Règles recommandées pour les groupes de sécurité d'équilibreur de charge Attribuer des groupes de sécurité à l'aide de la console Attribuez des groupes de sécurité à l'aide du AWS CLI

Configurer des groupes de sécurité pour votre Classic Load Balancer

Lorsque vous utilisez le AWS Management Console pour créer un équilibreur de charge, vous pouvez choisir un groupe de sécurité existant ou en créer un nouveau. Si vous sélectionnez un groupe de sécurité existant, celui-ci doit autoriser le trafic dans les deux sens vers les ports d'écoute et de vérification de l'état pour l'équilibreur de charge. Si vous choisissez de créer un groupe de sécurité, la console ajoute automatiquement des règles pour autoriser tout le trafic sur ces ports.

[Non par défautVPC] Si vous utilisez AWS CLI ou API créez un équilibreur de charge dans un autre que celui par défautVPC, mais que vous ne spécifiez aucun groupe de sécurité, votre équilibreur de charge est automatiquement associé au groupe de sécurité par défaut pour le. VPC

[Par défautVPC] Si vous utilisez le AWS CLI ou API pour créer un équilibreur de charge par défautVPC, vous ne pouvez pas choisir un groupe de sécurité existant pour votre équilibreur de charge. Au lieu de cela, Elastic Load Balancing fournit un groupe de sécurité avec des règles pour autoriser tout le trafic sur les ports spécifiés pour l'équilibreur de charge. Elastic Load Balancing ne crée qu'un seul groupe de sécurité de ce type par AWS compte, avec un nom de la forme default_elb_id (par exemple,default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE). Les équilibreurs de charge suivants que vous créez par défaut utilisent VPC également ce groupe de sécurité. Vérifiez les règles du groupe de sécurité pour vous assurer qu'elles autorisent le trafic sur les ports d'écoute et de vérification de l'état pour le nouvel équilibreur de charge. Lorsque vous supprimez votre équilibreur de charge, ce groupe de sécurité n'est pas supprimé automatiquement.

Si vous ajoutez un port d'écoute à un équilibreur de charge existant, vous devez vérifier vos groupes de sécurité pour vous assurer qu'ils autorisent le trafic sur le nouveau port d'écoute dans les deux sens.

Table des matières

Règles recommandées pour les groupes de sécurité d'équilibreur de charge
Attribuer des groupes de sécurité à l'aide de la console
Attribuez des groupes de sécurité à l'aide du AWS CLI

Règles recommandées pour les groupes de sécurité d'équilibreur de charge

Les groupes de sécurité pour vos équilibreurs de charge doivent permettre à ces derniers de communiquer avec vos instances. Les règles recommandées dépendent du type d'équilibreur de charge, qu'il soit connecté à Internet ou interne.

Équilibreur de charge connecté à Internet

Le tableau suivant présente les règles d'entrée recommandées pour un équilibreur de charge connecté à Internet.

Source	Protocole	Plage de ports	Comment
0.0.0.0/0	TCP	`listener`	Autoriser tout le trafic entrant sur le port d'écoute de l'équilibreur de charge

Le tableau suivant présente les règles de sortie recommandées pour un équilibreur de charge connecté à Internet.

Destination	Protocole	Plage de ports	Comment
`instance security group`	TCP	`instance listener`	Autoriser le trafic sortant vers les instances sur le port d'écoute des instances
`instance security group`	TCP	`health check`	Autoriser le trafic sortant vers les instances sur le port de vérification de l'état

Équilibreurs de charge internes

Le tableau suivant présente les règles d'entrée recommandées pour un équilibreur de charge interne.

Source	Protocole	Plage de ports	Comment
`VPC CIDR`	TCP	`listener`	Autoriser le trafic entrant depuis le port d'écoute VPC CIDR de l'équilibreur de charge

Le tableau suivant présente les règles de sortie recommandées pour un équilibreur de charge interne.

Destination	Protocole	Plage de ports	Comment
`instance security group`	TCP	`instance listener`	Autoriser le trafic sortant vers les instances sur le port d'écoute des instances
`instance security group`	TCP	`health check`	Autoriser le trafic sortant vers les instances sur le port de vérification de l'état

Attribuer des groupes de sécurité à l'aide de la console

Utilisez la procédure suivante pour modifier les groupes de sécurité associés à votre équilibreur de charge.

Pour mettre à jour un groupe de sécurité attribué à votre équilibreur de charge à l'aide de la console

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).
Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
Dans l'onglet Security, choisissez Edit.
Sur la page Modifier les groupes de sécurité, sous Groupes de sécurité, ajoutez ou supprimez des groupes de sécurité selon vos besoins.

Vous pouvez ajouter jusqu'à cinq groupes de sécurité.
Lorsque vous avez terminé, choisissez Save changes (Enregistrer les modifications).

Attribuez des groupes de sécurité à l'aide du AWS CLI

Utilisez la commande apply-security-groups-to-load-balancer suivante pour associer un groupe de sécurité à un équilibreur de charge. Les groupes de sécurité spécifiés remplacent les groupes de sécurité associés.


aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f

Voici un exemple de réponse :


{
  "SecurityGroups": [
     "sg-53fae93f"
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sous-réseaux et zones

Réseau ACLs