Utiliser des groupes de sécurité - Amazon Elastic Compute Cloud

Utiliser des groupes de sécurité

Vous pouvez assigner un groupe de sécurité à une instance lorsque vous lancez l'instance. Quand vous ajoutez ou supprimez des règles, ces modifications sont automatiquement appliquées à toutes les instances auxquelles vous avez affecté le groupe de sécurité. Pour de plus amples informations, veuillez consulter Affecter un groupe de sécurité à une instance.

Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité. Pour de plus amples informations, veuillez consulter Modifier le groupe de sécurité d'une instance.

Vous pouvez créer, afficher, mettre à jour et supprimer des groupes de sécurité et des règles de groupe de sécurité à l'aide de la console Amazon EC2 et des outils de ligne de commande.

Création d'un groupe de sécurité

Même si vous pouvez utiliser le groupe de sécurité par défaut pour vos instances, vous souhaiterez peut-être créer vos propres groupes afin de refléter les différents rôles joués par les instances dans votre système.

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter les instances. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.

Un groupe de sécurité ne peut être utilisé que dans le VPC dans lequel il est créé.

New console

Pour créer un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez Créer un groupe de sécurité.

  4. Dans la section Basic details (Détails de base) procédez comme suit.

    1. Entrez un nom descriptif et une brève description pour le groupe de sécurité. Vous ne pourrez pas les modifier une fois le groupe de sécurité créé. Le nom et la description peuvent comporter jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

    2. Dans la zone VPC, choisissez le VPC.

  5. Vous pouvez ajouter des règles de groupe de sécurité maintenant ou ultérieurement. Pour de plus amples informations, veuillez consulter Ajouter des règles à un groupe de sécurité.

  6. Vous pouvez ajouter des étiquettes maintenant ou ultérieurement. Pour ajouter une étiquette, choisissez Ajouter une nouvelle étiquette), puis entrez la clé et la valeur de l'étiquette.

  7. Sélectionnez Créer un groupe de sécurité.

Old console

Pour créer un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez Créer un groupe de sécurité.

  4. Attribuez un nom et une description au groupe de sécurité.

  5. Pour VPC, choisissez l'ID du VPC.

  6. Vous pouvez commencer à ajouter des règles ou choisir Créer pour créer le groupe de sécurité maintenant (vous pourrez toujours ajouter des règles par la suite). Pour plus d'informations sur l'ajout de règles, consultez Ajouter des règles à un groupe de sécurité.

Command line

Pour créer un groupe de sécurité

Utilisez l'une des commandes suivantes :

Copier un groupe de sécurité

Vous pouvez créer un nouveau groupe de sécurité en créant la copie d'un groupe existant. Lorsque vous copiez un groupe de sécurité, la copie est créée avec les mêmes règles entrantes et sortantes que le groupe de sécurité d'origine. Si le groupe de sécurité d'origine se trouve dans un VPC, la copie est créée dans le même VPC, sauf si vous en spécifiez un autre.

La copie reçoit un nouvel ID de groupe de sécurité unique et vous devez lui donner un nom. Vous pouvez également ajouter une description.

Vous ne pouvez pas copier un groupe de sécurité d'une région vers une autre région.

Vous pouvez créer une copie d'un groupe de sécurité à l'aide de l'une des méthodes suivantes.

New console

Pour créer un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à copier et choisissez Actions, Copy to new security group (Copier vers un nouveau groupe de sécurité).

  4. Spécifiez un nom et une description facultative, puis modifiez les règles du VPC et du groupe de sécurité si nécessaire.

  5. Sélectionnez Créer.

Old console

Pour créer un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité que vous voulez copier, puis choisissez Actions, Copier vers le nouveau.

  4. La boîte de dialogue Créer un groupe de sécurité s'ouvre. Elle contient les règles du groupe de sécurité existant. Attribuez un nom et une description à votre nouveau groupe de sécurité. Pour VPC, choisissez l'ID du VPC. Lorsque vous avez terminé, cliquez sur Créer.

Afficher vos groupes de sécurité

Vous pouvez afficher des informations sur vos groupes de sécurité à l'aide de l'une des méthodes suivantes.

New console

Pour afficher vos groupes de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Vos groupes de sécurité sont répertoriés. Pour afficher les détails d'un groupe de sécurité spécifique, y compris ses règles entrantes et sortantes, choisissez son ID dans la colonne Security group ID (ID du groupe de sécurité).

Old console

Pour afficher vos groupes de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. (Facultatif) Sélectionnez ID de VPC dans la liste des filtres, puis choisissez l'ID du VPC.

  4. Sélectionnez un groupe de sécurité. Les informations générales sont affichées dans l'onglet Description, les règles entrantes dans l'onglet Entrant, les règles sortantes dans l'onglet Sortant, et les étiquettes dans l'onglet Étiquettes.

Command line

Pour afficher vos groupes de sécurité

Utilisez l'une des commandes suivantes.

Amazon EC2 Global View

Vous pouvez utiliser Amazon EC2 Global View pour afficher vos groupes de sécurité dans toutes les Régions pour lesquelles votre compte AWS est activé. Pour de plus amples informations, veuillez consulter Répertorier et filtrer les ressources entre Régions à l'aide d'Amazon EC2 Global View.

Ajouter des règles à un groupe de sécurité

Lorsque vous ajoutez une règle à un groupe de sécurité, la nouvelle règle est automatiquement appliquée à toutes les instances associées au groupe de sécurité. Il peut y avoir un court délai avant l'application de la règle. Pour plus d'informations, consultez Règles de groupe de sécurité pour différents cas d'utilisation et Règles des groupes de sécurité.

New console

Pour ajouter une règle d'entrée à un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité, puis choisissez Actions, Modifier les règles entrantes.

  4. Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :

    1. Pour Type, choisissez le type de protocole à autoriser.

      • Pour des protcoles TCP ou UDP personnalisés, vous devez saisir la plage de ports à autoriser.

      • Pour un protocole ICMP personnalisé, vous devez choisir le type d'ICMP dans Protocol (Protocole) et, le cas échéant, le nom de code dans Port range (Plage de ports) Par exemple, pour autoriser les commandes ping, choisissez Echo Request (Demande Echo) dans Protocol (Protocole).

      • Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

    2. Pour Source, effectuez l'une des opérations suivantes pour autoriser le trafic.

      • Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d'adresse CIDR, un autre groupe de sécurité ou une liste de préfixes.

      • Choisissez Anywhere pour autoriser tout le trafic du protocole spécifié à atteindre votre instance. Cette option ajoute automatiquement le bloc d’adresse CIDR IPv4 0.0.0.0/0 en tant que source. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sûre dans des environnements de production. Dans un environnement de production, autorisez uniquement une adresse IP ou une plage d'adresses IP spécifiques à accéder à vos instances.

        Si votre groupe de sécurité se trouve dans un VPC activé pour IPv6, cette option ajoute automatiquement une règle pour le bloc d’adresse CIDR IPv6 ::/0.

      • Choisissez My IP (Mon IP) pour autoriser le trafic entrant uniquement à partir de l'adresse IPv4 publique de votre ordinateur local.

    3. Dans Description, vous pouvez éventuellement spécifier une description de la règle.

  5. Choisissez Prévisualiser les modifications, Enregistrer les règles.

Pour ajouter une règle sortante à un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité, puis choisissez Actions, Modifier les règles sortantes.

  4. Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :

    1. Pour Type, choisissez le type de protocole à autoriser.

      • Pour des protcoles TCP ou UDP personnalisés, vous devez saisir la plage de ports à autoriser.

      • Pour un protocole ICMP personnalisé, vous devez choisir le type d'ICMP dans Protocol (Protocole) et, le cas échéant, le nom de code dans Port range (Plage de ports)

      • Pour un autre type, le protocole et la plage de ports sont configurés automatiquement.

    2. Pour Destination, effectuez l'une des opérations suivantes.

      • Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d'adresse CIDR ou un autre groupe de sécurité pour lequel autoriser le trafic sortant.

      • Choisissez Anywhere pour autoriser le trafic sortant vers toutes les adresses IP. Cette option ajoute automatiquement le bloc d’adresse CIDR IPv4 0.0.0.0/0 en tant que destination.

        Si votre groupe de sécurité se trouve dans un VPC activé pour IPv6, cette option ajoute automatiquement une règle pour le bloc d’adresse CIDR IPv6 ::/0.

      • Choisissez My IP (Mon IP) pour autoriser le trafic sortant uniquement vers l'adresse IPv4 publique de votre ordinateur local.

    3. (Facultatif) Pour Description, saisissez une brève description de la règle.

  5. Choisissez Preview changes (Prévisualiser les modifications), Confirm (Confirmer).

Old console

Pour ajouter des règles à un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité, puis sélectionnez le groupe de sécurité.

  3. Dans l'onglet Entrant, choisissez Modifier.

  4. Dans la boîte de dialogue, sélectionnez Ajouter une règle et effectuez les opérations suivantes :

    • Pour Type, sélectionnez le protocole.

    • Si vous sélectionnez un protocole TCP ou UDP personnalisé, spécifiez la plage de ports dans Plage de ports.

    • Si vous sélectionnez un protocole ICMP personnalisé, choisissez le nom de type ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports. Par exemple, pour autoriser les commandes ping, choisissez Echo Request (Demande Echo) dans Protocol (Protocole).

    • Pour Source, choisissez l'une des options suivantes :

      • Personnalisé : dans le champ fourni, vous devez spécifier une adresse IP en notation CIDR, un bloc d'adresse CIDR ou un autre groupe de sécurité.

      • Anywhere (N'importe où) : ajoute automatiquement le bloc d'adresse CIDR 0.0.0.0/0 IPv4. Cette option permet à l'ensemble du trafic du type spécifié d'accéder à votre instance. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production. Dans un environnement de production, vous autorisez uniquement l'accès à votre instance pour une adresse IP ou une plage d'adresses spécifiques.

        Si votre groupe de sécurité est dans un VPC qui est activé pour IPv6, l'option Anywhere (N'importe où) créée deux règles, une pour le trafic IPv4 (0.0.0.0/0) et l'autre pour le trafic IPv6 (::/0).

      • Mon IP : ajoute automatiquement l'adresse IPv4 publique de votre ordinateur local.

    • Pour Description, vous pouvez éventuellement spécifier une description pour la règle.

    Pour plus d'informations sur les types de règles que vous pouvez ajouter, consultez Règles de groupe de sécurité pour différents cas d'utilisation.

  5. Choisissez Enregistrer.

  6. Vous pouvez aussi spécifier des règles sortantes. Dans l'onglet Sortant, choisissez Modifier, Ajouter une règle, puis procédez de la façon suivante :

    • Pour Type, sélectionnez le protocole.

    • Si vous sélectionnez un protocole TCP ou UDP personnalisé, spécifiez la plage de ports dans Plage de ports.

    • Si vous sélectionnez un protocole ICMP personnalisé, choisissez le nom de type ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports.

    • Pour Destination, choisissez l'une des options suivantes :

      • Personnalisé : dans le champ fourni, vous devez spécifier une adresse IP en notation CIDR, un bloc d'adresse CIDR ou un autre groupe de sécurité.

      • Anywhere (N'importe où) : ajoute automatiquement le bloc d'adresse CIDR 0.0.0.0/0 IPv4. Cette option permet au trafic sortant d'accéder à toutes les adresses IP.

        Si votre groupe de sécurité est dans un VPC qui est activé pour IPv6, l'option Anywhere (N'importe où) créée deux règles, une pour le trafic IPv4 (0.0.0.0/0) et l'autre pour le trafic IPv6 (::/0).

      • Mon IP : ajoute automatiquement l'adresse IP de votre ordinateur local.

    • Pour Description, vous pouvez éventuellement spécifier une description pour la règle.

  7. Choisissez Enregistrer.

Command line

Pour ajouter des règles à un groupe de sécurité

Utilisez l'une des commandes suivantes.

Pour ajouter une ou plusieurs règles de trafic sortant à un groupe de sécurité

Utilisez l'une des commandes suivantes.

Mettre à jour les règles du groupe de sécurité

Vous pouvez mettre à jour une règle de groupe de sécurité à l'aide de l'une des méthodes suivantes. La règle mise à jour est automatiquement appliquée à toutes les instances associées au groupe de sécurité.

New console

Lorsque vous modifiez le protocole, la plage de ports, ou la source ou destination de la règle existante d'un groupe de sécurité à l'aide de la console, cette dernière supprime la règle existante et en ajoute une nouvelle.

Pour mettre à jour un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Choisissez Actions, Modifier les règles entrantes pour mettre à jour une règle pour le trafic entrant, ou Actions, Modifier les règles sortantes pour mettre à jour une règle pour le trafic sortant.

  5. Mettez à jour la règle comme requis.

  6. Choisissez Preview changes (Prévisualiser les modifications), Confirm (Confirmer).

Pour étiqueter une règle de groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Sous l'onglet Règles entrantes ou Règles sortantes, sélectionnez la case à cocher de la règle, puis choisissez Gérer les étiquettes.

  5. La page Gérer les étiquettes affiche toutes les étiquettes affectées à la règle. Pour ajouter une étiquette, choisissez Ajouter une étiquette, puis entrez la clé et la valeur de l'étiquette. Pour supprimer une balise, choisissez Supprimer en regard de la balise à supprimer.

  6. Sélectionnez Save Changes.

Old console

Lorsque vous modifiez le protocole, la plage de ports, ou la source ou destination de la règle existante d'un groupe de sécurité à l'aide de la console, cette dernière supprime la règle existante et en ajoute une nouvelle.

Pour mettre à jour un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour, puis choisissez l'onglet Règles entrantes afin de mettre à jour une règle pour le trafic entrant ou Règles sortantes afin de mettre à jour une règle pour le trafic sortant.

  4. Choisissez Modifier.

  5. Modifiez l'entrée de règle comme nécessaire, puis choisissez Enregistrer.

Command line

Vous ne pouvez pas modifier le protocole, la plage de ports, ou la source ou destination de la règle existante d'un groupe de sécurité à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande. Vous devez plutôt supprimer la règle existante, puis ajouter une nouvelle règle. Vous pouvez toutefois mettre à jour la description d'une règle existante.

Pour mettre à jour une règle

Utilisez la commande suivante.

Pour mettre à jour la description d'une règle entrante existante

Utilisez l'une des commandes suivantes.

Pour mettre à jour la description d'une règle sortante existante

Utilisez l'une des commandes suivantes.

Pour étiqueter une règle de groupe de sécurité

Utilisez l'une des commandes suivantes.

Supprimer des règles d'un groupe de sécurité

Lorsque vous supprimez une règle d'un groupe de sécurité, la modification est automatiquement appliquée à toutes les instances associées au groupe de sécurité.

Vous pouvez supprimer des règles d'un groupe de sécurité à l'aide de l'une des méthodes suivantes.

New console

Pour supprimer une règle de groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour, choisissez Actions, puis choisissez Edit inbound rules (Modifier les règles entrantes) pour supprimer une règle entrante ou Edit outbound rules (Modifier les règles sortantes) pour supprimer une règle sortante.

  4. Cliquez sur le bouton Delete (Supprimer) à droite de la règle à supprimer.

  5. Choisissez Preview changes (Prévisualiser les modifications), Confirm (Confirmer).

Old console

Pour supprimer une règle de groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez un groupe de sécurité.

  4. Dans l'onglet Entrant (pour les règles entrantes) ou Sortant (pour les règles sortantes), choisissez Modifier. Choisissez Supprimer (icône en forme de croix) à côté de chaque règle que vous devez supprimer.

  5. Choisissez Enregistrer.

Command line

Supprimer une ou plusieurs règles de trafic entrant d'un groupe de sécurité

Utilisez l'une des commandes suivantes.

Pour supprimer une ou plusieurs règles de trafic sortant d'un groupe de sécurité

Utilisez l'une des commandes suivantes.

Supprimer un groupe de sécurité

Vous ne pouvez pas supprimer un groupe de sécurité associé à une instance. Vous ne pouvez pas supprimer le groupe de sécurité par défaut. Vous ne pouvez pas supprimer un groupe de sécurité référencé par un autre groupe de sécurité dans le même VPC. Si votre groupe de sécurité est référencé par l'une de ses propres règles, vous devez supprimer la règle avant de pouvoir supprimer le groupe de sécurité.

New console

Pour supprimer un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à supprimer et choisissez Actions, Delete security group (Supprimer le groupe de sécurité), et Delete (Supprimer).

Old console

Pour supprimer un groupe de sécurité

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez un groupe de sécurité, puis choisissez Actions, Supprimer le groupe de sécurité.

  4. Sélectionnez Oui, supprimer.

Command line

Pour supprimer un groupe de sécurité

Utilisez l'une des commandes suivantes.

Affecter un groupe de sécurité à une instance

Vous pouvez affecter un ou plusieurs groupes de sécurité à une instance lorsque vous lancez l'instance. Vous pouvez également spécifier un ou plusieurs groupes de sécurité dans un modèle de lancement. Les groupes de sécurité seront affectés à toutes les instances lancées à l'aide du modèle de lancement.

Modifier le groupe de sécurité d'une instance

Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité en ajoutant ou en supprimant des groupes de sécurité. Vous pouvez changer les groupes de sécurité lorsque l'instance est à l'état running ou stopped.

New console

Pour modifier les groupes de sécurité d'une instance à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez votre instance, puis Actions (Actions), Security (Sécurité), Change security groups (Modifier les groupes de sécurité).

  4. Pour Associated security groups (Groupes de sécurité associés), sélectionnez un groupe de sécurité dans la liste et choisissez Add security group (Ajouter un groupe de sécurité).

    Pour supprimer un groupe de sécurité déjà associé, choisissez Remove (Supprimer) pour ce groupe de sécurité.

  5. Choisissez Enregistrer.

Old console

Pour modifier les groupes de sécurité d'une instance à l'aide de la console

  1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez votre instance, puis Actions (Actions), Networking (Réseaux), Change Security Groups (Modifier les groupes de sécurité).

  4. Pour ajouter un ou plusieurs groupes de sécurité, cochez sa case.

    Pour supprimer un groupe de sécurité déjà associé, décochez sa case.

  5. Choisissez Assign Security Groups (Attribuer les groupes de sécurité).

Command line

Pour modifier les groupes de sécurité d'une instance à l'aide de la ligne de commande

Utilisez l'une des commandes suivantes.