Amazon Elastic Compute Cloud
Guide de l'utilisateur pour les instances Linux

ClassicLink

ClassicLink vous permet de lier des instances EC2-Classic à un VPC de votre compte, au sein de la même région. Si vous associez des groupes de sécurité VPC à l'instance EC2-Classic, cela permet la communication entre votre instance EC2-Classic et les instances de votre VPC à l'aide d'adresses IPv4 privées. ClassicLink élimine la nécessité d'utiliser des adresses IPv4 publiques ou des adresses IP Elastic pour activer la communication entre des instances dans ces plateformes.

ClassicLink est disponible pour tous les utilisateurs avec des comptes prenant en charge la plateforme EC2-Classic et peut être utilisé avec n'importe quelle instance EC2-Classic. Pour plus d'informations sur la migration de vos ressources vers un VPC, consultez Migration à partir d'une instance Linux dans EC2-Classic vers une instance Linux dans un VPC.

Il n'y a pas frais supplémentaires pour ClassicLink. Des frais standard pour le transfert de données et l'utilisation d'une instance sont applicables.

La liaison d'une instance EC2-Classic à un VPC à l'aide de ClassicLink s'effectue en deux étapes. D'abord, vous devez activer le VPC pour ClassicLink. Par défaut, tous les VPC de votre compte ne sont pas activés pour ClassicLink, afin de conserver leur isolement. Une fois que vous avez activé le VPC pour ClassicLink, vous pouvez alors lier toute instance EC2-Classic en cours d'exécution dans la même région de votre compte à ce VPC. La liaison de votre instance inclut la sélection de groupes de sécurité du VPC à associer à votre instance EC2-Classic. Une fois que vous avez lié l'instance, celle-ci peut communiquer avec des instances de votre VPC à l'aide de leurs adresses IP privées, à condition que les groupes de sécurité VPC l'autorisent. Votre instance EC2-Classic ne perd pas son adresse IP privée lorsqu'elle est liée au VPC.

Note

Le fait de lier votre instance à un VPC est parfois appelé attacher votre instance.

Une instance EC2-Classic liée peut communiquer avec des instances d'un VPC, mais elle ne fait pas partie du VPC. Si vous répertoriez vos instances et que vous filtrez par VPC, par exemple, par le biais de la requêtes d'API DescribeInstances ou à l'aide de l'écran Instances de la console Amazon EC2, les résultats ne renvoient pas les instances EC2-Classic qui sont liées au VPC. Pour plus d'informations sur l'affichage de vos instances EC2-Classic liées, consultez Affichage de vos VPC activés pour ClassicLink et de vos instances liées.

Par défaut, si vous utilisez un nom d'hôte DNS public pour définir l'adresse d'une instance dans un VPC à partir d'une instance EC2-Classic liée, le nom d'hôte est résolu en l'adresse IP publique de l'instance. Il en va de même si vous utilisez un nom d'hôte DNS public pour définir l'adresse d'une instance EC2-Classic liée à partir d'une instance du VPC. Si vous souhaitez que le nom d'hôte DNS public soit résolu en une adresse IP privée, vous pouvez activer la prise en charge de ClassicLink DNS pour le VPC. Pour plus d'informations, consultez Activation de la prise en charge de DNS ClassicLink.

Si vous n'avez plus besoin d'une connexion ClassicLink entre votre instance et le VPC, vous pouvez détacher l'instance EC2-Classic du VPC. Vous dissociez ainsi les groupes de sécurité du VPC de l'instance EC2-Classic. Une instance EC2-Classic liée est automatiquement détachée d'un VPC lorsqu'elle est arrêtée. Une fois que vous avez détaché toutes les instances EC2-Classic liées du VPC, vous pouvez désactiver ClassicLink pour le VPC.

Les instances EC2-Classic liées peuvent accéder aux services AWS suivants dans le VPC : Amazon Redshift, Amazon ElastiCache, Elastic Load Balancing et Amazon RDS. Par contre, les instances du VPC ne peuvent pas accéder aux services AWS alloués par la plateforme EC2-Classic à l'aide de ClassicLink.

Si vous utilisez Elastic Load Balancing, vous pouvez enregistrer vos instances EC2-Classic liées avec l'équilibreur de charge. Vous devez créer votre équilibreur de charge dans le VPC activé pour ClassicLink VPC et activer la Zone de disponibilité dans laquelle l'instance s'exécute. Si vous mettez fin à l'instance EC2-Classic liée, l'équilibreur de charge annule l'enregistrement de l'instance.

Si vous utilisez Amazon EC2 Auto Scaling, vous pouvez créer un groupe Amazon EC2 Auto Scaling avec des instances qui sont liées automatiquement à un VPC activé pour ClassicLink spécifié au lancement. Pour plus d'informations, consultez Liaison d'instances EC2-Classic à un VPC dans le Amazon EC2 Auto Scaling Guide de l'utilisateur.

Si vous utilisez des instances Amazon RDS ou des clusters Amazon Redshift dans votre VPC, et que ceux-ci sont accessibles publiquement (accessibles à partir d'Internet), le point de terminaison dont vous vous servez pour définir l'adresse de ces ressources à partir d'une instance EC2-Classic liée est résolu par défaut en une adresse IP publique. Si ces ressources ne sont pas accessibles publiquement, le point de terminaison est résolu par défaut en une adresse IP privée. Pour définir l'adresse d'une instance RDS ou d'un cluster Redshift accessible publiquement via une adresse IP privée à l'aide de ClassicLink, vous devez utiliser son adresse IP privée ou son nom d'hôte DNS privé, ou vous devez activer la prise en charge de ClassicLink DNS pour le VPC.

Si vous utilisez un nom d'hôte DNS privé ou une adresse IP privée pour définir l'adresse d'une instance RDS, l'instance EC2-Classic liée ne peut pas utiliser la prise en charge du failover (basculement) disponible pour les déploiements multi-AZ.

Vous pouvez utiliser la console Amazon EC2 pour rechercher les adresses IP privées de vos ressources Amazon Redshift, Amazon ElastiCache ou Amazon RDS.

Pour rechercher les adresses IP privées de vos ressources AWS dans votre VPC

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Network Interfaces.

  3. Consultez les descriptions des interfaces réseau dans la colonne Description. Le nom du service figurera dans la description pour une interface réseau utilisée par Amazon Redshift, Amazon ElastiCache ou Amazon RDS. Par exemple, une interface réseau attachée à une instance Amazon RDS comportera la description suivante : RDSNetworkInterface.

  4. Sélectionnez l'interface réseau requise.

  5. Dans le volet de détails, obtenez l'adresse IP privée dans le champ IP privée principale IPv4.

Par défaut, les utilisateurs IAM ne sont pas autorisés à utiliser ClassicLink. Vous pouvez utiliser une stratégie IAM octroyant aux utilisateurs des autorisations d'activer ou de désactiver un VPC pour ClassicLink, de lier une instance à un VPC activé pour ClassicLink, ou de la détacher et d'afficher les VPC ClassicLink et les instances EC2-Classic liées. Pour plus d'informations sur les stratégies IAM pour Amazon EC2, consultez Stratégies IAM pour Amazon EC2.

Pour plus d'informations sur les stratégies d'utilisation de ClassicLink, consultez l'exemple suivant : Exemples de stratégies IAM pour ClassicLink.

La liaison de votre instance EC2-Classic à un VPC n'a pas d'incidence sur vos groupes de sécurité EC2-Classic. Ces derniers continuent de contrôler l'ensemble du trafic vers et depuis l'instance. Cela exclut le trafic vers et depuis les instances dans le VPC, qui est contrôlé par les groupes de sécurité VPC que vous avez associés à l'instance EC2-Classic. Les instances EC2-Classic qui sont liées au même VPC ne peuvent pas communiquer entre elles par le biais du VPC, qu'elles soient ou non associées au même groupe de sécurité VPC. La communication entre les instances EC2-Classic est contrôlée par les groupes de sécurité EC2-Classic que vous avez associés à ces instances. Pour accéder à un exemple de configuration d'un groupe de sécurité, consultez Exemple : Configuration d'un groupe de sécurité ClassicLink pour une application web à trois niveaux.

Une fois que vous avez lié votre instance à un VPC, vous ne pouvez pas changer les groupes de sécurité VPC qui sont associés à l'instance. Pour associer d'autres groupes de sécurité à l'instance, vous devez d'abord détacher l'instance, puis lier à nouveau celle-ci au VPC, en sélectionnant les groupes de sécurité requis.

Lorsque vous activez un VPC pour ClassicLink, une route statique est ajoutée à toutes les tables de routage VPC avec la destination 10.0.0.0/8 et la cible local. Cela permet la communication entre les instances du VPC et les instances EC2-Classic liées au VPC. Si vous ajoutez une table de routage personnalisée à un VPC activé pour ClassicLink, une route statique est ajoutée automatiquement avec la destination 10.0.0.0/8 et la cible local. Lorsque vous désactivez ClassicLink pour un VPC, cette route est supprimée automatiquement dans toutes les tables de routage VPC.

Les VPC compris dans les plages d'adresses IP 10.0.0.0/16 et 10.1.0.0/16 peuvent être activés pour ClassicLink uniquement s'ils ne disposent pas de routes statiques existantes dans les tables de routage de la plage d'adresses IP 10.0.0.0/8, à l'exclusion des routes locales ajoutées automatiquement lorsque le VPC a été créé. De même, si vous avez activé un VPC pour ClassicLink, vous ne pourrez peut-être pas ajouter des routes plus spécifiques à vos tables de routage dans la plage d'adresses IP 10.0.0.0/8.

Important

Si le bloc d'adresse CIDR de votre VPC est une plage d'adresses IP publiquement routable, réfléchissez aux implications de sécurité avant de lier une instance EC2-Classic à votre VPC. Par exemple, si votre instance EC2-Classic liée subit une attaque par saturation (DoS, Denial of Service) à partir d'une adresse IP source faisant partie de la plage d'adresses IP du VPC, le trafic de réponses est envoyé dans votre VPC. Nous vous recommandons vivement de créer votre VPC à l'aide d'une plage d'adresses IP privées, comme spécifié dans la RFC 1918.

Pour plus d'informations sur la création de tables de routage et le routage dans votre VPC, consultez Tables de routage dans le Amazon VPC Guide de l'utilisateur.

Si vous avez une connexion d'appairage de VPC entre deux VPC et qu'une ou plusieurs instances EC2-Classic sont liées à un des VPC ou aux deux via ClassicLink, vous pouvez étendre la connexion d'appairage de VPC pour permettre la communication entre les instances EC2-Classic et les instances VPC de l'autre côté de la connexion d'appairage de VPC. Les instances EC2-Classic et les instances dans le VPC peuvent ainsi communiquer grâce aux adresses IP privées. Pour ce faire, vous pouvez autoriser un VPC local à communiquer avec une instance EC2-Classic liée dans un VPC pair, ou vous pouvez autoriser une instance EC2-Classic locale liée à communiquer avec des instances dans un VPC pair.

Si vous activez un VPC local afin de communiquer avec une instance EC2-Classic liée dans un VPC pair, une route statique est ajoutée automatiquement à vos tables de routage avec la destination 10.0.0.0/8 et la cible local.

Pour plus d'informations et d'exemples, consultez la section Configurations avec ClassicLink dans le Amazon VPC Peering Guide.

Pour utiliser la fonction ClassicLink, vous devez être conscient des restrictions suivantes :

  • Vous pouvez lier une instance EC2-Classic à un seul VPC à la fois.

  • Si vous arrêtez votre instance EC2-Classic liée, celle-ci est automatiquement détachée du VPC et les groupes de sécurité VPC ne sont plus associés à l'instance. Vous pourrez lier à nouveau l'instance au VPC après l'avoir redémarrée.

  • Vous ne pouvez pas lier une instance EC2-Classic à un VPC situé dans une autre région ou un autre compte AWS.

  • Vous ne pouvez pas utiliser ClassicLink pour lier une instance VPC à un autre VPC ou à une ressource EC2-Classic. Pour établir une connexion privée entre des VPC, vous pouvez utiliser une connexion d'appairage de VPC. Pour plus d'informations, consultez le Amazon VPC Peering Guide.

  • Vous ne pouvez pas associer une adresse IP Elastic de VPC à une instance EC2-Classic liée.

  • Vous ne pouvez pas activer les instances EC2-Classic pour la communication IPv6. Vous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC et assigner l'adresse IPv6 à des ressources de votre VPC. Toutefois, la communication entre une instance ClassicLinked et des ressources du VPC a lieu via IPv4 uniquement.

  • Les VPC avec des routes qui entrent en conflit avec la plage d'adresses IP privées EC2-Classic 10/8 ne peuvent pas être activés pour ClassicLink. Ceci n'inclut pas les VPC avec les plages d'adresses IP privées 10.0.0.0/16 et 10.1.0.0/16 dont les tables de routage comportent déjà des routes locales. Pour plus d'informations, consultez Routage pour ClassicLink.

  • Les VPC configurés pour une location matérielle dédiée ne peuvent pas être activés pour ClassicLink. Contactez AWS Support pour demander que votre VPC de location dédiée soit autorisé à être activé pour ClassicLink.

    Important

    Les instances EC2-Classic s'exécutent sur un matériel partagé. Si vous définissez la location de votre VPC sur dedicated en raison d'exigences réglementaires ou de sécurité, lier une instance EC2-Classic à votre VPC peut ne pas respecter ces exigences, car cela permet à une ressource de location partagée d'accéder à vos ressources isolées directement à l'aide d'adresses IP privées. Si vous devez activer votre VPC dédié pour ClassicLink, fournissez la raison détaillée dans votre demande à AWS Support.

  • Si vous liez votre instance EC2-Classic à un VPC de la plage 172.16.0.0/16 et qu'un serveur DNS s'exécute sur l'adresse IP 172.16.0.23/32 dans le VPC, votre instance EC2-Classic liée ne peut pas accéder au serveur DNS du VPC. Pour contourner ce problème, exécutez un serveur DNS sur une autre adresse IP au sein du VPC.

  • ClassicLink ne prend pas en charge les relations transitives en dehors du VPC. Votre instance EC2-Classic liée n'a accès à aucune connexion VPN, aucun point de terminaison de passerelle VPC, aucune passerelle NAT, ni aucune passerelle Internet associée au VPC. De même, les ressources situées de l'autre côté d'une connexion VPN ou d'une passerelle Internet n'ont accès à aucune instance EC2-Classic liée.

Vous pouvez utiliser les consoles Amazon EC2 et Amazon VPC pour vous servir des fonctions de ClassicLink. Vous pouvez activer ou désactiver un VPC pour ClassicLink, et lier des instances EC2-Classic à un VPC et les détacher.

Note

Les fonctions de ClassicLink sont visibles uniquement sur les consoles pour les comptes et les régions prenant en charge EC2-Classic.

Pour lier une instance EC2-Classic à un VPC, vous devez activer le VPC pour ClassicLink. Vous ne pouvez pas activer un VPC pour ClassicLink si le VPC comporte un routage entrant en conflit avec la plage d'adresses IP privées EC2-Classic. Pour plus d'informations, consultez Routage pour ClassicLink.

Pour activer un VPC pour ClassicLink

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Vos VPC.

  3. Choisissez un VPC, puis sélectionnez Actions, Activer ClassicLink.

  4. Dans la boîte de dialogue de confirmation, sélectionnez Oui, activer.

  5. (Facultatif) Si vous souhaitez que le nom d’hôte DNS public soit résolu en adresse IP privée, activez la prise en charge de DNS ClassicLink pour le VPC avant de lier des instances. Pour plus d'informations, consultez Activation de la prise en charge de DNS ClassicLink.

Vous pouvez créer un VPC et l'activer immédiatement pour ClassicLink à l'aide de l'assistant VPC sur la console Amazon VPC.

Pour créer un VPC avec ClassicLink activé

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Sur le tableau de bord Amazon VPC, sélectionnez Démarrer l'assistant VPC.

  3. Sélectionnez l'une des options de configuration de VPC, puis choisissez Sélectionner.

  4. Sur la page suivante de l'assistant, sélectionnez Oui pour Activer ClassicLink. Complétez les autres étapes de l'assistant pour créer votre VPC. Pour plus d'informations sur l'assistant VPC, consultez la section relative aux scénarios pour Amazon VPC dans le Amazon VPC Guide de l'utilisateur.

  5. (Facultatif) Si vous souhaitez que le nom d’hôte DNS public soit résolu en adresse IP privée, activez la prise en charge de DNS ClassicLink pour le VPC avant de lier des instances. Pour plus d'informations, consultez Activation de la prise en charge de DNS ClassicLink.

Une fois que vous avez activé un VPC pour ClassicLink, vous pouvez lier une instance EC2-Classic à celui-ci.

Note

Vous pouvez uniquement lier une instance EC2-Classic en cours d'exécution à un VPC. Vous ne pouvez pas lier une instance qui est à l'état stopped.

Si vous souhaitez que le nom d'hôte DNS public soit résolu en adresse IP privée, activez la prise en charge de DNS ClassicLink pour le VPC avant de lier l’instance. Pour plus d'informations, consultez Activation de la prise en charge de DNS ClassicLink.

Pour lier une instance à un VPC

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l'instance EC2-Classic en cours d'exécution, puis choisissez Actions, ClassicLink, Lien vers un VPC. Vous pouvez sélectionner plusieurs instances pour les lier au même VPC.

  4. Dans la boîte de dialogue qui s'affiche, sélectionnez un VPC dans la liste. Seuls les VPC qui ont été activés pour ClassicLink sont affichés.

  5. Sélectionnez un ou plusieurs groupes de sécurité VPC à associer à votre instance. Lorsque vous avez terminé, cliquez sur Lien vers un VPC.

Vous pouvez utiliser l'assistant de lancement sur la console Amazon EC2 pour lancer une instance EC2-Classic et la lier immédiatement à un VPC activé pour ClassicLink.

Pour lier une instance à un VPC au lancement

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Sur le tableau de bord Amazon EC2, sélectionnez Launch Instance (Lancer une instance).

  3. Sélectionnez une AMI, puis choisissez un type d'instance. Sur la page Configurer les détails de l'instance, veillez à sélectionner Lancer dans EC2-Classic dans la liste Réseau.

    Note

    Certains types d'instance, comme les types T2, peuvent uniquement être lancés dans un VPC. Veillez à sélectionner un type d'instance pouvant être lancé dans EC2-Classic.

  4. Dans la section Lien vers un VPC (ClassicLink), sélectionnez un VPC dans Lien vers un VPC. Seules les VPC activés pour ClassicLink sont affichés. Sélectionnez les plusieurs groupes de sécurité du VPC à associer à l'instance. Définissez les autres options de configuration de la page, puis complétez les autres étapes de l'assistant pour lancer votre instance. Pour plus d'informations sur l'utilisation de l'assistant de lancement, consultez Lancement d'une instance depuis une AMI.

Vous pouvez afficher tous vos VPC activés pour ClassicLink sur la console Amazon VPC, ainsi que la totalité de vos instances EC2-Classic liées sur la console Amazon EC2.

Pour afficher vos VPC activés pour ClassicLink

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Vos VPC.

  3. Sélectionnez un VPC, puis dans l'onglet Récapitulatif, recherchez le champ ClassicLink. La valeur Activé indique que le VPC est activé pour ClassicLink.

  4. Vous pouvez également examiner la colonne ClassicLink et consulter la valeur affichée pour chaque VPC (Activé ou Désactivé). Si la colonne n'est pas visible, sélectionnez Modifier les colonnes du tableau (icône en forme d'engrenage), choisissez l'attribut ClassicLink, puis sélectionnez Fermer.

Pour afficher vos instances EC2-Classic liées

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez une instance EC2-Classic, et dans l'onglet Description, recherchez le champ ClassicLink. Si l'instance est liée à un VPC, le champ affiche l'ID du VPC auquel elle est liée. Si l'instance n'est pas liée à un VPC, le champ affiche Annuler le lien.

  4. Vous pouvez également filtrer vos instances pour afficher uniquement les instances EC2-Classic liées pour un VPC ou un groupe de sécurité spécifique. Dans la barre de recherche, commencez à taper ClassicLink, sélectionnez l'attribut de ressource ClassicLink pertinent, puis choisissez l'ID du groupe de sécurité ou l'ID du VPC.

Vous pouvez activer la prise en charge de DNS ClassicLink pour votre VPC afin que les noms d'hôte DNS qui sont adressés entre les instances EC2-Classic et les instances du VPC soient résolus en adresses IP privées et non en adresses IP publiques. Pour que cette fonction fonctionne, votre VPC doit être activé pour les noms d'hôte DNS et la résolution DNS.

Note

Si vous activez la prise en charge de DNS ClassicLink pour votre VPC, votre instance EC2-Classic liée peut accéder à n'importe quelle zone hébergée privée associée au VPC. Pour plus d'informations, consultez Utilisation des zones hébergées privées dans le Amazon Route 53 Manuel du développeur.

Pour activer la prise en charge de DNS ClassicLink

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Vos VPC.

  3. Choisissez votre VPC, puis sélectionnez Actions, Modifier la prise en charge ClassicLink DNS.

  4. Sélectionnez Oui pour activer la prise en charge ClassicLink DNS, puis Enregistrer.

Vous pouvez désactiver la prise en charge de ClassicLink DNS pour votre VPC afin que les noms d'hôte DNS qui sont adressés entre les instances EC2-Classic et les instances du VPC soient résolus en adresses IP publiques et non en adresses IP privées.

Pour désactiver la prise en charge de DNS ClassicLink

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Vos VPC.

  3. Choisissez votre VPC, puis sélectionnez Actions, Modifier la prise en charge ClassicLink DNS.

  4. Sélectionnez Non pour désactiver la prise en charge de ClassicLink DNS, puis Enregistrer.

Si vous n'avez plus besoin d'une connexion ClassicLink entre votre instance EC2-Classic et votre VPC, vous pouvez supprimer les liens de l'instance du VPC. La suppression du lien de l'instance dissocie les groupes de sécurité du VPC de l'instance.

Note

Une instance arrêtée est automatiquement détachée d'un VPC.

Pour détacher une instance d'un VPC

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Instances, puis choisissez votre instance.

  3. Dans la liste Actions, sélectionnez ClassicLink, Supprimer le lien des instances. Vous pouvez sélectionner plusieurs instances pour les détacher du même VPC.

  4. Sélectionnez Oui dans la boîte de dialogue de confirmation.

Si vous n'avez plus besoin d'une connexion entre des instances EC2-Classic et votre VPC, vous pouvez désactiver ClassicLink sur le VPC. Vous devez d'abord détacher toutes les instances EC2-Classic qui sont liées au VPC.

Pour désactiver ClassicLink pour un VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Vos VPC.

  3. Choisissez votre VPC, puis sélectionnez Actions, Désactiver ClassicLink.

  4. Dans la boîte de dialogue de confirmation, sélectionnez Oui, désactiver.

Vous pouvez activer un VPC pour ClassicLink, puis lier une instance EC2-Classic au VPC. Vous pouvez aussi afficher vos VPC ClassicLink, ainsi que la totalité de vos instances EC2-Classic liées à un VPC. Vous pouvez créer des stratégies avec des autorisations au niveau des ressources pour les actions ec2:EnableVpcClassicLink, ec2:DisableVpcClassicLink, ec2:AttachClassicLinkVpc et ec2:DetachClassicLinkVpc afin de contrôler la façon dont ces utilisateurs peuvent utiliser ces actions. Les autorisations au niveau des ressources ne sont pas prises en charge pour les actions ec2:Describe*.

La stratégie suivante accorde aux utilisateurs l'autorisation d'afficher les VPC ClassicLink et les instances EC2-Classic liées, d'activer et de désactiver un VPC pour ClassicLink, et de lier des instances à partir d'un VPC ClassicLink ou d'annuler le lien.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeClassicLinkInstances", "ec2:DescribeVpcClassicLink", "ec2:EnableVpcClassicLink", "ec2:DisableVpcClassicLink", "ec2:AttachClassicLinkVpc", "ec2:DetachClassicLinkVpc" ], "Resource": "*" } ] }

La stratégie suivante permet à l'utilisateur d'activer et de désactiver les VPC pour ClassicLink ayant la balise spécifique "purpose=classiclink". Les utilisateurs ne peuvent pas activer ou désactiver d'autres VPC pour ClassicLink.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*VpcClassicLink", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { "StringEquals": { "ec2:ResourceTag/purpose":"classiclink" } } } ] }

La stratégie suivante autorise les utilisateurs à lier les instances à un VPC uniquement si elles sont de type m3.large. La deuxième déclaration permet aux utilisateurs d'utiliser les ressources du VPC et du groupe de ressources, qui sont requises pour lier une instance à un VPC.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": "arn:aws:ec2:region:account:instance/*", "Condition": { "StringEquals": { "ec2:InstanceType":"m3.large" } } }, { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/*", "arn:aws:ec2:region:account:security-group/*" ] } ] }

La stratégie suivante autorise les utilisateurs à lier les instances à un VPC spécifique (vpc-1a2b3c4d) uniquement et à n'associer que des groupes spécifiques de sécurité du VPC à l'instance (sg-1122aabb et sg-aabb2233). Les utilisateurs ne peuvent pas lier une instance à un autre VPC ni spécifier un autre des groupes de sécurité du VPC pour l'associer à l'instance dans la demande.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:security-group/sg-1122aabb", "arn:aws:ec2:region:account:security-group/sg-aabb2233" ] } ] }

La stratégie suivante accorde aux utilisateurs l'autorisation de supprimer les liens de toute instance EC2-Classic liée à partir d'un VPC, mais uniquement si l'instance a la balise "unlink=true". La seconde déclaration autorise les utilisateurs à avoir recours à la ressource du VPC, qui est requise pour détacher une instance du VPC.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:DetachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/unlink":"true" } } }, { "Effect": "Allow", "Action": "ec2:DetachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/*" ] } ] }

Dans cet exemple, vous disposez d'une application avec trois instances : un serveur web public, un serveur d'applications et un serveur de base de données. Votre serveur web accepte le trafic HTTPS d'Internet et communique avec votre serveur d'applications via le port TCP 6001. Votre serveur d'applications communique alors avec votre serveur de base de données via le port TCP 6004. Vous êtes en train de migrer la totalité de votre application vers un VPC de votre compte. Vous avez déjà migré votre serveur d'applications et votre serveur de base de données vers votre VPC. Votre serveur web est encore dans EC2-Classic et lié à votre VPC via ClassicLink.

Vous souhaitez une configuration de groupe de sécurité qui autorise la circulation du trafic uniquement entre ces instances. Vous disposez de quatre groupes de sécurité : deux pour votre serveur web (sg-1a1a1a1a et sg-2b2b2b2b), un pour votre serveur d'applications (sg-3c3c3c3c) et un pour votre serveur de base de données (sg-4d4d4d4d).

Le schéma suivant montre l'architecture de vos instances et leur configuration de groupe de sécurité.


          Configuration de groupe de sécurité à l'aide de ClassicLink.

Groupes de sécurité pour votre serveur web (sg-1a1a1a1a et sg-2b2b2b2b)

Vous disposez d'un groupe de sécurité dans EC2-Classic et d'un autre dans votre VPC. Vous avez associé le groupe de sécurité du VPC avec votre instance de serveur web lorsque vous avez lié l'instance à votre VPC via ClassicLink. Le groupe de sécurité du VPC vous permet de contrôler le trafic sortant de votre serveur web vers votre serveur d'applications.

Voici les règles de groupe de sécurité pour le groupe de sécurité EC2-Classic (sg-1a1a1a1a).

Inbound
Source Type Port Range Comments

0.0.0.0/0

HTTPS

443

Autorise le trafic Internet à accéder à votre serveur web.

Voici les règles de groupe de sécurité pour le groupe de sécurité du VPC (sg-2b2b2b2b).

Outbound
Destination Type Port Range Comments

sg-3c3c3c3c

TCP

6001

Autorise le trafic sortant de votre serveur web vers votre serveur d'applications dans votre VPC (ou vers toute autre instance associée à sg-3c3c3c3c).

Groupe de sécurité pour votre serveur d'applications (sg-3c3c3c3c)

Voici les règles de groupe de sécurité pour le groupe de sécurité VPC associé à votre serveur d'applications.

Inbound
Source Type Port Range Comments

sg-2b2b2b2b

TCP

6001

Autorise le type de trafic spécifié de votre serveur web (ou toute autre instance associée à sg-2b2b2b2b) à accéder à votre serveur d'applications.

Outbound
Destination Type Port Range Comments
sg-4d4d4d4d TCP 6004 Autorise le trafic sortant du serveur d'applications vers le serveur de base de données (ou vers toute autre instance associée à sg-4d4d4d4d).

Groupe de sécurité pour votre serveur de base de données (sg-4d4d4d4d)

Voici les règles de groupe de sécurité pour le groupe de sécurité VPC associé à votre serveur de base de données.

Inbound
Source Type Port Range Comments

sg-3c3c3c3c

TCP

6004

Autorise le type de trafic spécifié de votre serveur d'applications (ou toute autre instance associée à sg-3c3c3c3c) à accéder à votre serveur de base de données.