Avant de commencer Ajouter une règle pour le trafic RDP entrant vers une instance Windows Affecter un groupe de sécurité à une instance

Autoriser le trafic entrant pour vos instances Windows

Les groupes de sécurité vous permettent de contrôler le trafic vers votre instance, y compris celui qui peut atteindre votre instance. Par exemple, vous pouvez n’autoriser que les ordinateurs de votre réseau domestique à accéder à votre instance avec RDP. Si votre instance est un serveur web, vous pouvez autoriser toutes les adresses IP à accéder à votre instance via HTTP ou HTTPS, de telle sorte que les utilisateurs externes puissent parcourir le contenu de votre serveur web.

Vos groupes de sécurité par défaut et les groupes de sécurité nouvellement créés incluent les règles par défaut qui ne vous permettent pas d’accéder à votre instance depuis Internet. Pour plus d’informations, consultez Groupes de sécurité par défaut et Custom security groups. Pour autoriser l’accès réseau à votre instance, vous devez autoriser le trafic entrant vers votre instance. Pour ouvrir un port pour le trafic entrant, ajoutez une règle au groupe de sécurité que vous avez associé à votre instance quand vous l’avez lancée.

Pour vous connecter à votre instance, vous devez configurer une règle pour autoriser le trafic RDP à partir de l’adresse IPv4 publique de votre ordinateur. Pour autoriser le trafic RDP à partir des plages supplémentaires d’adresses IP, ajoutez une règle pour chaque plage que vous devez autoriser.

Si vous avez activé votre VPC pour IPv6 et lancé votre instance avec une adresse IPv6, vous pouvez vous connecter à l’instance à l’aide de son adresse IPv6 au lieu d’une adresse IPv4 publique. Votre ordinateur local doit avoir une adresse IPv6 et doit être configuré pour utiliser IPv6.

Si vous devez autoriser le trafic réseau vers une instance Linux, consultez Autorisation du trafic entrant pour vos instances Linux dans le Amazon EC2 Guide de l’utilisateur pour les instances Linux.

Avant de commencer

Décidez qui nécessite un accès à votre instance. Il peut s’agir d’un hôte unique ou d’un réseau spécifique que vous approuvez. Par exemple, vous pouvez choisir l’adresse IPv4 publique de votre ordinateur local. L’éditeur de groupe de sécurité de la console Amazon EC2 peut détecter automatiquement l’adresse IPv4 publique de votre ordinateur local pour vous. Sinon, vous pouvez utiliser l’expression de recherche « quelle est mon adresse IP ? » dans un navigateur Internet, ou utiliser le service suivant : Check IP. Si votre connexion s’effectue via un ISP ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d’adresses IP utilisée par les ordinateurs clients.

Avertissement

Si vous utilisez 0.0.0.0/0, vous permettez à toutes les adresses IPv4 d’accéder à votre instance à l’aide de RDP. Si vous utilisez ::/0, vous permettez à toutes les adresses IPv6 d’accéder à votre instance. Veillez à autoriser une seule adresse IP ou plage d’adresses à accéder à votre instance.

Un pare-feu Windows peut également bloquer le trafic entrant. Si vous rencontrez des difficultés pour configurer l’accès à votre instance, vous devrez peut-être désactiver le pare-feu Windows. Pour plus d’informations, consultez Le service Bureau à distance ne peut pas se connecter à l’ordinateur distant.

Ajouter une règle pour le trafic RDP entrant vers une instance Windows

Les groupes de sécurité font office de pare-feu pour les instances associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l’instance. Vous devez ajouter des règles à un groupe de sécurité pour pouvoir vous connecter à votre instance Windows à partir de votre adresse IP avec RDP.

Pour ajouter une règle à un groupe de sécurité pour le trafic RDP entrant sur IPv4 (console)

Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.
Dans la barre de navigation, sélectionnez une Région pour le groupe de sécurité. Comme les groupes de sécurité sont propres à une région, vous devez sélectionner la même région dans laquelle vous avez créé votre instance.
Dans le panneau de navigation, choisissez Instances.
Sélectionnez votre instance et, dans la moitié inférieure de l’écran, sélectionnez l’onglet Security (Sécurité). Security groups (Groupes de sécurité) répertorie les groupes de sécurité associés à l’instance. Inbound rules (Règles entrantes) affiche la liste des règles entrantes en vigueur pour l’instance.
Pour le groupe de sécurité auquel vous allez ajouter la nouvelle règle, sélectionnez le lien de l’ID du groupe de sécurité pour ouvrir le groupe de sécurité.
Sous l’onglet Inbound Rules (Règles entrantes), sélectionnez Edit inbound rules (Modifier les règles entrantes).
Sur la page Edit inbound rules (Modifier les règles entrantes), procédez comme suit :
1. Choisissez Add rule.
2. Pour Type, choisissez RDP.
3. Dans Source, sélectionnez My IP (Mon IP) pour remplir automatiquement le champ avec l’adresse IPv4 publique de votre ordinateur local.
  
  Sinon, dans Source, sélectionnez Custom (Personnalisé) et spécifiez l’adresse IPv4 publique de votre ordinateur ou réseau en notation CIDR. Par exemple, si votre adresse IPv4 est 203.0.113.25, saisissez 203.0.113.25/32 pour afficher cette seule adresse IPv4 en notation CIDR. Si votre entreprise alloue des adresses à partir d’une plage, saisissez la plage complète, telle que 203.0.113.0/24.
  
  Pour plus d’informations sur la recherche de votre adresses IP, consultez Avant de commencer.
4. Sélectionnez Save rules (Enregistrer les règles).

Si vous avez lancé une instance avec une adresse IPv6 et que vous souhaitez vous connecter à votre instance à l’aide de son adresse IPv6, vous devez ajouter des règles qui autorisent le trafic IPv6 entrant sur RDP.

Pour ajouter une règle à un groupe de sécurité pour le trafic RDP entrant sur IPv6 (console)

Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.
Dans la barre de navigation, sélectionnez une Région pour le groupe de sécurité. Comme les groupes de sécurité sont propres à une région, vous devez sélectionner la même région dans laquelle vous avez créé votre instance.
Dans le panneau de navigation, choisissez Instances.
Sélectionnez votre instance et, dans la moitié inférieure de l’écran, sélectionnez l’onglet Security (Sécurité). Security groups (Groupes de sécurité) répertorie les groupes de sécurité associés à l’instance. Inbound rules (Règles entrantes) affiche la liste des règles entrantes en vigueur pour l’instance.
Pour le groupe de sécurité auquel vous allez ajouter la nouvelle règle, sélectionnez le lien de l’ID du groupe de sécurité pour ouvrir le groupe de sécurité.
Sous l’onglet Inbound Rules (Règles entrantes), sélectionnez Edit inbound rules (Modifier les règles entrantes).
Sur la page Edit inbound rules (Modifier les règles entrantes), procédez comme suit :
1. Choisissez Add rule.
2. Pour Type, choisissez RDP.
3. Pour Source, sélectionnez Custom (Personnalisé) et saisissez l’adresse IPv6 de votre ordinateur en notation CIDR. Par exemple, si votre adresse IPv6 est 2001:db8:1234:1a00:9691:9503:25ad:1761, spécifiez 2001:db8:1234:1a00:9691:9503:25ad:1761/128 pour afficher la seule adresse IP en notation CIDR. Si votre entreprise alloue des adresses à partir d’une plage, saisissez la plage complète, telle que 2001:db8:1234:1a00::/64.
4. Sélectionnez Save rules (Enregistrer les règles).

Note

Veillez bien à exécuter les commandes suivantes sur votre système local, pas sur l’instance elle-même. Pour plus d’informations sur les CLI (interface ligne de commande), consultez Accès à Amazon EC2.

Pour ajouter une règle à un groupe de sécurité à l’aide de la ligne de commande

Recherchez le groupe de sécurité associé à votre instance à l’aide de l’une des commandes suivantes :
- describe-instance-attribute (AWS CLI)
```
aws ec2 describe-instance-attribute --region region --instance-id instance_id --attribute groupSet
```
- Get-EC2InstanceAttribute (AWS Tools for Windows PowerShell)
```
PS C:\> (Get-EC2InstanceAttribute -Region region -InstanceId instance_id -Attribute groupSet).Groups
```
Les deux commandes renvoient un ID de groupe de sécurité que vous utiliserez à l’étape suivante.
Ajoutez la règle au groupe de sécurité à l’aide de l’une des commandes suivantes :
- authorize-security-group-ingress (AWS CLI)
```
aws ec2 authorize-security-group-ingress --region region --group-id security_group_id --protocol tcp --port 3389 --cidr cidr_ip_range
```
- Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
  
  La commande Grant-EC2SecurityGroupIngress a besoin d’un paramètre IpPermission qui décrit le protocole, la plage de ports et la plage d’adresses IP à utiliser pour la règle de groupe de sécurité. La commande suivante crée le paramètre IpPermission :
```
PS C:\> $ip1 = @{ IpProtocol="tcp"; FromPort="3389"; ToPort="3389"; IpRanges="cidr_ip_range" }
```
```
PS C:\> Grant-EC2SecurityGroupIngress -Region region -GroupId security_group_id -IpPermission @($ip1)
```

Affecter un groupe de sécurité à une instance

Vous pouvez assigner un groupe de sécurité à une instance lorsque vous lancez l’instance. Quand vous ajoutez ou supprimez des règles, ces modifications sont automatiquement appliquées à toutes les instances auxquelles vous avez affecté le groupe de sécurité.

Après avoir lancé une instance, vous pouvez modifier ses groupes de sécurité. Pour plus d’informations, consultez Modifier le groupe de sécurité d’une instance.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Rôles IAM

Paires de clés