Règles des groupes de sécurité - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles des groupes de sécurité

Les règles d’un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les instances associées au groupe de sécurité. Les règles contrôlent également le trafic sortant autorisé à les quitter.

Les caractéristiques des règles des groupes de sécurité sont les suivantes :

  • Par défaut, les groupes de sécurité contiennent des règles de sortie qui autorisent tout le trafic sortant. Vous pouvez supprimer ces règles. Notez que Amazon EC2 bloque le trafic sur le port 25 par défaut. Pour plus d’informations, consultez Restriction sur les e-mails envoyés à l’aide du port 25.

  • Les règles des groupes de sécurité sont toujours permissives ; vous ne pouvez pas créer de règles qui refusent l’accès.

  • Les règles des groupes de sécurité vous permettent de filtrer le trafic en fonction des protocoles et des numéros de port.

  • Les groupes de sécurité sont dynamiques. Si vous envoyez une demande à partir de votre instance, le trafic de la réponse à cette demande est autorisé, indépendamment des règles entrantes des groupes de sécurité. Pour les groupes de sécurité VPC, cela signifie aussi que les réponses au trafic entrant autorisé ont le droit d’être acheminées vers l’extérieur, indépendamment des règles sortantes. Pour plus d’informations, consultez Suivi de connexion de groupe de sécurité.

  • Vous pouvez ajouter et supprimer des règles à tout moment. Vos modifications sont appliquées automatiquement aux instances associées au groupe de sécurité.

    L’effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi. Pour plus d’informations, consultez Suivi de connexion de groupe de sécurité.

  • Quand vous associez plusieurs groupes de sécurité à une instance, les règles de chaque groupe de sécurité sont effectivement regroupées pour créer un seul ensemble de règles. Amazon EC2 utilise cet ensemble de règles pour déterminer si l’accès doit être autorisé ou pas.

    Vous pouvez affecter plusieurs groupes de sécurité à une instance. Par conséquent, une instance peut avoir des centaines de règles qui s’appliquent. Cela peut entraîner des problèmes quand vous accédez à l’instance. Nous vous recommandons de condenser vos règles autant que possible.

Note

Les groupes de sécurité ne peuvent pas bloquer les requêtes DNS à destination ou en provenance du résolveur Route 53, parfois appelé « adresse IP VPC+2 » (voir Qu'est-ce qu'Amazon Route 53 Resolver ? dans le guide du développeur Amazon Route 53), ou le « AmazonProvided DNS » (voir Travailler avec des ensembles d'options DHCP dans le guide de l'utilisateur d'Amazon Virtual Private Cloud). Si vous souhaitez filtrer les demandes DNS via Route 53 Resolver, vous pouvez activer Route 53 Resolver DNS Firewall (veuillez consulter la section Route 53 Resolver DNS Firewall du Guide du développeur Amazon Route 53).

Pour chaque règle, vous spécifiez les informations suivantes :

  • Nom : nom du groupe de sécurité (par exemple, my-security-group « »).

    Un nom peut contenir jusqu’à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*. Lorsque le nom contient des espaces de fin, nous supprimons les espaces lorsque nous enregistrons le nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».

  • Protocole : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).

  • Port range (Plage de ports) : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple, 22), ou une plage de numéros de port (par exemple, 7000-8000).

  • ICMP type and code (Type et code ICMP) : pour ICMP, le code et le type ICMP. Par exemple, utilisez le type 8 pour la requête ICMP Echo ou 128 pour la requête ICMPv6 Echo.

  • Source or destination (Source ou destination) : la source (règles entrantes) ou la destination (règles sortantes) pour le trafic à autoriser. Spécifiez l’un des éléments suivants :

    • Adresse IPv4 unique. Vous devez utiliser la longueur de préfixe /32. Par exemple, 203.0.113.1/32.

    • Adresse IPv6 unique. Vous devez utiliser la longueur de préfixe /128. Par exemple, 2001:db8:1234:1a00::123/128.

    • Plage d’adresses IPv4, en notation de bloc d’adresses CIDR. Par exemple, 203.0.113.0/24.

    • Plage d’adresses IPv6, en notation de bloc d’adresses CIDR. Par exemple, 2001:db8:1234:1a00::/64.

    • ID d’une liste des préfixes. Par exemple, pl-1234abc1234abc123. Pour plus d’informations, consultez Listes de préfixes dans le Amazon VPC Guide de l’utilisateur.

    • ID d’un groupe de sécurité (appelé ici groupe de sécurité spécifié). Par exemple, le groupe de sécurité actuel, un groupe de sécurité du même VPC ou un groupe de sécurité pour un VPC appairé. Cela autorise le trafic basé sur les adresses IP privées des ressources associées au groupe de sécurité spécifié. Cela n’ajoute pas les règles du groupe de sécurité spécifié au groupe de sécurité actuel.

  • (Facultatif) Description : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l’identifier ultérieurement. Une description peut inclure jusqu’à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

Lorsque vous créez une règle de groupe de sécurité, AWS attribuez un identifiant unique à la règle. Vous pouvez utiliser l’ID d’une règle lorsque vous utilisez l’API ou la CLI pour modifier ou supprimer la règle.

Quand vous spécifiez un groupe de sécurité comme source ou destination d’une règle, celle-ci affecte toutes les instances associées au groupe de sécurité. Le trafic entrant est autorisé en fonction des adresses IP privées des instances associées au groupe de sécurité source (et non des adresses IP Elastic ou des adresses IP publiques). Pour plus d’informations sur les adresses IP, consultez Adressage IP des instances Amazon EC2. Si votre règle de groupe de sécurité référence un groupe de sécurité supprimé dans le même VPC ou dans un VPC pair, ou référence un groupe de sécurité dans un VPC pair pour lequel la connexion d’appairage de VPC a été supprimée, la règle est marquée obsolète. Pour plus d’informations, consultez Utilisation de règles de groupes de sécurité obsolètes dans le Amazon VPC Peering Guide.

S’il existe plusieurs règles pour un port spécifique, Amazon EC2 applique la règle la lus permissive. Par exemple, si vous avez une règle qui autorise l'accès au port TCP 22 (SSH) à partir de l'adresse IP 203.0.113.1, et une autre règle qui autorise tout le monde à accéder au port TCP 22, alors tout le monde a accès au port TCP 22.

Quand vous ajoutez, mettez à jour ou supprimez des règles, les modifications sont automatiquement appliquées à toutes les instances associées au groupe de sécurité.