Utiliser des groupes de sécurité

Vous pouvez assigner un groupe de sécurité à une instance lorsque vous lancez l’instance. Quand vous ajoutez ou supprimez des règles, ces modifications sont automatiquement appliquées à toutes les instances auxquelles vous avez affecté le groupe de sécurité. Pour plus d’informations, consultez Affecter un groupe de sécurité à une instance.

Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité. Pour plus d’informations, consultez Modifier le groupe de sécurité d’une instance.

Vous pouvez créer, afficher, mettre à jour et supprimer des groupes de sécurité et des règles de groupe de sécurité à l’aide de la console Amazon EC2 et des outils de ligne de commande.

Création d’un groupe de sécurité

Même si vous pouvez utiliser le groupe de sécurité par défaut pour vos instances, vous souhaiterez peut-être créer vos propres groupes afin de refléter les différents rôles joués par les instances dans votre système.

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter les instances. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.

Un groupe de sécurité ne peut être utilisé que dans le VPC dans lequel il est créé.

Console

Pour créer un groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, choisissez Groupes de sécurité.

3. Sélectionnez Créer un groupe de sécurité.

4. Dans la section Basic details (Détails de base) procédez comme suit.

   1. Entrez un nom descriptif et une brève description pour le groupe de sécurité. Vous ne pourrez pas les modifier une fois le groupe de sécurité créé. Le nom et la description peuvent comporter jusqu’à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

   2. Dans la zone VPC, choisissez le VPC.

5. Vous pouvez ajouter des règles de groupe de sécurité maintenant ou ultérieurement. Pour plus d’informations, consultez Ajouter des règles à un groupe de sécurité.

6. Vous pouvez ajouter des étiquettes maintenant ou ultérieurement. Pour ajouter une étiquette, choisissez Ajouter une nouvelle étiquette), puis entrez la clé et la valeur de l’étiquette.

7. Sélectionnez Créer un groupe de sécurité.

Command line

Pour créer un groupe de sécurité

Utilisez l’une des commandes suivantes :

• create-security-group (AWS CLI)

• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Copier un groupe de sécurité

Vous pouvez créer un nouveau groupe de sécurité en créant la copie d’un groupe existant. Lorsque vous copiez un groupe de sécurité, la copie est créée avec les mêmes règles entrantes et sortantes que le groupe de sécurité d’origine. Si le groupe de sécurité d’origine se trouve dans un VPC, la copie est créée dans le même VPC, sauf si vous en spécifiez un autre.

La copie reçoit un nouvel ID de groupe de sécurité unique et vous devez lui donner un nom. Vous pouvez également ajouter une description.

Vous ne pouvez pas copier un groupe de sécurité d’une région vers une autre région.

Vous pouvez créer une copie d’un groupe de sécurité à l’aide de la console Amazon EC2.

Pour créer un groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

3. Sélectionnez le groupe de sécurité à copier et choisissez Actions, Copy to new security group (Copier vers un nouveau groupe de sécurité).

4. Spécifiez un nom et une description facultative, puis modifiez les règles du VPC et du groupe de sécurité si nécessaire.

5. Sélectionnez Créer.

Afficher vos groupes de sécurité

Vous pouvez afficher des informations sur vos groupes de sécurité à l’aide de l’une des méthodes suivantes.

Console

Pour afficher vos groupes de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

3. Vos groupes de sécurité sont répertoriés. Pour afficher les détails d’un groupe de sécurité spécifique, y compris ses règles entrantes et sortantes, choisissez son ID dans la colonne Security group ID (ID du groupe de sécurité).

Command line

Pour afficher vos groupes de sécurité

Utilisez l’une des commandes suivantes.

• describe-security-groups (AWS CLI)

• describe-security-group-rules (AWS CLI)

• Get-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Amazon EC2 Global View

Vous pouvez utiliser Amazon EC2 Global View pour consulter vos groupes de sécurité dans toutes les régions pour lesquelles votre AWS compte est activé. Pour plus d’informations, consultez Amazon EC2 Global View (Amazon EC2 Global View).

Ajouter des règles à un groupe de sécurité

Lorsque vous ajoutez une règle à un groupe de sécurité, la nouvelle règle est automatiquement appliquée à toutes les instances associées au groupe de sécurité. Il peut y avoir un court délai avant l’application de la règle. Pour plus d’informations, consultez Règles de groupe de sécurité pour différents cas d’utilisation et Règles des groupes de sécurité.

Console

Pour ajouter une règle d’entrée à un groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, choisissez Groupes de sécurité.

3. Sélectionnez le groupe de sécurité, puis choisissez Actions, Modifier les règles entrantes.

4. Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :

   1. Pour Type, choisissez le type de protocole à autoriser.

      • Pour le TCP personnalisé ou le protocole UDP personnalisé, vous devez entrer la plage de ports à autoriser. Par exemple, 0-99.

      • Pour l'ICMP personnalisé, vous devez choisir le type ICMP dans Protocole. La plage de ports est configurée pour vous. Par exemple, pour autoriser les commandes ping, choisissez Echo Request (Demande Echo) dans Protocol (Protocole).

      • Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

   2. Pour Source, effectuez l’une des opérations suivantes pour autoriser le trafic.

      • Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d’adresse CIDR, un autre groupe de sécurité ou une liste de préfixes.

      • Choisissez Anywhere pour autoriser tout le trafic du protocole spécifié à atteindre votre instance. Cette option ajoute automatiquement le bloc d’adresse CIDR IPv4 0.0.0.0/0 en tant que source. Si votre groupe de sécurité se trouve dans un VPC activé pour IPv6, cette option ajoute automatiquement une règle pour le bloc d’adresse CIDR IPv6 ::/0.

        Avertissement

        Si vous choisissez Anywhere (Partout), vous permettez à toutes les adresses IPv4 et IPv6 d’accéder à votre instance avec le protocole spécifié. Si vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP), vous ne devriez autoriser qu’une adresse IP ou une plage d’adresses IP spécifique à accéder à votre instance.

      • Choisissez My IP (Mon IP) pour autoriser le trafic entrant uniquement à partir de l’adresse IPv4 publique de votre ordinateur local.

   3. Dans Description, vous pouvez éventuellement spécifier une description de la règle.

5. Choisissez Prévisualiser les modifications, Enregistrer les règles.

Pour ajouter une règle sortante à un groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, choisissez Groupes de sécurité.

3. Sélectionnez le groupe de sécurité, puis choisissez Actions, Modifier les règles sortantes.

4. Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :

   1. Pour Type, choisissez le type de protocole à autoriser.

      • Pour le TCP personnalisé ou le protocole UDP personnalisé, vous devez entrer la plage de ports à autoriser. Par exemple, 0-99.

      • Pour l'ICMP personnalisé, vous devez choisir le type ICMP dans Protocole. La plage de ports est configurée pour vous.

      • Pour un autre type, le protocole et la plage de ports sont configurés automatiquement.

   2. Pour Destination, effectuez l’une des opérations suivantes.

      • Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d’adresse CIDR ou un autre groupe de sécurité pour lequel autoriser le trafic sortant.

      • Choisissez Anywhere pour autoriser le trafic sortant vers toutes les adresses IP. Cette option ajoute automatiquement le bloc d’adresse CIDR IPv4 0.0.0.0/0 en tant que destination.

        Si votre groupe de sécurité se trouve dans un VPC activé pour IPv6, cette option ajoute automatiquement une règle pour le bloc d’adresse CIDR IPv6 ::/0.

      • Choisissez My IP (Mon IP) pour autoriser le trafic sortant uniquement vers l’adresse IPv4 publique de votre ordinateur local.

   3. (Facultatif) Pour Description, saisissez une brève description de la règle.

5. Choisissez Preview changes (Prévisualiser les modifications), Confirm (Confirmer).

Command line

Pour ajouter des règles à un groupe de sécurité

Utilisez l’une des commandes suivantes.

• authorize-security-group-ingress (AWS CLI)

• Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

Pour ajouter une ou plusieurs règles de trafic sortant à un groupe de sécurité

Utilisez l’une des commandes suivantes.

• authorize-security-group-egress (AWS CLI)

• Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Mettre à jour les règles du groupe de sécurité

Vous pouvez mettre à jour une règle de groupe de sécurité à l’aide de l’une des méthodes suivantes. La règle mise à jour est automatiquement appliquée à toutes les instances associées au groupe de sécurité.

Console

Lorsque vous modifiez le protocole, la plage de ports, ou la source ou destination de la règle existante d’un groupe de sécurité à l’aide de la console, cette dernière supprime la règle existante et en ajoute une nouvelle.

Pour mettre à jour un groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, choisissez Groupes de sécurité.

3. Sélectionnez le groupe de sécurité.

4. Choisissez Actions, puis Edit inbound rules (Modifier les règles entrantes) pour mettre à jour une règle pour le trafic entrant ou Actions, puis Edit outbound rules (Modifier les règles sortantes) pour mettre à jour une règle pour le trafic sortant.

5. Mettez à jour la règle comme requis.

6. Choisissez Preview changes (Prévisualiser les modifications), Confirm (Confirmer).

Pour étiqueter une règle de groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, choisissez Groupes de sécurité.

3. Sélectionnez le groupe de sécurité.

4. Sous l’onglet Règles entrantes ou Règles sortantes, sélectionnez la case à cocher de la règle, puis choisissez Gérer les étiquettes.

5. La page Gérer les étiquettes affiche toutes les étiquettes affectées à la règle. Pour ajouter une étiquette, choisissez Ajouter une étiquette, puis entrez la clé et la valeur de l’étiquette. Pour supprimer une balise, choisissez Remove (Supprimer) en regard de la balise à supprimer.

6. Sélectionnez Save changes (Enregistrer les modifications).

Command line

Vous ne pouvez pas modifier le protocole, la plage de ports, ou la source ou destination de la règle existante d’un groupe de sécurité à l’aide de l’API Amazon EC2 ou d’un outil de ligne de commande. Vous devez plutôt supprimer la règle existante, puis ajouter une nouvelle règle. Vous pouvez toutefois mettre à jour la description d’une règle existante.

Pour mettre à jour une règle

Utilisez la commande suivante.

• modify-security-group-rules (AWS CLI)

Pour mettre à jour la description d’une règle entrante existante

Utilisez l’une des commandes suivantes.

• update-security-group-rule-descriptions-entrée ()AWS CLI

• Update-EC2SecurityGroupRuleIngressDescription (AWS Tools for Windows PowerShell)

Pour mettre à jour la description d’une règle sortante existante

Utilisez l’une des commandes suivantes.

• update-security-group-rule-descriptions-sortie ()AWS CLI

• Update-EC2SecurityGroupRuleEgressDescription (AWS Tools for Windows PowerShell)

Pour étiqueter une règle de groupe de sécurité

Utilisez l’une des commandes suivantes.

• create-tags (AWS CLI)

• New-EC2Tag (AWS Tools for Windows PowerShell)

Supprimer des règles d’un groupe de sécurité

Lorsque vous supprimez une règle d’un groupe de sécurité, la modification est automatiquement appliquée à toutes les instances associées au groupe de sécurité.

Vous pouvez supprimer des règles d’un groupe de sécurité à l’aide de l’une des méthodes suivantes.

Console

Pour supprimer une règle de groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

3. Sélectionnez le groupe de sécurité à mettre à jour, choisissez Actions, puis choisissez Edit inbound rules (Modifier les règles entrantes) pour supprimer une règle entrante ou Edit outbound rules (Modifier les règles sortantes) pour supprimer une règle sortante.

4. Cliquez sur le bouton Delete (Supprimer) à droite de la règle à supprimer.

5. Sélectionnez Enregistrer les règles. Vous pouvez également choisir Prévisualiser les modifications, vérifier vos modifications, puis cliquer sur Confirmer.

Command line

Supprimer une ou plusieurs règles de trafic entrant d’un groupe de sécurité

Utilisez l’une des commandes suivantes.

• revoke-security-group-ingress (AWS CLI)

• Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)

Pour supprimer une ou plusieurs règles de trafic sortant d’un groupe de sécurité

Utilisez l’une des commandes suivantes.

• revoke-security-group-egress (AWS CLI)

• Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Supprimer un groupe de sécurité

Vous ne pouvez pas supprimer un groupe de sécurité associé à une instance. Vous ne pouvez pas supprimer le groupe de sécurité par défaut. Vous ne pouvez pas supprimer un groupe de sécurité référencé par un autre groupe de sécurité dans le même VPC. Si votre groupe de sécurité est référencé par l’une de ses propres règles, vous devez supprimer la règle avant de pouvoir supprimer le groupe de sécurité.

Console

Pour supprimer un groupe de sécurité

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, choisissez Groupes de sécurité.

3. Sélectionnez le groupe de sécurité, puis choisissez Actions, Supprimer les groupes de sécurité.

4. Lorsque vous êtes invité à confirmer l’opération, choisissez Supprimer.

Command line

Pour supprimer un groupe de sécurité

Utilisez l’une des commandes suivantes.

• delete-security-group (AWS CLI)

• Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Affecter un groupe de sécurité à une instance

Vous pouvez affecter un ou plusieurs groupes de sécurité à une instance lorsque vous lancez l’instance. Vous pouvez également spécifier un ou plusieurs groupes de sécurité dans un modèle de lancement. Les groupes de sécurité sont affectés à toutes les instances lancées à l’aide du modèle de lancement.

• Pour affecter un groupe de sécurité à une instance lorsque vous lancez l’instance, consultez Paramètres réseau de Lancer une instance à l’aide de paramètres définis (nouvelle console) ou Étape 6 : Configurer un groupe de sécurité (ancienne console).

• Pour spécifier un groupe de sécurité dans un modèle de lancement, consultez Paramètres réseau de Création d'un modèle de lancement à partir de paramètres.

Modifier le groupe de sécurité d’une instance

Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité en ajoutant ou en supprimant des groupes de sécurité.

Prérequis

• L’instance doit être dans l’état running ou stopped.

• Un groupe de sécurité est spécifique à un VPC. Vous pouvez affecter un groupe de sécurité à une ou plusieurs instances lancées dans le VPC pour lequel vous avez créé le groupe de sécurité.

Console

Pour changer les groupes de sécurité d’une instance

1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, choisissez Instances.

3. Sélectionnez votre instance, puis Actions (Actions), Security (Sécurité), Change security groups (Modifier les groupes de sécurité).

4. Pour Associated security groups (Groupes de sécurité associés), sélectionnez un groupe de sécurité dans la liste et choisissez Add security group (Ajouter un groupe de sécurité).

   Pour supprimer un groupe de sécurité déjà associé, choisissez Remove (Supprimer) pour ce groupe de sécurité.

5. Choisissez Enregistrer.

Command line

Pour changer les groupes de sécurité d’une instance

Utilisez l’une des commandes suivantes.

• modify-instance-attribute (AWS CLI)

• Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)