Contrôle d'accès par groupe de sécurité - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès par groupe de sécurité

VPCles groupes de sécurité contrôlent l'accès du trafic entrant et sortant d'un d'instances de base de données. Par défaut, l'accès au réseau est désactivé pour une instance de base de données. Vous pouvez spécifier des règles dans un groupe de sécurité qui autorisent l'accès depuis une plage d'adresses IP, un port ou un groupe de sécurité. Une fois les règles de trafic entrant configurées, les mêmes règles s'appliquent à tou(te)s les instances de base de données qui sont associé(e)s à ce groupe de sécurité. Vous pouvez spécifier jusqu'à 20 règles dans un groupe de sécurité.

Vue d'ensemble des groupes VPC de sécurité

Chaque règle VPC de groupe de sécurité permet à une source spécifique d'accéder à un d'instances de base de données associé à ce groupe VPC de sécurité. VPC La source peut être une plage d'adresses (par exemple, 203.0.113.0/24) ou un autre groupe de sécurité. VPC En spécifiant un groupe VPC de sécurité comme source, vous autorisez le trafic entrant en provenance de toutes les instances (généralement des serveurs d'applications) qui utilisent le groupe VPC de sécurité source. VPCles groupes de sécurité peuvent avoir des règles qui régissent à la fois le trafic entrant et sortant. Cependant, les règles de trafic sortant ne s'appliquent généralement pas aux instances de base de données. Les règles de trafic sortant ne s'appliquent que si l'instance de la base de données fait office de client. Par exemple, dès règles de trafic sortant s'appliquent à une instance de base de données Oracle DB avec des liens de base de données sortants. Vous devez utiliser l'option Amazon EC2 API ou Security Group sur la VPC console pour créer des groupes VPC de sécurité.

Lorsque vous créez des règles pour votre groupe de VPC sécurité qui autorisent l'accès aux d'instances de votre groupeVPC, vous devez spécifier un port pour chaque plage d'adresses à laquelle la règle autorise l'accès. Par exemple, si vous souhaitez activer l'accès à Secure Shell (SSH) pour les instances duVPC, créez une règle autorisant l'accès au TCP port 22 pour la plage d'adresses spécifiée.

Vous pouvez configurer plusieurs groupes VPC de sécurité qui autorisent l'accès à différents ports pour les différentes instances de votreVPC. Par exemple, vous pouvez créer un groupe VPC de sécurité qui autorise l'accès au TCP port 80 pour les serveurs Web de votreVPC. Vous pouvez ensuite créer un autre groupe VPC de sécurité qui autorise l'accès au TCP port 3306 RDSpour les instances My SQL DB de votreVPC.

Pour plus d'informations sur les groupes VPC de sécurité, consultez la section Groupes de sécurité dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Note

Si votre d'instance de base de données se trouve dans un VPC mais n'est pas accessible au public, vous pouvez également utiliser un AWS VPNConnexion site à site ou AWS Direct Connect connexion pour y accéder depuis un réseau privé. Pour de plus amples informations, veuillez consulter Confidentialité du trafic inter-réseau.

Scénario de groupes de sécurité

Une utilisation courante d'un d'instances de base de données dans un VPC est de partager des données avec un serveur d'applications exécuté dans une EC2 instance Amazon de celui-ciVPC, à laquelle accède une application cliente extérieure àVPC. Pour ce scénario, vous utilisez les VPC pages RDS et du AWS Management Console ou les EC2 API opérations RDS et pour créer les instances et les groupes de sécurité nécessaires :

  1. Créez un groupe VPC de sécurité (par exemplesg-0123ec2example) et définissez des règles entrantes qui utilisent les adresses IP de l'application cliente comme source. Ce groupe de sécurité permet à votre application cliente de se connecter aux EC2 instances d'une instance VPC qui utilise ce groupe de sécurité.

  2. Créez une EC2 instance pour l'application et EC2 ajoutez-la au groupe VPC de sécurité (sg-0123ec2example) que vous avez créé à l'étape précédente.

  3. Créez un deuxième groupe VPC de sécurité (par exemple,sg-6789rdsexample) et créez une nouvelle règle en spécifiant le groupe de VPC sécurité que vous avez créé à l'étape 1 (sg-0123ec2example) comme source.

  4. Lorsque vous créez le d'instances de base de données, utilisez le même numéro de port que celui spécifié pour la règle VPC de groupe de sécurité (sg-6789rdsexample) que vous avez créée à l'étape 3.

Le schéma suivant illustre ce scénario.

d'instances de base de données et EC2 instance dans un VPC

Pour obtenir des instructions détaillées sur la configuration d'un VPC pour ce scénario, consultezTutoriel : créer un VPC à utiliser avec un(e) instance de base de données (IPv4 uniquement). Pour plus d'informations sur l'utilisation d'unVPC, consultezAmazon VPC et Amazon RDS.

Création d'un groupe VPC de sécurité

Vous pouvez créer un groupe VPC de sécurité pour une instance de base de données à l'aide de la VPC console. Pour plus d'informations sur la création d'un groupe de sécurité, consultez Donnez accès à votre instance de base VPC de données dans votre et Groupes de sécurité dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Association d'un groupe de sécurité à une instance de base de données

Vous pouvez associer un groupe de sécurité à une instance de base de données en utilisant Modify sur la RDS console RDSAPI, ModifyDBInstance Amazon ou modify-db-instance AWS CLI commande.

L'CLIexemple suivant associe un groupe de VPC sécurité spécifique et supprime les groupes de sécurité de base de données de l'instance de base de données.

aws rds modify-db-instance --db-instance-identifier dbName --vpc-security-group-ids sg-ID

Pour plus d'informations sur la modification d'une instance de base de données , consultez Modification d'une RDS instance de base de données Amazon. Pour plus de détails sur les groupes de sécurité lors de la restauration d'une instance de base de données à partir d'un instantané de base de données, consultez Considérations relatives aux groupes de sécurité.

Note

La RDS console affiche différents noms de règles de groupe de sécurité pour votre base de données si la valeur du port n'est pas configurée par défaut.

RDSPour les instances de base de données Oracle, des groupes de sécurité supplémentaires peuvent être associés en renseignant le paramètre des options de groupe de sécurité pour les options Oracle Enterprise Manager Database Express (OEM), Oracle Management Agent for Enterprise Manager Cloud Control (OEMAgent) et Oracle Secure Sockets Layer. Dans ce cas, les groupes de sécurité associés à l'instance de base de données et les paramètres d'options s'appliquent à l'instance de base de données. Pour plus d'informations sur ces groupes d'options, reportez-vous aux Oracle Management Agent pour Enterprise Manager Cloud Control sectionsOracle Enterprise Manager, etOracle Secure Sockets Layer (SSL).