNATGateway` à vos identités IAM. Cette politique accorde des autorisations qui permettent à l'identité de travailler en votre nom afin de dimensionner automatiquement les passerelles NAT régionales.

Pour voir les autorisations de cette stratégie, consultez [AWSServiceRoleForNATGateway ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForNATGateway.html) dans le *AWS Guide de référence des stratégies gérées par*.

## Mises à jour des politiques gérées par Amazon VPC AWS
<a name="security-iam-awsmanpol-updates"></a>

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon VPC depuis que ce service a commencé à suivre ces modifications en mars 2021.


| Modifier | Description | Date | 
| --- | --- | --- | 
| [AWS politique gérée : Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) – Mise à jour d’une stratégie existante | Actions ajoutées à la politique AWSIPAMService RolePolicy gérée (ec2:ModifyManagedPrefixList,ec2:DescribeManagedPrefixLists, etec2:GetManagedPrefixListEntries) pour permettre à IPAM de modifier et de lire les listes de préfixes gérées. | 31 octobre 2025 | 
| [AWS politique gérée : AWSService RoleFor NATGateway](#security-iam-awsmanpol-AWSServiceRoleForNATGateway) : nouvelle politique | La nouvelle AWSService RoleFor NATGateway politique permet à l'identité de redimensionner automatiquement les passerelles NAT régionales. | 19 novembre 2025 | 
| [AWS politique gérée : Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) : mise à jour d’une politique existante | Ajout des DisassociateSecurityGroupVpc actions AssociateSecurityGroupVpcDescribeSecurityGroupVpcAssociations, et, qui vous permettent d'associer, de dissocier et de visualiser les associations de groupes de sécurité avec VPCs. | 9 décembre 2024 | 
| [AWS politique gérée : Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) : mise à jour d’une politique existante | Ajout de l'DescribeSecurityGroupVpcAssociationsaction, qui vous permet de visualiser les associations de groupes de sécurité avec VPCs. | 9 décembre 2024 | 
| [AWS politique gérée : Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) : mise à jour d’une politique existante | Ajout de l’action GetSecurityGroupsForVpc, qui vous permet d’obtenir des groupes de sécurité utilisables dans votre VPC. | 8 février 2024 | 
| [AWS politique gérée : Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) : mise à jour d’une politique existante | Ajout de l’action GetSecurityGroupsForVpc, qui vous permet d’obtenir des groupes de sécurité utilisables dans votre VPC. | 8 février 2024 | 
| [AWS politique gérée : Amazon VPCCross AccountNetworkInterfaceOperations](#security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations) : mise à jour d’une politique existante | Ajout des UnassignIpv6Addresses actions AssignIpv6Addresses et, qui vous permettent de gérer les IPv6 adresses associées aux interfaces réseau. | 25 septembre 2023 | 
| [AWS politique gérée : Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) : mise à jour d’une politique existante | Ajout de l'action DescribeSecurityGroupRules, qui vous permet d'afficher les [règles des groupes de sécurité](security-group-rules.md). | 2 août 2021 | 
| [AWS politique gérée : Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) : mise à jour d’une politique existante | Ajout des actions DescribeSecurityGroupRules et ModifySecurityGroupRules, qui vous permettent d'afficher et de modifier les [règles des groupes de sécurité](security-group-rules.md). | 2 août 2021 | 
| [AWS politique gérée : Amazon VPCFull Access](#security-iam-awsmanpol-AmazonVPCFullAccess) : mise à jour d’une politique existante | Actions ajoutées pour les passerelles d'opérateurs, les IPv6 pools, les passerelles locales et les tables de routage des passerelles locales. | 23 juin 2021 | 
| [AWS politique gérée : Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) : mise à jour d’une politique existante | Actions ajoutées pour les passerelles d'opérateurs, les IPv6 pools, les passerelles locales et les tables de routage des passerelles locales. | 23 juin 2021 | 

# Utilisation de rôles liés à un service pour VPC
<a name="using-service-linked-roles"></a>

[Amazon VPC utilise des rôles liés à un Gestion des identités et des accès AWS service (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié au VPC. Les rôles liés à un service sont prédéfinis par le VPC et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. 

Un rôle lié à un service facilite la configuration du VPC, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. Le VPC définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul le VPC peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources VPC car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

## Autorisations de rôle liées à un service pour VPC
<a name="slr-permissions"></a>

Le VPC utilise le rôle lié au service nommé **AWSServiceRoleForNATGateway**— Ce rôle lié au service permet à Amazon VPC d'attribuer des adresses IP élastiques en votre nom afin de dimensionner automatiquement les passerelles NAT régionales, d'associer et de dissocier vos passerelles IPs Elastic existantes aux passerelles NAT régionales à votre demande, et de décrire les interfaces réseau pour identifier votre infrastructure existante afin de l'étendre automatiquement à de nouvelles zones de disponibilité.

Le rôle AWSService RoleFor NATGateway lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `ec2-nat-gateway.amazonaws.com`

La politique d'autorisations de rôle nommée AWSNATGateway ServiceRolePolicy permet au VPC d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `AllocateAddress` sur Service Managed EIPs pour allouer EIPs en votre nom. Service Managed EIPs gère le balisage ultérieur avec des balises gérées par le service et ReleaseAddress automatiquement.
+ Action : `AssociateAddress` sur vos adresses IP Elastic préexistantes pour les associer manuellement à votre passerelle NAT régionale à votre demande.
+ Action : `DisassociateAddress` sur vos adresses IP Elastic préexistantes pour les supprimer de la passerelle NAT régionale à votre demande.
+ Action : `DescribeAddresses` obtenir les informations d'adresse IP publique fournies par le client EIPs sur l'associé.
+ Action : `DescribeNetworkInterface` sur vos interfaces réseau existantes pour identifier automatiquement les zones de disponibilité dans lesquelles se trouve votre infrastructure afin de l'étendre automatiquement à de nouvelles zones.

Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

## Création d'un rôle lié à un service pour VPC
<a name="create-slr"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une passerelle NAT avec un mode de disponibilité « régional » dans l'API AWS Management Console, le ou l' AWS API AWS CLI, le VPC crée le rôle lié au service pour vous. 

**Important**  
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. En outre, si vous utilisiez le service VPC avant le 1er janvier 2017, date à laquelle il a commencé à prendre en charge les rôles liés au service, VPC a créé le rôle dans votre compte. AWSService RoleFor NATGateway Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une passerelle NAT avec un mode de disponibilité « régional », le VPC crée à nouveau le rôle lié au service pour vous. 

Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le **AWSServiceRoleForNATGateway**cas d'utilisation. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `ec2-nat-gateway.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.

## Modification d'un rôle lié à un service pour un VPC
<a name="edit-slr"></a>

Le VPC ne vous permet pas de modifier le rôle lié au AWSService RoleFor NATGateway service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Supprimer un rôle lié à un service pour un VPC
<a name="delete-slr"></a>

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

**Note**  
Si le service VPC utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer les ressources VPC utilisées par AWSService RoleFor NATGateway**
+ Supprimez toutes les passerelles NAT régionales dans toutes les régions dans lesquelles elles ont été déployées.

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleFor NATGateway service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.

## Régions prises en charge pour les rôles liés aux services VPC
<a name="slr-regions"></a>

Le VPC prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).

Le VPC ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le AWSService RoleFor NATGateway rôle dans les régions suivantes.


| Nom de la région | Identité de la région | Support en VPC | 
| --- | --- | --- | 
| USA Est (Virginie du Nord) | us-east-1 | Oui | 
| USA Est (Ohio) | us-east-2 | Oui | 
| USA Ouest (Californie du Nord) | us-west-1 | Oui | 
| USA Ouest (Oregon) | us-west-2 | Oui | 
| Afrique (Le Cap) | af-south-1 | Oui | 
| Asie-Pacifique (Hong Kong) | ap-east-1 | Oui | 
| Asie-Pacifique (Taipei) | ap-east-2 | Oui | 
| Asie-Pacifique (Jakarta) | ap-southeast-3 | Oui | 
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui | 
| Asie-Pacifique (Hyderabad) | ap-south-2 | Oui | 
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui | 
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui | 
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui | 
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui | 
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui | 
| Asie-Pacifique (Melbourne) | ap-southeast-4 | Oui | 
| Asie-Pacifique (Malaisie) | ap-southeast-5 | Oui | 
| Asie-Pacifique (Nouvelle Zélande) | ap-southeast-6 | Oui | 
| Asie-Pacifique (Thaïlande) | ap-southeast-7 | Oui | 
| Canada (Centre) | ca-central-1 | Oui | 
| Canada-Ouest (Calgary) | ca-west-1 | Oui | 
| Europe (Francfort) | eu-central-1 | Oui | 
| Europe (Zurich) | eu-central-2 | Oui | 
| Europe (Irlande) | eu-west-1 | Oui | 
| Europe (Londres) | eu-west-2 | Oui | 
| Europe (Milan) | eu-south-1 | Oui | 
| Europe (Espagne) | eu-south-2 | Oui | 
| Europe (Paris) | eu-west-3 | Oui | 
| Europe (Stockholm) | eu-north-1 | Oui | 
| Israël (Tel Aviv) | il-central-1 | Oui | 
| Moyen-Orient (Bahreïn) | me-south-1 | Oui | 
| Moyen-Orient (EAU) | me-central-1 | Oui | 
| Moyen-Orient (Arabie saoudite) | me-west-1 | Oui | 
| Mexique (Centre) | mx-central-1 | Oui | 
| Amérique du Sud (São Paulo) | sa-east-1 | Oui | 
| AWS GovCloud (USA Est) | us-gov-east-1 | Non | 
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Non | 

# Sécurité de l'infrastructure dans Amazon VPC
<a name="infrastructure-security"></a>

En tant que service géré, Amazon Virtual Private Cloud est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.

Vous utilisez des appels d'API AWS publiés pour accéder à Amazon VPC via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

## Isolement de réseau
<a name="network-isolation"></a>

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le cloud. AWS Utilisez la méthode séparée VPCs pour isoler l'infrastructure par charge de travail ou entité organisationnelle.

Un sous-réseau est une plage d’adresses IP dans un VPC. Lorsque vous lancez une instance, vous la lancez dans un sous-réseau de votre VPC. Utilisez des sous-réseaux pour isoler les niveaux de votre application (par exemple, web, application et base de données) dans un VPC unique. Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d'Internet.

Vous pouvez l'utiliser [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)pour permettre aux ressources de votre VPC de se connecter à Services AWS l'aide d'adresses IP privées, comme si ces services étaient hébergés directement dans votre VPC. Par conséquent, il n'est pas nécessaire d'utiliser une passerelle Internet ou un périphérique NAT pour y accéder Services AWS.

## Contrôler le trafic réseau
<a name="control-network-traffic"></a>

Vous devez prendre en compte les éléments suivants pour le contrôle du trafic réseau vers les ressources de votre VPC, comme les instances EC2 :
+ Utilisez [les groupes de sécurité](vpc-security-groups.md) comme principal mécanisme de contrôle de l'accès réseau à votre VPCs. Si nécessaire, utilisez le [réseau ACLs](vpc-network-acls.md) pour fournir un contrôle du réseau sans état et grossier. Les groupes de sécurité sont plus polyvalents que les réseaux ACLs, en raison de leur capacité à effectuer un filtrage dynamique des paquets et à créer des règles faisant référence à d'autres groupes de sécurité. Le réseau ACLs peut être efficace en tant que contrôle secondaire (par exemple, pour refuser un sous-ensemble spécifique de trafic) ou en tant que garde-corps de haut niveau. De plus, comme le réseau ACLs s'applique à l'ensemble d'un sous-réseau, il peut être utilisé comme defense-in-depth si une instance était lancée sans le groupe de sécurité approprié.
+ Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d’Internet. Utilisez un hôte bastion ou une passerelle NAT pour l'accès Internet à partir d'instances de sous-réseaux privés.
+ Configurez des [tables de routage](VPC_Route_Tables.md) de sous-réseau avec les routes réseau minimales pour répondre à vos exigences de connectivité.
+ Envisagez l'utilisation de groupes de sécurité supplémentaires ou d'interfaces réseau pour contrôler et vérifier le trafic de gestion d'instance Amazon EC2 séparément du trafic d'application régulier. Ainsi, vous pouvez mettre en œuvre des politiques IAM spéciales pour le contrôle des modifications, ce qui facilite l'audit des modifications apportées aux règles de groupe de sécurité ou aux scripts automatisés de vérification des règles. Plusieurs interfaces réseau procurent également des options supplémentaires pour contrôler le trafic réseau, notamment la possibilité de créer des stratégies de routage basées sur l'hôte ou de tirer parti de différentes règles de routage de sous-réseau d'un VPC basées sur des interfaces réseau affectées à un sous-réseau.
+ Utilisez AWS Virtual Private Network ou Direct Connect pour établir des connexions privées entre vos réseaux distants et votre VPCs. Pour plus d'informations, consultez la section [Network-to-Amazon Options de connectivité VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html).
+ Utilisez des [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) pour surveiller la trafic atteignant vos instances.
+ Utilisez [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) pour rechercher les accès réseau non intentionnels à partir de vos instances.
+ Utilisez [AWS Network Firewall](network-firewall.md) pour protéger les sous-réseaux de votre VPC contre les menaces réseau courantes.

## Comparez les groupes de sécurité et le réseau ACLs
<a name="VPC_Security_Comparison"></a>

Le tableau suivant récapitule les principales différences entre les groupes de sécurité et le réseau ACLs.


| Caractéristiques | Groupe de sécurité | Réseau ACL | 
| --- | --- | --- | 
| Niveau de l’opération | Niveau de l’instance | Niveau du sous-réseau | 
| Scope | S’applique à toutes les instances associées au groupe de sécurité | S’applique à toutes les instances présentes dans les sous-réseaux associés | 
| Type de règle | Règles d’autorisation uniquement | Règles d’autorisation et de refus | 
| Évaluations des règles | Evalue toutes les règles avant de décider si le trafic doit être autorisé | Évalue les règles par ordre croissant jusqu’à ce qu’une correspondance soit trouvée pour le trafic | 
| Trafic de retour | Autorisé automatiquement (avec état) | Doit être explicitement autorisé (sans état) | 

Le schéma suivant illustre les couches de sécurité fournies par les groupes de sécurité et le réseau ACLs. Par exemple, le trafic d'une passerelle Internet est routé vers le sous-réseau approprié à l'aide de routes dans la table de routage. Les règles de la liste ACL réseau associée au sous-réseau contrôlent le trafic autorisé dans le sous-réseau. Les règles du groupe de sécurité associé à une instance contrôlent le trafic autorisé dans l'instance.

![\[Le trafic est contrôlé à l'aide de groupes de sécurité et d'un réseau ACLs\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/security-comparison.png)


Vous pouvez sécuriser vos instances en utilisant uniquement des groupes de sécurité. Cependant, vous pouvez ajouter un réseau ACLs comme couche de défense supplémentaire. Pour de plus amples informations, veuillez consulter [Exemple : contrôler l'accès aux instances dans un sous-réseau](nacl-examples.md).

# Contrôlez le trafic vers vos AWS ressources à l'aide de groupes de sécurité
<a name="vpc-security-groups"></a>

Un *groupe de sécurité* contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, après avoir associé un groupe de sécurité à une instance EC2, il contrôle le trafic entrant et sortant pour l'instance.

Lorsque vous créez un VPC, celui-ci est fourni avec un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires pour un VPC, chacun avec ses propres règles entrantes et sortantes. Vous pouvez spécifier la source, la plage de ports et le protocole pour chaque règle entrante. Vous pouvez spécifier la destination, la plage de ports et le protocole pour chaque règle sortante.

Le schéma suivant illustre un VPC avec un sous-réseau, une passerelle Internet et un groupe de sécurité. Le sous-réseau contient une instance EC2. Le groupe de sécurité est attribué à l'instance. Le groupe de sécurité fonctionne comme un pare-feu virtuel. Le seul trafic qui atteint l'instance est le trafic autorisé par les règles du groupe de sécurité. Par exemple, si le groupe de sécurité contient une règle qui autorise le trafic ICMP vers l'instance depuis votre réseau, vous pouvez envoyer une commande ping à l'instance depuis votre ordinateur. Si le groupe de sécurité ne contient pas de règle autorisant le trafic SSH, vous ne pourrez pas vous connecter à votre instance via SSH.

![\[VPC avec 2 sous-réseaux, 2 groupes de sécurité, des serveurs dans des sous-réseaux associés à différents groupes de sécurité\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/security-group-overview.png)


**Topics**
+ [Principes de base des groupes de sécurité](#security-group-basics)
+ [Exemple de groupe de sécurité](#security-group-example-details)
+ [Règles des groupes de sécurité](security-group-rules.md)
+ [Groupes de sécurité par défaut](default-security-group.md)
+ [Création d’un groupe de sécurité](creating-security-groups.md)
+ [Configurer des règles de groupe de sécurité](working-with-security-group-rules.md)
+ [Supprimer un groupe de sécurité](deleting-security-groups.md)
+ [Associer des groupes de sécurité à plusieurs VPCs](security-group-assoc.md)
+ [Partagez des groupes de sécurité avec des AWS Organisations](security-group-sharing.md)

**Tarification**  
L’utilisation de groupes de sécurité n’entraîne aucuns frais supplémentaires.

## Principes de base des groupes de sécurité
<a name="security-group-basics"></a>
+ Vous pouvez attribuer un groupe de sécurité à des ressources créées dans le même VPC que le groupe de sécurité ou à des ressources d'un autre groupe VPCs si vous utilisez la [fonctionnalité d'association VPC du groupe de sécurité](security-group-assoc.md) pour associer le groupe de sécurité à d'autres VPCs dans la même région. Vous pouvez également attribuer plusieurs groupes de sécurité à une seule ressource.
+ Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s’appliquent :
  + Un nom de groupe de sécurité doit être unique dans le VPC.
  + Les noms des groupes de sécurité ne sont pas sensibles à la casse.
  + Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.
  + Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
  + Lorsque le nom contient des espaces de fin, nous supprimons l'espace situé à la fin du nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».
  + Un nom de groupe de sécurité ne peut pas commencer par `sg-`.
+ Les groupes de sécurité sont avec état. Par exemple, si vous envoyez une demande à partir d'une instance, le trafic de réponse pour cette demande est autorisé à atteindre l'instance, quelles que soient les règles du groupe de sécurité entrant. Les réponses au trafic entrant autorisé sont autorisées à quitter l'instance, quelles que soient les règles de trafic sortant.
+ Les groupes de sécurité ne filtrent pas le trafic vers et depuis les services suivants :
  + Amazon Domain Name Services (DNS)
  + Amazon Dynamic Host Configuration Protocol (DHCP)
  + Métadonnées d'instance Amazon EC2.
  + Points de terminaison des métadonnées de tâches Amazon ECS
  + Activation de licence pour les instances Windows
  + Service de synchronisation temporelle d’Amazon
  + Adresses IP réservées utilisées par le routeur VPC par défaut
+ Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer par VPC, au nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour de plus amples informations, veuillez consulter [Quotas Amazon VPC](amazon-vpc-limits.md).

**Bonnes pratiques**
+ Autorisez uniquement certains principaux IAM à créer et à modifier les groupes de sécurité.
+ Créez le nombre minimum de groupes de sécurité dont vous avez besoin afin de réduire le risque d'erreur. Utilisez chaque groupe de sécurité pour gérer l'accès aux ressources possédant des fonctions et des exigences de sécurité similaires.
+ Lorsque vous ajoutez des règles entrantes pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos instances EC2, autorisez uniquement les plages d'adresses IP spécifiques. Si vous spécifiez 0.0.0.0/0 (IPv4) et : :/ (IPv6), cela permet à quiconque d'accéder à vos instances depuis n'importe quelle adresse IP en utilisant le protocole spécifié.
+ N'ouvrez pas des plages de ports trop vastes. Assurez-vous que l'accès via chaque port est limité aux sources ou aux destinations qui en ont besoin.
+ Envisagez de créer ACLs un réseau avec des règles similaires à celles de vos groupes de sécurité, afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et le réseau ACLs, consultez[Comparez les groupes de sécurité et le réseau ACLs](infrastructure-security.md#VPC_Security_Comparison).

## Exemple de groupe de sécurité
<a name="security-group-example-details"></a>

Le schéma suivant illustre un VPC avec deux groupes de sécurité et deux sous-réseaux. Les instances du sous-réseau A ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 1. Les instances du sous-réseau B ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 2. Les règles du groupe de sécurité autorisent le trafic comme suit :
+ La première règle entrante du groupe de sécurité 1 autorise le trafic SSH vers les instances du sous-réseau A à partir de la plage d'adresses spécifiée (par exemple, une plage de votre propre réseau).
+ La deuxième règle entrante du groupe de sécurité 1 permet aux instances du sous-réseau A de communiquer entre elles en utilisant n'importe quel protocole et port.
+ La première règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau B de communiquer entre elles en utilisant n'importe quel protocole et port.
+ La deuxième règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau A de communiquer avec les instances du sous-réseau B à l'aide du protocole SSH.
+ Les deux groupes de sécurité utilisent la règle sortante par défaut, qui autorise tout le trafic.

![\[Un VPC avec deux groupes de sécurité et des serveurs dans deux sous-réseaux. Les serveurs du sous-réseau A sont associés au groupe de sécurité 1. Les serveurs du sous-réseau B sont associés au groupe de sécurité 2.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/security-group-details.png)


# Règles des groupes de sécurité
<a name="security-group-rules"></a>

Les règles d'un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les ressources associées au groupe de sécurité. Les règles contrôlent également le trafic sortant autorisé à les quitter.

Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore *autoriser* ou *révoquer* un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une source ou une destination spécifique.

**Topics**
+ [Règles de base de groupe de sécurité](#security-group-rule-characteristics)
+ [Composants d'une règle de groupe de sécurité](#security-group-rule-components)
+ [Référencement des groupes de sécurité](#security-group-referencing)
+ [Taille de groupe de sécurité](#security-group-size)
+ [Règles du groupe de sécurité obsolètes](#vpc-stale-security-group-rules)

## Règles de base de groupe de sécurité
<a name="security-group-rule-characteristics"></a>

Les caractéristiques des règles des groupes de sécurité sont les suivantes :
+ Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.
+ Lorsque vous créez un groupe de sécurité pour la première fois, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant n'est autorisé tant que vous n'avez pas ajouté de règles entrantes au groupe de sécurité.
+ Lorsque vous créez un groupe de sécurité pour la première fois, il possède une règle sortante qui autorise tout le trafic sortant de la ressource. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant n'est autorisé.
+ Lorsque vous associez plusieurs groupes de sécurité à une ressource, les règles de chaque groupe de sécurité sont regroupées pour former un ensemble unique de règles utilisées pour déterminer s'il faut autoriser l'accès.
+ Lorsque vous ajoutez, mettez à jour ou supprimez des règles, vos modifications sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. Pour obtenir des instructions, veuillez consulter [Configurer des règles de groupe de sécurité](working-with-security-group-rules.md).
+ L’effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi. Pour plus d’informations, consultez [Suivi de connexion](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) dans le *Guide de l’utilisateur Amazon EC2*.
+ Lorsque vous créez une règle de groupe de sécurité, AWS attribuez un identifiant unique à la règle. Vous pouvez utiliser l’ID d’une règle lorsque vous utilisez l’API ou la CLI pour modifier ou supprimer la règle.

**Limitation**  
[Les groupes de sécurité ne peuvent pas bloquer les requêtes DNS à destination ou en provenance du résolveur Route 53, parfois appelé « adresse IP VPC\$12 » (voir [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)le *guide du développeur Amazon Route 53*) ou DNS. AmazonProvided](DHCPOptionSet.md) Afin de filtrer les demandes DNS via Route 53 Resolver, utilisez [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).

## Composants d'une règle de groupe de sécurité
<a name="security-group-rule-components"></a>

Les éléments suivants sont les composants des règles entrantes et sortantes des groupes de sécurité :
+ **Protocole** : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).
+ **Port range (Plage de ports)** : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple, `22`), ou une plage de numéros de port (par exemple, `7000-8000`).
+ **ICMP type and code (Type et code ICMP)** : pour ICMP, le code et le type ICMP. Par exemple, utilisez le type 8 pour ICMP Echo Request ou le type 128 pour ICMPv6 Echo Request. Pour plus d’informations, consultez la section [Rules for ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) du *Guide d’utilisation d’Amazon EC2*.
+ **Source or destination** (Source ou destination) : la source (règles entrantes) ou la destination (règles sortantes) pour le trafic à autoriser. Spécifiez l’un des éléments suivants :
  + Une IPv4 adresse unique. Vous devez utiliser la longueur de préfixe `/32`. Par exemple, `203.0.113.1/32`. 
  + Une IPv6 adresse unique. Vous devez utiliser la longueur de préfixe `/128`. Par exemple, `2001:db8:1234:1a00::123/128`.
  + Une plage d' IPv4 adresses, en notation par blocs CIDR. Par exemple, `203.0.113.0/24`.
  + Une plage d' IPv6 adresses, en notation par blocs CIDR. Par exemple, `2001:db8:1234:1a00::/64`.
  + ID d’une liste des préfixes. Par exemple, `pl-1234abc1234abc123`. Pour de plus amples informations, veuillez consulter [Listes de préfixes gérées](managed-prefix-lists.md).
  + ID d'un groupe de sécurité. Par exemple, `sg-1234567890abcdef0`. Pour de plus amples informations, veuillez consulter [Référencement des groupes de sécurité](#security-group-referencing).
+ **(Facultatif) Description** : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l’identifier ultérieurement. Une description peut inclure jusqu’à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.

Pour obtenir des exemples, consultez la section [Security group rules for different use cases](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) du *Guide d’utilisation d’Amazon EC2*.

## Référencement des groupes de sécurité
<a name="security-group-referencing"></a>

Lorsque vous spécifiez un groupe de sécurité comme source ou destination d'une règle, cette règle affecte toutes les instances associées aux groupes de sécurité. Les instances peuvent communiquer dans la direction spécifiée, en utilisant les adresses IP privées des instances, via le protocole et le port spécifiés.

Par exemple, ce qui suit présente une règle entrante pour un groupe de sécurité référençant le groupe de sécurité sg-0abcdef1234567890. Cette règle autorise le trafic SSH entrant depuis les instances associées à sg-0abcdef1234567890.


| Source | Protocole | Plage de ports | 
| --- | --- | --- | 
| sg-0abcdef1234567890 | TCP | 22 | 

Lorsque vous référencez un groupe de sécurité dans une règle de groupe de sécurité, tenez compte des points suivants :
+ Vous pouvez faire référence à un groupe de sécurité dans la règle entrante d’un autre groupe de sécurité si l’une des conditions suivantes est vraie :
  + Les groupes de sécurité sont associés au même VPC.
  + Il existe une connexion d'appairage entre ceux VPCs auxquels les groupes de sécurité sont associés.
  + Il existe une passerelle de transit entre celles VPCs auxquelles les groupes de sécurité sont associés.
+ Vous pouvez faire référence à un groupe de sécurité dans la règle sortante si l’une des conditions suivantes est vraie :
  + Les groupes de sécurité sont associés au même VPC.
  + Il existe une connexion d'appairage entre ceux VPCs auxquels les groupes de sécurité sont associés.
+ Aucune règle du groupe de sécurité référencé n'est ajoutée au groupe de sécurité le référençant.
+ Concernant les règles entrantes, les instances EC2 associées à un groupe de sécurité peuvent recevoir le trafic entrant des adresses IP privées issues des interfaces réseau pour les instances EC2 associées au groupe de sécurité référencé.
+ Concernant les règles sortantes, les instances EC2 associées à un groupe de sécurité peuvent envoyer le trafic sortant aux adresses IP privées issues des interfaces réseau pour les instances EC2 associées au groupe de sécurité référencé.
+ Nous ne fournissons pas d’autorisation par rapport aux groupes de sécurité référencés dans les actions suivantes : `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress`, et `RevokeSecurityGroupEgress`. Nous vérifions uniquement si le groupe de sécurité existe. Il en résulte ce qui suit :
  + La spécification du groupe de sécurité référencé dans les politiques IAM pour ces actions n’a aucun effet.
  + Lorsqu'un groupe de sécurité référencé appartient à un autre compte, le compte propriétaire ne reçoit aucun CloudTrail événement lié à ces actions.

**Limitation**

Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via un dispositif middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.

**Exemple**

Le schéma suivant montre un VPC avec des sous-réseaux dans deux zones de disponibilité, une passerelle Internet et un Application Load Balancer. Chaque zone de disponibilité possède un sous-réseau public pour les serveurs Web et un sous-réseau privé pour les serveurs de base de données. Il existe des groupes de sécurité distincts pour l'équilibreur de charge, les serveurs Web et les serveurs de base de données. Créez les règles du groupe de sécurité suivantes pour autoriser le trafic.
+ Ajoutez des règles au groupe de sécurité de l'équilibreur de charge pour autoriser le trafic HTTP et HTTPS en provenance d'Internet. La source est 0.0.0.0/0.
+ Ajoutez des règles au groupe de sécurité pour les serveurs Web afin d'autoriser le trafic HTTP et HTTPS uniquement en provenance de l'équilibreur de charge. La source est le groupe de sécurité pour l'équilibreur de charge.
+ Ajoutez des règles au groupe de sécurité pour les serveurs de base de données afin d'autoriser les demandes de base de données provenant des serveurs Web. La source est le groupe de sécurité pour les serveurs Web.

![\[Architecture avec serveurs web et de base de données, groupes de sécurité, passerelle Internet et équilibreur de charge\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/security-group-referencing.png)


## Taille de groupe de sécurité
<a name="security-group-size"></a>

Le type de source ou de destination détermine la façon dont chaque règle est prise en compte dans le nombre maximum de règles que vous pouvez avoir par groupe de sécurité.
+ Une règle référençant un bloc CIDR compte comme une seule règle.
+ Une règle référençant un autre groupe de sécurité compte comme une seule règle, quelle que soit la taille du groupe de sécurité référencé.
+ Une règle référençant une liste de préfixes gérée par le client compte comme la taille maximale de la liste de préfixes. Par exemple, si la taille maximale de votre liste de préfixes est égale à 20, une règle la référençant compte comme 20 règles.
+ Une règle qui fait référence à une liste de préfixes AWS gérée compte comme le poids de la liste de préfixes. Par exemple, si le poids de la liste de préfixes est égale à 10, une règle la référençant compte comme 10 règles. Pour de plus amples informations, veuillez consulter [Listes AWS de préfixes gérées disponibles](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).

## Règles du groupe de sécurité obsolètes
<a name="vpc-stale-security-group-rules"></a>

Si votre VPC est connecté à un autre VPC par appairage de VPC ou s'il utilise un VPC partagé par un autre compte, une règle de groupe de sécurité peut référencer un groupe de sécurité dans le VPC pair ou le VPC partagé. Cela permet aux ressources associées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencement de communiquer entre elles. Pour plus d’informations, consultez [Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) dans le *Guide d’appairage Amazon VPC*.

Si vous avez une règle de groupe de sécurité qui fait référence à un groupe de sécurité dans un VPC pair ou un VPC partagé, et si le groupe de sécurité du VPC partagé est supprimé ou si la connexion d’appairage de VPC est supprimée, la règle du groupe de sécurité est marquée comme étant obsolète. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité.

# Groupes de sécurité par défaut pour votre VPCs
<a name="default-security-group"></a>

Votre groupe de sécurité par défaut VPCs et tous ceux VPCs que vous créez sont fournis avec un groupe de sécurité par défaut. Le nom du groupe de sécurité par défaut est « default ».

Nous vous recommandons de créer des groupes de sécurité pour des ressources ou des groupes de ressources spécifiques plutôt que d'utiliser le groupe de sécurité par défaut. Cependant, si vous n'associez pas de groupe de sécurité à certaines ressources au moment de la création, nous les associons au groupe de sécurité par défaut. Par exemple, si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance EC2, nous associons l'instance au groupe de sécurité par défaut de son VPC.

## Principes de base des groupes de sécurité par défaut
<a name="default-security-group-basics"></a>
+ Vous pouvez modifier les règles du groupe de sécurité par défaut.
+ Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer un groupe de sécurité par défaut, nous renvoyons le code d'erreur suivante : `Client.CannotDelete`.

## Règles par défaut
<a name="default-security-group-default-rules"></a>

Le tableau ci-après décrit les règles entrantes par défaut pour un groupe de sécurité par défaut.


| Source | Protocole | Plage de ports | Description | 
| --- | --- | --- | --- | 
| sg-1234567890abcdef0  | Tous | Tous | Autorise le trafic entrant à partir de toutes les ressources attribuées à ce groupe de sécurité. La source est l’ID de ce groupe de sécurité. | 

Le tableau ci-après décrit les règles sortantes par défaut pour un groupe de sécurité par défaut.


| Destination | Protocole | Plage de ports | Description | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | Tous | Tous | Autorise tout le IPv4 trafic sortant. | 
| ::/0 | Tous | Tous | Autorise tout le IPv6 trafic sortant. Cette règle est ajoutée uniquement si votre VPC est associé à un bloc IPv6 CIDR. | 

## Exemple
<a name="default-security-group-example"></a>

Le schéma suivant montre un VPC avec un groupe de sécurité, une passerelle Internet et une passerelle NAT par défaut. La sécurité par défaut contient uniquement ses règles par défaut et elle est associée à deux instances EC2 exécutées dans le VPC. Dans ce scénario, chaque instance peut recevoir du trafic entrant en provenance de l'autre instance sur tous les ports et protocoles. Les règles par défaut ne permettent pas aux instances de recevoir de trafic depuis la passerelle Internet ou la passerelle NAT. Si vos instances doivent recevoir de trafic supplémentaire, nous vous recommandons de créer un groupe de sécurité avec les règles requises et d'associer le nouveau groupe de sécurité aux instances au lieu du groupe de sécurité par défaut.

![\[VPC avec 2 sous-réseaux, groupe de sécurité par défaut, 2 instances EC2, passerelle Internet et passerelle NAT\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/default-security-group.png)


# Créer un groupe de sécurité pour votre VPC
<a name="creating-security-groups"></a>

Votre cloud privé virtuel (VPC) est associé à un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires. Les groupes de sécurité ne peuvent être utilisés qu’avec les ressources du VPC dans lesquels ils sont créés.

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter la ressource. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant. Vous pouvez ajouter des règles au moment de créer un groupe de sécurité ou ultérieurement. Pour de plus amples informations, veuillez consulter [Règles des groupes de sécurité](security-group-rules.md).

**Autorisations nécessaires**

Avant de commencer, vérifiez que vous disposez des autorisations requises. Pour plus d’informations, consultez les ressources suivantes :
+ [Gérer les groupes de sécurité](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Gérer les règles de groupe de sécurité](vpc-policy-examples.md#vpc-security-group-rules-iam)

**Pour créer un groupe de sécurité à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez **Create security group** (Créer un groupe de sécurité).

1. Saisissez un nom et une description pour le groupe de sécurité. Vous ne pouvez pas modifier le nom et la description d’un groupe de sécurité créé.

1. Pour **VPC**, choisissez le VPC dans lequel vous souhaitez créer les ressources auxquelles associer le groupe de sécurité.

1. (Facultatif) Pour ajouter des règles entrantes, choisissez **Règles entrantes**. Pour chaque règle, choisissez **Ajouter une règle** et spécifiez le protocole, le port et la source. Pour de plus amples informations, veuillez consulter [Configurer des règles de groupe de sécurité](working-with-security-group-rules.md).

1. (Facultatif) Pour ajouter des règles sortantes, choisissez **Règles sortantes**. Pour chaque règle, choisissez **Ajouter une règle** et spécifiez le protocole, le port et la destination.

1. (Facultatif) Pour ajouter une identification, choisissez **Add new tag** (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

1. Sélectionnez **Create security group** (Créer un groupe de sécurité).

**Pour créer un groupe de sécurité à l'aide du AWS CLI**  
Utilisez la commande [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

Vous pouvez également créer un nouveau groupe de sécurité en copiant un groupe de sécurité existant. Lorsque vous copiez un groupe de sécurité, nous ajoutons automatiquement les mêmes règles entrantes et sortantes qu’au groupe de sécurité d’origine et utilisons le même VPC que le groupe de sécurité d’origine. Vous pouvez saisir un nom et une description pour le nouveau groupe de sécurité. Vous pouvez éventuellement choisir un autre VPC et modifier les règles entrantes et sortantes selon vos besoins. Cependant, vous ne pouvez pas copier un groupe de sécurité d’une région vers une autre région.

**Pour créer un groupe de sécurité basé sur un groupe de sécurité existant**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez un groupe de sécurité.

1. Choisissez **Actions**, **Copier vers un nouveau groupe de sécurité**.

1. Saisissez un nom et une description pour le groupe de sécurité.

1. (Facultatif) Choisissez un autre VPC si nécessaire.

1. (Facultatif) Ajoutez, supprimez ou modifiez les règles du groupe de sécurité en fonction de vos besoins.

1. Sélectionnez **Create security group** (Créer un groupe de sécurité).

# Configurer des règles de groupe de sécurité
<a name="working-with-security-group-rules"></a>

Après avoir créé un groupe de sécurité, vous pouvez ajouter, mettre à jour et supprimer ses règles de groupe de sécurité. Lorsque vous ajoutez, supprimez ou mettez à jour une règle, la modification est automatiquement appliquée aux ressources associées au groupe de sécurité.

**Autorisations requises**  
Avant de commencer, vérifiez que vous disposez des autorisations requises. Pour de plus amples informations, veuillez consulter [Gérer les règles de groupe de sécurité](vpc-policy-examples.md#vpc-security-group-rules-iam).

**Protocoles et ports**
+ Avec la console, lorsque vous sélectionnez un type prédéfini, le **Protocole** et la **Plage de ports** sont spécifiés à votre place. Pour saisir une plage de ports, vous devez sélectionner l’un des types personnalisés suivants : **TCP personnalisé** ou **UDP personnalisé**.
+ Avec le AWS CLI, vous pouvez ajouter une seule règle avec un seul port à l'aide des `--port` options `--protocol` et. Pour ajouter plusieurs règles, ou une règle avec une plage de ports, utilisez plutôt l’option `--ip-permissions`.

**Sources et destinations**
+ Avec la console, vous pouvez spécifier les éléments suivants comme sources pour les règles entrantes ou destinations pour les règles sortantes :
  + **Personnalisé** : bloc d' IPv4 adresse CIDR, bloc d' IPv6 adresse CIDR, groupe de sécurité ou liste de préfixes.
  + **N'importe où- IPv4** — Le bloc CIDR 0.0.0.0/0 IPv4 .
  + **N'importe où- IPv6** — Le bloc IPv6 CIDR : :/0.
  + **Mon adresse IP** — L' IPv4 adresse publique de votre ordinateur local.
+ Avec le AWS CLI, vous pouvez spécifier un bloc IPv4 CIDR à l'aide de l'`--cidr`option ou un groupe de sécurité à l'aide de l'`--source-group`option. Pour spécifier une liste de préfixes ou un bloc IPv6 CIDR, utilisez l'`--ip-permissions`option.

**Avertissement**  
Si vous choisissez **Anywhere- IPv4**, vous autorisez le trafic provenant de toutes les IPv4 adresses. Si vous choisissez **Anywhere- IPv6**, vous autorisez le trafic provenant de toutes les IPv6 adresses. Il est recommandé d’autoriser uniquement les plages d’adresses IP spécifiques ayant besoin d’accéder à vos ressources.

**Pour configurer des règles de groupe de sécurité à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez le groupe de sécurité.

1. Pour modifier les règles entrantes, choisissez **Modifier les règles entrantes** dans **Actions** ou dans l’onglet **Règles entrantes**.

   1. Pour ajouter une règle, choisissez **Ajouter une règle** et entrez le type, le protocole, le port et la source de la règle.

      Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans **Protocole** et, le cas échéant, le nom de code dans **Plage de ports**. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

   1. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d'adresse IPv4 CIDR, vous ne pouvez pas spécifier de bloc d'adresse IPv6 CIDR, de liste de préfixes ou de groupe de sécurité.

   1. Pour supprimer une règle, cliquez sur **le bouton Supprimer**.

1. Pour modifier les règles sortantes, choisissez **Modifier les règles sortantes dans **Actions** ou dans l’onglet Règles** **sortantes**.

   1. Pour ajouter une règle, choisissez **Ajouter une règle** et entrez le type, le protocole, le port et la destination de la règle. Vous pouvez également saisir une description facultative.

      Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans **Protocole** et, le cas échéant, le nom de code dans **Plage de ports**. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

   1. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d'adresse IPv4 CIDR, vous ne pouvez pas spécifier de bloc d'adresse IPv6 CIDR, de liste de préfixes ou de groupe de sécurité.

   1. Pour supprimer une règle, cliquez sur **le bouton Supprimer**.

1. Sélectionnez **Enregistrer les règles**.

**Pour configurer les règles des groupes de sécurité à l'aide du AWS CLI**
+ **Ajouter** — Utilisez les [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)commandes [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)et.
+ **Supprimer** — Utilisez les [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)commandes [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)et.
+ **Modifier** [— Utilisez les [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html)commandes [update-security-group-rule-descriptions-ingress et -descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html). update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)

# Supprimer un groupe de sécurité
<a name="deleting-security-groups"></a>

Lorsque vous avez fini d’utiliser un groupe de sécurité que vous avez créé, vous pouvez le supprimer.

**Exigences**
+ Le groupe de sécurité ne peut être associé à aucune ressource.
+ Le groupe de sécurité ne peut être référencé par une règle dans un autre groupe de sécurité.
+ Le groupe de sécurité ne peut être le groupe de sécurité par défaut du VPC.

**Pour supprimer un groupe de sécurité à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.

1. Sélectionnez le groupe de sécurité, puis choisissez **Actions**, **Supprimer les groupes de sécurité**.

1. Si vous avez sélectionné plusieurs groupes de sécurité, vous êtes invité à confirmer. Si certains groupes de sécurité ne peuvent pas être supprimés, nous affichons le statut de chaque groupe de sécurité, qui indique s’il sera supprimé. Pour confirmer la suppression, saisissez **Supprimer**.

1. Sélectionnez **Delete (Supprimer)**.

**Pour supprimer un groupe de sécurité à l'aide du AWS CLI**  
Utilisez la commande [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

# Associer des groupes de sécurité à plusieurs VPCs
<a name="security-group-assoc"></a>

Si vous avez des charges de travail exécutées en plusieurs groupes VPCs qui partagent les mêmes exigences de sécurité réseau, vous pouvez utiliser la fonctionnalité Associations VPC de groupe de sécurité pour associer un groupe de sécurité à VPCs plusieurs groupes dans la même région. Cela vous permet de gérer et de gérer les groupes de sécurité en un seul endroit pour plusieurs VPCs groupes de votre compte.

![\[Schéma du groupe de sécurité associé à deux VPCs.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/sec-group-vpc-assoc.png)


Le schéma ci-dessus montre le AWS compte A contenant deux VPCs comptes. Chacun d'entre eux VPCs a des charges de travail exécutées dans un sous-réseau privé. Dans ce cas, les charges de travail des sous-réseaux des VPC A et B partagent les mêmes exigences en matière de trafic réseau. Le compte A peut donc utiliser la fonctionnalité Associations de VPC et de groupes de sécurité pour associer le groupe de sécurité du VPC A au VPC B. Toutes les mises à jour apportées au groupe de sécurité associé sont automatiquement appliquées au trafic des charges de travail du sous-réseau du VPC B.

**Exigences relatives à la fonctionnalité Associations de VPC et de groupes de sécurité**
+ Vous devez être le propriétaire du VPC ou disposer de l’un des sous-réseaux VPC partagé avec vous pour associer un groupe de sécurité au VPC.
+ Le VPC et le groupe de sécurité doivent se trouver dans la même AWS région.
+ Vous ne pouvez pas associer un groupe de sécurité par défaut à un autre VPC ou associer un groupe de sécurité à un VPC par défaut.
+ Le propriétaire du groupe de sécurité ainsi que le propriétaire du VPC peuvent consulter les associations de VPC et de groupes de sécurité.

**Services qui prennent en charge cette fonctionnalité**
+ Amazon API Gateway (REST APIs uniquement)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

## Associer un groupe de sécurité à un autre VPC
<a name="assoc-sg"></a>

Cette section explique comment utiliser le AWS Management Console et AWS CLI pour associer un groupe de sécurité à VPCs.

------
#### [ AWS Management Console ]

**Pour associer un groupe de sécurité à un autre VPC**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.

1. Choisissez un groupe de sécurité pour afficher les détails.

1. Cliquez sur l’onglet **Associations de VPC**.

1. Choisissez **Associate VPC (Associer un VPC)**.

1. Sous **ID de VPC**, choisissez un VPC à associer au groupe de sécurité.

1. Choisissez **Associate VPC (Associer un VPC)**.

------
#### [ Command line ]

**Pour associer un groupe de sécurité à un autre VPC**

1. Créez une association VPC avec. [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html)

1. Vérifiez le statut d'une association VPC avec [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) et attendez que le statut soit le même. `associated`

------

Le VPC est désormais associé au groupe de sécurité.

 Une fois que vous avez associé le VPC au groupe de sécurité, vous pouvez, par exemple, [lancer une instance dans le VPC et choisir ce nouveau groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) ou [référencer ce groupe de sécurité dans une règle de groupe de sécurité existante](security-group-rules.md#security-group-referencing).

## Dissocier un groupe de sécurité d’un autre VPC
<a name="disassoc-sg"></a>

Cette section explique comment utiliser le AWS Management Console et AWS CLI pour dissocier un groupe de VPCs sécurité. Vous pouvez le faire si votre objectif est de supprimer le groupe de sécurité. Les groupes de sécurité ne peuvent être supprimés s’ils sont associés. Vous ne pouvez dissocier un groupe de sécurité que s’il n’existe aucune interface réseau dans le VPC associé utilisant ce groupe de sécurité.

------
#### [ AWS Management Console ]

**Pour dissocier un groupe de sécurité d’un VPC**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.

1. Choisissez un groupe de sécurité pour afficher les détails.

1. Cliquez sur l’onglet **Associations de VPC**.

1. Choisissez **Dissocier le VPC**.

1. Sous **ID de VPC**, choisissez un VPC à dissocier du groupe de sécurité.

1. Choisissez **Dissocier le VPC**.

1. Consultez l’**état** de la dissociation dans l’onglet Associations de VPC et attendez que l’état soit `disassociated`.

------
#### [ Command line ]

**Pour dissocier un groupe de sécurité d’un VPC**

1. Dissocier une association VPC avec. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)

1. Vérifiez l'état d'une dissociation d'un VPC avec [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) et attendez que ce soit le cas. `disassociated`

------

Le VPC est désormais dissocié du groupe de sécurité.

# Partagez des groupes de sécurité avec des AWS Organisations
<a name="security-group-sharing"></a>

La fonctionnalité de groupe de sécurité partagé vous permet de partager un groupe de sécurité avec d'autres comptes AWS Organizations au sein de la même AWS région et de rendre le groupe de sécurité disponible pour être utilisé par ces comptes.

Le schéma suivant montre comment vous pouvez utiliser la fonctionnalité de groupe de sécurité partagé pour simplifier la gestion des groupes de sécurité entre les comptes de vos AWS Organisations :

![\[Schéma du partage des groupes de sécurité avec d’autres comptes dans un sous-réseau VPC partagé.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/sec-group-sharing.png)


Ce diagramme montre trois comptes qui font partie de la même organisation. Le compte A partage un sous-réseau VPC avec les comptes B et C. Le compte A partage le groupe de sécurité avec les comptes B et C à l’aide de la fonctionnalité Groupe de sécurité partagé. Les comptes B et C utilisent ensuite ce groupe de sécurité lorsqu’ils lancent des instances dans le sous-réseau partagé. Cela permet au compte A de gérer le groupe de sécurité : toute mise à jour du groupe de sécurité s’applique aux ressources que les comptes B et C exécutent dans le sous-réseau VPC partagé.

**Exigences relatives à la fonctionnalité Groupe de sécurité partagé**
+ Cette fonctionnalité n’est disponible que pour les comptes d’une même organisation dans AWS Organizations. [Le partage des ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) doit être activé dans AWS Organizations.
+ Le compte qui partage le groupe de sécurité doit posséder à la fois le VPC et le groupe de sécurité. 
+ Vous ne pouvez pas partager de groupes de sécurité par défaut.
+ Vous ne pouvez pas partager les groupes de sécurité qui se trouvent dans un VPC par défaut.
+ Les comptes participants peuvent créer des groupes de sécurité dans un VPC partagé, mais ils ne peuvent pas partager ces groupes de sécurité.
+ Un ensemble minimal d'autorisations est requis pour qu'un principal IAM puisse partager un groupe de sécurité avec AWS RAM. Utilisez les politiques IAM gérées `AmazonEC2FullAccess` et `AWSResourceAccessManagerFullAccess` pour vous assurer que vos principaux IAM disposent des autorisations requises pour partager et utiliser des groupes de sécurité partagés. Si vous utilisez une politique IAM personnalisée, les actions `c2:PutResourcePolicy` et `ec2:DeleteResourcePolicy` sont requises. Il s’agit d’actions IAM avec autorisation uniquement. Si ces autorisations ne sont pas accordées à un principal IAM, une erreur se produit lors de la tentative de partage du groupe de sécurité à l’aide d’ AWS RAM.

**Services qui prennent en charge cette fonctionnalité**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

**Manière dont cette fonctionnalité affecte les quotas existants**

Les [quotas des groupes de sécurité](amazon-vpc-limits.md#vpc-limits-security-groups) s’appliquent. Cependant, en ce qui concerne le quota « Groupes de sécurité par interface réseau », si un participant utilise à la fois des groupes détenus et partagés sur une interface réseau Elastic (ENI), le quota minimal du propriétaire et du participant s’applique.

Exemple pour montrer la manière dont le quota est affecté par cette fonctionnalité :
+ Quota du compte propriétaire : 4 groupes de sécurité par interface
+ Quota du compte participant : 5 groupes de sécurité par interface.
+ Le propriétaire partage les groupes SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 avec le participant. Le participant possède déjà ses propres groupes dans le VPC : SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Si le participant crée une ENI et utilise uniquement ses propres groupes, il peut associer les 5 groupes de sécurité (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5), car c’est son quota.
+ Si le participant crée une ENI et utilise des groupes partagés, il ne peut associer que 4 groupes au maximum. Dans ce cas, le quota d’une telle ENI est le minimum des quotas du propriétaire et du participant. Les configurations valides possibles se présente comme suit :
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Partager un groupe de sécurité
<a name="share-sg-org"></a>

Cette section explique comment utiliser AWS Management Console et pour AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.

------
#### [ AWS Management Console ]

**Pour partager un groupe de sécurité**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.

1. Choisissez un groupe de sécurité pour afficher les détails.

1. Cliquez sur l'onglet **Sharing (Partager)** .

1. Choisissez **Partager un groupe de sécurité**.

1. Choisissez **Créer une ressource**. Par conséquent, la AWS RAM console s'ouvre dans laquelle vous allez créer le partage de ressources pour le groupe de sécurité.

1. Saisissez un **Nom** pour la ressource partagée.

1. Sous **Ressources – facultatif**, choisissez **Groupes de sécurité**.

1. Sélectionnez un groupe de sécurité. Le groupe de sécurité ne peut pas être un groupe de sécurité par défaut et ne peut pas être associé au VPC par défaut.

1. Choisissez **Suivant**.

1. Passez en revue les actions que les principaux seront autorisés à effectuer, puis cliquez sur **Suivant**.

1. Sous **Principaux – facultatif**, sélectionnez **Autoriser le partage uniquement au sein de votre organisation**.

1. Sous **Principaux**, sélectionnez l’un des types de principaux suivants et saisissez les numéros appropriés :
   + **AWS compte** : numéro de compte d'un compte au sein de votre organisation.
   + **Organisation** : The AWS Organizations ID.
   + **Unité d’organisation (UO)** : ID d’une UO de l’organisation.
   + **Rôle IAM** : ARN d’un rôle IAM. Le compte qui a créé le rôle doit être membre de la même organisation que le compte qui a créé ce partage de ressources.
   + **Utilisateur IAM** : ARN d’un utilisateur IAM. Le compte qui a créé l’utilisateur doit être membre de la même organisation que le compte qui a créé ce partage de ressources.
   + **Principal de service** : vous ne pouvez pas partager un groupe de sécurité avec un principal de service.

1. Choisissez **Ajouter**.

1. Choisissez **Suivant**.

1. Choisissez **Créer une ressource**.

1. Sous **Ressources partagées**, attendez que l’**état** soit `Associated`. Si l’association d’un groupe de sécurité échoue, cela peut être dû à l’une des restrictions répertoriées ci-dessus. Consultez les détails du groupe de sécurité et l’onglet **Partage** de la page de détails pour voir les messages indiquant les raisons pour lesquelles un groupe de sécurité ne peut pas être partagé.

1. Revenez à la liste des groupes de sécurité de la console VPC.

1. Choisissez le groupe de sécurité que vous avez partagé.

1. Cliquez sur l'onglet **Sharing (Partager)** . Votre AWS RAM ressource doit y être visible. Si ce n’est pas le cas, la création du partage de ressources a peut-être échoué et vous devrez peut-être la recréer.

------
#### [ Command line ]

**Pour partager un groupe de sécurité**

1. Vous devez d'abord créer un partage de ressources pour le groupe de sécurité avec lequel vous souhaitez partager AWS RAM. Pour savoir comment créer un partage de ressources à AWS RAM l'aide du AWS CLI, voir [Création d'un partage de ressources AWS RAM dans](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) le *guide de l'AWS RAM utilisateur*. 

1. Pour afficher les associations de partage de ressources créées, utilisez [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Le groupe de sécurité est désormais partagé. Vous pouvez sélectionner le groupe de sécurité lors du [lancement d’une instance EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) dans un sous-réseau partagé au sein du même VPC.

## Arrêter de partager un groupe de sécurité
<a name="stop-share-sg-org"></a>

Cette section explique comment utiliser AWS Management Console et pour arrêter de AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.

------
#### [ AWS Management Console ]

**Pour arrêter de partager un groupe de sécurité**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.

1. Choisissez un groupe de sécurité pour afficher les détails.

1. Cliquez sur l'onglet **Sharing (Partager)** .

1. Choisissez un partage de ressources de groupe de sécurité, puis sélectionnez **Arrêter le partage**.

1. Choisissez **Oui, arrêter le partage**.

------
#### [ Command line ]

**Pour arrêter de partager un groupe de sécurité**

Supprimez la ressource partagée avec [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Le groupe de sécurité n’est plus partagé. Lorsque le propriétaire cesse de partager un groupe de sécurité, les règles suivantes doivent être respectées : 
+ Les Elastic Network Interfaces (ENIs) des participants existants continuent de recevoir toutes les mises à jour des règles des groupes de sécurité apportées aux groupes de sécurité non partagés. L’annulation du partage empêche uniquement le participant de créer de nouvelles associations avec le groupe non partagé.
+ Les participants ne peuvent plus associer le groupe de sécurité non partagé à un groupe qui ENIs leur appartient.
+ Les participants peuvent décrire et supprimer ceux ENIs qui sont toujours associés à des groupes de sécurité non partagés.
+ Si les participants sont toujours ENIs associés au groupe de sécurité non partagé, le propriétaire ne peut pas supprimer le groupe de sécurité non partagé. Le propriétaire ne peut supprimer le groupe de sécurité qu'une fois que les participants ont dissocié (supprimé) le groupe de sécurité de tous leurs ENIs membres.
+ Les participants ne peuvent pas lancer de nouvelles instances EC2 à l’aide d’une ENI associée à un groupe de sécurité non partagé.

# Contrôler le trafic des sous-réseaux à l’aide de listes de contrôle d’accès réseau
<a name="vpc-network-acls"></a>

Une *liste de contrôle d'accès (ACL) réseau* autorise ou refuse un trafic entrant ou sortant spécifique au niveau du sous-réseau. Vous pouvez utiliser l'ACL réseau par défaut pour votre VPC ou vous pouvez en créer une personnalisée pour votre VPC à l'aide de règles similaires aux règles de vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC.

Il n'y a pas de frais supplémentaires pour l'utilisation du réseau ACLs.

Le diagramme suivant illustre un VPC avec deux sous-réseaux. Chaque sous-réseau possède une ACL réseau. Lorsque du trafic entre dans le VPC (par exemple, à partir d'un VPC appairé, d'une connexion VPN ou d'Internet), le routeur envoie le trafic vers sa destination. L'ACL réseau A détermine quel trafic destiné au sous-réseau 1 est autorisé à entrer dans le sous-réseau 1 et quel trafic destiné à un emplacement en dehors du sous-réseau 1 est autorisé à quitter le sous-réseau 1. De même, l'ACL B du réseau détermine quel trafic est autorisé à entrer et à sortir du sous-réseau 2.

![\[Un VPC avec deux sous-réseaux et une ACL réseau pour chaque sous-réseau.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/network-acl.png)


Pour plus d'informations sur les différences entre les groupes de sécurité et le réseau ACLs, consultez[Comparez les groupes de sécurité et le réseau ACLs](infrastructure-security.md#VPC_Security_Comparison).

**Topics**
+ [Principes de base des listes ACL réseau](#nacl-basics)
+ [Règles des listes ACL réseau](nacl-rules.md)
+ [ACL réseau par défaut d’un VPC](default-network-acl.md)
+ [Réseau personnalisé ACLs pour votre VPC](custom-network-acl.md)
+ [Path MTU Discovery et réseau ACLs](path_mtu_discovery.md)
+ [Créer une liste ACL réseau pour votre VPC](create-network-acl.md)
+ [Gestion des associations d’ACL réseau d’un VPC](network-acl-associations.md)
+ [Suppression d’une ACL pour un VPC](delete-network-acl.md)
+ [Exemple : contrôler l'accès aux instances dans un sous-réseau](nacl-examples.md)

## Principes de base des listes ACL réseau
<a name="nacl-basics"></a>

Voici les informations de base à connaître sur le réseau ACLs avant de commencer.

**Associations d’ACL réseau**
+ Chaque sous-réseau de votre VPC doit être associé à une liste ACL réseau. Si vous n’associez pas explicitement un sous-réseau à une ACL réseau, le sous-réseau est automatiquement associé à l’[ACL réseau par défaut](default-network-acl.md).
+ Vous pouvez créer une [ACL réseau personnalisée](custom-network-acl.md) et l’associer à un sous-réseau pour autoriser ou refuser un trafic entrant ou sortant spécifique au niveau du sous-réseau.
+ Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Cependant, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau à la fois. Lorsque vous associez une liste ACL réseau à un sous-réseau, l'association antérieure est supprimée.

**Règles des listes ACL réseau**
+ Une ACL réseau possède des règles entrantes et des règles sortantes. Il existe des [quotas (ou limites) quant au nombre de règles que vous pouvez avoir par ACL réseau](amazon-vpc-limits.md#vpc-limits-nacls). Chaque règle peut autoriser ou refuser le trafic. Chaque règle possède un numéro compris entre 1 et 32 766. Nous évaluons les règles dans l'ordre, en commençant par la règle ayant le numéro le plus bas, lorsque nous décidons d'autoriser ou de refuser le trafic. Si le trafic correspond à une règle, celle-ci est appliquée et nous n'évaluons aucune règle supplémentaire. Lorsque vous créez des règles, nous vous recommandons de commencer par des incréments (par exemple, des incréments de 10 ou 100), de façon à pouvoir insérer de nouvelles règles par la suite si nécessaire.
+ Nous évaluons les règles ACL du réseau lorsque le trafic entre et sort du sous-réseau, et non lorsqu'il est acheminé au sein d'un sous-réseau.
+ NACLs sont *apatrides*, ce qui signifie que les informations relatives au trafic précédemment envoyé ou reçu ne sont pas enregistrées. Si, par exemple, vous créez une règle NACL pour autoriser un trafic entrant spécifique vers un sous-réseau, les réponses à ce trafic ne sont pas automatiquement autorisées. Cela contraste avec le fonctionnement des groupes de sécurité. Les groupes de sécurité sont *avec état*, ce qui signifie que les informations sur le trafic précédemment envoyé ou reçu sont enregistrées. Si, par exemple, un groupe de sécurité autorise le trafic entrant vers une instance EC2, les réponses sont automatiquement autorisées, quelles que soient les règles du groupe de sécurité pour le trafic sortant.

**Limitations**
+ Il existe des quotas (également appelés limites) pour le réseau ACLs. Pour de plus amples informations, veuillez consulter [Réseau ACLs](amazon-vpc-limits.md#vpc-limits-nacls).
+ Le réseau ne ACLs peut pas bloquer les requêtes DNS à destination ou en provenance du résolveur Route 53 (également connu sous le nom d'adresse IP VPC\$12 ou AmazonProvided DNS). Afin de filtrer les demandes DNS via le résolveur Route 53, vous pouvez activer le [pare-feu DNS du résolveur Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
+ Le réseau ne ACLs peut pas bloquer le trafic vers le service de métadonnées d'instance (IMDS). Pour gérer l'accès à IMDS, consultez la section [Configurer les options de métadonnées d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) dans le *Guide de l'utilisateur Amazon EC2*.
+ Le réseau ACLs ne filtre pas le trafic à destination et en provenance des sites suivants :
  + Amazon Domain Name Services (DNS)
  + Amazon Dynamic Host Configuration Protocol (DHCP)
  + Métadonnées d'instance Amazon EC2.
  + Points de terminaison des métadonnées de tâches Amazon ECS
  + Activation de licence pour les instances Windows
  + Service de synchronisation temporelle d’Amazon
  + Adresses IP réservées utilisées par le routeur VPC par défaut

# Règles des listes ACL réseau
<a name="nacl-rules"></a>

Vous pouvez ajouter ou supprimer des règles de l'ACL réseau par défaut, ou créer un réseau supplémentaire ACLs pour votre VPC. Lorsque vous ajoutez une règle à une liste ACL réseau ou en supprimez, les modifications s'appliquent automatiquement aux sous-réseaux auxquels elle est associée.

Une règle d'une liste ACL réseau est composée des éléments suivants :
+ **Numéro de règle**. les règles sont évaluées en commençant par la règle comportant le numéro le plus bas. Lorsqu'une règle correspond au trafic, elle s'applique même si une règle avec un numéro plus élevé la contredit.
+ **Type**. Type de trafic ; par exemple, SSH. Vous pouvez également spécifier tout le trafic ou une plage personnalisée.
+ **Protocole**. Vous pouvez spécifier n'importe quel protocole associé à un numéro de protocole standard. Pour plus d'informations, consultez la page [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). Si vous indiquez ICMP comme protocole, vous pouvez indiquer tout ou partie des types et codes ICMP.
+ **Plage de ports**. Port d'écoute ou plage de ports pour le trafic. Par exemple, 80 pour le trafic HTTP.
+ **Source**. [Règles entrantes uniquement] Source du trafic (plage CIDR).
+ **Destination**. [Règles sortantes uniquement] Destination du trafic (plage CIDR).
+ **Autoriser/Refuser**. Indique s'il faut *autoriser* ou *refuser* le trafic spécifié.

Pour obtenir des exemples de règles, consultez la section [Exemple : contrôler l'accès aux instances dans un sous-réseau](nacl-examples.md).

## Considérations
<a name="nacl-rule-considerations"></a>
+ Il existe des quotas (également appelés limites) pour le nombre de règles par réseau ACLs. Pour de plus amples informations, veuillez consulter [Quotas Amazon VPC](amazon-vpc-limits.md).
+ Lorsque vous ajoutez une règle ou en supprimez une d'une liste ACL, tous les sous-réseaux qui y sont associés sont concernés par la modification. Les modifications entrent en vigueur après une courte période.
+ Si vous ajoutez une règle à l'aide d'un outil de ligne de commande ou de l'API Amazon EC2, la plage CIDR est automatiquement remise à sa forme canonique. Par exemple, si vous spécifiez `100.68.0.18/18` pour la plage CIDR, nous créons une règle avec une plage CIDR `100.68.0.0/18`.
+ Vous pouvez ajouter une règle de refus lorsque vous devez ouvrir une grande plage de ports, mais que vous souhaitez refuser certains ports de cette plage. Assurez-vous d’attribuer à la règle de refus un numéro inférieur à celui de la règle qui autorise le trafic de la grande plage de ports.
+ Soyez prudent si vous ajoutez des règles dans une ACL réseau et en supprimez de l’ACL réseau en même temps. Si vous supprimez des règles entrantes ou sortantes, puis ajoutez plus de nouvelles entrées que le nombre autorisé (voir [Quotas Amazon VPC](amazon-vpc-limits.md)), les entrées sélectionnées pour suppression seront supprimées, et les nouvelles entrées *ne seront pas ajoutées*. Cela peut occasionner des problèmes de connectivité inattendus et empêcher tout accès à vos VPC ou depuis ceux-ci.

# ACL réseau par défaut d’un VPC
<a name="default-network-acl"></a>

Votre cloud privé virtuel (VPC) est automatiquement associé à une ACL réseau par défaut. L’ACL réseau par défaut est configurée pour autoriser l’ensemble du trafic à entrer et sortir des sous-réseaux auxquels elle est associée. Chaque ACL réseau inclut également des règles dont le numéro est un astérisque (\$1). Ces règles permettent de s’assurer qu’un paquet sera refusé s’il ne correspond à aucune des autres règles numérotées.

Vous pouvez modifier une ACL réseau par défaut en ajoutant des règles ou en supprimant les règles numérotées par défaut. Vous ne pouvez pas supprimer une règle dont le numéro est un astérisque.

**Règles entrantes par défaut**  
Le tableau suivant illustre les règles entrantes par défaut associées à une ACL réseau par défaut. Les règles pour ne IPv6 sont ajoutées que si vous créez le VPC avec un bloc d'adresse IPv6 CIDR associé ou si vous associez un bloc d'adresse IPv6 CIDR au VPC. Toutefois, si vous avez modifié les règles entrantes d'une ACL réseau par défaut, nous n'ajoutons pas la règle qui autorise tout le IPv6 trafic entrant lorsque vous associez un IPv6 bloc au VPC.


| Règle n° | Type | Protocole | Plage de ports  | Source | Autoriser/Refuser | 
| --- | --- | --- | --- | --- | --- | 
|  100  | Tout IPv4 le trafic |  Tous  |  Tous  | 0.0.0.0/0 |  AUTORISER  | 
|  101  |  Tout IPv6 le trafic  |  Tous  |  Tous  |  ::/0  |  AUTORISER  | 
|  \$1  | Tout le trafic |  Tous  |  Tous  | 0.0.0.0/0 |  REJETER  | 
|  \$1  |  Tout IPv6 le trafic  |  Tous  |  Tous  |  ::/0  |  REJETER  | 

**Règles sortantes par défaut**  
Le tableau suivant illustre les règles sortantes par défaut associées à une ACL réseau par défaut. Les règles pour ne IPv6 sont ajoutées que si vous créez le VPC avec un bloc d'adresse IPv6 CIDR associé ou si vous associez un bloc d'adresse IPv6 CIDR au VPC. Toutefois, si vous avez modifié les règles sortantes d'une ACL réseau par défaut, nous n'ajoutons pas la règle qui autorise tout le IPv6 trafic sortant lorsque vous associez un IPv6 bloc au VPC.


| Règle n° | Type | Protocole | Plage de ports | Destination | Autoriser/Refuser | 
| --- | --- | --- | --- | --- | --- | 
|  100  | Tout le trafic |  Tous  |  Tous  | 0.0.0.0/0 |  AUTORISER  | 
|  101  |  Tout IPv6 le trafic  |  Tous  |  Tous  |  ::/0  |  AUTORISER  | 
|  \$1  | Tout le trafic |  Tous  |  Tous  | 0.0.0.0/0 |  REJETER  | 
|  \$1  |  Tout IPv6 le trafic  |  Tous  |  Tous  |  ::/0  |  REJETER  | 

# Réseau personnalisé ACLs pour votre VPC
<a name="custom-network-acl"></a>

Vous pouvez créer une ACL réseau personnalisée et l’associer à un sous-réseau pour autoriser ou refuser un trafic entrant ou sortant spécifique au niveau du sous-réseau. Pour de plus amples informations, veuillez consulter [Créer une liste ACL réseau pour votre VPC](create-network-acl.md).

Chaque ACL réseau inclut une règle entrante par défaut et une règle sortante par défaut dont le numéro est un astérisque (\$1). Ces règles permettent de s’assurer qu’un paquet sera refusé s’il ne correspond à aucune des autres règles.

Vous pouvez modifier une ACL réseau en ajoutant ou en supprimant des règles. Vous ne pouvez pas supprimer une règle dont le numéro est un astérisque.

Pour chaque règle que vous ajoutez, une règle entrante ou sortante autorisant le trafic de réponse doit exister. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section [Ports éphémères](#nacl-ephemeral-ports).

**Exemples de règles entrantes**  
Le tableau suivant contient des exemples de règles entrantes pour une ACL réseau. Les règles pour ne IPv6 sont ajoutées que si le VPC est associé à un bloc IPv6 CIDR. IPv4 et IPv6 le trafic sont évalués séparément. Par conséquent, aucune des règles relatives au IPv4 trafic ne s'applique au IPv6 trafic. Vous pouvez ajouter IPv6 des règles à côté IPv4 des règles correspondantes ou les IPv6 ajouter après la dernière IPv4 règle.

Lorsqu’un paquet arrive dans le sous-réseau, nous l’évaluons par rapport aux règles entrantes de l’ACL réseau qui est associée au sous-réseau, en commençant par la règle possédant le numéro le plus bas. Supposons, par exemple, que IPv4 du trafic soit destiné au port HTTPS (443). Le paquet ne correspond pas à la règle 100 ou 105. Il correspond à la règle 110, qui autorise le trafic à entrer dans le sous-réseau. Si le paquet avait été destiné au port 139 (NetBIOS), il ne correspondrait à aucune des règles numérotées, de sorte que la règle \$1 pour le IPv4 trafic refuse finalement le paquet.


| Règle n° | Type | Protocole | Plage de ports | Source | Autoriser/Refuser | Commentaires | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | AUTORISER |  Autorise le trafic HTTP entrant depuis n'importe quelle IPv4 adresse.  | 
| 105 | HTTP | TCP | 80 | ::/0 | AUTORISER |  Autorise le trafic HTTP entrant depuis n'importe quelle IPv6 adresse.  | 
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | AUTORISER |  Autorise le trafic HTTPS entrant depuis n'importe quelle IPv4 adresse.  | 
| 115 | HTTPS | TCP | 443 | ::/0 | AUTORISER | Autorise le trafic HTTPS entrant depuis n'importe quelle IPv6 adresse. | 
| 120 | SSH | TCP | 22 | *192.0.2.0/24* | AUTORISER |  Autorise le trafic SSH entrant depuis la plage d' IPv4 adresses publiques de votre réseau domestique (via la passerelle Internet).  | 
| 140 | TCP personnalisé | TCP | *32768-65535* | 0.0.0.0/0 | AUTORISER |  Autorise le IPv4 trafic entrant en provenance d'Internet (pour les demandes provenant du sous-réseau).  | 
| 145 | TCP personnalisé | TCP | *32768-65535* | ::/0 | AUTORISER |  Autorise le IPv6 trafic entrant en provenance d'Internet (pour les demandes provenant du sous-réseau).  | 
| \$1 | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REJETER |  Refuse tout le IPv4 trafic entrant qui n'est pas déjà traité par une règle précédente (non modifiable).  | 
| \$1 | Tout le trafic | Tous | Tous | ::/0 | REJETER |  Refuse tout le IPv6 trafic entrant qui n'est pas déjà traité par une règle précédente (non modifiable).  | 

**Exemples de règles sortantes**  
Le tableau suivant contient des exemples de règles sortantes pour une ACL réseau personnalisée. Les règles pour ne IPv6 sont ajoutées que si le VPC est associé à un bloc IPv6 CIDR. IPv4 et IPv6 le trafic sont évalués séparément. Par conséquent, aucune des règles relatives au IPv4 trafic ne s'applique au IPv6 trafic. Vous pouvez ajouter IPv6 des règles à côté IPv4 des règles correspondantes ou les IPv6 ajouter après la dernière IPv4 règle.


| Règle n° | Type | Protocole | Plage de ports | Destination | Autoriser/Refuser | Commentaires | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | AUTORISER | Autorise le trafic IPv4 HTTP sortant du sous-réseau vers Internet. | 
| 105 | HTTP | TCP | 80 | ::/0 | AUTORISER | Autorise le trafic IPv6 HTTP sortant du sous-réseau vers Internet. | 
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | AUTORISER | Autorise le trafic IPv4 HTTPS sortant du sous-réseau vers Internet. | 
| 115 | HTTPS | TCP | 443 | ::/0 | AUTORISER | Autorise le trafic IPv6 HTTPS sortant du sous-réseau vers Internet. | 
| 120 | TCP personnalisé | TCP | *1024-65535* | *192.0.2.0/24* | AUTORISER |  Autorise les réponses sortantes au trafic SSH depuis le réseau domestique.  | 
| 140 | TCP personnalisé | TCP | *32768-65535* | 0.0.0.0/0 | AUTORISER | Autorise les IPv4 réponses sortantes aux clients sur Internet (par exemple, la diffusion de pages Web). | 
| 145 | TCP personnalisé | TCP | *32768-65535* | ::/0 | AUTORISER | Autorise les IPv6 réponses sortantes aux clients sur Internet (par exemple, la diffusion de pages Web).  | 
| \$1 | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REJETER | Refuse tout le IPv4 trafic sortant qui n'est pas déjà traité par une règle précédente. | 
| \$1 | Tout le trafic | Tous | Tous | ::/0 | REJETER | Refuse tout le IPv6 trafic sortant qui n'est pas déjà traité par une règle précédente. | 

## Ports éphémères
<a name="nacl-ephemeral-ports"></a>

L'exemple de liste ACL réseau fourni dans la section précédente utilise la plage de ports éphémères 32768-65535. Toutefois, vous souhaiterez peut-être utiliser une plage différente pour votre réseau ACLs en fonction du type de client que vous utilisez ou avec lequel vous communiquez.

Le client qui initie la demande choisit la plage de ports éphémères, qui varie en fonction de son système d'exploitation. 
+ De nombreux noyaux Linux (y compris le noyau Amazon Linux) utilisent les ports 32768-61000.
+ Les demandes provenant d'Elastic Load Balancing utilisent les ports 1024-65535.
+ Les systèmes d'exploitation Windows exécutant Windows Server 2003 utilisent les ports 1025-5000.
+ Windows Server 2008 et les versions ultérieures utilisent les ports 49152-65535.
+ Une passerelle NAT utilise les ports 1024-65535.
+ AWS Lambda les fonctions utilisent les ports 1024-65535.

Par exemple, si une demande arrive sur un serveur Web dans votre VPC en provenance d'un client Windows 10 sur Internet, votre liste ACL réseau doit comporter une règle sortante pour autoriser le trafic destiné aux ports 49152-65535. 

Si une instance de votre VPC correspond au client initiant la demande, votre ACL réseau doit comporter une règle entrante pour autoriser le trafic destiné aux ports éphémères propres au système d’exploitation de l’instance. 

En pratique, pour couvrir les différents types de clients susceptibles d'initier du trafic vers des instances destinées au public dans votre VPC, vous pouvez ouvrir les ports éphémères 1024-65535. Toutefois, vous pouvez également ajouter des règles à la liste ACL afin de refuser le trafic sur tous les ports malveillants inclus dans cette plage. Assurez-vous de placer les règles deny avant les règles allow qui ouvrent la grande plage de ports éphémères.

## Réseau personnalisé ACLs et autres AWS services
<a name="nacl-other-services"></a>

Si vous créez une ACL réseau personnalisée, soyez conscient de l'impact que cela peut avoir sur les ressources que vous créez à l'aide d'autres AWS services.

Avec Elastic Load Balancing, si le sous-réseau de vos instances backend comporte une liste de contrôle d'accès réseau à laquelle vous avez ajouté une règle *refuser* pour tout le trafic dont la source est `0.0.0.0/0` ou le CIDR du sous-réseau, votre équilibreur de charge ne peut pas effectuer de vérifications d'état sur les instances. Pour de plus amples informations sur les règles d’ACL réseau recommandées pour vos équilibreurs de charge et vos instances principales, consultez les sections relatives aux sujets suivants :
+ [Réseau ACLs pour votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-troubleshooting.html)
+ [Réseau ACLs pour votre Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#network-acls)
+ [Réseau ACLs pour votre Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-network-acls.html)

## Résolution des problèmes d’accessibilité
<a name="network-acl-rules-troubleshoot"></a>

L’analyseur d’accessibilité est un outil d’analyse de configuration statique. Utilisez l’analyseur d’accessibilité pour analyser et déboguer l’accessibilité réseau entre deux ressources dans votre VPC. Reachability Analyzer hop-by-hop fournit des détails sur le chemin virtuel entre ces ressources lorsqu'elles sont accessibles, et identifie le composant bloquant dans le cas contraire. Par exemple, il peut identifier les règles des listes ACL réseau manquantes ou mal configurées.

Pour plus d'informations, reportez-vous au [Guide de l'Analyseur d'accessibilité](https://docs.aws.amazon.com/vpc/latest/reachability/).

# Path MTU Discovery et réseau ACLs
<a name="path_mtu_discovery"></a>

La détection de la MTU du chemin permet de déterminer la MTU du chemin entre deux appareils. La MTU du chemin correspond à la taille maximum du paquet prise en charge sur le chemin entre l'hôte de départ et l'hôte de destination. 

En IPv4 effet, lorsqu'un hôte envoie un paquet supérieur à la MTU de l'hôte récepteur ou supérieur à la MTU d'un périphérique le long du chemin, l'hôte ou le périphérique récepteur abandonne le paquet, puis renvoie le message ICMP suivant : `Destination Unreachable: Fragmentation Needed and Don't Fragment was Set` (Type 3, Code 4). Cela indique à l’hôte émetteur de diviser la charge utile en plusieurs paquets plus petits, puis de les retransmettre. 

Le IPv6 protocole ne prend pas en charge la fragmentation du réseau. Si un hôte envoie un paquet dont la taille est plus importante que la MTU définie pour l’hôte destinataire ou que celle d’un appareil se trouvant sur le chemin, l’hôte ou l’appareil destinataire supprime le paquet et retourne le message ICMP suivant : `ICMPv6 Packet Too Big (PTB)` (Type 2). Cela indique à l'hôte émetteur de diviser la charge utile en plusieurs paquets plus petits, puis de les retransmettre. 

Si l'unité de transmission maximale (MTU) entre les hôtes de vos sous-réseaux est différente, ou si vos instances communiquent avec d'autres instances via Internet, vous devez ajouter la règle de liste ACL réseau suivante, à la fois entrante et sortante. Cela garantit que Path MTU Discovery peut fonctionner correctement et empêcher la perte de paquets. Sélectionnez **Custom ICMP Rule (Règle ICMP personnalisée)** pour le type et **Destination Unreachable (Destination inaccessible)**, **fragmentation required, and DF flag set (fragmentation requise et indicateur DF défini)** pour la plage de ports (type 3, code 4). Si vous utilisez la détermination d'itinéraire (traceroute), ajoutez également la règle suivante : sélectionnez **Custom ICMP Rule (Règle ICMP personnalisée)** pour le type, et **Time Exceeded (Temps dépassé)**, **TTL expired transit (Transit TTL expiré)** pour la plage de ports (type 11, code 0). Pour plus d’informations, consultez [Unité de transmission maximale (MTU) du réseau pour votre instance EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html) dans le *Guide de l’utilisateur Amazon EC2*.

# Créer une liste ACL réseau pour votre VPC
<a name="create-network-acl"></a>

Les tâches suivantes vous montrent comment créer un ACL réseau, ajouter des règles à l’ACL réseau, puis associer l’ACL réseau à un sous-réseau.

**Topics**
+ [Étape 1 : création d’une ACL réseau](#CreateACL)
+ [Étape 2 : ajout de règles](#Rules)
+ [Étape 3 : association d’un sous-réseau à une ACL réseau](#NetworkACL)
+ [(Facultatif) Gérez le réseau ACLs à l'aide de Firewall Manager](#nacls-using-firewall-manager)

## Étape 1 : création d’une ACL réseau
<a name="CreateACL"></a>

Vous pouvez créer une liste ACL réseau personnalisée pour votre VPC. Les règles initiales d’une ACL réseau personnalisée bloquent l’ensemble du trafic entrant et sortant. La nouvelle ACL réseau personnalisée n’est associée à aucun sous-réseau par défaut et doit être explicitement associée à des sous-réseaux.

**Pour créer une ACL réseau à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Network ACLs**.

1. Sélectionnez **Créer une ACL réseau**.

1. (Facultatif) Dans **Nom**, saisissez un nom pour votre ACL réseau.

1. Dans **VPC**, sélectionnez le VPC.

1. (Facultatif) Dans **Balises**, sélectionnez **Ajouter une balise** et saisissez une clé de balise et une valeur de balise.

1. Sélectionnez **Créer une ACL réseau**.

**Pour créer une ACL réseau à l’aide de la ligne de commande**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)

## Étape 2 : ajout de règles
<a name="Rules"></a>

Vous pouvez ajouter des règles qui autorisent ou refusent le trafic entrant ou sortant.

Nous traitons les règles dans l’ordre, en commençant par la règle possédant le numéro le plus bas. Nous vous recommandons de laisser un intervalle entre les numéros de règles (par exemple, 100, 200, 300), plutôt que d'utiliser des numéros séquentiels (comme 101, 102, 103). Cela vous permettra d'ajouter plus facilement une nouvelle règle, sans procéder à une nouvelle numérotation des règles existantes.

Si vous utilisez l'API Amazon EC2 ou un outil de ligne de commande, vous ne pouvez pas modifier les règles. Vous ne pouvez ajouter et supprimer que des règles. Si vous utilisez la console Amazon VPC, vous pouvez modifier les entrées des règles existantes. La console supprime la règle existante et ajoute une nouvelle règle pour vous. Si vous souhaitez modifier la position d'une règle dans la liste ACL, vous devez en ajouter une nouvelle avec le numéro de votre choix, puis supprimer la règle d'origine.

**Pour ajouter des règles à une ACL réseau à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Network ACLs**.

1. Sélectionnez l'ACL réseau.

1. Pour ajouter une règle entrante, procédez comme suit :

   1. Choisissez l’onglet **Inbound rules** (Règles entrantes).

   1. Sélectionnez **Modifier les règles entrantes**, **Ajouter une nouvelle règle**.

   1. Saisissez un numéro de règle qui n’est pas encore utilisé, un type, un protocole, une plage de ports et une source, et indiquez s’il faut autoriser ou refuser le trafic. Pour certains types, nous renseignons le protocole et le port à votre place. Si vous êtes invité à saisir une plage de ports, saisissez un numéro de port ou une plage de ports (par exemple, 49152-65535).

      Afin d’utiliser un protocole qui n’est pas répertorié, sélectionnez **Protocole personnalisé** pour le type, puis sélectionnez le protocole. Pour plus d’informations, consultez la page [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).

   1. Sélectionnez **Enregistrer les modifications**.

1. Pour ajouter une règle sortante, procédez comme suit :

   1. Choisissez l’onglet **Outbound rules** (Règles sortantes).

   1. Sélectionnez **Modifier les règles sortantes**, **Ajouter une nouvelle règle**.

   1. Saisissez un numéro de règle qui n’est pas encore utilisé, un type, un protocole, une plage de ports et une source, et indiquez s’il faut autoriser ou refuser le trafic. Pour certains types, nous renseignons le protocole et le port à votre place. Si vous êtes invité à saisir une plage de ports, saisissez un numéro de port ou une plage de ports (par exemple, 49152-65535).

      Afin d’utiliser un protocole qui n’est pas répertorié, sélectionnez **Protocole personnalisé** pour le type, puis sélectionnez le protocole. Pour plus d’informations, consultez la page [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).

   1. Sélectionnez **Enregistrer les modifications**.

**Pour ajouter une règle à une ACL réseau à l’aide de la ligne de commande**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

**Pour remplacer une règle dans une ACL réseau à l’aide de la ligne de commande**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

**Pour supprimer une règle d’une ACL réseau à l’aide de la ligne de commande**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

## Étape 3 : association d’un sous-réseau à une ACL réseau
<a name="NetworkACL"></a>

Pour appliquer les règles d'une liste ACL réseau à un sous-réseau spécifique, vous devez associer ce dernier à la liste ACL réseau. Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Cependant, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau. Tout sous-réseau qui n'est pas spécifiquement associé à une liste ACL spécifique est associé à la liste ACL réseau par défaut.

**Pour associer un sous-réseau à une liste ACL réseau :**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Network ACLs**, puis sélectionnez l'ACL réseau.

1. Dans le volet des détails, sous l'onglet **Subnet Associations**, choisissez **Edit**. Cochez la case **Associate** pour le sous-réseau à associer à la liste ACL réseau, puis sélectionnez **Save**.

## (Facultatif) Gérez le réseau ACLs à l'aide de Firewall Manager
<a name="nacls-using-firewall-manager"></a>

AWS Firewall Manager simplifie les tâches d'administration et de maintenance de votre réseau ACL sur plusieurs comptes et sous-réseaux. Vous pouvez utiliser Firewall Manager pour surveiller les comptes et les sous-réseaux de votre organisation et pour appliquer automatiquement les configurations des listes ACL réseau que vous avez définies. Firewall Manager est particulièrement utile lorsque vous souhaitez protéger l’ensemble de votre organisation ou si vous ajoutez fréquemment de nouveaux sous-réseaux que vous souhaitez protéger automatiquement à partir d’un compte d’administrateur central.

Avec une politique ACL réseau Firewall Manager, vous pouvez configurer, surveiller et gérer les ensembles de règles minimaux que vous souhaitez définir sur le réseau ACLs que vous utilisez au sein de votre organisation à l'aide d'un seul compte administrateur. Vous spécifiez les comptes et les sous-réseaux de votre organisation qui sont concernés par la politique de Firewall Manager. Firewall Manager indique l'état de conformité du réseau ACLs pour les sous-réseaux concernés, et vous pouvez configurer Firewall Manager pour automatiser la correction des réseaux non conformes. ACLs

Pour plus d’informations, consultez les ressources suivantes dans le *Manuel de développement de AWS Firewall Manager * :
+ [AWS Firewall Manager prérequis](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [Configuration des politiques ACL AWS Firewall Manager du réseau](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [Utilisation des politiques d’ACL réseau avec Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)

# Gestion des associations d’ACL réseau d’un VPC
<a name="network-acl-associations"></a>

Chaque sous-réseau est associé à une ACL réseau. Lorsque vous créez un sous-réseau pour la première fois, il est associé à l’ACL réseau par défaut du VPC. Vous pouvez créer une ACL réseau personnalisée et l’associer à un ou plusieurs sous-réseaux, en remplacement de l’association d’ACL réseau précédente.

**Topics**
+ [Description de vos associations d’ACL réseau](#describe-network-acl-association)
+ [Modification des sous-réseaux associés à une ACL réseau](#DisassociateNetworkACL)
+ [Modification de l’ACL réseau associée à un sous-réseau](#ChangeNetworkACL)

## Description de vos associations d’ACL réseau
<a name="describe-network-acl-association"></a>

Vous pouvez décrire l’ACL réseau associée à un sous-réseau et vous pouvez également décrire les sous-réseaux associés à une ACL réseau.

**Pour décrire l’ACL réseau associée à un sous-réseau à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Subnets** (Sous-réseaux).

1. Sélectionnez le sous-réseau.

1. Sélectionnez l’onglet **ACL réseau**.

**Pour décrire l'ACL réseau associée à un sous-réseau à l'aide du AWS CLI**  
Utilisez la [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)commande suivante pour répertorier l'ACL réseau associée au sous-réseau spécifié.

```
aws ec2 describe-network-acls --filters Name=association.subnet-id,Values=subnet-0d2d1b81e0bc9c6d4 --query NetworkAcls[*].NetworkAclId
```

Voici un exemple de sortie.

```
[
    "acl-03701d1f82d8c3fd6"
]
```

**Pour décrire les sous-réseaux associés à une ACL réseau à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Network ACLs**.

1. Sélectionnez l'ACL réseau.

1. Sélectionnez l’onglet **Associations de sous-réseaux**.

**Pour décrire les sous-réseaux associés à une ACL réseau à l'aide du AWS CLI**  
Utilisez la [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)commande suivante pour répertorier les sous-réseaux associés à l'ACL réseau spécifiée.

```
aws ec2 describe-network-acls --network-acl-ids acl-060415a18fcc9afde --query NetworkAcls[*].Associations[].SubnetId
```

Voici un exemple de sortie.

```
[
    "subnet-0d2d1b81e0bc9c6d4",
    "subnet-0e990c67809773b19",
    "subnet-0eb17d85f5dfd33b1",
    "subnet-0e01d500780bb7468"
]
```

## Modification des sous-réseaux associés à une ACL réseau
<a name="DisassociateNetworkACL"></a>

Vous pouvez dissocier une liste ACL réseau personnalisée d'un sous-réseau. Lorsque vous dissociez un sous-réseau d’une ACL réseau personnalisée, nous associons automatiquement ce dernier à l’ACL réseau par défaut du VPC. Les modifications prennent effet après un court laps de temps.

**Pour modifier les sous-réseaux associés à une ACL réseau**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Network ACLs**.

1. Sélectionnez l'ACL réseau.

1. Sélectionnez **Actions**, **Modifier les associations de sous-réseau**.

1. Supprimez le sous-réseau des **Sous-réseaux sélectionnés**.

1. Sélectionnez **Enregistrer les modifications**.

## Modification de l’ACL réseau associée à un sous-réseau
<a name="ChangeNetworkACL"></a>

Vous pouvez modifier la liste ACL réseau associée à un sous-réseau. Par exemple, lorsque vous créez un sous-réseau, il est initialement associé à l’ACL réseau par défaut du VPC. Si vous créez une ACL réseau personnalisée, vous devrez appliquer les règles d’ACL réseau en associant l’ACL réseau à un ou plusieurs sous-réseaux.

Une fois que vous aurez modifié l’ACL réseau associée à un sous-réseau, les modifications prendront effet après un court laps de temps.

**Pour modifier l’ACL réseau associée à un sous-réseau**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Subnets** (Sous-réseaux).

1. Sélectionnez le sous-réseau.

1. Sélectionnez **Actions**, **Modifier une association de liste ACL réseau**.

1. Dans **ID de l’ACL réseau**, sélectionnez l’ACL réseau à associer au sous-réseau et passez en revue les règles entrantes et sortantes de l’ACL réseau sélectionnée.

1. Choisissez **Enregistrer**.

**Pour remplacer une association d’ACL réseau à l’aide de la ligne de commande**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)

# Suppression d’une ACL pour un VPC
<a name="delete-network-acl"></a>

Lorsque vous n’avez plus besoin d’utiliser une ACL réseau, vous pouvez la supprimer. Vous ne pouvez pas supprimer une ACL réseau si des sous-réseaux y sont associés. Vous ne pouvez pas supprimer la liste ACL réseau par défaut.

**Pour supprimer les associations de sous-réseaux d’une ACL réseau à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Network ACLs**. La colonne **Associé à** indique le nombre de sous-réseaux associés à chaque ACL réseau. Cette colonne contient la mention `-` en l’absence de sous-réseaux associés.

1. Sélectionnez l'ACL réseau.

1. Sélectionnez **Actions**, **Modifier les associations de sous-réseau**.

1. Supprimez les associations de sous-réseaux.

1. Sélectionnez **Enregistrer les modifications**.

**Pour décrire votre réseau ACLs, y compris les associations, à l'aide de la ligne de commande**
+ [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) (AWS CLI)
+ [Get-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)

**Pour remplacer une association d’ACL réseau à l’aide de la ligne de commande**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)

**Pour supprimer une ACL réseau à l’aide de la console**

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Network ACLs**.

1. Sélectionnez l'ACL réseau.

1. Choisissez **Actions**, puis **Supprimer le réseau ACLs**.

1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.

**Pour supprimer une ACL réseau à l’aide de la ligne de commande**
+ [delete-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html) (AWS CLI)
+ [Remove-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)

# Exemple : contrôler l'accès aux instances dans un sous-réseau
<a name="nacl-examples"></a>

Dans cet exemple, les instances du sous-réseau peuvent communiquer entre elles et sont accessibles depuis un ordinateur distant fiable afin d’effectuer des tâches administratives. L’ordinateur distant peut être un ordinateur de votre réseau local (comme illustré sur le diagramme) ou une instance d’un autre sous-réseau ou VPC. Les règles d’ACL réseau du sous-réseau et les règles de groupe de sécurité des instances autorisent l’accès à partir de l’adresse IP de votre ordinateur distant. Le reste du trafic provenant d'Internet ou d'autres réseaux est refusé.

![\[Utilisation d'un groupe de sécurité et d'une liste ACL réseau\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/nacl-example-diagram.png)


Le recours à une ACL réseau vous permet de modifier les groupes de sécurité ou les règles de groupe de sécurité de vos instances, tout en offrant une couche de défense des sauvegardes. Par exemple, si vous mettez accidentellement à jour le groupe de sécurité pour autoriser l’accès SSH entrant à partir de n’importe quel emplacement, mais que l’ACL réseau n’autorise l’accès qu’à partir de la plage d’adresses IP de l’ordinateur distant, l’ACL réseau refuse le trafic SSH entrant en provenance de toute autre adresse IP.

## Règles des listes ACL réseau
<a name="nacl-examples-network-acl-rules"></a>

Voici des exemples de règles entrantes pour l’ACL réseau associée au sous-réseau. Ces règles s’appliquent à toutes les instances du sous-réseau.


| Règle n° | Type | Protocole | Plage de ports | Source | Autoriser/Refuser | Commentaires | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | AUTORISER | Autorisation du trafic entrant depuis l’ordinateur distant. | 
| \$1 | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REJETER | Refus de tout autre trafic entrant. | 

Voici des exemples de règles sortantes pour l’ACL réseau associée au sous-réseau. ACLs Les réseaux sont apatrides. Par conséquent, vous devez inclure une règle qui autorise les réponses au trafic entrant.


| Règle n° | Type | Protocole | Plage de ports | Destination | Autoriser/Refuser | Commentaires | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | TCP personnalisé | TCP | 1024-65535 | 172.31.1.2/32 | AUTORISER | Autorise les réponses sortantes vers l'ordinateur distant. | 
| \$1 | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REFUSER | Refuse tout autre trafic sortant. | 

## Règles des groupes de sécurité
<a name="nacl-examples-security-group-rules"></a>

Voici des exemples de règles entrantes pour le groupe de sécurité associé aux instances. Ces règles s’appliquent à toutes les instances associées au groupe de sécurité Un utilisateur disposant de la clé privée pour la paire de clés associée aux instances peut se connecter aux instances depuis l’ordinateur distant à l’aide de SSH.


| Type de protocole | Protocole | Plage de ports | Source | Commentaires | 
| --- | --- | --- | --- | --- | 
| Tout le trafic | Tous | Tous | sg-1234567890abcdef0 | Autorisation de la communication entre les instances associées à ce groupe de sécurité. | 
| SSH | TCP | 22 | 172.31.1.2/32 | Autorisation de l’accès SSH entrant à partir de l’ordinateur distant. | 

Voici des exemples de règles sortantes pour le groupe de sécurité associé aux instances. Les groupes de sécurité sont avec état. Par conséquent, vous n’avez pas besoin d’une règle qui autorise les réponses au trafic entrant.


| Type de protocole | Protocole | Plage de ports | Destination | Commentaires | 
| --- | --- | --- | --- | --- | 
| Tout le trafic | Tous | Tous | sg-1234567890abcdef0 | Autorisation de la communication entre les instances associées à ce groupe de sécurité. | 

## Différences entre le réseau ACLs et les groupes de sécurité
<a name="compare-security-layers"></a>

Le tableau suivant récapitule les principales différences entre le réseau ACLs et les groupes de sécurité.


| Caractéristiques | Réseau ACL | Groupe de sécurité | 
| --- | --- | --- | 
| Niveau de l’opération | Niveau du sous-réseau | Niveau de l’instance | 
| Scope | S’applique à toutes les instances présentes dans les sous-réseaux associés | S’applique à toutes les instances associées au groupe de sécurité | 
| Type de règle | Règles d’autorisation et de refus | Règles d’autorisation uniquement | 
| Évaluations des règles | Évalue les règles par ordre croissant jusqu’à ce qu’une correspondance soit trouvée pour le trafic | Evalue toutes les règles avant de décider si le trafic doit être autorisé | 
| Trafic de retour | Doit être explicitement autorisé (sans état) | Autorisé automatiquement (avec état) | 

# Résilience dans Amazon Virtual Private Cloud
<a name="disaster-recovery-resiliency"></a>

L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées à l'aide d'un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.

Régions AWS sont les principaux éléments constitutifs, chacun représentant un emplacement géographique distinct abritant plusieurs zones de disponibilité physiquement séparées et isolées. Ces zones de disponibilité sont reliées par une structure réseau à latence faible, à débit élevé et à forte redondance, permettant une communication et un transfert de données entre elles sans faille.

L’architecture des zones de disponibilité est un facteur de différenciation clé, car elles sont conçues pour être bien plus robustes et tolérantes aux pannes que les configurations traditionnelles de centres de données uniques ou multiples. En répartissant les ressources entre plusieurs zones de disponibilité au sein d’une région, les applications et les bases de données peuvent être conçues pour basculer automatiquement entre les zones sans interruption de service. Ce niveau de redondance et de haute disponibilité est une exigence essentielle pour les charges de travail critiques et permet aux organisations de créer des solutions natives cloud résilientes.

En outre, l'envergure et la portée mondiale de l' AWS infrastructure permettent aux clients de déployer leurs applications au plus près des utilisateurs finaux, de réduire le temps de latence et d'améliorer l'expérience utilisateur globale. La disponibilité de plusieurs régions à travers le monde permet également une souveraineté et une conformité efficaces des données, car les clients peuvent stocker et traiter les données dans les limites géographiques requises par leurs besoins réglementaires et commerciaux spécifiques.

En tirant parti de l'infrastructure AWS mondiale, les entreprises peuvent concevoir leurs environnements cloud de manière à ce qu'ils soient hautement disponibles, tolérants aux pannes et évolutifs, avec la flexibilité nécessaire pour s'adapter à l'évolution des exigences et des besoins commerciaux. Cette base solide est essentielle à l’implémentation réussie d’applications et de services modernes basés sur le cloud.

Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).

Vous pouvez configurer votre système VPCs pour répondre aux exigences de résilience de vos charges de travail. Pour plus d’informations, consultez les ressources suivantes :
+ [Comprendre les modèles de résilience et les compromis (blog](https://aws.amazon.com/blogs/architecture/understand-resiliency-patterns-and-trade-offs-to-architect-efficiently-in-the-cloud/) d'AWS architecture)
+ [Planifiez la topologie de votre réseau](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html) (AWS Well-Architected Framework)
+ [Options de connectivité Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) (AWS livres blancs)

# Validation de conformité pour cloud privé virtuel d'Amazon
<a name="VPC-compliance"></a>

Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .

Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).

# Bloquer l'accès public aux sous-réseaux VPCs et aux sous-réseaux
<a name="security-vpc-bpa"></a>

La fonctionnalité VPC Block Public Access (BPA) est une fonctionnalité de sécurité centralisée qui vous permet d’empêcher de manière officielle l’accès public à Internet aux ressources VPC sur l’ensemble d’un compte AWS , en garantissant le respect des exigences de sécurité tout en offrant une flexibilité pour les exceptions spécifiques et les capacités d’audit.

La fonctionnalité VPC BPA dispose des modes suivants :
+ **Bidirectionnel** : tout le trafic à destination et en provenance des passerelles Internet et des passerelles Internet de sortie uniquement dans cette région (à l'exception des réseaux exclus VPCs et des sous-réseaux) est bloqué.
+ **Entrée uniquement :** tout le trafic Internet vers cette région ( VPCs à l'exception des VPCs sous-réseaux exclus) est bloqué. Seul le trafic à destination et en provenance des passerelles NAT et des passerelles Internet de sortie uniquement est autorisé, car ces passerelles autorisent uniquement l’établissement de connexions sortantes.

Vous pouvez également créer des « exclusions » pour cette fonctionnalité pour le trafic que vous ne souhaitez pas bloquer. Une exclusion est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l’exempter du mode VPC BPA du compte et autoriser un accès bidirectionnel ou de sortie uniquement. 

Les exclusions peuvent avoir l’un des modes suivants :
+ **Bidirectionnel** : tout le trafic Internet à destination et en provenance des sous-réseaux exclus VPCs est autorisé.
+ **Sortie uniquement :** le trafic Internet sortant des sous-réseaux exclus est autorisé VPCs . Le trafic Internet entrant vers les sous-réseaux exclus VPCs est bloqué. Cela ne s’applique que lorsque la fonctionnalité VPC BPA est réglée sur Bidirectionnel.

**Topics**
+ [Principes de base de la fonctionnalité VPC BPA](security-vpc-bpa-basics.md)
+ [Évaluation de l’impact de la fonctionnalité VPC BPA et surveillance de la fonctionnalité VPC BPA](security-vpc-bpa-assess-impact-main.md)
+ [Exemple avancé](security-vpc-bpa-example.md)

# Principes de base de la fonctionnalité VPC BPA
<a name="security-vpc-bpa-basics"></a>

Cette section fournit des informations importantes sur la fonctionnalité VPC BPA, notamment les services qui la prennent en charge et la manière dont vous pouvez l’utiliser.

**Topics**
+ [Disponibilité par région](#security-vpc-bpa-reg-avail)
+ [AWS impact sur le service et support](#security-vpc-bpa-service-support)
+ [Restrictions liées à la fonctionnalité VPC BPA](#security-vpc-bpa-limits)
+ [Contrôle de l’accès à la fonctionnalité VPC BPA avec une politique IAM](#security-vpc-bpa-iam-example)
+ [Activation du mode bidirectionnel de la fonctionnalité VPC BPA pour votre compte](#security-vpc-bpa-enable-bidir)
+ [Changer le mode VPC BPA en mode d’entrée uniquement](#security-vpc-bpa-ingress-only)
+ [Créer et supprimer des exclusions](#security-vpc-bpa-exclusions)
+ [Activer la fonctionnalité VPC BPA au niveau de l’organisation](#security-vpc-bpa-exclusions-orgs)

## Disponibilité par région
<a name="security-vpc-bpa-reg-avail"></a>

Le VPC BPA est disponible dans toutes les [AWS régions commerciales, y compris les régions](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/) de GovCloud Chine.

Dans ce guide, vous trouverez également des informations sur l’utilisation de l’analyseur d’accès réseau et de l’analyseur d’accessibilité avec la fonctionnalité VPC BPA. Notez que l’analyseur d’accès réseau et l’analyseur d’accessibilité ne sont pas disponibles dans toutes les régions commerciales. Pour plus d’informations sur la disponibilité régionale de l’analyseur d’accès réseau et de l’analyseur d’accessibilité, consultez les sections [Restrictions](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) dans le *Guide de l’analyseur d’accès réseau* et [Considérations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) dans le *Guide de l’analyseur d’accessibilité*.

## AWS impact sur le service et support
<a name="security-vpc-bpa-service-support"></a>

Les ressources et services suivants prennent en charge la fonctionnalité VPC BPA et le trafic vers ces services et ressources est impacté par la fonctionnalité BPA VPC :
+ **Passerelle Internet** : tout le trafic entrant et sortant est bloqué.
+ **Passerelle Internet de sortie uniquement** : tout le trafic sortant est bloqué. Les passerelles Internet de sortie uniquement n’autorisent pas le trafic entrant.
+ **Gateway Load Balancer (GWLB)** : tout le trafic entrant et sortant est bloqué même si le sous-réseau contenant les points de terminaison GWLB est exclu.
+ **Passerelle NAT** : tout le trafic entrant et sortant est bloqué. Les passerelles NAT nécessitent une passerelle Internet pour la connectivité Internet.
+ **Network Load Balancer connecté à Internet** : tout le trafic entrant et sortant est bloqué. Les équilibreurs Network Load Balancers connectés à Internet nécessitent une passerelle Internet pour la connectivité Internet.
+ **Application Load Balancer connecté à Internet** : tout le trafic entrant et sortant est bloqué. Les Application Load Balancers connectés à Internet nécessitent une passerelle Internet pour la connectivité Internet.
+ **Amazon CloudFront VPC Origins** : tout le trafic entrant et sortant est bloqué.
+ **Direct Connect**: Tout le trafic entrant et sortant utilisant des interfaces virtuelles publiques ( IPv6 adresses unicast publiques IPv4 ou globales) est bloqué. Ce trafic utilise la passerelle Internet (ou passerelle Internet de sortie uniquement) pour la connectivité. 
+ **AWS Accélérateur global** : le trafic entrant VPCs est bloqué, que la cible soit accessible ou non via Internet.
+ **AWS Network Firewall** : tout le trafic entrant et sortant est bloqué même si le sous-réseau contenant les points de terminaison de pare-feu est exclu.
+ **AWS Wavelength passerelle du transporteur** : tout le trafic entrant et sortant est bloqué.

Le trafic lié à la connectivité privée, tel que le trafic pour les services et ressources suivants, n’est ni bloqué ni impacté par la fonctionnalité VPC BPA :
+ AWS Client VPN
+ AWS Cloud WAN
+ AWS Outposts passerelle locale
+ AWS Site-to-Site VPN
+ Passerelle de transit
+ Accès vérifié par AWS

  

**Important**  
Si vous acheminez le trafic entrant et sortant via un dispositif (tel qu’un outil de sécurité ou de surveillance tiers) exécuté sur une instance EC2 d’un sous-réseau, lorsque vous utilisez la fonctionnalité VPC BPA, ce sous-réseau doit constituer une exclusion pour que le trafic y entre et en sorte. Les autres sous-réseaux envoyant du trafic vers le sous-réseau de dispositif et non vers la passerelle Internet n’ont pas besoin d’être ajoutés en tant qu’exclusions.
Le trafic envoyé en privé depuis les ressources de votre VPC vers d’autres services exécutés dans votre VPC, tels que le résolveur Route 53, est autorisé même lorsque la fonctionnalité VPC BPA est activée, car il ne passe pas par une passerelle Internet de votre VPC. Il est possible que ces services adressent des demandes à des ressources extérieures au VPC en votre nom, par exemple, afin de résoudre une requête DNS, et qu’ils exposent des informations sur l’activité des ressources au sein de votre VPC s’ils ne sont pas atténués par d’autres contrôles de sécurité.

## Restrictions liées à la fonctionnalité VPC BPA
<a name="security-vpc-bpa-limits"></a>

Le mode VPC BPA en entrée uniquement n'est pas pris en charge dans les Zones Locales (LZs) où les passerelles NAT et les passerelles Internet de sortie uniquement ne sont pas autorisées.

## Contrôle de l’accès à la fonctionnalité VPC BPA avec une politique IAM
<a name="security-vpc-bpa-iam-example"></a>

Pour des exemples de politiques IAM qui allow/deny accèdent à la fonctionnalité VPC BPA, consultez. [Bloquer l'accès public aux sous-réseaux VPCs et aux sous-réseaux](vpc-policy-examples.md#vpc-bpa-example-iam)

## Activation du mode bidirectionnel de la fonctionnalité VPC BPA pour votre compte
<a name="security-vpc-bpa-enable-bidir"></a>

Le mode bidirectionnel VPC BPA bloque tout le trafic à destination et en provenance des passerelles Internet et des passerelles Internet de sortie uniquement dans cette région (à l'exception des réseaux exclus et des sous-réseaux). VPCs Pour plus d’informations sur les exclusions, consultez [Créer et supprimer des exclusions](#security-vpc-bpa-exclusions).

**Important**  
Nous vous recommandons vivement de passer en revue les charges de travail qui nécessitent un accès à Internet avant d’activer la fonctionnalité VPC BPA dans vos comptes de production.

**Note**  
Pour activer le VPC BPA sur les sous-réseaux VPCs et de votre compte, vous devez être propriétaire des sous-réseaux et. VPCs 
Si vous partagez actuellement des sous-réseaux VPC avec d’autres comptes, le mode VPC BPA appliqué par le propriétaire du sous-réseau s’applique également au trafic des participants, mais les participants ne peuvent pas contrôler les paramètres de la fonctionnalité BPA VPC qui ont un impact sur le sous-réseau partagé.

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.

1. Choisissez **Modifier les paramètres d’accès public**.

1. Choisissez **Activer le blocage d’accès public** et **Bidirectionnel**, puis sélectionnez **Enregistrer les modifications**.

1. Attendez que l’**état** passe à **Activé**. Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

Le mode bidirectionnel VPC BPA est désormais activé.

------
#### [ AWS CLI ]

1. Activez la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

1. Affichez l’état de la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Changer le mode VPC BPA en mode d’entrée uniquement
<a name="security-vpc-bpa-ingress-only"></a>

Le mode d'entrée BPA VPC uniquement bloque tout le trafic Internet vers cette région ( VPCs à l'exception des sous-réseaux exclus). VPCs Seul le trafic à destination et en provenance des passerelles NAT et des passerelles Internet de sortie uniquement est autorisé, car ces passerelles autorisent uniquement l’établissement de connexions sortantes.

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.

1. Choisissez **Modifier les paramètres d’accès public**.

1. Remplacez la direction par **Entrée uniquement**.

1. Enregistrez les modifications et attendez que l’état soit mis à jour. Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

------
#### [ AWS CLI ]

1. Modifiez le sens de blocage de la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
   ```

   Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

1. Affichez l’état de la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Créer et supprimer des exclusions
<a name="security-vpc-bpa-exclusions"></a>

Une exclusion VPC BPA est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l’exempter du mode VPC BPA du compte et autoriser un accès bidirectionnel ou de sortie uniquement. Vous pouvez créer des exclusions VPC BPA pour les sous-réseaux VPCs et les sous-réseaux même lorsque le BPA VPC n'est pas activé sur le compte afin de garantir que le trafic des exclusions n'est pas perturbé lorsque le BPA VPC est activé. Une exclusion pour un VPC s’applique automatiquement à tous les sous-réseaux du VPC.

Vous pouvez créer 50 exclusions au maximum. Pour plus d’informations sur la demande d’une augmentation de limite, consultez *Exclusions VPC BPA par compte* dans [Quotas Amazon VPC](amazon-vpc-limits.md).

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.

1. Dans l’onglet **Bloquer l’accès public**, sous **Exclusions**, effectuez l’une des opérations suivantes :
   + Pour supprimer une exclusion, sélectionnez-la, puis choisissez **Actions** > **Supprimer les exclusions**.
   + Pour créer une exclusion, sélectionnez **Créer des exclusions** et passez aux étapes suivantes.

1. Choisissez la direction du bloc : 
   + **Bidirectionnel** : autorise tout le trafic Internet à destination et en provenance des VPCs sous-réseaux exclus.
   + **Sortie uniquement** : autorise le trafic Internet sortant depuis les sous-réseaux exclus. VPCs Bloque le trafic Internet entrant vers les exclus VPCs et les sous-réseaux. Ce paramètre s’applique lorsque la fonctionnalité VPC BPA est réglée sur **Bidirectionnel**.

1. Choisissez un VPC ou un sous-réseau.

1. Choisissez **Créer des exclusions**.

1. Attendez que l’**état d’exclusion** passe à **Actif**. Vous devrez peut-être actualiser le tableau des exclusions pour voir la modification.

L’exclusion est créée.

------
#### [ AWS CLI ]

1. Modifiez le sens d’autorisation de l’exclusion :

   ```
   aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
   ```

1. La mise à jour de l’état d’exclusion peut prendre un certain temps. Pour afficher l’état de l’exclusion :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
   ```

------

## Activer la fonctionnalité VPC BPA au niveau de l’organisation
<a name="security-vpc-bpa-exclusions-orgs"></a>

Si vous utilisez AWS Organizations pour gérer les comptes de votre organisation, vous pouvez utiliser une [politique déclarative AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) pour appliquer le BPA VPC aux comptes de l'organisation. Pour plus d’informations sur la politique déclarative de la fonctionnalité VPC BPA, consultez [Politiques déclaratives prises en charge](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access) dans le *Guide de l’utilisateur AWS Organizations*.

**Note**  
Vous pouvez utiliser la politique déclarative de la fonctionnalité VPC BPA pour configurer si les exclusions sont autorisées, mais vous ne pouvez pas créer d’exclusions avec cette politique. Pour créer des exclusions, vous devez toujours les créer dans le compte propriétaire du VPC. Pour plus d’informations sur la création des exclusions VPC BPA, consultez [Créer et supprimer des exclusions](#security-vpc-bpa-exclusions).
Si la politique déclarative VPC BPA est activée, dans les paramètres **Bloquer l’accès public**, vous verrez **Gérer par une politique déclarative** et vous ne pourrez pas modifier les paramètres VPC BPA au niveau du compte.

# Évaluation de l’impact de la fonctionnalité VPC BPA et surveillance de la fonctionnalité VPC BPA
<a name="security-vpc-bpa-assess-impact-main"></a>

Cette section contient des informations sur l’évaluation de l’impact de la fonctionnalité VPC BPA avant de l’activer et sur la manière de contrôler si le trafic est bloqué après son activation.

**Topics**
+ [Évaluation de l’impact de la fonctionnalité VPC BPA à l’aide de l’analyseur d’accès réseau](#security-vpc-bpa-assess-impact)
+ [Surveillance de l’impact de la fonctionnalité VPC BPA à l’aide des journaux de flux](#security-vpc-bpa-fl)
+ [Suivez la suppression des exclusions avec CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Vérifier que la connectivité est bloquée à l’aide de l’analyseur d’accessibilité](#security-vpc-bpa-verify-RA)

## Évaluation de l’impact de la fonctionnalité VPC BPA à l’aide de l’analyseur d’accès réseau
<a name="security-vpc-bpa-assess-impact"></a>

Dans cette section, vous allez utiliser l’analyseur d’accès réseau pour afficher les ressources de votre compte qui utilisent une passerelle Internet *avant* d’activer la fonctionnalité VPC BPA et de bloquer l’accès. Utilisez cette analyse pour comprendre l’impact de l’activation de la fonctionnalité VPC BPA sur votre compte et du blocage du trafic.

**Note**  
Network Access Analyzer n'est pas compatible IPv6 ; vous ne pourrez donc pas l'utiliser pour visualiser l'impact potentiel du BPA VPC sur le trafic sortant des passerelles Internet uniquement en sortie. IPv6 
Les analyses que vous effectuez avec l’analyseur d’accès réseau vous sont facturées. Pour plus d’informations, consultez la section [Pricing](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) du *Guide d’utilisation de l’analyseur d’accès réseau*.
Pour plus d’informations sur la disponibilité régionale de l’analyseur d’accès réseau et de l’analyseur d’accessibilité, consultez les sections [Restrictions](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) dans le *Guide de l’analyseur d’accès réseau*.

------
#### [ AWS Management Console ]

1. Ouvrez la console AWS Network Insights à l'adresse[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).

1. Choisissez **Analyseur d’accès réseau**.

1. Choisissez **Créer un périmètre Network Access**.

1. Choisissez **Évaluer l’impact de la fonctionnalité VPC Block Public Access**, puis cliquez sur **Suivant**.

1. Le modèle est déjà configuré pour analyser le trafic à destination et en provenance des passerelles Internet de votre compte. Vous pouvez le consulter sous **Source** et **Destination**.

1. Choisissez **Suivant**.

1. Choisissez **Créer un périmètre Network Access**.

1. Choisissez le périmètre que vous venez de créer, puis sélectionnez **Analyser**.

1. Attendez que l’analyse se termine.

1. Affichez les résultats de l’analyse. Chaque ligne sous **Résultats** indique le chemin réseau qu’un paquet peut emprunter sur un réseau à destination ou en provenance d’une passerelle Internet de votre compte. Dans ce cas, si vous activez le BPA VPC et qu'aucun des sous-réseaux et/ou sous-réseaux qui apparaissent dans ces résultats n'est configuré comme une exclusion VPC BPA, le trafic vers ces réseaux VPCs et sous-réseaux sera restreint. VPCs 

1. Analysez chaque résultat pour comprendre l'impact du BPA VPC sur les ressources de votre entreprise. VPCs

L’analyse de l’impact est terminée.

------
#### [ AWS CLI ]

1. Créez un périmètre d’accès au réseau :

   ```
   aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
   ```

1. Lancez l’analyse du périmètre :

   ```
   aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id
   ```

1. Obtenez les résultats de l’analyse :

   ```
   aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
   ```

   Les résultats indiquent le trafic à destination et en provenance des passerelles Internet VPCs dans l'ensemble de votre compte. Les résultats sont organisés sous forme de « constatations ». FindingId« :" AnalysisFinding -1" indique qu'il s'agit du premier résultat de l'analyse. Notez qu’il existe plusieurs résultats et que chacun indique un flux de trafic affecté par l’activation de la fonctionnalité VPC BPA. La première constatation montrera que le trafic a commencé sur une passerelle Internet (» SequenceNumber « : 1), est passé à une NACL (» SequenceNumber « : 2) à un groupe de sécurité (» SequenceNumber « : 3) et s'est terminé sur une instance (» SequenceNumber « : 4).

1. Analysez les résultats pour comprendre l'impact du BPA VPC sur les ressources de votre entreprise. VPCs

L’analyse de l’impact est terminée.

------

## Surveillance de l’impact de la fonctionnalité VPC BPA à l’aide des journaux de flux
<a name="security-vpc-bpa-fl"></a>

La fonctionnalité de journaux de flux VPC vous permet de capturer des informations sur le trafic IP circulant vers et depuis les interfaces réseau Elastic dans votre VPC. Vous pouvez utiliser cette fonctionnalité pour surveiller le trafic que VPC BPA empêche d’atteindre les interfaces réseau de votre instance.

Créez un journal de flux pour votre VPC en suivant les étapes décrites dans [Utiliser des journaux de flux](working-with-flow-logs.md). 

Lorsque vous créez le journal de flux, assurez-vous d’utiliser un format personnalisé qui inclut le champ `reject-reason`.

Lorsque vous affichez les journaux de flux, si le trafic vers une interface réseau Elastic (ENI) est rejeté en raison de la fonctionnalité VPC BPA, vous verrez un `reject-reason` de type `BPA` dans l’entrée du journal de flux.

Outre les [restrictions](flow-logs-limitations.md) standard relatives aux journaux de flux VPC, notez les restrictions suivantes spécifiques à VPC BPA :
+ Les journaux de flux de la fonctionnalité VPC BPA n’incluent pas les [enregistrements ignorés](flow-logs-records-examples.md#flow-log-example-no-data).
+ Les journaux de flux de la fonctionnalité VPC BPA n’inclus pas les [`bytes`](flow-log-records.md#flow-logs-fields) même si vous incluez le champ `bytes` dans votre journal de flux.

## Suivez la suppression des exclusions avec CloudTrail
<a name="security-vpc-bpa-cloudtrail"></a>

Cette section explique comment vous pouvez l'utiliser AWS CloudTrail pour surveiller et suivre la suppression des exclusions BPA des VPC.

------
#### [ AWS Management Console ]

Vous pouvez consulter toutes les exclusions supprimées dans l'**historique des CloudTrail événements** en recherchant **Type de ressource** > `AWS::EC2::VPCBlockPublicAccessExclusion` dans la AWS CloudTrail console à l'adresse[https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).

------
#### [ AWS CLI ]

Vous pouvez utiliser la commande `lookup-events` pour afficher les événements liés à la suppression d’exclusions :

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```

------

## Vérifier que la connectivité est bloquée à l’aide de l’analyseur d’accessibilité
<a name="security-vpc-bpa-verify-RA"></a>

L’[analyseur d’accessibilité VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) peut être utilisé pour évaluer si certains chemins d’accès réseau sont accessibles en fonction de la configuration de votre réseau, y compris les paramètres VPC BPA.

Pour plus d’informations sur la disponibilité régionale de l’analyseur d’accessibilité, consultez [Considérations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) dans le *Guide de l’analyseur d’accessibilité*.

------
#### [ AWS Management Console ]

1. Ouvrez la console AWS Network Insights à l'adresse[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).

1. Cliquez sur **Créer et analyser le chemin**.

1. Pour **Type de source**, choisissez **Passerelles Internet** et sélectionnez la passerelle Internet pour laquelle vous souhaitez bloquer le trafic dans le menu déroulant **Source**.

1. Pour **Type de destination**, choisissez **Instances** et sélectionnez l’instance pour laquelle vous souhaitez bloquer le trafic dans le menu déroulant **Destination**.

1. Cliquez sur **Créer et analyser le chemin**.

1. Attendez que l’analyse se termine. Cela peut prendre quelques minutes.

1. Une fois l’analyse terminée, vous devriez voir que l’**État d’accessibilité** est défini sur **Non joignable** et que les **Détails du chemin** indiquent que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` est la cause de ce problème d’accessibilité.

------
#### [ AWS CLI ]

1. Créez un chemin réseau en utilisant l’ID de la passerelle Internet pour laquelle vous souhaitez bloquer le trafic en provenance (source) et l’ID de l’instance pour laquelle vous souhaitez bloquer le trafic à destination (destination) :

   ```
   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
   ```

1. Lancez une analyse sur le chemin réseau :

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Récupérez les résultats de l’analyse :

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Vérifiez que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` est le `ExplanationCode` du manque d’accessibilité.

------

# Exemple avancé
<a name="security-vpc-bpa-example"></a>

Cette section contient un exemple avancé qui vous aidera à comprendre comment fonctionne la fonctionnalité VPC Block Public Access dans différents scénarios. Chaque scénario s’appuie sur le scénario précédent. Il est donc important de suivre les étapes dans l’ordre.

**Important**  
Ne passez pas en revue cet exemple dans un compte de production. Nous vous recommandons vivement de passer en revue les charges de travail qui nécessitent un accès à Internet avant d’activer la fonctionnalité VPC BPA dans vos comptes de production.

**Note**  
Pour bien comprendre la fonctionnalité VPC BPA, vous aurez besoin de certaines ressources dans votre compte. Dans cette section, nous fournissons un CloudFormation modèle que vous pouvez utiliser pour fournir les ressources dont vous avez besoin pour bien comprendre le fonctionnement de cette fonctionnalité. Des coûts sont associés aux ressources que vous fournissez avec le CloudFormation modèle et aux analyses que vous effectuez avec Network Access Analyzer et Reachability Analyzer. Si vous utilisez le modèle de cette section, assurez-vous de suivre les étapes de nettoyage lorsque vous aurez terminé avec cet exemple.

**Topics**
+ [CloudFormation Modèle de déploiement (facultatif)](#security-vpc-bpa-example-deploy-cfn)
+ [Afficher l’impact de la fonctionnalité VPC BPA à l’aide de l’analyseur d’accès réseau](#vpc-bpa-naa)
+ [Scénario 1 : connexion à des instances sans que la fonctionnalité VPC BPA soit activée](#vpc-bpa-scenario-1-connect-scen1)
+ [Scénario 2 : activation de la fonctionnalité VPC BPA en mode bidirectionnel](#vpc-bpa-scenario-1-connect-scen2)
+ [Scénario 3 : modification du mode VPC BPA en mode d’entrée uniquement](#vpc-bpa-scenario-3)
+ [Scénario 4 : créer une exclusion](#vpc-bpa-scenario-4)
+ [Scénario 5 : modifier le mode d’exclusion](#vpc-bpa-scenario-5)
+ [Scénario 6 : modification du mode de la fonctionnalité VPC BPA](#vpc-bpa-scenario-6)
+ [Nettoyage](#vpc-bpa-scenario-cleanup)

## CloudFormation Modèle de déploiement (facultatif)
<a name="security-vpc-bpa-example-deploy-cfn"></a>

Pour montrer comment fonctionne cette fonctionnalité, vous avez besoin d’un VPC, de sous-réseaux, d’instances et d’autres ressources. Pour faciliter la réalisation de cette démonstration, nous avons fourni un modèle CloudFormation ci-dessous que vous pouvez utiliser pour obtenir rapidement les ressources requises pour les scénarios de cette démonstration. Cette étape est facultative et vous souhaiterez peut-être simplement afficher les diagrammes dans les scénarios de cette section.

**Note**  
Certains coûts sont associés aux ressources que vous créez dans cette section avec le CloudFormation modèle, tels que le coût de la passerelle NAT et des IPv4 adresses publiques. Pour éviter les coûts supplémentaires, assurez-vous de suivre les étapes de nettoyage afin de supprimer toutes les ressources créées aux fins de cet exemple.
Ce CloudFormation modèle crée les ressources sous-jacentes nécessaires au VPC BPA mais n'active pas la fonctionnalité VPC BPA elle-même. Les ressources déployées ici sont destinées à vous aider à comprendre et à tester la fonctionnalité VPC BPA une fois que vous avez choisi de l’activer séparément.

Le modèle crée les ressources suivantes dans votre compte :
+ Passerelle Internet de sortie uniquement
+ Passerelle Internet
+ Passerelle NAT
+ Deux sous-réseaux publics
+ Un sous-réseau privé
+ Deux instances EC2 avec adresses publiques et privées IPv4 
+ Une instance EC2 avec une IPv6 adresse et une adresse privée IPv4 
+ Une instance EC2 avec une IPv4 adresse privée uniquement
+ Un groupe de sécurité avec trafic entrant SSH et ICMP autorisé et TOUT le trafic sortant autorisé
+ Journal de flux VPC
+ Un point de terminaison EC2 Instance Connect dans le sous-réseau B

Copiez le modèle ci-dessous et enregistrez-le dans un fichier .yaml.

```
AWSTemplateFormatVersion: '2010-09-09'
Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA.

Parameters:
  InstanceAMI:
    Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template
    Type: AWS::EC2::Image::Id
  InstanceType:
    Description: EC2 Instance type to use with the instances launched by this template
    Type: String
    Default: t2.micro
 
Resources:

  # VPC
  VPCBPA:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      InstanceTenancy: default
      Tags:
        - Key: Name
          Value: VPC BPA

  # VPC IPv6 CIDR
  VPCBPAIpv6CidrBlock:
    Type: AWS::EC2::VPCCidrBlock
    Properties:
      VpcId: !Ref VPCBPA
      AmazonProvidedIpv6CidrBlock: true

  # EC2 Key Pair
  VPCBPAKeyPair:
    Type: AWS::EC2::KeyPair
    Properties:
      KeyName: vpc-bpa-key

  # Internet Gateway  
  VPCBPAInternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: VPC BPA Internet Gateway
    
  VPCBPAInternetGatewayAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPCBPA
      InternetGatewayId: !Ref VPCBPAInternetGateway

  # Egress-Only Internet Gateway
  VPCBPAEgressOnlyInternetGateway:
    Type: AWS::EC2::EgressOnlyInternetGateway
    Properties:
      VpcId: !Ref VPCBPA

  # Subnets
  VPCBPAPublicSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.1.0/24
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: VPC BPA Public Subnet A
      
  VPCBPAPublicSubnetB:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.2.0/24
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: VPC BPA Public Subnet B
      
  VPCBPAPrivateSubnetC:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.3.0/24
      MapPublicIpOnLaunch: false
      Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks]
      AssignIpv6AddressOnCreation: true
      Tags:
        - Key: Name
          Value: VPC BPA Private Subnet C

  # NAT Gateway
  VPCBPANATGateway:
    Type: AWS::EC2::NatGateway
    Properties:
      AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId
      SubnetId: !Ref VPCBPAPublicSubnetB
      Tags:
        - Key: Name
          Value: VPC BPA NAT Gateway

  VPCBPANATGatewayEIP:
    Type: AWS::EC2::EIP
    Properties:
      Domain: vpc
      Tags:
        - Key: Name
          Value: VPC BPA NAT Gateway EIP

  # Route Tables
  VPCBPAPublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Public Route Table
      
  VPCBPAPublicRoute:
    Type: AWS::EC2::Route
    DependsOn: VPCBPAInternetGatewayAttachment
    Properties:
      RouteTableId: !Ref VPCBPAPublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref VPCBPAInternetGateway
      
  VPCBPAPublicSubnetARouteTableAssoc:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPublicSubnetA
      RouteTableId: !Ref VPCBPAPublicRouteTable
      
  VPCBPAPublicSubnetBRouteTableAssoc:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPublicSubnetB
      RouteTableId: !Ref VPCBPAPublicRouteTable
      
  VPCBPAPrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Private Route Table
      
  VPCBPAPrivateRoute:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId: !Ref VPCBPAPrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId: !Ref VPCBPANATGateway
      
  VPCBPAPrivateSubnetCRoute:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId: !Ref VPCBPAPrivateRouteTable
      DestinationIpv6CidrBlock: ::/0
      EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway
      
  VPCBPAPrivateSubnetCRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPrivateSubnetC
      RouteTableId: !Ref VPCBPAPrivateRouteTable

  # EC2 Instances Security Group
  VPCBPAInstancesSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: VPC BPA Instances Security Group
      GroupDescription: Allow SSH and ICMP access
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: 0.0.0.0/0
        - IpProtocol: icmp
          FromPort: -1
          ToPort: -1
          CidrIp: 0.0.0.0/0
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Instances Security Group

  # EC2 Instances
  VPCBPAInstanceA:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: t2.micro
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPublicSubnetA
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance A

  VPCBPAInstanceB:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPublicSubnetB
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance B

  VPCBPAInstanceC:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPrivateSubnetC
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance C

  VPCBPAInstanceD:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      NetworkInterfaces:
        - DeviceIndex: '0'
          GroupSet:
            - !Ref VPCBPAInstancesSecurityGroup
          SubnetId: !Ref VPCBPAPrivateSubnetC
          Ipv6AddressCount: 1
      Tags:
        - Key: Name
          Value: VPC BPA Instance D

  # Flow Logs IAM Role
  VPCBPAFlowLogRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: vpc-flow-logs.amazonaws.com
            Action: 'sts:AssumeRole'
      Tags:
        - Key: Name
          Value: VPC BPA Flow Logs Role
      
  VPCBPAFlowLogPolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: VPC-BPA-FlowLogsPolicy
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Action:
              - 'logs:CreateLogGroup'
              - 'logs:CreateLogStream'
              - 'logs:PutLogEvents'
              - 'logs:DescribeLogGroups'
              - 'logs:DescribeLogStreams'
            Resource: '*'
      Roles:
        - !Ref VPCBPAFlowLogRole

  # Flow Logs
  VPCBPAFlowLog:
    Type: AWS::EC2::FlowLog
    Properties:
      ResourceId: !Ref VPCBPA
      ResourceType: VPC
      TrafficType: ALL
      LogDestinationType: cloud-watch-logs
      LogGroupName: /aws/vpc-flow-logs/VPC-BPA
      DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn
      LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}'
      Tags:
        - Key: Name
          Value: VPC BPA Flow Logs

  # EC2 Instance Connect Endpoint
  VPCBPAEC2InstanceConnectEndpoint:
    Type: AWS::EC2::InstanceConnectEndpoint
    Properties:
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      SubnetId: !Ref VPCBPAPublicSubnetB

Outputs:
  VPCBPAVPCId:
    Description: A reference to the created VPC
    Value: !Ref VPCBPA
    Export:
      Name: vpc-id

  VPCBPAPublicSubnetAId:
    Description: The ID of the public subnet A
    Value: !Ref VPCBPAPublicSubnetA
    
  VPCBPAPublicSubnetAName:
    Description: The name of the public subnet A
    Value: VPC BPA Public Subnet A

  VPCBPAPublicSubnetBId:
    Description: The ID of the public subnet B
    Value: !Ref VPCBPAPublicSubnetB
    
  VPCBPAPublicSubnetBName:
    Description: The name of the public subnet B
    Value: VPC BPA Public Subnet B

  VPCBPAPrivateSubnetCId:
    Description: The ID of the private subnet C
    Value: !Ref VPCBPAPrivateSubnetC
    
  VPCBPAPrivateSubnetCName:
    Description: The name of the private subnet C
    Value: VPC BPA Private Subnet C

  VPCBPAInstanceAId:
    Description: The ID of instance A
    Value: !Ref VPCBPAInstanceA

  VPCBPAInstanceBId:
    Description: The ID of instance B
    Value: !Ref VPCBPAInstanceB

  VPCBPAInstanceCId:
    Description: The ID of instance C
    Value: !Ref VPCBPAInstanceC

  VPCBPAInstanceDId:
    Description: The ID of instance D
    Value: !Ref VPCBPAInstanceD
```

------
#### [ AWS Management Console ]

1. Ouvrez la CloudFormation console à l'adresse[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).

1. Choisissez **Créer une pile** et téléchargez le fichier modèle .yaml.

1. Suivez les étapes pour lancer le modèle. Vous devrez saisir une [ID d’image](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html) et un [type d’instance](https://aws.amazon.com/ec2/instance-types/) (comme t2.micro). Vous devrez également autoriser la création CloudFormation d'un rôle IAM pour la création du journal de flux et l'autorisation de vous y connecter CloudWatch.

1. Une fois que vous avez lancé la pile, affichez l’onglet **Événements** pour voir la progression et assurez-vous que la pile est complète avant de continuer.

------
#### [ AWS CLI ]

1. Exécutez la commande suivante pour créer la CloudFormation pile :

   ```
   aws cloudformation create-stack --stack-name VPC-BPA-stack --template-body file://sampletemplate.yaml --capabilities CAPABILITY_IAM --region us-east-2
   ```

   Sortie :

   ```
   {
       "StackId": "arn:aws:cloudformation:us-east-2:470889052923:stack/VPC-BPA-stack/8a7a2cc0-8001-11ef-b196-06386a84b72f"
   }
   ```

1. Affichez la progression et assurez-vous que la pile est complète avant de continuer :

   ```
   aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
   ```

------

## Afficher l’impact de la fonctionnalité VPC BPA à l’aide de l’analyseur d’accès réseau
<a name="vpc-bpa-naa"></a>

Dans cette section, vous allez utiliser l’analyseur d’accès réseau pour afficher les ressources de votre compte qui utilisent la passerelle Internet. Utilisez cette analyse pour comprendre l’impact de l’activation de la fonctionnalité VPC BPA sur votre compte et du blocage du trafic.

Pour plus d’informations sur la disponibilité régionale de l’analyseur d’accès réseau et de l’analyseur d’accessibilité, consultez les sections [Restrictions](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) dans le *Guide de l’analyseur d’accès réseau*.

------
#### [ AWS Management Console ]

1. Ouvrez la console AWS Network Insights à l'adresse[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).

1. Choisissez **Analyseur d’accès réseau**.

1. Choisissez **Créer un périmètre Network Access**.

1. Choisissez **Évaluer l’impact de la fonctionnalité VPC Block Public Access**, puis cliquez sur **Suivant**.

1. Le modèle est déjà configuré pour analyser le trafic à destination et en provenance des passerelles Internet de votre compte. Vous pouvez le consulter sous **Source** et **Destination**.

1. Choisissez **Suivant**.

1. Choisissez **Créer un périmètre Network Access**.

1. Choisissez le périmètre que vous venez de créer, puis sélectionnez **Analyser**.

1. Attendez que l’analyse se termine.

1. Affichez les résultats de l’analyse. Chaque ligne sous **Résultats** indique le chemin réseau qu’un paquet peut emprunter sur un réseau à destination ou en provenance d’une passerelle Internet de votre compte. Dans ce cas, si vous activez le BPA VPC et qu'aucun des sous-réseaux et/ou sous-réseaux qui apparaissent dans ces résultats n'est configuré comme une exclusion VPC BPA, le trafic vers ces réseaux VPCs et sous-réseaux sera restreint. VPCs 

1. Analysez chaque résultat pour comprendre l'impact du BPA VPC sur les ressources de votre entreprise. VPCs

L’analyse de l’impact est terminée.

------
#### [ AWS CLI ]

1. Créez un périmètre d’accès au réseau :

   ```
   aws ec2 create-network-insights-access-scope --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" --region us-east-2
   ```

   Sortie :

   ```
   {
     "NetworkInsightsAccessScope": {
       "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
       "NetworkInsightsAccessScopeArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope/nis-04cad3c4b3a1d5e3e",
       "CreatedDate": "2024-09-30T15:55:53.171000+00:00",
       "UpdatedDate": "2024-09-30T15:55:53.171000+00:00"
     },
     "NetworkInsightsAccessScopeContent": {
       "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
       "MatchPaths": [
         {
           "Source": {
             "ResourceStatement": {
               "ResourceTypes": [
                 "AWS::EC2::InternetGateway"
               ]
             }
           }
         },
         {
           "Destination": {
             "ResourceStatement": {
               "ResourceTypes": [
                 "AWS::EC2::InternetGateway"
               ]
             }
           }
         }
       ]
     }
   }
   ```

1. Lancez l’analyse du périmètre :

   ```
   aws ec2 start-network-insights-access-scope-analysis --network-insights-access-scope-id nis-04cad3c4b3a1d5e3e --region us-east-2
   ```

   Sortie :

   ```
   {
     "NetworkInsightsAccessScopeAnalysis": {
       "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
       "NetworkInsightsAccessScopeAnalysisArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope-analysis/nisa-0aa383a1938f94cd",
       "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
       "Status": "running",
       "StartDate": "2024-09-30T15:56:59.109000+00:00",
       "AnalyzedEniCount": 0
     }
   }
   ```

1. Obtenez les résultats de l’analyse :

   ```
   aws ec2 get-network-insights-access-scope-analysis-findings --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --region us-east-2 --max-items 1
   ```

   Sortie :

   ```
   {
     "AnalysisFindings": [
       {
         "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
         "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
         "FindingId": "AnalysisFinding-1",
         "FindingComponents": [
           {
             "SequenceNumber": 1,
             "Component": {
               "Id": "igw-04a5344b4e30486f1",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:internet-gateway/igw-04a5344b4e30486f1",
               "Name": "VPC BPA Internet Gateway"
             },
             "OutboundHeader": {
               "DestinationAddresses": [
                 "10.0.1.85/32"
               ]
             },
             "InboundHeader": {
               "DestinationAddresses": [
                 "10.0.1.85/32"
               ],
               "DestinationPortRanges": [
                 {
                   "From": 22,
                   "To": 22
                 }
               ],
               "Protocol": "6",
               "SourceAddresses": [
                 "0.0.0.0/5",
                 "100.0.0.0/10",
                 "96.0.0.0/6"
               ],
               "SourcePortRanges": [
                 {
                   "From": 0,
                   "To": 65535
                 }
               ]
             },
             "Vpc": {
               "Id": "vpc-0762547ec48b6888d",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
               "Name": "VPC BPA"
             }
           },
           {
             "SequenceNumber": 2,
             "AclRule": {
               "Cidr": "0.0.0.0/0",
               "Egress": false,
               "Protocol": "all",
               "RuleAction": "allow",
               "RuleNumber": 100
             },
             "Component": {
               "Id": "acl-06194fc3a4a03040b",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:network-acl/acl-06194fc3a4a03040b"
             }
           },
           {
             "SequenceNumber": 3,
             "Component": {
               "Id": "sg-093dde06415d03924",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:security-group/sg-093dde06415d03924",
               "Name": "VPC BPA Instances Security Group"
             },
             "SecurityGroupRule": {
               "Cidr": "0.0.0.0/0",
               "Direction": "ingress",
               "PortRange": {
                 "From": 22,
                 "To": 22
               },
               "Protocol": "tcp"
             }
           },
           {
             "SequenceNumber": 4,
             "AttachedTo": {
               "Id": "i-058db34f9a0997895",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:instance/i-058db34f9a0997895",
               "Name": "VPC BPA Instance A"
             },
             "Component": {
               "Id": "eni-0fa23f2766f03b286",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:network-interface/eni-0fa23f2766f03b286"
             },
             "InboundHeader": {
               "DestinationAddresses": [
                 "10.0.1.85/32"
               ],
               "DestinationPortRanges": [
                 {
                   "From": 22,
                   "To": 22
                 }
               ],
               "Protocol": "6",
               "SourceAddresses": [
                 "0.0.0.0/5",
                 "100.0.0.0/10",
                 "96.0.0.0/6"
               ],
               "SourcePortRanges": [
                 {
                   "From": 0,
                   "To": 65535
                 }
               ]
             },
             "Subnet": {
               "Id": "subnet-035d235a762eeed04",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:subnet/subnet-035d235a762eeed04",
               "Name": "VPC BPA Public Subnet A"
             },
             "Vpc": {
               "Id": "vpc-0762547ec48b6888d",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
               "Name": "VPC BPA"
             }
           }
         ]
       }
     ],
     "AnalysisStatus": "succeeded",
     "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
     "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
   }
   ```

   Les résultats indiquent le trafic à destination et en provenance des passerelles Internet VPCs dans l'ensemble de votre compte. Les résultats sont organisés sous forme de « constatations ». FindingId« :" AnalysisFinding -1" indique qu'il s'agit du premier résultat de l'analyse. Notez qu’il existe plusieurs résultats et que chacun indique un flux de trafic affecté par l’activation de la fonctionnalité VPC BPA. La première constatation montrera que le trafic a commencé sur une passerelle Internet (» SequenceNumber « : 1), est passé à une NACL (» SequenceNumber « : 2) à un groupe de sécurité (» SequenceNumber « : 3) et s'est terminé sur une instance (» SequenceNumber « : 4).

1. Analysez les résultats pour comprendre l'impact du BPA VPC sur les ressources de votre entreprise. VPCs

L’analyse de l’impact est terminée.

------

## Scénario 1 : connexion à des instances sans que la fonctionnalité VPC BPA soit activée
<a name="vpc-bpa-scenario-1-connect-scen1"></a>

Dans cette section, les instances EC2 des sous-réseaux publics A et B sont accessibles depuis Internet via la passerelle Internet, qui autorise le trafic entrant et sortant. Les instances C et D du sous-réseau privé peuvent envoyer le trafic sortant via la passerelle NAT ou la passerelle Internet de sortie uniquement, mais ne sont pas directement accessibles depuis Internet. Cette configuration permet d’accéder à certaines ressources via Internet tout en protégeant les autres ressources. Le but de cette configuration est de définir une base de référence et de vous assurer qu’avant d’activer la fonctionnalité VPC BPA, toutes les instances sont accessibles, en vous connectant à toutes les instances et en envoyant un ping à une adresse IP publique. 

Schéma d’un VPC sans la fonctionnalité VPC BPA activée :

![\[Schéma illustrant un VPC sans la fonctionnalité VPC BPA activée.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/vpc-bpa-1.png)


### 1.1 Se connecter à des instances
<a name="vpc-bpa-scenario-1-connect-scen1-sub"></a>

Terminez cette section pour vous connecter à vos instances lorsque la fonctionnalité VPC BPA est désactivée afin de pouvoir vous connecter sans problème. Toutes les instances créées avec le CloudFormation pour cet exemple portent des noms tels que « Instance VPC BPA A ».

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Ouvrez les détails de l’instance A.

1. Connectez-vous à l’instance A à l’aide de l’option **EC2 Instance Connect** > **Se connecter à l’aide du point de terminaison EC2 Instance Connect**.

1. Choisissez **Se connecter**. Une fois que vous avez réussi à vous connecter à l’instance, envoyez un ping à www.amazon.com pour vérifier que vous pouvez envoyer des demandes sortantes vers Internet.

1. Utilisez la même méthode que celle utilisée pour vous connecter à l’instance A pour vous connecter aux instances B, C et D. À partir de chaque instance, envoyez un ping à www.amazon.com pour vérifier que vous pouvez envoyer des demandes sortantes vers Internet.

------
#### [ AWS CLI ]

1. Envoyez un ping à l'instance A à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 18.225.8.244
   ```

   Sortie :

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
   Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 18:27:57 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING www-amazon-com.customer.fastly.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=15 ttl=58 time=2.06 ms
   64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=16 ttl=58 time=2.26 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Envoyez un ping à l'instance B à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 3.18.106.198
   ```

   Sortie :

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Reply from 3.18.106.198: bytes=32 time=83ms TTL=110
   Reply from 3.18.106.198: bytes=32 time=54ms TTL=110
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id  i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.
   Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Fri Sep 27 18:12:27 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.55 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.67 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Connectez-vous à l’instance C. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.
   Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Thu Sep 19 20:31:26 2024 from 10.0.2.86
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.75 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.97 ms
   64 bytes from server-3-160-24-26.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=3 ttl=248 time=1.08 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Connectez-vous à l’instance D. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   The authenticity of host '10.0.3.59 can't be established.
   ECDSA key fingerprint is SHA256:c4naBCqbC61/cExDyccEproNU+1HHSpMSzl2J6cOtIZA8g.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.3.59' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ _/
   _/m/'
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121)) 56 data bytes
   64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.19 ms
   64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.38 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

------

## Scénario 2 : activation de la fonctionnalité VPC BPA en mode bidirectionnel
<a name="vpc-bpa-scenario-1-connect-scen2"></a>

Dans cette section, vous allez activer la fonctionnalité VPC BPA et bloquer le trafic à destination et en provenance des passerelles Internet de votre compte.

Schéma illustrant le mode bidirectionnel VPC BPA activé :

![\[Schéma illustrant le VPC avec le mode bidirectionnel VPC BPA activé.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/vpc-bpa-2.png)


### 2.1 Activation du mode bidirectionnel VPC BPA
<a name="vpc-bpa-scenario-1-connect-scen2-sub1"></a>

Terminez cette section pour activer la fonctionnalité VPC BPA. Le mode bidirectionnel VPC BPA bloque tout le trafic à destination et en provenance des passerelles Internet et des passerelles Internet de sortie uniquement dans cette région (à l'exception des réseaux exclus et des sous-réseaux). VPCs 

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.

1. Choisissez **Modifier les paramètres d’accès public**.

1. Choisissez **Activer le blocage d’accès public** et **Bidirectionnel**, puis sélectionnez **Enregistrer les modifications**.

1. Attendez que l’**état** passe à **Activé**. Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

La fonctionnalité VPC BPA est désormais activée.

------
#### [ AWS CLI ]

1. Utilisez la commande modify-vpc-block-public -access-options pour activer le BPA VPC :

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

1. Affichez l’état de la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

### 2.2 Se connecter à des instances
<a name="vpc-bpa-scenario-1-connect-scen2-sub2"></a>

Terminez cette section pour vous connecter à vos instances.

------
#### [ AWS Management Console ]

1. Envoyez un ping à l' IPv4 adresse publique de l'instance A et de l'instance B comme vous l'avez fait dans le scénario 1. Notez que le trafic est bloqué.

1. Connectez-vous à l’instance A à l’aide de l’option **EC2 Instance Connect** > **Se connecter à l’aide du point de terminaison EC2 Instance Connect** comme vous l’avez fait dans le scénario 1. Assurez-vous d’utiliser l’option de point de terminaison.

1. Choisissez **Se connecter**. Une fois que vous avez réussi à vous connecter à l’instance, envoyez un ping à www.amazon.com. Notez que tout le trafic sortant est bloqué.

1. Utilisez la même méthode que celle utilisée pour vous connecter à l’instance A pour vous connecter aux instances B, C et D, puis testez les demandes sortantes vers Internet. Notez que tout le trafic sortant est bloqué.

------
#### [ AWS CLI ]

1. Envoyez un ping à l'instance A à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 18.225.8.244
   ```

   Sortie :

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   The authenticity of host '10.0.1.85' can't be established.
   ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Envoyez un ping à l'instance B à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 3.18.106.198
   ```

   Sortie :

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id  i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   The authenticity of host '10.0.2.98' can't be established.
   ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Connectez-vous à l’instance C. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Tue Sep 24 15:17:56 2024 from 10.0.2.86
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Connectez-vous à l’instance D. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ _/
   _/m/'
   Last login: Fri Sep 27 16:42:01 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:8200:7:49a5:5fd4:b121 (2600:9000:25f3:8200:7:49a5:5fd4:b121)) 56 data bytes
   ```

   Notez que le ping échoue et que le trafic est bloqué.

------

### 2.3 Facultatif : vérifier que la connectivité est bloquée à l’aide de l’analyseur d’accessibilité
<a name="vpc-bpa-scenario-1-connect-scen2-sub3"></a>

L’[analyseur d’accessibilité VPC](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) peut être utilisé pour comprendre si certains chemins d’accès réseau sont accessibles en fonction de la configuration de votre réseau, y compris les paramètres VPC BPA. Dans cet exemple, vous analyserez le même chemin réseau que celui qui a été tenté précédemment pour confirmer que la fonctionnalité VPC BPA est à l’origine de l’échec de la connectivité.

------
#### [ AWS Management Console ]

1. Accédez à la console Network Insights à l’adresse [https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).

1. Cliquez sur **Créer et analyser le chemin**.

1. Dans **Type de source**, choisissez **Passerelles Internet** et sélectionnez la passerelle Internet étiquetée **Passerelle Internet VPC BPA** dans le menu déroulant **Source**.

1. Dans **Type de destination**, choisissez **Instances** et sélectionnez l’instance étiquetée **Instance A VPC BPA** dans le menu déroulant **Destination**.

1. Cliquez sur **Créer et analyser le chemin**.

1. Attendez que l’analyse se termine. Cela peut prendre quelques minutes.

1. Une fois l’analyse terminée, vous devriez voir que l’**État d’accessibilité** est défini sur **Non joignable** et que les **Détails du chemin** indiquent que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` en est la cause.

------
#### [ AWS CLI ]

1. Créez un chemin réseau à l’aide de l’ID de la passerelle Internet étiquetée Passerelle Internet VPC BPA et de l’ID de l’instance étiquetée Instance A VPC BPA :

   ```
   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
   ```

1. Lancez une analyse sur le chemin réseau :

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Récupérez les résultats de l’analyse :

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Vérifiez que `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` est le `ExplanationCode` du manque d’accessibilité.

------

Notez que vous pouvez également utiliser la section [Surveillance de l’impact de la fonctionnalité VPC BPA à l’aide des journaux de flux](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl).

## Scénario 3 : modification du mode VPC BPA en mode d’entrée uniquement
<a name="vpc-bpa-scenario-3"></a>

Dans cette section, vous allez modifier la direction du trafic VPC BPA et n’autoriser que le trafic qui utilise une passerelle NAT ou une passerelle Internet de sortie uniquement. Les instances EC2 A et B des sous-réseaux publics seront injoignables depuis Internet du fait que la fonctionnalité BPA bloque le trafic entrant via la passerelle Internet. Les instances C et D du sous-réseau privé pourront toujours envoyer le trafic sortant via la passerelle NAT ou la passerelle Internet de sortie uniquement et pourront donc toujours accéder à Internet.

Schéma du mode VPC BPA d’entrée uniquement activé :

![\[Schéma illustrant le VPC avec le mode VPC BPA d’entrée uniquement activé.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/vpc-bpa-3.png)


### 3.1 Changer le mode VPC BPA en mode d’entrée uniquement
<a name="vpc-bpa-scenario-1-connect-scen3-sub1"></a>

Terminez cette section pour changer de mode.

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.

1. Dans l’onglet **Bloquer l’accès public**, sélectionnez **Modifier les paramètres d’accès public**.

1. Modifiez les paramètres d’accès public dans la console VPC et réglez la direction sur **Entrée uniquement**.

1. Enregistrez les modifications et attendez que l’état soit mis à jour. Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

------
#### [ AWS CLI ]

1. Modifiez le mode VPC BPA :

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
   ```

   Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

1. Affichez l’état de la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

### 3.2 Se connecter à des instances
<a name="vpc-bpa-scenario-1-connect-scen3-sub2"></a>

Terminez cette section pour vous connecter aux instances.

------
#### [ AWS Management Console ]

1. Envoyez un ping à l' IPv4 adresse publique de l'instance A et de l'instance B comme vous l'avez fait dans le scénario 1. Notez que le trafic est bloqué.

1. Connectez-vous aux instances A et B à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com à partir de ces instances. Notez que vous ne pouvez pas envoyer de ping à un site public sur Internet à partir de l’instance A ou B et que le trafic est bloqué.

1. Connectez-vous aux instances C et D à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com à partir de ces instances. Notez que vous pouvez envoyer un ping à un site public sur Internet à partir de l’instance C ou D et que le trafic est autorisé.

------
#### [ AWS CLI ]

1. Envoyez un ping à l'instance A à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 18.225.8.244
   ```

   Sortie :

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   The authenticity of host '10.0.1.85' can't be established.
   ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Envoyez un ping à l'instance B à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 3.18.106.198
   ```

   Sortie :

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   The authenticity of host '10.0.2.98 ' can't be established.
   ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ /
   /m/'
   Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Connectez-vous à l’instance C. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'                                                                                        
   Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86                                                     
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com                                                         
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.                                 
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Connectez-vous à l’instance D. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 16:48:38 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121)) 56 data bytes
   64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=14 ttl=58 time=1.47 ms
   64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=16 ttl=58 time=1.59 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

------

## Scénario 4 : créer une exclusion
<a name="vpc-bpa-scenario-4"></a>

Dans cette section, vous allez créer une exclusion. La fonctionnalité VPC BPA bloquera alors uniquement le trafic sur les sous-réseaux *sans* exclusion. Une exclusion VPC BPA est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l’exempter du mode VPC BPA du compte et autoriser un accès bidirectionnel ou de sortie uniquement. Vous pouvez créer des exclusions VPC BPA pour les sous-réseaux VPCs et les sous-réseaux même lorsque le BPA VPC n'est pas activé sur le compte afin de garantir que le trafic des exclusions n'est pas perturbé lorsque le BPA VPC est activé. 

Dans cet exemple, nous allons créer une exclusion pour le sous-réseau A afin de montrer comment le trafic vers les exclusions est impacté par la fonctionnalité VPC BPA.

Schéma du mode VPC BPA d’entrée uniquement activé et de l’exclusion du sous-réseau A avec mode bidirectionnel activé :

![\[Schéma illustrant un VPC avec la fonctionnalité VPC BPA en mode d’entrée uniquement, avec une exclusion.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/vpc-bpa-4.png)


### 4.1 Créer une exclusion pour le sous-réseau A
<a name="vpc-bpa-scenario-1-connect-scen4-sub1"></a>

Terminez cette section pour créer une exclusion. Une exclusion VPC BPA est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l’exempter du mode VPC BPA du compte et autoriser un accès bidirectionnel ou de sortie uniquement. Vous pouvez créer des exclusions VPC BPA pour les sous-réseaux VPCs et les sous-réseaux même lorsque le BPA VPC n'est pas activé sur le compte afin de garantir que le trafic des exclusions n'est pas perturbé lorsque le BPA VPC est activé.

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.

1. Dans l’onglet **Bloquer l’accès public**, sous **Exclusions**, choisissez **Créer des exclusions**.

1. Choisissez **Sous-réseau public A du VPC BPA**, assurez-vous de sélectionnez l’option **Bidirectionnel**, puis choisissez **Créer des exclusions**.

1. Attendez que l’**état d’exclusion** passe à **Actif**. Vous devrez peut-être actualiser le tableau des exclusions pour voir la modification.

L’exclusion est créée.

------
#### [ AWS CLI ]

1. Modifiez le sens d’autorisation de l’exclusion :

   ```
   aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
   ```

1. La mise à jour de l’état d’exclusion peut prendre un certain temps. Pour afficher l’état de l’exclusion :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
   ```

------

### 4.2 Se connecter à des instances
<a name="vpc-bpa-scenario-1-connect-scen4-sub2"></a>

Terminez cette section pour vous connecter aux instances.

------
#### [ AWS Management Console ]

1. Envoyez un ping à l' IPv4 adresse publique de l'instance A. Notez que le trafic est autorisé.

1. Envoyez un ping à l' IPv4 adresse publique de l'instance B. Notez que le trafic est bloqué.

1. Connectez-vous à l’instance A à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com. Notez que vous pouvez envoyer un ping à un site public sur Internet à partir de l’instance A. Le trafic est autorisé.

1. Connectez-vous à l’instances B à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com à partir de cette instance. Notez que vous ne pouvez pas envoyer de ping à un site public sur Internet à partir de l’instance B. Le trafic est bloqué.

1. Connectez-vous aux instances C et D à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com à partir de ces instances. Notez que vous pouvez envoyer un ping à un site public sur Internet à partir des instances C ou D. Le trafic est autorisé.

------
#### [ AWS CLI ]

1. Envoyez un ping à l'instance A à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 18.225.8.244
   ```

   Sortie :

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
   Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 17:58:12 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.03 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.72 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Envoyez un ping à l'instance B à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 3.18.106.198
   ```

   Sortie :

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ /
   /m/'
   Last login: Fri Sep 27 18:12:03 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Connectez-vous à l’instance C. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Output

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ /
   /m/'                                                                                           
   Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86                                                     
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com                                                         
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.                                 
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Connectez-vous à l’instance D. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Output

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:00:52 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4)) 56 data bytes
   64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=1 ttl=48 time=15.9 ms
   64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=2 ttl=48 time=15.8 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

------

### 4.3 Facultatif : vérifier la connectivité l’aide de l’analyseur d’accessibilité
<a name="vpc-bpa-scenario-1-connect-scen4-sub3"></a>

En utilisant le même chemin réseau que celui créé dans l’analyseur d’accessibilité dans le scénario 2, vous pouvez désormais exécuter une nouvelle analyse et confirmer que le chemin est accessible maintenant qu’une exclusion a été créée pour le sous-réseau public A.

Pour plus d’informations sur la disponibilité régionale de l’analyseur d’accessibilité, consultez [Considérations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) dans le *Guide de l’analyseur d’accessibilité*.

------
#### [ AWS Management Console ]

1. À partir du chemin réseau que vous avez créé précédemment dans la console Network Insights, cliquez sur **Exécuter à nouveau l’analyse**.

1. Attendez que l’analyse se termine. Cette opération peut prendre plusieurs minutes.

1. Vérifiez que le chemin est désormais **accessible**.

------
#### [ AWS CLI ]

1. À l’aide de l’ID de chemin réseau créé précédemment, lancez une nouvelle analyse :

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Récupérez les résultats de l’analyse :

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Vérifiez que le code d’explication `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` n’est plus présent.

------

## Scénario 5 : modifier le mode d’exclusion
<a name="vpc-bpa-scenario-5"></a>

Dans cette section, vous allez modifier la direction du trafic autorisé lors de l’exclusion pour voir son impact sur la fonctionnalité VPC BPA. 

**Note**  
Dans ce scénario, vous allez modifier le mode d’exclusion en mode de sortie uniquement. Notez que dans ce cas, l’exclusion de sortie uniquement sur le sous-réseau A n’autorise pas le trafic sortant, ce qui est contraire à la logique, du fait qu’on pourrait s’attendre à ce qu’elle autorise le trafic sortant. Néanmoins, la fonctionnalité BPA au niveau du compte étant en mode d’entrée uniquement, les exclusions de sortie uniquement sont ignorées, et le routage du sous-réseau A vers une passerelle Internet est restreint par la fonctionnalité VPC BPA, bloquant ainsi le trafic sortant. Pour activer le trafic sortant sur le sous-réseau A, il faudrait basculer la fonctionnalité VPC BPA en mode bidirectionnel.

Schéma du mode VPC BPA d’entrée uniquement activé et de l’exclusion du sous-réseau A avec mode de sortie uniquement activé :

![\[Schéma illustrant un VPC avec la fonctionnalité VPC BPA en mode d’entrée uniquement, autorisant le trafic sortant via une passerelle NAT.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/vpc-bpa-5.png)


### 5.1 Modifier l’exclusion pour autoriser la direction vers la sortie uniquement
<a name="vpc-bpa-scenario-1-connect-scen5-sub1"></a>

Terminez cette section pour modifier le sens de l’autorisation d’exclusion.

------
#### [ AWS Management Console ]

1. Modifiez l’exclusion que vous avez créée dans le scénario 4 et modifiez le sens d’autorisation en mode **Sortie uniquement.**

1. Sélectionnez **Enregistrer les modifications**.

1. Attendez que l’**état d’exclusion** passe à **Actif**. Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour. Vous devrez peut-être actualiser le tableau des exclusions pour voir la modification.

------
#### [ AWS CLI ]

1. Modifiez le sens d’autorisation de l’exclusion :

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-exclusion --exclusion-id exclusion-id --internet-gateway-exclusion-mode allow-egress
   ```

   Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

1. La mise à jour de l’état d’exclusion peut prendre un certain temps. Pour afficher l’état de l’exclusion :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusion
   ```

------

### 5.2 Se connecter à des instances
<a name="vpc-bpa-scenario-1-connect-scen5-sub2"></a>

Terminez cette section pour vous connecter aux instances.

------
#### [ AWS Management Console ]

1. Envoyez un ping à l' IPv4 adresse publique des instances A et B. Notez que le trafic est bloqué.

1. Connectez-vous aux instances A et B à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com. Notez que vous ne pouvez pas envoyer de ping à un site public sur Internet à partir des instances A ou B. Le trafic est bloqué.

1. Connectez-vous aux instances C et D à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com à partir de ces instances. Notez que vous pouvez envoyer un ping à un site public sur Internet à partir des instances C ou D. Le trafic est autorisé.

------
#### [ AWS CLI ]

1. Envoyez un ping à l'instance A à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 18.225.8.244
   ```

   Sortie :

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Envoyez un ping à l'instance B à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 3.18.106.198
   ```

   Sortie :

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Connectez-vous à l’instance C. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice      
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:00:31 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121)) 56 data bytes
   64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.51 ms
   64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.49 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

1. Connectez-vous à l’instance D. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:13:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2606:2cc0::374 (2606:2cc0::374)) 56 data bytes
   64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=1 ttl=58 time=1.21 ms
   64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=2 ttl=58 time=1.51 ms
   ```

   Notez que le ping est réussi et que le trafic n’est pas bloqué.

------

## Scénario 6 : modification du mode de la fonctionnalité VPC BPA
<a name="vpc-bpa-scenario-6"></a>

Dans cette section, vous allez modifier la direction du blocage de la fonctionnalité VPC BPA pour voir son impact sur le trafic. Dans ce scénario, le VPC BPA activé en mode bidirectionnel bloque tout le trafic, comme dans le scénario 1. À moins qu’une exclusion ait accès à une passerelle NAT ou à une passerelle Internet de sortie uniquement, le trafic est bloqué.

Schéma du mode VPC BPA bidirectionnel activé et de l’exclusion du sous-réseau A avec mode de sortie uniquement activé :

![\[Schéma illustrant un VPC avec la fonctionnalité VPC BPA en mode d’entrée uniquement, autorisant le trafic sortant via une passerelle NAT\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/vpc-bpa-6.png)


### 6.1 Modifier le VPC BPA en mode bidirectionnel
<a name="vpc-bpa-scenario-1-connect-scen6-sub1"></a>

Terminez cette section pour modifier le mode de la fonctionnalité VPC BPA.

------
#### [ AWS Management Console ]

1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.

1. Choisissez **Modifier les paramètres d’accès public**.

1. Changez le sens du blocage en **Bidirectionnel**, puis choisissez **Enregistrer les modifications**.

1. Attendez que l’**état** passe à **Activé**. Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

------
#### [ AWS CLI ]

1. Modifiez le sens de blocage de la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Cela peut prendre quelques minutes avant que les paramètres VPC BPA prennent effet et que l’état soit mis à jour.

1. Affichez l’état de la fonctionnalité VPC BPA :

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

### 6.2 Se connecter à des instances
<a name="vpc-bpa-scenario-1-connect-scen6-sub2"></a>

Terminez cette section pour vous connecter aux instances.

------
#### [ AWS Management Console ]

1. Envoyez un ping à l' IPv4 adresse publique des instances A et B. Notez que le trafic est bloqué.

1. Connectez-vous aux instances A et B à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com. Notez que vous ne pouvez pas envoyer de ping à un site public sur Internet à partir des instances A ou B. Le trafic est bloqué.

1. Connectez-vous aux instances C et D à l’aide d’EC2 Instance Connect comme vous l’avez fait dans le scénario 1 et envoyez un ping à www.amazon.com à partir de ces instances. Notez que vous ne pouvez pas envoyer de ping à un site public sur Internet à partir des instances C ou D. Le trafic est bloqué.

------
#### [ AWS CLI ]

1. Envoyez un ping à l'instance A à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 18.225.8.244
   ```

   Sortie :

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:17:44 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Envoyez un ping à l'instance A à l'aide de IPv4 l'adresse publique pour vérifier le trafic entrant :

   ```
   ping 3.18.106.198
   ```

   Sortie :

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Utilisez l' IPv4 adresse privée pour vous connecter et vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Connectez-vous à l’instance C. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice                                   
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:19:45 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:6200:7:49a5:5fd4:b121 (2600:9000:25f3:6200:7:49a5:5fd4:b121)) 56 data bytes
   ```

   Notez que le ping échoue et que le trafic est bloqué.

1. Connectez-vous à l’instance D. Comme il n’existe aucune adresse IP publique à laquelle envoyer un ping, utilisez EC2 Instance Connect pour vous connecter, puis envoyez un ping à une adresse IP publique depuis l’instance pour vérifier le trafic sortant :

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice                                  
   ```

   Sortie :

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:20:58 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:b400:7:49a5:5fd4:b121 (2600:9000:25f3:b400:7:49a5:5fd4:b121)) 56 data bytes
   ```

   Notez que le ping échoue et que le trafic est bloqué.

------

## Nettoyage
<a name="vpc-bpa-scenario-cleanup"></a>

Dans cette section, vous allez supprimer toutes les ressources que vous avez créées pour cet exemple avancé. Il est important de nettoyer les ressources afin d’éviter des frais supplémentaires pour les ressources créées sur votre compte.

### Supprimer les CloudFormation ressources
<a name="vpc-bpa-scenario-1-connect-cleanup-sub1"></a>

Complétez cette section pour supprimer les ressources que vous avez créées avec le CloudFormation modèle.

------
#### [ AWS Management Console ]

1. Ouvrez la CloudFormation console à l'adresse[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).

1. Choisissez la pile VPC BPA.

1. Sélectionnez **Delete (Supprimer)**.

1. Une fois que vous avez commencé à supprimer la pile, affichez l’onglet **Événements** pour voir la progression et vous assurer que la pile est supprimée. Vous devrez peut-être [forcer la suppression de la pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) pour qu’elle soit complètement supprimée.

------
#### [ AWS CLI ]

1. Supprimez la CloudFormation pile. Vous devrez peut-être [forcer la suppression de la pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) pour qu’elle soit complètement supprimée.

   ```
   aws cloudformation delete-stack --stack-name VPC-BPA-stack --region us-east-2
   ```

1. Affichez la progression et assurez-vous que la pile est supprimée.

   ```
   aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
   ```

------

### Suivez la suppression des exclusions à l'aide de CloudTrail
<a name="vpc-bpa-scenario-1-connect-cleanup-sub2"></a>

Complétez cette section pour suivre la suppression des exclusions à l'aide de AWS CloudTrail. CloudTrail des entrées apparaissent lorsque vous supprimez une exclusion.

------
#### [ AWS Management Console ]

Vous pouvez consulter toutes les exclusions supprimées dans l'historique des CloudTrail événements en recherchant **Type de ressource** > **AWS : :EC2 : : VPCBlock PublicAccessExclusion** dans la AWS CloudTrail console à l'adresse. [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)

------
#### [ AWS CLI ]

Vous pouvez utiliser la commande lookup-events pour afficher les événements liés à la suppression d’exclusions :

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```

------

L’exemple avancé est terminé.

# Bonnes pratiques de sécurité pour votre VPC
<a name="vpc-security-best-practices"></a>

 Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
+ Lorsque vous ajoutez des sous-réseaux à votre VPC pour héberger votre application, créez-les dans plusieurs zones de disponibilité. Une zone de disponibilité est un ou plusieurs centres de données distincts dotés d'une alimentation, d'un réseau et d'une connectivité redondants dans une AWS région. L'utilisation de plusieurs zones de disponibilité rend vos applications de production hautement disponibles, tolérantes aux pannes et évolutives.
+ Utilisez des groupes de sécurité pour contrôler le trafic vers les instances EC2 dans vos sous-réseaux. Pour de plus amples informations, veuillez consulter [Groupes de sécurité](vpc-security-groups.md).
+ Utilisez le réseau ACLs pour contrôler le trafic entrant et sortant au niveau du sous-réseau. Pour de plus amples informations, veuillez consulter [Contrôler le trafic des sous-réseaux à l’aide de listes de contrôle d’accès réseau](vpc-network-acls.md).
+ Gérez l'accès aux AWS ressources de votre VPC à l'aide de la fédération d'identité Gestion des identités et des accès AWS (IAM), des utilisateurs et des rôles. Pour de plus amples informations, veuillez consulter [Identity and Access Management pour Amazon VPC](security-iam.md).
+ Utilisez les journaux de flux de VPC pour surveiller le trafic IP entrant et sortant du VPC, du sous-réseau, ou de l'interface réseau. Pour de plus amples informations, veuillez consulter [Journaux de flux VPC](flow-logs.md).
+ Utilisez l'analyseur d'accès réseau pour identifier les accès réseau involontaires aux ressources de notre. VPCs Pour plus d'informations, consultez le [Guide de l'utilisateur de l'analyseur d'accès réseau](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
+  AWS Network Firewall Utilisez-le pour surveiller et protéger votre VPC en filtrant le trafic entrant et sortant. Pour plus d’informations, consultez le [Guide de l’utilisateur AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/).
+ Utilisez Amazon GuardDuty pour détecter les menaces potentielles qui pèsent sur vos comptes, vos conteneurs, vos charges de travail et vos données au sein de votre AWS environnement. La détection des menaces de base inclut la surveillance des journaux de flux VPC associés à vos instances Amazon EC2. Pour plus d'informations, consultez la section [VPC Flow Logs](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) dans le guide de * GuardDuty l'utilisateur Amazon*.

Pour obtenir les réponses aux questions fréquemment posées concernant la sécurité des VPC, consultez la section *Sécurité et filtrage* dans Amazon [VPC](https://aws.amazon.com/vpc/faqs/). FAQs