Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes de sécurité : règles entrantes et sortantes
Un groupe de sécurité agit en tant que pare-feu virtuel pour votre instance afin de contrôler le trafic entrant et sortant. Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic entrant vers les instances et un ensemble distinct de règles qui contrôlent le trafic sortant.
Pour la connexion VPC QuickSight-VPC, créez un nouveau groupe de sécurité avec la description . Ce groupe de sécurité doit autoriser tout le trafic TCP entrant à partir des groupes de sécurité des destinations de données que vous souhaitez atteindre. L'exemple suivant crée un nouveau groupe de sécurité dans le VPC et renvoie l'ID de ce nouveau groupe.
aws ec2 create-security-group \ --name QuickSight-VPC \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-idvpc-0daeb67adda59e0cd
Important
La configuration réseau est suffisamment complexe pour que nous vous recommandons vivement de créer un nouveau groupe de sécurité à utiliser avec QuickSight. Il est également plus facile pour le service d'assistance AWS de vous aider si vous avez besoin de le contacter. La création d'un nouveau groupe n'est absolument pas obligatoire. Toutefois, les rubriques suivantes partent du principe que vous suivez cette recommandation.
Pour permettre QuickSight à Amazon de se connecter correctement à une instance de votre VPC, configurez les règles de votre groupe de sécurité afin d'autoriser le trafic entre l'interface QuickSight réseau et l'instance contenant vos données. Pour ce faire, configurez le groupe de sécurité attaché aux règles entrantes de l'instance de votre base de données pour autoriser le trafic suivant :
-
À partir du port qui QuickSight se connecte à
-
À partir de l'une des options suivantes :
-
L'ID du groupe de sécurité associé à l'interface QuickSight réseau (recommandé)
or
-
Adresse IP privée de l'interface QuickSight réseau
-
Pour plus d'informations, consultez les rubriques Groupes de sécurité pour votre VPC et VPC et sous-réseaux dans le Guide de l'utilisateur Amazon VPC.
Règles entrantes
Important
La section suivante s'applique à votre connexion VPC si celle-ci a été créée avant le 27 avril 2023.
Lorsque vous créez un groupe de sécurité, il n'existe pas de règles entrantes. Aucun trafic entrant issu d'un autre hôte de votre instance n'est autorisé tant que vous n'avez pas ajouté des règles entrantes au groupe de sécurité.
Le groupe de sécurité attaché à l'interface QuickSight réseau se comporte différemment de la plupart des groupes de sécurité, car il n'est pas dynamique. Les autres groupes de sécurité sont généralement avec état. Cela signifie qu'après avoir établi une connexion sortante avec le groupe de sécurité d'une ressource, ils autorisent automatiquement le trafic de retour. En revanche, le groupe de sécurité de l'interface QuickSight réseau n'autorise pas automatiquement le trafic de retour. De ce fait, l'ajout d'une règle de sortie au groupe de sécurité de l'interface QuickSight réseau ne fonctionne pas. Pour que cela fonctionne pour le groupe de sécurité de l'interface QuickSight réseau, veillez à ajouter une règle entrante qui autorise explicitement le trafic de retour en provenance de l'hôte de base de données.
La règle entrante de votre groupe de sécurité doit autoriser le trafic sur tous les ports. Elle doit le faire parce que le numéro de port de destination de tous les paquets de retour entrants est défini sur un numéro de port attribué de manière aléatoire.
Pour limiter QuickSight la connexion à certaines instances uniquement, vous pouvez spécifier l'ID du groupe de sécurité (recommandé) ou l'adresse IP privée des instances que vous souhaitez autoriser. Dans les deux cas, la règle entrante du groupe de sécurité doit toujours autoriser le trafic sur tous les ports (0–65535).
Pour autoriser QuickSight la connexion à n'importe quelle instance du VPC, vous pouvez configurer le groupe de sécurité de l'interface QuickSight réseau. Dans ce cas, donnez-lui une règle entrante pour autoriser le trafic sur 0.0.0.0/0 sur tous les ports (0–65535). Le groupe de sécurité utilisé par l'interface QuickSight réseau doit être différent des groupes de sécurité utilisés pour vos bases de données. Nous vous recommandons d'utiliser des groupes de sécurité distincts pour la connexion VPC.
Important
Si vous utilisez une instance de base de données Amazon RDS de longue date, vérifiez votre configuration pour voir si vous utilisez un groupe de sécurité de base de données. Les groupes de sécurité de base de données sont utilisés avec des instances de base de données qui ne se trouvent pas dans un VPC et se trouvent sur la plateforme EC2-Classic.
S'il s'agit de votre configuration et que vous ne déplacez pas votre instance de base de données dans le VPC pour l'utiliser QuickSight, veillez à mettre à jour les règles entrantes de votre groupe de sécurité de base de données. Mettez-les à jour pour autoriser le trafic entrant en provenance du groupe de sécurité VPC que vous utilisez. QuickSight Pour de plus amples informations, veuillez consulter Contrôle d'accès par groupe de sécurité dans le Guide de l'utilisateur Amazon RDS.
Règles sortantes
Important
La section suivante s'applique à votre connexion VPC si celle-ci a été créée avant le 27 avril 2023.
Par défaut, un groupe de sécurité inclut une règle sortante qui autorise tout le trafic sortant. Nous vous recommandons de supprimer cette règle par défaut et d'ajouter des règles sortantes qui autorisent uniquement un trafic sortant spécifique.
Avertissement
Ne configurez pas le groupe de sécurité sur l'interface QuickSight réseau avec une règle de sortie pour autoriser le trafic sur tous les ports. Pour plus d'informations sur les principales considérations et recommandations relatives à la gestion du trafic réseau sortant des VPC, consultez les meilleures pratiques de sécurité pour votre VPC dans le Guide de l'utilisateur Amazon VPC.
Le groupe de sécurité attaché à l'interface QuickSight réseau doit disposer de règles sortantes qui autorisent le trafic vers chacune des instances de base de données de votre VPC auxquelles vous QuickSight souhaitez vous connecter. Pour limiter QuickSight la connexion à certaines instances uniquement, spécifiez l'ID du groupe de sécurité (recommandé) ou l'adresse IP privée des instances à autoriser. Vous devez spécifier ces données, ainsi que les numéros de port appropriés pour vos instances (le port sur lequel les instances écoutent), dans la règle sortante.
Le groupe de sécurité du VPC doit également autoriser le trafic sortant vers les groupes de sécurité des destinations de données, en particulier sur le ou les ports sur lesquels la base de données écoute.
