Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
Contrôlez le trafic dans VPC Lattice à l'aide de groupes de sécurité - Amazon VPC Lattice
Liste de préfixes géréeRègles des groupes de sécuritéGérer les groupes de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez le trafic dans VPC Lattice à l'aide de groupes de sécurité

PDFRSS

AWS les groupes de sécurité agissent comme des pare-feux virtuels, contrôlant le trafic réseau à destination et en provenance des entités auxquelles ils sont associés. Avec VPC Lattice, vous pouvez créer des groupes de sécurité et les attribuer à l'association VPC qui connecte un VPC à un réseau de services afin d'appliquer des protections de sécurité supplémentaires au niveau du réseau pour votre réseau de services. Si vous connectez un VPC à un réseau de services à l'aide d'un point de terminaison VPC, vous pouvez également attribuer des groupes de sécurité au point de terminaison VPC. De même, vous pouvez attribuer des groupes de sécurité aux passerelles de ressources que vous créez pour permettre l'accès aux ressources de votre VPC.

Liste de préfixes gérée

VPC Lattice fournit des listes de préfixes gérées qui incluent les adresses IP utilisées pour acheminer le trafic sur le réseau VPC Lattice lorsque vous utilisez une association de services pour connecter votre VPC à un réseau de services à l'aide d'une association VPC. Il s' IPs agit soit de liens privés locaux, soit de liens publics non IPs routables. IPs

Vous pouvez faire référence aux listes de préfixes gérées par VPC Lattice dans les règles de votre groupe de sécurité. Cela permet au trafic de circuler depuis les clients, via le réseau de services VPC Lattice, et vers les cibles du service VPC Lattice.

Supposons, par exemple, qu'une EC2 instance soit enregistrée en tant que cible dans la région USA Ouest (Oregon) (us-west-2). Vous pouvez ajouter une règle au groupe de sécurité d'instance qui autorise l'accès HTTPS entrant depuis la liste de préfixes gérés par VPC Lattice, afin que le trafic VPC Lattice de cette région puisse atteindre l'instance. Si vous supprimez toutes les autres règles entrantes du groupe de sécurité, vous pouvez empêcher tout trafic autre que le trafic VPC Lattice d'atteindre l'instance.

Les noms des listes de préfixes gérées pour VPC Lattice sont les suivants :

  • com.amazonaws. region.vpc en treillis

  • com.amazonaws. region.ipv6.vp-lattice

Pour plus d’informations, consultez les listes de préfixes gérés par AWS dans le Guide de l’utilisateur Amazon VPC.

Clients Windows

Les adresses figurant dans les listes de préfixes VPC Lattice sont des adresses locales de lien et des adresses publiques non routables. Si vous vous connectez à VPC Lattice depuis un client Windows, vous devez mettre à jour la configuration du client Windows afin qu'il transfère les adresses IP de la liste de préfixes gérés vers l'adresse IP principale du client. Voici un exemple de commande qui met à jour la configuration du client Windows, où 169.254.171.0 est l'une des adresses de la liste des préfixes gérés. 

C:\> route add 169.254.171.0 mask 255.255.255.0 primary-ip-address

Règles des groupes de sécurité

L'utilisation de VPC Lattice avec ou sans groupes de sécurité n'aura aucune incidence sur la configuration de votre groupe de sécurité VPC existant. Vous pouvez toutefois ajouter vos propres groupes de sécurité à tout moment.

Considérations clés

  • Les règles de groupe de sécurité pour les clients contrôlent le trafic sortant vers VPC Lattice.

  • Les règles de groupe de sécurité pour les cibles contrôlent le trafic entrant depuis le VPC Lattice vers les cibles, y compris le trafic de contrôle de santé.

  • Les règles du groupe de sécurité pour l'association entre le réseau de service et le VPC contrôlent les clients qui peuvent accéder au réseau de service VPC Lattice.

  • Les règles de groupe de sécurité pour la passerelle de ressources contrôlent le trafic sortant de la passerelle de ressources vers les ressources.

Règles sortantes recommandées pour le trafic circulant d'une passerelle de ressources vers une ressource de base de données

Pour que le trafic circule de la passerelle de ressources vers les ressources, vous devez créer des règles de sortie pour les ports ouverts et des protocoles d'écoute acceptés pour les ressources.

Destination Protocole Plage de ports Comment
CIDR range for resource TCP 3306 Autoriser le trafic de la passerelle de ressources vers les bases de données
Règles d'entrée recommandées pour les associations de réseaux de services et de VPC

Pour que le trafic circule du client VPCs vers les services associés au réseau de services, vous devez créer des règles entrantes pour les ports d'écoute et des protocoles d'écoute pour les services.

Source Protocole Plage de ports Comment
VPC CIDR listener listener Autoriser le trafic des clients vers VPC Lattice
Règles sortantes recommandées pour le trafic circulant des instances clientes vers VPC Lattice

Par défaut, les groupes de sécurité autorisent la totalité du trafic sortant. Toutefois, si vous avez des règles de sortie personnalisées, vous devez autoriser le trafic sortant vers le préfixe VPC Lattice pour les ports et protocoles d'écoute afin que les instances clientes puissent se connecter à tous les services associés au réseau de services VPC Lattice. Vous pouvez autoriser ce trafic en référençant l'ID de la liste de préfixes pour VPC Lattice.

Destination Protocole Plage de ports Comment
ID of the VPC Lattice prefix list listener listener Autoriser le trafic des clients vers VPC Lattice
Règles entrantes recommandées pour le trafic circulant entre VPC Lattice et les instances cibles

Vous ne pouvez pas utiliser le groupe de sécurité client comme source pour les groupes de sécurité de votre cible, car le trafic provient de VPC Lattice. Vous pouvez référencer l'ID de la liste de préfixes pour VPC Lattice.

Source Protocole Plage de ports Comment
ID of the VPC Lattice prefix list target target Autoriser le trafic du réseau VPC vers les cibles
ID of the VPC Lattice prefix list health check health check Autoriser le trafic de vérification de l'état du réseau VPC vers les cibles

Gérer les groupes de sécurité pour une association VPC

Vous pouvez utiliser le AWS CLI pour afficher, ajouter ou mettre à jour des groupes de sécurité sur le VPC afin de desservir l'association réseau. Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la Région AWS configuration adaptée à votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre --region avec la commande.

Avant de commencer, vérifiez que vous avez créé le groupe de sécurité dans le même VPC que le VPC que vous souhaitez ajouter au réseau de service. Pour plus d'informations, consultez la section Contrôler le trafic vers vos ressources à l'aide de groupes de sécurité dans le guide de l'utilisateur Amazon VPC

Pour ajouter un groupe de sécurité lorsque vous créez une association VPC à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sous VPC Lattice, choisissez Service networks.

  3. Sélectionnez le nom du réseau de service pour ouvrir sa page de détails.

  4. Dans l'onglet Associations VPC, choisissez Create VPC associations, puis choisissez Add VPC association.

  5. Sélectionnez un VPC et jusqu'à cinq groupes de sécurité.

  6. Sélectionnez Enregistrer les modifications.

Pour ajouter ou mettre à jour des groupes de sécurité pour une association VPC existante à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sous VPC Lattice, choisissez Service networks.

  3. Sélectionnez le nom du réseau de service pour ouvrir sa page de détails.

  4. Dans l'onglet Associations VPC, cochez la case correspondant à l'association, puis choisissez Actions, Modifier les groupes de sécurité.

  5. Ajoutez et supprimez des groupes de sécurité selon vos besoins.

  6. Sélectionnez Enregistrer les modifications.

Pour ajouter un groupe de sécurité lorsque vous créez une association VPC à l'aide du AWS CLI

Utilisez la commande create-service-network-vpc-association, en spécifiant l'ID du VPC pour l'association VPC et l'ID des groupes de sécurité à ajouter.

aws vpc-lattice create-service-network-vpc-association \
    --service-network-identifier sn-0123456789abcdef0 \
    --vpc-identifier vpc-1a2b3c4d \
    --security-group-ids sg-7c2270198example

Si elle aboutit, la commande renvoie un résultat semblable au suivant :

{
  "arn": "arn",
  "createdBy": "464296918874",
  "id": "snva-0123456789abcdef0",
  "status": "CREATE_IN_PROGRESS",
  "securityGroupIds": ["sg-7c2270198example"]
}
Pour ajouter ou mettre à jour des groupes de sécurité pour une association VPC existante à l'aide du AWS CLI

Utilisez la commande update-service-network-vpc-association, en spécifiant l'ID du réseau de service et celui IDs des groupes de sécurité. Ces groupes de sécurité remplacent tous les groupes de sécurité précédemment associés. Définissez au moins un groupe de sécurité lors de la mise à jour de la liste.

aws vpc-lattice update-service-network-vpc-association 
    --service-network-vpc-association-identifier sn-903004f88example \
    --security-group-ids sg-7c2270198example sg-903004f88example
Avertissement

Vous ne pouvez pas supprimer tous les groupes de sécurité. Au lieu de cela, vous devez d'abord supprimer l'association VPC, puis recréer l'association VPC sans aucun groupe de sécurité. Soyez prudent lorsque vous supprimez l'association VPC. Cela empêche le trafic d'atteindre les services qui se trouvent dans ce réseau de services.

Rubrique suivante :

Réseau ACLs

Rubrique précédente :

Politiques d'authentification

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.