Amazon Elastic Compute Cloud
Guide de l'utilisateur pour les instances Linux

Groupes de sécurité Amazon EC2 pour les instances Linux

Un groupe de sécurité fonctionne comme un pare-feu virtuel contrôlant le trafic d'une ou de plusieurs instances. Lorsque vous lancez une instance, vous pouvez spécifier un ou plusieurs groupes de sécurité. Sinon, nous utilisons le groupe de sécurité par défaut. Vous pouvez ajouter des règles à chaque groupe de sécurité pour autoriser le trafic vers ou depuis ses instances associées. Vous pouvez modifier les règles d'un groupe de sécurité à tout moment. Les nouvelles règles sont appliquées automatiquement à toutes les instances associées au groupe de sécurité. Lorsqu'il est décidé d'autoriser ou non le trafic à atteindre une instance, toutes les règles issues de tous les groupes de sécurité associés à cette instance sont évaluées automatiquement.

Lorsque vous lancez une instance dans un VPC, vous devez spécifier un groupe de sécurité créé pour ce VPC. Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité. Les groupes de sécurité sont associés à des interfaces réseau. La modification des groupes de sécurité d'une instance change les groupes de sécurité associés à l'interface réseau principale (eth0). Pour plus d'informations, consultez Modification des groupes de sécurité d'une instance dans le Amazon VPC Guide de l'utilisateur. Vous pouvez aussi modifier les groupes de sécurité associés à une autre interface réseau. Pour plus d'informations, consultez Modification du groupe de sécurité.

Si vous avez des exigences qui ne sont pas satisfaites par les groupes de sécurité, vous pouvez maintenir votre propre pare-feu sur l'une de vos instances, quelle qu'elle soit, en plus de l'utilisation des groupes de sécurité.

Si vous devez autoriser le trafic vers une instance Windows, consultez Groupes de sécurité Amazon EC2 pour les instances Windows dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Règles des groupes de sécurité

Les règles d'un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les instances associées au groupe de sécurité et le trafic sortant autorisé à les quitter.

Les caractéristiques des règles des groupes de sécurité sont les suivantes :

  • Par défaut, les groupes de sécurité autorisent la totalité du trafic sortant.

  • Les règles des groupes de sécurité sont toujours permissives ; vous ne pouvez pas créer de règles qui refusent l'accès.

  • Les groupes de sécurité sont avec état. Si vous envoyez une demande à partir de votre instance, le trafic de la réponse à cette demande est autorisé, indépendamment des règles entrantes des groupes de sécurité. Pour les groupes de sécurité VPC, cela signifie aussi que les réponses au trafic entrant autorisé ont le droit d'être acheminées vers l'extérieur, indépendamment des règles sortantes. Pour plus d'informations, consultez Suivi de la connexion.

  • Vous pouvez ajouter et supprimer des règles à tout moment. Vos modifications sont appliquées automatiquement aux instances associées au groupe de sécurité.

    Note

    L'effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi. Pour plus d'informations, consultez Suivi de la connexion.

  • Quand vous associez plusieurs groupes de sécurité à une instance, les règles de chaque groupe de sécurité sont effectivement regroupées pour créer un seul ensemble de règles. Cet ensemble de règles est utilisé pour déterminer si l'accès doit être autorisé ou pas.

    Note

    Vous pouvez assigner plusieurs groupes de sécurité à une instance. Une instance peut donc avoir des centaines de règles qui s'appliquent. Cela peut entraîner des problèmes quand vous accédez à l'instance. Nous vous recommandons de condenser vos règles autant que possible.

Pour chaque règle, vous spécifiez les informations suivantes :

  • Protocole : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).

  • Port range (Plage de ports) : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple, 22), ou une plage de numéros de port (par exemple, 7000-8000).

  • ICMP type and code (Type et code ICMP) : pour ICMP, le code et le type ICMP.

  • Source or destination (Source ou destination) : la source (règles entrantes) ou la destination (règles sortante) pour le trafic. Spécifiez l'une des options suivantes :

    • Une adresse IPv4 individuelle. Vous devez utiliser la longueur de préfixe /32, par exemple 203.0.113.1/32.

    • Une adresse IPv6 individuelle. Vous devez utiliser la longueur de préfixe /128, par exemple 2001:db8:1234:1a00::123/128.

    • Une plage d'adresses IPv4, en notation de bloc CIDR, par exemple, 203.0.113.0/24.

    • Une plage d'adresses IPv6, en notation de bloc d'adresse CIDR, par exemple, 2001:db8:1234:1a00::/64.

    • L'ID de liste des préfixes pour le service AWS, par exemple pl-1a2b3c4d. Pour plus d'informations, consultez Points de terminaison d'un VPC de passerelle dans le Amazon VPC Guide de l'utilisateur.

    • Un autre groupe de sécurité. Les instances associées au groupe de sécurité spécifié peuvent ainsi accéder aux instances associées à ce groupe de sécurité. Cela n'ajoute pas de règles du groupe de sécurité source à ce groupe de sécurité. Vous spécifiez l'un des groupes de sécurité suivants :

      • Groupe de sécurité en cours

      • Un groupe de sécurité différent pour le même VPC

      • Un groupe de sécurité différent pour un VPC homologue dans une connexion d'appairage de VPC

  • (Facultatif) Description : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l'identifier ultérieurement. Une description peut inclure jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

Quand vous spécifiez un groupe de sécurité comme source ou destination d'une règle, celle-ci affecte toutes les instances associées au groupe de sécurité. Le trafic entrant est autorisé en fonction des adresses IP privées des instances associées au groupe de sécurité source (et non des adresses IP Elastic ou des adresses IP publiques). Pour plus d'informations sur les adresses IP, consultez Adressage IP des instances Amazon EC2. Si votre règle de groupe de sécurité fait référence à un groupe de sécurité dans un VPC pair et si le groupe de sécurité référencé ou la connexion d'appairage de VPC est supprimée, la règle est marquée comme étant obsolète. Pour plus d'informations, consultez Utilisation de règles de groupes de sécurité obsolètes dans le Amazon VPC Peering Guide.

S'il existe plusieurs règles pour un port spécifique, c'est la règle la plus permissive qui s'applique. Par exemple, si vous avez une règle qui autorise l'accès au port TCP 22 (SSH) à partir de l'adresse IP 203.0.113.1 et une autre règle qui autorise l'accès au port TCP 22 à partir de tous, chacun a accès au port TCP 22.

Suivi de la connexion

Vos groupes de sécurité utilisent le suivi de connexion pour suivre les informations sur le trafic en provenance ou à destination de l'instance. Les règles s'appliquent en fonction de l'état de connexion du trafic pour déterminer si le trafic est autorisé ou refusé. Les groupes de sécurité peuvent ainsi être avec état. Les réponses au trafic entrant sont autorisées à transiter en dehors de l'instance, indépendamment des règles sortantes des groupes de sécurité (et inversement). Par exemple, si vous déclenchez une commande ICMP ping sur votre instance à partir de votre ordinateur familial et que vos règles entrantes des groupes de sécurité autorisent le trafic ICMP, les informations sur la connexion (informations sur le port incluses) sont suivies. Le trafic de la réponse à partir de l'instance pour la commande ping n'est pas suivie comme nouvelle demande, mais plutôt comme connexion établie, et est autorisée à transiter en dehors de l'instance, même si vos règles sortantes des groupes de sécurité limitent le trafic ICMP sortant.

Certains flux de trafic ne sont pas suivis. Si une règle de groupe de sécurité autorise les flux TCP ou UDP pour la totalité du trafic (0.0.0.0/0) et qu'il existe une règle correspondante dans l'autre sens qui autorise tout le trafic de la réponse (0.0.0.0/0) pour tous les ports (0-65535), le flux du trafic n'est pas suivi. Par conséquent, le trafic de la réponse est autorisé à transiter en fonction de la règle entrante ou sortante qui autorise le trafic de la réponse, et non des informations de suivi.

Dans l'exemple suivant, le groupe de sécurité dispose de règles entrantes pour le trafic TCP et ICMP entrant, et d'une règle sortante qui autorise tout le trafic sortant.

Règles entrantes
Type de protocole Numéro de port IP Source
TCP 22 (SSH) 203.0.113.1/32
TCP 80 (HTTP) 0.0.0.0/0
ICMP Tous 0.0.0.0/0
Règles sortantes
Type de protocole Numéro de port IP de destination
Tous Tous 0.0.0.0/0

Le trafic TCP sur le port 22 (SSH) vers et depuis l'instance est suivi, car la règle entrante autorise le trafic depuis 203.0.113.1/32 uniquement, et pas toutes les adresses IP (0.0.0.0/0). Le trafic TCP sur le port 80 (HTTP) vers et depuis l'instance n'est pas suivi, car les règles entrantes et sortantes autorisent tout le trafic (0.0.0.0/0). Le trafic ICMP est toujours suivi, quelles que soient les règles. Si vous supprimez la règle sortante du groupe de sécurité, tout le trafic vers et depuis l'instance est suivi, y compris le trafic sur le port 80 (HTTP).

Un flux de trafic existant qui est suivi peut ne pas être interrompu quand vous supprimez la règle de groupe de sécurité qui autorise ce flux. Au lieu de cela, le flux est interrompu quand il est arrêté par vous-même ou par l'autre hôte pendant quelques minutes au moins (ou jusqu'à 5 jours pour les connexions TCP établies). Dans le cas du protocole UDP, cela peut nécessiter de mettre fin aux actions sur le côté distant du flux. Un flux de trafic non suivi est immédiatement interrompu si la règle qui active le flux est supprimée ou modifiée. Par exemple, si vous supprimez une règle qui autorise pour l'instance tout le trafic SSH entrant, vos connexions SSH existantes à l'instance sont immédiatement supprimées.

Pour les protocoles autre que TCP, UDP ou ICMP, seuls l'adresse IP et le numéro de protocole sont suivis. Si votre instance envoie le trafic vers un autre hôte (hôte B) et que l'hôte B initie le même type de trafic vers votre instance dans une demande distincte dans un délai de 600 secondes après la demande ou réponse d'origine, votre instance l'accepte indépendamment des règles de groupe de sécurité entrantes, car ceci est considéré comme le trafic de la réponse.

Pour garantir que le trafic s'interrompt immédiatement quand vous supprimez une règle de groupe de sécurité, ou pour vous assurer que tout le trafic entrant est soumis à des règles de pare-feu, vous pouvez utiliser une ACL réseau pour votre sous-réseau, les ACL réseau sont sans état et n'autorisent donc pas automatiquement le trafic de la réponse. Pour plus d'informations, consultez ACL réseau dans le Amazon VPC Guide de l'utilisateur.

Groupes de sécurité par défaut

Votre compte AWS possède automatiquement un groupe de sécurité par défaut pour le VPC par défaut dans chaque région. Si vous ne spécifiez pas un groupe de sécurité lorsque vous lancez une instance, celle-ci est automatiquement associée au groupe de sécurité par défaut pour le VPC.

Un groupe de sécurité par défaut est appelé default et possède un ID attribué par AWS. Les règles par défaut pour chaque groupe de sécurité par défaut sont les suivantes :

  • Autorise tout le trafic entrant à partir des autres instances associées au groupe de sécurité par défaut (le groupe de sécurité se spécifie lui-même comme groupe de sécurité source dans ses règles entrantes)

  • Autorise la totalité du trafic sortant à partir de l'instance.

Vous pouvez ajouter ou supprimer des règles entrantes et sortantes pour n'importe quel groupe de sécurité par défaut.

Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer un groupe de sécurité par défaut, vous obtenez l'erreur suivante : Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Groupes de sécurité personnalisés

Si vous ne voulez pas que vos instances utilisent le groupe de sécurité par défaut, vous pouvez créer vos propres groupes de sécurité et les spécifiez quand vous démarrez vos instances. Vous pouvez créer plusieurs groupes de sécurité pour refléter les différents rôles joués par vos instances ; par exemple, un serveur web ou un serveur de base de données.

Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les noms et les descriptions des groupes de sécurité peuvent comporter jusqu'à 255 caractères de long et uniquement les caractères suivants :

a-z, A-Z, 0-9, espace et ._-:/()#,@[]+=&;{}!$*

Un nom de groupe de sécurité ne peut pas commencer par sg-. Un nom de groupe de sécurité doit être unique pour le VPC.

Les règles par défaut pour chaque groupe de sécurité que vous créez sont les suivantes :

  • N'autorise aucun trafic entrant

  • Autorise tout le trafic sortant

Après avoir créé un groupe de sécurité, vous pouvez modifier ses règles entrantes pour refléter le type de trafic entrant que vous voulez pour atteindre les instances associées. Vous pouvez aussi modifier ses règles sortantes.

Pour plus d'informations sur les règles que vous pouvez ajouter à un groupe de sécurité, consultez Référence des règles de groupe de sécurité.

Utilisation des groupes de sécurité

Vous pouvez créer, afficher, mettre à jour et supprimer des groupes de sécurité et des règles de groupe de sécurité à l'aide de la console Amazon EC2.

Création d'un groupe de sécurité

Vous pouvez créer un groupe de sécurité personnalisé à l'aide de la console Amazon EC2. Vous devez spécifier le VPC pour lequel vous créez le groupe de sécurité.

Pour créer un nouveau groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez Create Security Group.

  4. Attribuez un nom et une description au groupe de sécurité.

  5. Pour VPC, choisissez l'ID du VPC.

  6. Vous pouvez commencer à ajouter des règles ou choisir Créer pour créer le groupe de sécurité maintenant (vous pourrez toujours ajouter des règles par la suite). Pour plus d'informations sur l'ajout de règles, consultez Ajout de règles à un groupe de sécurité.

Pour créer un groupe de sécurité à l'aide de la ligne de commande

La console Amazon EC2 vous permet de copier les règles d'un groupe de sécurité existant vers un nouveau groupe de sécurité.

Pour copier un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité que vous voulez copier, puis choisissez Actions, Copier vers le nouveau.

  4. La boîte de dialogue Créer un groupe de sécurité s'ouvre. Elle contient les règles du groupe de sécurité existant. Attribuez un nom et une description à votre nouveau groupe de sécurité. Pour VPC, choisissez l'ID du VPC. Lorsque vous avez terminé, cliquez sur Créer.

Vous pouvez assigner un groupe de sécurité à une instance lorsque vous lancez l'instance. Quand vous ajoutez ou supprimez des règles, ces modifications sont automatiquement appliquées à toutes les instances auxquelles vous avez affecté le groupe de sécurité.

Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité. Pour plus d'informations, consultez Modification des groupes de sécurité d'une instance dans le Amazon VPC Guide de l'utilisateur.

Description de vos groupes de sécurité

Vous pouvez obtenir des informations sur vos groupes de sécurité à l'aide de la console Amazon EC2 ou de la ligne de commande.

Pour décrire vos groupes de sécurité pour à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. (Facultatif) Sélectionnez ID de VPC dans la liste des filtres, puis choisissez l'ID du VPC.

  4. Sélectionnez un groupe de sécurité. Les informations générales sont affichées dans l'onglet Description, les règles entrantes dans l'onglet Entrant, les règles sortantes dans l'onglet Sortant, et les balises dans l'onglet Balises.

Pour décrire un ou plusieurs groupes de sécurité à l'aide de la ligne de commande

Ajout de règles à un groupe de sécurité

Lorsque vous ajoutez une règle à un groupe de sécurité, la nouvelle règle est automatiquement appliquée à toutes les instances associées au groupe de sécurité après une brève période.

Pour plus d'informations sur le choix de règles de groupe de sécurité pour des types d'accès spécifiques, consultez Référence des règles de groupe de sécurité.

Pour ajouter des règles à un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité, puis sélectionnez le groupe de sécurité.

  3. Dans l'onglet Entrant, choisissez Modifier.

  4. Dans la boîte de dialogue, sélectionnez Ajouter une règle et effectuez les opérations suivantes :

    • Pour Type, sélectionnez le protocole.

    • Si vous sélectionnez un protocole TCP ou UDP personnalisé, spécifiez la plage de ports dans Plage de ports.

    • Si vous sélectionnez un protocole ICMP personnalisé, choisissez le nom de type ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports.

    • Pour Source, choisissez l'une des options suivantes :

      • Personnalisé : dans le champ fourni, vous devez spécifier une adresse IP en notation CIDR, un bloc d'adresse CIDR ou un autre groupe de sécurité.

      • N'importe où : ajoute automatiquement le bloc d'adresse CIDR IPv4 0.0.0.0/0. Cette option permet à l'ensemble du trafic du type spécifié d'accéder à votre instance. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production. Dans un environnement de production, vous autorisez uniquement l'accès à votre instance pour une adresse IP ou une plage d'adresses spécifiques.

        Note

        Si votre groupe de sécurité est dans un VPC qui est activé pour IPv6, l'option N'importe où crée deux règles, l'une pour le trafic IPv4 (0.0.0.0/0) et l'autre pour le trafic IPv6 (::/0).

      • Mon IP : ajoute automatiquement l'adresse IPv4 publique de votre ordinateur local.

    • Pour Description, vous pouvez éventuellement spécifier une description pour la règle.

    Pour plus d'informations sur les types de règles que vous pouvez ajouter, consultez Référence des règles de groupe de sécurité.

  5. Choisissez Save.

  6. Vous pouvez aussi spécifier des règles sortantes. Dans l'onglet Sortant, choisissez Modifier, Ajouter une règle, puis procédez de la façon suivante :

    • Pour Type, sélectionnez le protocole.

    • Si vous sélectionnez un protocole TCP ou UDP personnalisé, spécifiez la plage de ports dans Plage de ports.

    • Si vous sélectionnez un protocole ICMP personnalisé, choisissez le nom de type ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports.

    • Pour Destination, choisissez l'une des options suivantes :

      • Personnalisé : dans le champ fourni, vous devez spécifier une adresse IP en notation CIDR, un bloc d'adresse CIDR ou un autre groupe de sécurité.

      • N'importe où : ajoute automatiquement le bloc d'adresse CIDR IPv4 0.0.0.0/0. Cette option permet au trafic sortant d'accéder à toutes les adresses IP.

        Note

        Si votre groupe de sécurité est dans un VPC qui est activé pour IPv6, l'option N'importe où crée deux règles, l'une pour le trafic IPv4 (0.0.0.0/0) et l'autre pour le trafic IPv6 (::/0).

      • Mon IP : ajoute automatiquement l'adresse IP de votre ordinateur local.

    • Pour Description, vous pouvez éventuellement spécifier une description pour la règle.

  7. Choisissez Save.

Pour ajouter une ou plusieurs règles de trafic entrant à un groupe de sécurité à l'aide de la ligne de commande

Pour ajouter une ou plusieurs règles de trafic sortant à un groupe de sécurité à l'aide de la ligne de commande

Mise à jour des règles des groupes de sécurité

Lorsque vous modifiez le protocole, la plage de ports, ou la source ou destination de la règle existante d'un groupe de sécurité à l'aide de la console, cette dernière supprime la règle existante et en ajoute une nouvelle.

Pour mettre à jour une règle de groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour, puis choisissez Règles entrantes afin de mettre à jour une règle pour le trafic entrant ou Règles sortantes afin de mettre à jour une règle pour le trafic sortant.

  4. Choisissez Edit. Modifiez l'entrée de règle comme nécessaire, puis choisissez Enregistrer.

Pour mettre à jour le protocole, la plage de ports, ou la source ou destination de la règle existante d'un groupe de sécurité à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande, vous ne pouvez pas modifier la règle. Vous devez plutôt supprimer la règle existante, puis ajouter une nouvelle règle. Pour mettre à jour la description de la règle uniquement, vous pouvez utiliser les commandes update-security-group-rule-descriptions-ingress et update-security-group-rule-descriptions-egress.

Pour mettre à jour la description d'une règle de trafic entrant pour le groupe de sécurité à l'aide de la ligne de commande

Pour mettre à jour la description d'une règle de trafic sortant pour le groupe de sécurité à l'aide de la ligne de commande

Suppression de règles d'un groupe de sécurité

Lorsque vous supprimez une règle d'un groupe de sécurité, la modification est automatiquement appliquée à toutes les instances associées au groupe de sécurité.

Pour supprimer une règle de groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez un groupe de sécurité.

  4. Dans l'onglet Entrant (pour les règles entrantes) ou Sortant (pour les règles sortantes), choisissez Modifier. Choisissez Supprimer (icône en forme de croix) à côté de chaque règle que vous devez supprimer.

  5. Choisissez Save.

Pour supprimer une ou plusieurs règles de trafic entrant d'un groupe de sécurité à l'aide de la ligne de commande

Pour supprimer une ou plusieurs règles de trafic sortant d'un groupe de sécurité à l'aide de la ligne de commande

Suppression d'un groupe de sécurité

Vous ne pouvez pas supprimer un groupe de sécurité associé à une instance. Vous ne pouvez pas supprimer le groupe de sécurité par défaut. Vous ne pouvez pas supprimer un groupe de sécurité référencé par un autre groupe de sécurité dans le même VPC. Si votre groupe de sécurité est référencé par l'une de ses propres règles, vous devez supprimer la règle avant de pouvoir supprimer le groupe de sécurité.

Pour supprimer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez un groupe de sécurité, puis choisissez Actions, Supprimer le groupe de sécurité.

  4. Sélectionnez Oui, supprimer.

Pour supprimer un groupe de sécurité à l'aide de la ligne de commande