Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Règles de groupe de sécurité pour différents cas d’utilisation
Vous pouvez créer un groupe de sécurité et ajouter des règles qui reflètent le rôle de l’instance qui est associée à ce groupe. Par exemple, une instance configurée en tant que serveur web nécessite des règles de groupe de sécurité qui autorisent l’accès HTTP et HTTPS entrant. De même, une instance de base de données a besoin de règles permettant l’accès au type de base de données, telles que l’accès via le port 3306 pour MySQL.
Voici des exemples de types de règles que vous pouvez ajouter à des groupes de sécurité pour des types d’accès spécifiques.
Exemples
- Règles de serveur web
- Règles de serveur de base de données
- Règles pour la connexion à des instances à partir de votre ordinateur
- Règles pour la connexion à des instances à partir d’une instance avec le même groupe de sécurité
- Règles pour Ping/ICMP
- Règles de serveur DNS
- Règles Amazon EFS
- Règles Elastic Load Balancing
- Règles d’appairage de VPC
Règles de serveur web
Les règles entrantes suivantes autorisent l’accès HTTP et HTTPS à partir de n’importe quelle adresse IP. Si votre VPC est activé pour IPv6, vous pouvez ajouter des règles pour contrôler le trafic HTTP et HTTPS entrant à partir d’adresses IPv6.
| Type de protocole | Numéro de protocole | Port | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Autorise l’accès HTTP entrant à partir de n’importe quelle adresse IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Autorise l’accès HTTPS entrant à partir de n’importe quelle adresse IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | Autorise l’accès HTTP entrant à partir de n’importe quelle adresse IPv6. |
| TCP | 6 | 443 (HTTPS) | ::/0 | Autorise l’accès HTTPS entrant à partir de n’importe quelle adresse IPv6. |
Règles de serveur de base de données
Les règles entrantes suivantes sont des exemples de règles que vous pouvez ajouter pour un accès à une base de données selon le type de base de données que vous exécutez sur votre instance. Pour plus d’informations sur les instances Amazon RDS, consultez le Guide de l’utilisateur Amazon RDS.
Pour l’adresse IP source, spécifiez l’une des options suivantes :
-
Une adresse IP spécifique ou une plage d’adresses IP (en notation de bloc CIDR) de votre réseau local
-
Un ID de groupe de sécurité pour un groupe d’instances qui accèdent à la base de données
| Type de protocole | Numéro de protocole | Port | Remarques |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | Port par défaut pour accéder à une base de données Microsoft SQL Server, par exemple, sur une instance Amazon RDS |
| TCP | 6 | 3306 (MYSQL/Aurora) | Port par défaut pour accéder à une base MySQL ou Aurora, par exemple, sur une instance Amazon RDS |
| TCP | 6 | 5439 (Redshift) | Port par défaut pour accéder à une base de données de cluster Amazon Redshift. |
| TCP | 6 | 5432 (PostgreSQL) | Port par défaut pour accéder à une base de données PostgreSQL, par exemple, sur une instance Amazon RDS |
| TCP | 6 | 1521 (Oracle) | Port par défaut pour accéder à une base de données Oracle, par exemple, sur une instance Amazon RDS |
Vous pouvez éventuellement restreindre le trafic sortant de vos serveurs de base de données. Par exemple, vous pouvez autoriser l’accès à Internet pour les mises à jour logicielles, mais limiter tous les autres types de trafic. Vous devez d’abord supprimer la règle sortante par défaut qui autorise tout le trafic sortant.
| Type de protocole | Numéro de protocole | Port | IP de destination | Remarques |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Autorise l’accès HTTP sortant vers toute adresse IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Autorise l’accès HTTPS sortant vers toute adresse IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | (VPC activé pour IPv6 uniquement) Autorise l’accès HTTP sortant vers toute adresse IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | (VPC activé pour IPv6 uniquement) Autorise l’accès HTTPS sortant vers toute adresse IPv6 |
Règles pour la connexion à des instances à partir de votre ordinateur
Pour se connecter à votre instance, votre groupe de sécurité doit avoir des règles entrantes qui autorisent l’accès SSH (pour les instances Linux) ou l’accès RDP (pour les instances Windows).
| Type de protocole | Numéro de protocole | Port | IP Source |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | Adresse IPv4 publique de votre ordinateur, ou une plage d’adresses IP de votre réseau local. Si votre VPC est activé pour IPv6 et que votre instance a une adresse IPv6, vous pouvez entrer une adresse ou une plage d’adresses IPv6. |
| TCP | 6 | 3389 (RDP) | Adresse IPv4 publique de votre ordinateur, ou une plage d’adresses IP de votre réseau local. Si votre VPC est activé pour IPv6 et que votre instance a une adresse IPv6, vous pouvez entrer une adresse ou une plage d’adresses IPv6. |
Règles pour la connexion à des instances à partir d’une instance avec le même groupe de sécurité
Pour autoriser les instances associées au même groupe de sécurité à communiquer les unes avec les autres, vous devez à cette fin ajouter des règles explicitement.
Note
Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l’adresse IP privée de l’autre instance ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.
Le tableau suivant décrit la règle entrante pour un groupe de sécurité qui permet aux instances associées de communiquer les unes avec les autres. La règle autorise tous les types de trafic.
| Type de protocole | Numéro de protocole | Ports | IP Source |
|---|---|---|---|
| -1 (Tout) | -1 (Tout) | -1 (Tout) | L’ID du groupe de sécurité, ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance (voir note). |
Règles pour Ping/ICMP
La commande ping est un type de trafic ICMP. Pour envoyer une commande ping à votre instance, vous devez ajouter l’une des règles ICMP entrantes suivantes.
| Type | Protocole | Source |
|---|---|---|
| ICMP personnalisé - IPv4 | Demande Echo | L’adresse IPv4 publique de votre ordinateur, une adresse IPv4 spécifique ou une adresse IPv4 ou IPv6 de n’importe où. |
| Tous les ICMP - IPv4 | ICMP IPv4 (1) | L’adresse IPv4 publique de votre ordinateur, une adresse IPv4 spécifique ou une adresse IPv4 ou IPv6 de n’importe où. |
Pour utiliser la commande ping6 afin d’effectuer un test ping sur l’adresse IPv6 pour votre instance, vous devez ajouter la règle ICMPv6 entrante suivante.
| Type | Protocole | Source |
|---|---|---|
| Tous les ICMP - IPv6 | ICMP IPv6 (58) | L’adresse IPv6 de votre ordinateur, une adresse IPv4 spécifique ou une adresse IPv4 ou IPv6 de n’importe où. |
Règles de serveur DNS
Si vous avez configuré votre instance EC2 en tant que serveur DNS, vous devez vous assurer que le trafic TCP et UDP peut accéder à votre serveur DNS via le port 53.
Pour l’adresse IP source, spécifiez l’une des options suivantes :
-
Adresse IP ou plage d’adresses IP (en notation de bloc CIDR) d’un réseau
-
L’ID d’un groupe de sécurité pour l’ensemble d’instances de votre réseau devant d’accéder au serveur DNS
| Type de protocole | Numéro de protocole | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Règles Amazon EFS
Si vous utilisez un système de fichiers Amazon EFS avec vos instances Amazon EC2, le groupe de sécurité que vous associez à vos cibles de montage Amazon EFS doit autoriser le trafic via le protocole NFS.
| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | ID du groupe de sécurité | Autorise l’accès NFS entrant à partir des ressources (y compris la cible de montage) associées à ce groupe de sécurité. |
Pour monter un système de fichiers Amazon EFS sur votre instance Amazon EC2 vous devez vous connecter à votre instance. Par conséquent, le groupe de sécurité associé à votre instance doit avoir des règles qui autorisent le trafic SSH entrant à partir de votre ordinateur local ou de votre réseau local.
| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | Plage d’adresses IP de votre ordinateur local ou plage d’adresses IP (en notation de bloc CIDR) de votre réseau. | Autorise l’accès SSH entrant depuis votre ordinateur local. |
Règles Elastic Load Balancing
Si vous utilisez un équilibreur de charge, le groupe de sécurité associé à celui-ci doit avoir des règles qui autorisent la communication avec vos instances ou cibles. Pour plus d’informations, consultez Configurer des groupes de sécurité pour votre Classic Load Balancer dans le Guide de l’utilisateur pour les Classic Load Balancer et Groupes de sécurité pour votre Application Load Balancer dans le Guide de l’utilisateur pour les Application Load Balancer.
Règles d’appairage de VPC
Vous pouvez mettre à jour les règles entrantes ou sortantes pour les groupes de sécurité de votre VPC pour référencer des groupes de sécurité dans le VPC appairé. Cette étape autorise la circulation du trafic vers et depuis les instances associées au groupe de sécurité référencé dans le VPC appairé. Pour plus d’informations sur la configuration des groupes de sécurité pour l’appairage de VPC, consultez Mise à jour de vos groupes de sécurité pour référencer les groupes de VPC pairs.
