Groupes de sécurité pour votre Application Load Balancer - Elastic Load Balancing
Règles recommandéesMise à jour des groupes de sécurité associés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes de sécurité pour votre Application Load Balancer

Le groupe de sécurité de votre Application Load Balancer contrôle le trafic autorisé à atteindre et à quitter l'équilibreur de charge. Vous devez vous assurer que votre équilibreur de charge peut communiquer avec les cibles enregistrées sur le port d'écoute et le port de vérification de l'état. Chaque fois que vous ajoutez un écouteur à votre équilibreur de charge ou que vous mettez à jour le port de vérification de l'état d'un groupe cible utilisé par l'équilibreur de charge pour acheminer les demandes, vous devez vérifier que les groupes de sécurité associés à l'équilibreur de charge autorisent le trafic sur le nouveau port dans les deux sens. Dans le cas contraire, vous pouvez modifier les règles des groupes de sécurité actuellement associés ou associer des groupes de sécurité différents à l'équilibreur de charge. Vous pouvez choisir les ports et protocoles à autoriser. Par exemple, vous pouvez ouvrir des connexions Internet Control Message Protocol (ICMP) pour que l'équilibreur de charge réponde aux demandes ping (par contre, les demandes ping ne sont pas transmises aux instances).

Considérations

  • Pour garantir que vos cibles reçoivent du trafic exclusivement en provenance de l'équilibreur de charge, limitez les groupes de sécurité associés à vos cibles afin qu'ils n'acceptent que le trafic provenant de l'équilibreur de charge. Cela peut être réalisé en définissant le groupe de sécurité de l'équilibreur de charge comme source dans la règle d'entrée du groupe de sécurité de la cible.

  • Si votre Application Load Balancer est la cible d'un Network Load Balancer, les groupes de sécurité de votre Application Load Balancer utilisent le suivi des connexions pour suivre les informations relatives au trafic provenant du Network Load Balancer. Cela se produit quelles que soient les règles de groupe de sécurité définies pour votre Application Load Balancer. Pour plus d'informations, consultez la section Suivi des connexions des groupes de sécurité dans le guide de EC2 l'utilisateur Amazon.

  • Nous vous recommandons d'autoriser le trafic ICMP entrant pour prendre en charge Path MTU Discovery. Pour plus d'informations, consultez Path MTU Discovery dans le guide de l' EC2 utilisateur Amazon.

Les règles suivantes sont recommandées pour un équilibreur de charge connecté à Internet avec des instances comme cibles.

Inbound
Source Port Range Comment

0.0.0.0/0

listener

Autoriser tout le trafic entrant sur le port d'écoute de l'équilibreur de charge

Outbound

Destination Port Range Comment

instance security group

instance listener

Autoriser le trafic sortant vers les instances sur le port d'écoute des instances

instance security group

health check

Autoriser le trafic sortant vers les instances sur le port de vérification de l'état

Les règles suivantes sont recommandées pour un équilibreur de charge interne avec des instances comme cibles.

Inbound
Source Port Range Comment

VPC CIDR

listener

Autoriser le trafic entrant à partir du CIDR VPC vers le port d'écoute de l'équilibreur de charge

Outbound

Destination Port Range Comment

instance security group

instance listener

Autoriser le trafic sortant vers les instances sur le port d'écoute des instances

instance security group

health check

Autoriser le trafic sortant vers les instances sur le port de vérification de l'état

Les règles suivantes sont recommandées pour un Application Load Balancer dont les cibles sont des instances et qui est lui-même la cible d'un Network Load Balancer.

Inbound
Source Port Range Comment

client IP addresses/CIDR

alb listener

Autoriser le trafic client entrant sur le port de l'écouteur de l'équilibreur de charge

VPC CIDR

alb listener

Autoriser le trafic client entrant via le port d' AWS PrivateLink écoute de l'équilibreur de charge

VPC CIDR

alb listener

Autoriser le trafic de l'état entrant à partir du Network Load Balancer

Outbound

Destination Port Range Comment

instance security group

instance listener

Autoriser le trafic sortant vers les instances sur le port d'écoute des instances

instance security group

health check

Autoriser le trafic sortant vers les instances sur le port de vérification de l'état

Mise à jour des groupes de sécurité associés

Vous pouvez mettre à jour à tout moment les groupes de sécurité associés à votre équilibreur de charge.

Console
Pour mettre à jour les groupes de sécurité

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).

  3. Sélectionnez l'équilibreur de charge.

  4. Dans l'onglet Security, choisissez Edit.

  5. Pour associer un groupe de sécurité à votre équilibreur de charge, sélectionnez-le. Pour supprimer une association de groupe de sécurité, choisissez l'icône X correspondant au groupe de sécurité.

  6. Sélectionnez Enregistrer les modifications.

AWS CLI
Pour mettre à jour les groupes de sécurité

Utilisez la commande set-security-groups.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
CloudFormation
Pour mettre à jour les groupes de sécurité

Mettez à jour la AWS::ElasticLoadBalancingV2::LoadBalancerressource.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup