Amazon Relational Database Service
Guide de l'utilisateur

Utilisation des groupes de sécurité DB (plateforme EC2-Classic)

Par défaut, l'accès au réseau est désactivé sur une instance de base de données. Vous pouvez spécifier des règles dans un groupe de sécurité qui autorise l'accès depuis une plage d'adresses IP, un port ou un groupe de sécurité EC2. Une fois les règles de trafic entrant configurées, les mêmes règles s'appliquent à toutes les instances de base de données qui sont associées à ce groupe de sécurité. Vous pouvez spécifier jusqu'à 20 règles dans un groupe de sécurité.

Amazon RDS prend en charge deux types différents de groupes de sécurité. Celui que vous utilisez dépend de la plateforme Amazon RDS sur laquelle vous êtes :

  • Groupes de sécurité VPC – pour la plateforme EC2-VPC.

  • Groupes de sécurité de base de données – pour la plateforme EC2-Classic.

Il est fort probable que vous soyez sur la plateforme EC2-VPC (et que vous devrez utiliser les groupes de sécurité VPC) si l'une des conditions suivantes est vraie :

  • Si vous êtes un nouveau client Amazon RDS.

  • Si vous n'avez jamais créé d'instance de base de données auparavant.

  • Si vous créez une instance de base de données dans une région AWS que vous n'avez pas encore utilisée.

Sinon, si vous vous trouvez sur la plateforme EC2-Classic, vous utilisez les groupes de sécurité de base de données pour gérer l'accès à vos instances de base de données Amazon RDS. Pour plus d'informations sur les différences entre les groupes de sécurité de base de données et les groupes de sécurité VPC, consultez Contrôle d'accès par groupe de sécurité.

Note

Pour déterminer la plateforme sur laquelle vous êtes, consultez Déterminer si vous utilisez une plateforme EC2-VPC ou EC2-Classic.

Si vous êtes sur la plateforme EC2-VPC, vous pouvez utiliser les groupes de sécurité VPC au lieu des groupes de sécurité DB. Pour plus d'informations sur l'utilisation d'un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

Création d'un groupe de sécurité DB

Pour créer un groupe de sécurité DB, vous devez fournir un nom et une description.

Console

Pour créer un groupe de sécurité DB

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Depuis le volet de navigation, sélectionnez Groupes de sécurité.

    Note

    Si vous utilisez la plateforme EC2-VPC, l'option Groupes de sécurité n'apparaît pas dans le volet de navigation. Dans ce cas, vous pouvez utiliser les groupes de sécurité VPC au lieu des groupes de sécurité DB. Pour plus d'informations sur l'utilisation d'un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

  3. Choisissez Create DB Security Group.

  4. Saisissez le nom et la description du nouveau groupe de sécurité de base de données dans les zones de texte Nom et Description. Le nom du groupe de sécurité ne peut pas contenir d'espaces et ne peut pas commencer par un chiffre.

  5. Choisissez Yes, Create.

    Le groupe de sécurité de base de données est créé.

    Un groupe de sécurité de base de données nouvellement créé ne fournit pas un accès à une instance de base de données par défaut. Vous devez spécifier une plage d'adresses IP ou un groupe de sécurité Amazon EC2 pouvant avoir accès à l'instance de base de données. Pour spécifier des adresses IP ou un groupe de sécurité Amazon EC2 pour un groupe de sécurité de base de données, consultez Autorisation de l'accès réseau à un groupe de sécurité DB depuis une plage IP.

AWS CLI

Pour créer un groupe de sécurité de base de données, utilisez la commande create-db-security-group de l'AWS CLI.

Pour Linux, OS X ou Unix :

aws rds create-db-security-group \ --db-security-group-name mydbsecuritygroup \ --db-security-group-description "My new security group"

Pour Windows :

aws rds create-db-security-group ^ --db-security-group-name mydbsecuritygroup ^ --db-security-group-description "My new security group"

Un groupe de sécurité de base de données nouvellement créé ne fournit pas un accès à une instance de base de données par défaut. Vous devez spécifier une plage d'adresses IP ou un groupe de sécurité Amazon EC2 pouvant avoir accès à l'instance de base de données. Pour spécifier des adresses IP ou un groupe de sécurité Amazon EC2 pour un groupe de sécurité de base de données, consultez Autorisation de l'accès réseau à un groupe de sécurité DB depuis une plage IP.

API

Pour créer un groupe de sécurité de base de données, appelez la fonction Amazon RDS CreateDBSecurityGroup avec les paramètres suivants :

  • DBSecurityGroupName = mydbsecuritygroup

  • Description = "My new security group"

Exemple

https://rds.amazonaws.com/ ?Action=CreateDBSecurityGroup &DBSecurityGroupName=mydbsecuritygroup &Description=My%20new%20db%20security%20group &Version=2012-01-15 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2012-01-20T22%3A06%3A23.624Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

Un groupe de sécurité de base de données nouvellement créé ne fournit pas un accès à une instance de base de données par défaut. Vous devez spécifier une plage d'adresses IP ou un groupe de sécurité Amazon EC2 pouvant avoir accès à l'instance de base de données. Pour spécifier des adresses IP ou un groupe de sécurité Amazon EC2 pour un groupe de sécurité de base de données, consultez Autorisation de l'accès réseau à un groupe de sécurité DB depuis une plage IP.

Liste des groupes de sécurité DB disponibles

Vous pouvez répertorier les groupes de sécurité DB qui ont été créés pour votre compte AWS.

Console

Pour répertorier tous les groupes de sécurité DB disponibles pour un compte AWS

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Depuis le volet de navigation, sélectionnez Groupes de sécurité.

    Les groupes de sécurité de base de données disponibles s'affichent dans la liste Groupes de sécurité de base de données.

    Note

    Si vous utilisez la plateforme EC2-VPC, l'option Groupes de sécurité n'apparaît pas dans le volet de navigation. Dans ce cas, vous pouvez utiliser les groupes de sécurité VPC au lieu des groupes de sécurité DB. Pour plus d'informations sur l'utilisation d'un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

AWS CLI

Pour répertorier tous les groupes de sécurité de base de données disponibles pour un compte AWS, utilisez la commande describe-db-security-groups de l'AWS CLI sans paramètres.

aws rds describe-db-security-groups

API

Pour répertorier tous les groupes de sécurité de base de données disponibles pour un compte AWS, appelez DescribeDBSecurityGroups sans paramètres.

Exemple

https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &MaxRecords=100 &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

Affichage d'un groupe de sécurité de base de données

Vous pouvez affichez des informations détaillées sur votre groupe de sécurité DB pour voir les plages IP qui ont été autorisées.

Console

Pour afficher des propriétés d'un groupe de sécurité DB spécifique

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Depuis le volet de navigation, sélectionnez Groupes de sécurité.

    Note

    Si vous utilisez la plateforme EC2-VPC, l'option Groupes de sécurité n'apparaît pas dans le volet de navigation. Dans ce cas, vous pouvez utiliser les groupes de sécurité VPC au lieu des groupes de sécurité DB. Pour plus d'informations sur l'utilisation d'un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

  3. Sélectionnez l'icône de détails pour le groupe de sécurité DB que vous souhaitez visualiser. Les informations détaillées pour le groupe de sécurité DB sont affichées.

AWS CLI

Pour afficher les propriétés d'un groupe de sécurité de base de données spécifique, utilisez l'AWS CLI describe-db-security-groups. Spécifiez le groupe de sécurité DB que vous souhaitez afficher.

Pour Linux, OS X ou Unix :

aws rds describe-db-security-groups \ --db-security-group-name mydbsecuritygroup

Pour Windows :

aws rds describe-db-security-groups ^ --db-security-group-name mydbsecuritygroup

API

Pour afficher les propriétés d'un groupe de sécurité de base de données, appelez DescribeDBSecurityGroups avec les paramètres suivants :

  • DBSecurityGroupName=mydbsecuritygroup

Exemple

https://rds.amazonaws.com/ ?Action=DescribeDBSecurityGroups &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-16T22%3A23%3A07.107Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

Association d'un groupe de sécurité de base de données à une instance de base de données

Vous pouvez associer un groupe de sécurité de base de données à une instance de base de données à l'aide de l'option Modifier de la console RDS, de l'API Amazon RDS ModifyDBInstance ou de la commande modify-db-instance de l'AWS CLI.

Pour plus d'informations sur la modification d'une instance de base de données , consultez Modification d'une instance de base de données Amazon RDS.

Autorisation de l'accès réseau à un groupe de sécurité DB depuis une plage IP

Par défaut, l'accès au réseau est désactivé sur une instance de base de données. Si vous souhaitez accéder à une instance de base de données qui ne soit pas dans un VPC, vous devez définir des règles d'accès pour un groupe de sécurité DB afin d'autoriser l'accès depuis des groupes de sécurité EC2 ou des plages IP CIDR. Vous devez alors associer cette instance de base de données à ce groupe de sécurité DB. Ce processus est appelé entrée. Une fois que l'entrée est configurée pour un groupe de sécurité DB, les mêmes règles d'entrée sont appliquées à toutes les instances de base de données associées à ce groupe de sécurité DB.

Avertissement

Si vous prévoyez d'accéder à une instance de base de données derrière un pare-feu afin de déterminer les adresses IP que vous devez utiliser, adressez-vous à votre administrateur réseau.

Dans l'exemple suivant, vous configurez un groupe de sécurité DB avec une règle d'entrée pour une plage IP CIDR.

Console

Pour configurer un groupe de sécurité DB avec une règle d'entrée pour une plage IP CIDR

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Depuis le volet de navigation, sélectionnez Groupes de sécurité.

    Note

    Si vous utilisez la plateforme EC2-VPC, l'option Groupes de sécurité n'apparaît pas dans le volet de navigation. Dans ce cas, vous pouvez utiliser les groupes de sécurité VPC au lieu des groupes de sécurité DB. Pour plus d'informations sur l'utilisation d'un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

  3. Sélectionnez l'icône de détails pour le groupe de sécurité DB que vous souhaitez autoriser.

  4. Dans la page de détails de votre groupe de sécurité, sélectionnez CIDR/IP dans la liste déroulante Type de connexion, saisissez la plage CIDR pour la règle d'entrée que vous souhaitez ajouter à ce groupe de sécurité de base de données dans la zone de texte CIDR, puis choisissez Authorize (Autoriser).

    Astuce

    La AWS Management Console affiche une IP CIDR basée sur votre connexion sous le champ de texte CIDR. Si vous n'accédez pas à l'instance de base de données depuis derrière un pare-feu, vous pouvez utiliser cette adresse IP CIDR.

  5. Le statut de la règle d'entrée est autorisation en cours jusqu'à application de la nouvelle règle d'entrée à toutes les instances de base de données qui sont associées au groupe de sécurité de base de données que vous avez modifié. Après que la règle d'entrée a été appliquée avec succès, le statut passe à autorisé.

AWS CLI

Pour configurer un groupe de sécurité de base de données avec une règle d'entrée pour une plage IP CIDR, utilisez la commande authorize-db-security-group-ingress de l'AWS CLI.

Pour Linux, OS X ou Unix :

aws rds authorize-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.10/27

Pour Windows :

aws rds authorize-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.10/27

La commande doit produire un résultat similaire à ce qui suit.

SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.10/27 authorizing

API

Pour configurer un groupe de sécurité de base de données avec une règle d'entrée pour une plage IP CIDR, appelez l'API Amazon RDS AuthorizeDBSecurityGroupIngress avec les paramètres suivants :

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

Exemple

https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &CIDRIP=192.168.1.10%2F27 &DBSecurityGroupName=mydbsecuritygroup &Version=2009-10-16 &Action=AuthorizeDBSecurityGroupIngress &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

Autorisation de l'accès réseau à une instance de base de données depuis une instance Amazon EC2

Si vous souhaitez accéder à votre instance de base de données depuis une instance Amazon EC2, vous devez tout d'abord déterminer si votre instance EC2 et votre instance de base de données sont dans un VPC. Si vous utilisez un VPC par défaut, vous pouvez affecter le même groupe de sécurité EC2 ou VPC que celui que vous avez utilisé pour votre instance EC2 lorsque vous avez créé ou modifié l'instance de base de données à laquelle l'instance EC2 accède.

Si votre instance de base de données et votre instance EC2 ne sont pas dans un VPC, vous devez configurer le groupe de sécurité de l'instance de base de données avec une règle d'entrée qui permet le trafic depuis l'instance Amazon EC2. Pour cela, vous ajoutez le groupe de sécurité Amazon EC2 pour l'instance EC2 au groupe de sécurité de base de données pour l'instance de base de données. Dans cet exemple, vous ajoutez une règle d'entrée à un groupe de sécurité DB pour un groupe de sécurité Amazon EC2.

Important

  • L'ajout d'une règle d'entrée à un groupe de sécurité de base de données pour un groupe de sécurité Amazon EC2 accorde uniquement l'accès à vos instances de base de données depuis les instances Amazon EC2 associées à ce groupe de sécurité Amazon EC2.

  • Vous ne pouvez pas autoriser un groupe de sécurité Amazon EC2 qui est dans une région AWS autre que votre instance de base de données. Vous pouvez autoriser une plage d'adresses IP, ou spécifier un groupe de sécurité Amazon EC2 dans la même région AWS qui se rapporte à l'adresse IP dans une autre région AWS. Si vous spécifiez une plage IP, nous vous recommandons d'utiliser l'adresse IP privée de votre instance Amazon EC2, qui fournit un itinéraire réseau plus direct depuis votre instance Amazon EC2 vers votre instance de base de données Amazon RDS et n'implique pas de charge réseau pour les données envoyées en dehors du réseau Amazon.

Console

Pour ajouter un groupe de sécurité EC2 à un groupe de sécurité DB

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Depuis le volet de navigation, sélectionnez Groupes de sécurité.

    Note

    Si vous utilisez la plateforme EC2-VPC, l'option Groupes de sécurité n'apparaît pas dans le volet de navigation. Dans ce cas, vous pouvez utiliser les groupes de sécurité VPC au lieu des groupes de sécurité DB. Pour plus d'informations sur l'utilisation d'un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

  3. Sélectionnez l'icône de détails pour le groupe de sécurité DB que vous souhaitez autoriser l'accès.

  4. Dans la page de détails de votre groupe de sécurité, choisissez Groupe de sécurité EC2 pour le Type de connexion, puis sélectionnez le groupe de sécurité Amazon EC2 que vous souhaitez utiliser. Choisissez ensuite Authorize (Autoriser).

  5. Le statut de la règle d'entrée est autorisation en cours jusqu'à application de la nouvelle règle d'entrée à toutes les instances de base de données qui sont associées au groupe de sécurité de base de données que vous avez modifié. Après que la règle d'entrée a été appliquée avec succès, le statut passe à autorisé.

AWS CLI

Pour accorder l'accès à un groupe de sécurité Amazon EC2, utilisez la commande AWS CLI authorize-db-security-group-ingress.

Pour Linux, OS X ou Unix :

aws rds authorize-db-security-group-ingress \ --db-security-group-name default \ --ec2-security-group-name myec2group \ --ec2-security-group-owner-id 987654321021

Pour Windows :

aws rds authorize-db-security-group-ingress ^ --db-security-group-name default ^ --ec2-security-group-name myec2group ^ --ec2-security-group-owner-id 987654321021

La commande doit produire un résultat similaire à ce qui suit :

SECGROUP Name Description SECGROUP default default EC2-SECGROUP myec2group 987654321021 authorizing

API

Pour autoriser l'accès réseau à un groupe de sécurité Amazon EC2, appelez cette fonction API Amazon RDS, https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.htmlAuthorizeDBSecurityGroupIngress avec les paramètres suivants :

  • EC2Security­GroupName = myec2group

  • EC2SecurityGroupOwnerId = 987654321021

Exemple

https://rds.amazonaws.com/ ?Action=AuthorizeDBSecurityGroupIngress &EC2SecurityGroupOwnerId=987654321021 &EC2Security­GroupName=myec2group &Version=2009-10-16 &SignatureVersion=2 &SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T17%3A10%3A50.274Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>

Révocation de l'accès réseau à une instance de base de données depuis une plage IP

Vous pouvez facilement révoquer l'accès réseau depuis une plage IP CIDR à des instances de base de données appartenant à un groupe de sécurité de base de données en révoquant la règle d'entrée IP CIDR associée.

Dans cet exemple, vous révoquez une règle d'entrée pour une plage IP CDR sur un groupe de sécurité de base de données.

Console

Pour révoquer une règle d'entrée pour une plage IP CIDR sur un groupe de sécurité DB

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Depuis le volet de navigation, sélectionnez Groupes de sécurité.

    Note

    Si vous utilisez la plateforme EC2-VPC, l'option Groupes de sécurité n'apparaît pas dans le volet de navigation. Dans ce cas, vous pouvez utiliser les groupes de sécurité VPC au lieu des groupes de sécurité DB. Pour plus d'informations sur l'utilisation d'un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

  3. Sélectionnez l'icône de détails pour le groupe de sécurité DB associé à la règle d'entrée que vous souhaitez révoquer.

  4. Dans la page de détails pour votre groupe de sécurité, choisissez Supprimer à côté de la règle d'entrée que vous voulez révoquer.

  5. Le statut de la règle d'entrée est révocation jusqu'à suppression de la règle d'entrée de toutes les instances de base de données qui sont associées au groupe de sécurité de base de données que vous avez modifié. Après la suppression réussie de la règle d'entrée, cette dernière est supprimée du groupe de sécurité de base de données.

AWS CLI

Pour révoquer une règle d'entrée pour une plage IP CIDR sur un groupe de sécurité de base de données, utilisez la commande revoke-db-security-group-ingress de l'AWS CLI.

Pour Linux, OS X ou Unix :

aws rds revoke-db-security-group-ingress \ --db-security-group-name mydbsecuritygroup \ --cidrip 192.168.1.1/27

Pour Windows :

aws rds revoke-db-security-group-ingress ^ --db-security-group-name mydbsecuritygroup ^ --cidrip 192.168.1.1/27

La commande doit produire un résultat similaire à ce qui suit.

SECGROUP mydbsecuritygroup My new DBSecurityGroup IP-RANGE 192.168.1.1/27 revoking

API

Pour révoquer une règle d'entrée pour une plage IP CIDR sur un groupe de sécurité de base de données, appelez l'opération d’API Amazon RDShttps://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RevokeDBSecurityGroupIngress.htmlRevokeDBSecurityGroupIngress avec les paramètres suivants :

  • DBSecurityGroupName = mydbsecuritygroup

  • CIDRIP = 192.168.1.10/27

Exemple

https://rds.amazonaws.com/ ?Action=RevokeDBSecurityGroupIngress &DBSecurityGroupName=mydbsecuritygroup &CIDRIP=192.168.1.10%2F27 &Version=2009-10-16 &SignatureVersion=2&SignatureMethod=HmacSHA256 &Timestamp=2009-10-22T22%3A32%3A12.515Z &AWSAccessKeyId=<AWS Access Key ID> &Signature=<Signature>