Autoriser le trafic entrant pour vos instances Linux - Amazon Elastic Compute Cloud

Autoriser le trafic entrant pour vos instances Linux

Les groupes de sécurité vous permettent de contrôler le trafic vers votre instance, y compris celui qui peut atteindre votre instance. Par exemple, vous pouvez n'autoriser que les ordinateurs de votre réseau domestique à accéder à votre instance avec SSH. Si votre instance est un serveur web, vous pouvez autoriser toutes les adresses IP à accéder à votre instance via HTTP ou HTTPS, de telle sorte que les utilisateurs externes puissent parcourir le contenu de votre serveur web.

Vos groupes de sécurité par défaut et les groupes de sécurité nouvellement créés incluent les règles par défaut qui ne vous permettent pas d'accéder à votre instance depuis Internet. Pour plus d'informations, consultez Groupes de sécurité par défaut et Custom security groups. Pour autoriser l'accès réseau à votre instance, vous devez autoriser le trafic entrant vers votre instance. Pour ouvrir un port pour le trafic entrant, ajoutez une règle au groupe de sécurité que vous avez associé à votre instance quand vous l'avez lancée.

Pour vous connecter à votre instance, vous devez configurer une règle pour autoriser le trafic SSH à partir de l'adresse IPv4 publique de votre ordinateur. Pour autoriser le trafic SSH à partir des plages supplémentaires d'adresses IP, ajoutez une règle pour chaque plage que vous devez autoriser.

Si vous avez activé votre VPC pour IPv6 et lancé votre instance avec une adresse IPv6, vous pouvez vous connecter à l'instance à l'aide de son adresse IPv6 au lieu d'une adresse IPv4 publique. Votre ordinateur local doit avoir une adresse IPv6 et doit être configuré pour utiliser IPv6.

Si vous devez autoriser le trafic réseau vers une instance Windows, consultez Autorisation du trafic entrant pour vos instances Windows dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Avant de commencer

Décidez qui nécessite un accès à votre instance. Il peut s'agir d'un hôte unique ou d'un réseau spécifique que vous approuvez. Par exemple, vous pouvez choisir l'adresse IPv4 publique de votre ordinateur local. L'éditeur de groupe de sécurité de la console Amazon EC2 peut détecter automatiquement l'adresse IPv4 publique de votre ordinateur local pour vous. Sinon, vous pouvez utiliser l'expression de recherche « quelle est mon adresse IP ? » dans un navigateur Internet, ou utiliser le service suivant : Check IP. Si votre connexion s'effectue via un ISP ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

Avertissement

Si vous utilisez 0.0.0.0/0, vous permettez à toutes les adresses IPv4 d'accéder à votre instance à l’aide de SSH. Si vous utilisez ::/0, vous permettez à toutes les adresses IPv6 d'accéder à votre instance. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production. Dans un environnement de production, vous autorisez uniquement l'accès à votre instance pour une adresse IP ou une plage d'adresses spécifiques.

Décidez si vous allez prendre en charge l'accès SSH à vos instances à l'aide de EC2 Instance Connect. Si vous n'avez pas l'intention d'utiliser EC2 Instance Connect, envisagez de le désinstaller ou de refuser l'action suivante dans vos stratégies IAM : ec2-instance-connect:SendSSHPublicKey. Pour plus d'informations, consultez Désinstallation d'EC2 Instance Connect et Configurer les autorisations IAM pour EC2 Instance Connect.

Ajouter une règle pour le trafic SSH entrant vers une instance Linux

Les groupes de sécurité font office de pare-feu pour les instances associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance. Vous devez ajouter des règles à un groupe de sécurité pour pouvoir vous connecter à votre instance Linux à partir de votre adresse IP avec SSH.

New console

Pour ajouter une règle à un groupe de sécurité pour le trafic SSH entrant sur IPv4 (console)

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez votre instance et, dans la moitié inférieure de l'écran, sélectionnez l'onglet Security (Sécurité). Security groups (Groupes de sécurité) répertorie les groupes de sécurité associés à l'instance. Inbound rules (Règles entrantes) affiche la liste des règles entrantes en vigueur pour l'instance.

  4. Pour le groupe de sécurité auquel vous allez ajouter la nouvelle règle, sélectionnez le lien de l'ID du groupe de sécurité pour ouvrir le groupe de sécurité.

  5. Sous l'onglet Inbound Rules (Règles entrantes), sélectionnez Edit inbound rules (Modifier les règles entrantes).

  6. Sur la page Edit inbound rules (Modifier les règles entrantes), procédez comme suit :

    1. Choisissez Add rule.

    2. Pour Type, choisissez SSH.

    3. Dans Source, sélectionnez My IP (Mon IP) pour remplir automatiquement le champ avec l'adresse IPv4 publique de votre ordinateur local.

      Sinon, dans Source, sélectionnez Custom (Personnalisé) et spécifiez l'adresse IPv4 publique de votre ordinateur ou réseau en notation CIDR. Par exemple, si votre adresse IPv4 est 203.0.113.25, saisissez 203.0.113.25/32 pour afficher cette seule adresse IPv4 en notation CIDR. Si votre entreprise alloue des adresses à partir d'une plage, saisissez la plage complète, telle que 203.0.113.0/24.

      Pour plus d'informations sur la recherche de votre adresses IP, consultez Avant de commencer.

    4. Sélectionnez Save rules (Enregistrer les règles).

Old console

Pour ajouter une règle à un groupe de sécurité pour le trafic SSH entrant sur IPv4 (console)

  1. Dans le panneau de navigation de la console Amazon EC2, choisissez Instances. Sélectionnez votre instance et regardez l'onglet Description ; Groupes de sécurité répertorie les groupes de sécurité associés à l'instance. Choisissez afficher les règles pour afficher la liste des règles en vigueur pour l'instance.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité. Sélectionnez l'un des groupes de sécurité associés à votre instance.

  3. Dans le volet des détails, sous l'onglet Entrant, choisissez Modifier. Dans la boîte de dialogue, choisissez Ajouter une règle, puis sélectionnez SSH dans la liste Type.

  4. Dans le champ Source, choisissez Mon IP pour remplir automatiquement le champ avec l'adresse IPv4 publique de votre ordinateur local. Sinon, choisissez Personnalisé et spécifiez l'adresse IPv4 publique de votre ordinateur ou réseau en notation CIDR. Par exemple, si votre adresse IPv4 est 203.0.113.25, spécifiez 203.0.113.25/32 pour afficher cette seule adresse IPv4 en notation CIDR. Si votre entreprise alloue des adresses à partir d'une plage, spécifiez la plage complète, telle que 203.0.113.0/24.

    Pour plus d'informations sur la recherche de votre adresses IP, consultez Avant de commencer.

  5. Choisissez Enregistrer.

Si vous avez lancé une instance avec une adresse IPv6 et que vous souhaitez vous connecter à votre instance à l'aide de son adresse IPv6, vous devez ajouter des règles qui autorisent le trafic IPv6 entrant sur SSH.

New console

Pour ajouter une règle à un groupe de sécurité pour le trafic SSH entrant sur IPv6 (console)

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez votre instance et, dans la moitié inférieure de l'écran, sélectionnez l'onglet Security (Sécurité). Security groups (Groupes de sécurité) répertorie les groupes de sécurité associés à l'instance. Inbound rules (Règles entrantes) affiche la liste des règles entrantes en vigueur pour l'instance.

  4. Pour le groupe de sécurité auquel vous allez ajouter la nouvelle règle, sélectionnez le lien de l'ID du groupe de sécurité pour ouvrir le groupe de sécurité.

  5. Sous l'onglet Inbound Rules (Règles entrantes), sélectionnez Edit inbound rules (Modifier les règles entrantes).

  6. Sur la page Edit inbound rules (Modifier les règles entrantes), procédez comme suit :

    1. Choisissez Add rule.

    2. Pour Type, choisissez SSH.

    3. Pour Source, sélectionnez Custom (Personnalisé) et saisissez l'adresse IPv6 de votre ordinateur en notation CIDR. Par exemple, si votre adresse IPv6 est 2001:db8:1234:1a00:9691:9503:25ad:1761, spécifiez 2001:db8:1234:1a00:9691:9503:25ad:1761/128 pour afficher la seule adresse IP en notation CIDR. Si votre entreprise alloue des adresses à partir d'une plage, saisissez la plage complète, telle que 2001:db8:1234:1a00::/64.

    4. Sélectionnez Save rules (Enregistrer les règles).

Old console

Pour ajouter une règle à un groupe de sécurité pour le trafic SSH entrant sur IPv6 (console)

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité. Sélectionnez le groupe de sécurité pour votre instance.

  3. Choisissez Entrant, Modifier, puis Ajouter une règle.

  4. Pour Type, choisissez SSH.

  5. Dans le champ Source, spécifiez l'adresse IPv6 publique de votre ordinateur en notation CIDR. Par exemple, si votre adresse IPv6 est 2001:db8:1234:1a00:9691:9503:25ad:1761, spécifiez 2001:db8:1234:1a00:9691:9503:25ad:1761/128 pour afficher la seule adresse IP en notation CIDR. Si votre entreprise alloue des adresses à partir d'une plage, spécifiez la plage complète, telle que 2001:db8:1234:1a00::/64.

  6. Choisissez Enregistrer.

Note

Veillez bien à exécuter les commandes suivantes sur votre système local, pas sur l'instance elle-même. Pour obtenir plus d'informations sur les CLI (interface ligne de commande), consultez le didacticiel Accès à Amazon EC2.

Pour ajouter une règle à un groupe de sécurité à l'aide de la ligne de commande

  1. Recherchez le groupe de sécurité associé à votre instance à l'aide de l'une des commandes suivantes :

    • describe-instance-attribute (AWS CLI)

      aws ec2 describe-instance-attribute --instance-id instance_id --attribute groupSet
    • Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)

      PS C:\> (Get-EC2InstanceAttribute -InstanceId instance_id -Attribute groupSet).Groups

    Les deux commandes renvoient un ID de groupe de sécurité que vous utiliserez à l'étape suivante.

  2. Ajoutez la règle au groupe de sécurité à l'aide de l'une des commandes suivantes :

    • authorize-security-group-ingress (AWS CLI)

      aws ec2 authorize-security-group-ingress --group-id security_group_id --protocol tcp --port 22 --cidr cidr_ip_range
    • Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

      La commande Grant-EC2SecurityGroupIngress a besoin d'un paramètre IpPermission qui décrit le protocole, la plage de ports et la plage d'adresses IP à utiliser pour la règle de groupe de sécurité. La commande suivante crée le paramètre IpPermission :

      PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="22"; ToPort="22"; IpRanges="cidr_ip_range" }
      PS C:\> Grant-EC2SecurityGroupIngress -GroupId security_group_id -IpPermission @($ip1)

Affecter un groupe de sécurité à une instance

Vous pouvez assigner un groupe de sécurité à une instance lorsque vous lancez l'instance. Quand vous ajoutez ou supprimez des règles, ces modifications sont automatiquement appliquées à toutes les instances auxquelles vous avez affecté le groupe de sécurité.

Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité. Pour plus d'informations, consultez Modification des groupes de sécurité d'une instance dans le Amazon VPC Guide de l'utilisateur.