Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs
Vous pouvez mettre à jour les règles entrantes ou sortantes pour les groupes de sécurité de votre VPC pour référencer des groupes de sécurité dans le VPC appairé. Cette étape autorise le trafic vers et depuis les instances associées au groupe de sécurité référencé dans le VPC appairé.
Prérequis
-
Le VPC pair peut être un VPC dans votre compte ou un VPC dans un autre compte AWS. Pour faire référence à un groupe de sécurité dans un autre compte AWS, incluez le numéro de compte dans Source ou Destination ; par exemple,
123456789012/sg-1a2b3c4d. -
Vous ne pouvez pas faire référence au groupe de sécurité d'un VPC pair qui se trouve dans une autre région. À la place, utilisez le bloc CIDR du VPC pair.
-
Pour référencer un groupe de sécurité dans un VPC pair, la connexion d'appairage de VPC doit être à l'état
active. -
Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l'autre instance en tant que source, cela n'autorise pas le trafic à transiter entre les instances.
Pour mettre à jour les règles de votre groupe de sécurité à l'aide de la console
Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Groupes de sécurité.
-
Sélectionnez le groupe de sécurité et choisissez Actions, Modifier les règles entrantes pour modifier les règles entrantes ou Actions, Modifier les règles sortantes pour modifier les règles sortantes.
-
Pour ajouter une règle, choisissez Ajouter une règle et spécifiez le type, le protocole et la plage de ports. Pour Source (règle entrante) ou Destination (règle sortante), saisissez l'ID du groupe de sécurité dans le VPC pair s'il se trouve dans la même région ou le bloc d'adresse CIDR du VPC pair s'il se trouve dans une région différente.
Note
Les groupes de sécurité d'un VPC pair ne s'affichent pas automatiquement.
-
Pour modifier une règle existante, modifiez ses valeurs (par exemple, la source ou la description).
-
Pour supprimer une règle, cliquez sur Supprimer à côté de la règle.
-
Sélectionnez Enregistrer les règles.
Pour mettre à jour les règles entrantes à l'aide de la ligne de commande
-
authorize-security-group-ingress (AWS CLI)
-
Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
-
Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
-
revoke-security-group-ingress (AWS CLI)
Pour mettre à jour les règles sortantes à l'aide de la ligne de commande
-
authorize-security-group-egress (AWS CLI)
-
Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
-
Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
-
revoke-security-group-egress (AWS CLI)
Par exemple, pour mettre à jour votre groupe de sécurité sg-aaaa1111 pour autoriser un accès entrant sur HTTP depuis sg-bbbb2222 qui est dans un VPC pair, vous pouvez utiliser la commande AWS CLI suivante :
aws ec2 authorize-security-group-ingress --group-idsg-aaaa1111--protocol tcp --port80--source-groupsg-bbbb2222
Après avoir mis à jour les règles du groupe de sécurité, utilisez la commande describe-security-groups pour afficher le groupe de sécurité référencé dans vos règles de groupe de sécurité.
Identification de vos groupes de sécurité référencés
Pour déterminer si votre groupe de sécurité est référencé dans les règles d'un groupe de sécurité dans un VPC pair, vous pouvez utiliser l'une des commandes suivantes pour un ou pour plusieurs groupes de sécurité dans votre compte.
-
describe-security-group-references (AWS CLI)
-
Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)
-
DescribeSecurityGroupReferences (API de requête Amazon EC2)
Dans l'exemple suivant, la réponse indique que le groupe de sécurité sg-bbbb2222 est référencé par un groupe de sécurité dans le VPC vpc-aaaaaaaa :
aws ec2 describe-security-group-references --group-idsg-bbbb2222
{
"SecurityGroupsReferenceSet": [
{
"ReferencingVpcId": "vpc-aaaaaaaa",
"GroupId": "sg-bbbb2222",
"VpcPeeringConnectionId": "pcx-b04deed9"
}
]
}Si la connexion d'appairage de VPC est supprimée, ou si le propriétaire du VPC pair supprime le groupe de sécurité référencé, la règle du groupe de sécurité devient caduque.
Utilisation de règles de groupes de sécurité obsolètes
Une règle de groupe de sécurité obsolète est une règle qui référence un groupe de sécurité supprimé dans le même VPC ou dans un VPC pair, ou qui référence un groupe de sécurité dans un VPC pair pour lequel la connexion d'appairage de VPC a été supprimée. Lorsqu'une règle du groupe de sécurité devient obsolète, elle n'est pas automatiquement supprimée de votre groupe de sécurité et vous devez la supprimer manuellement. Si une règle du groupe de sécurité est obsolète parce que la connexion d'appairage de VPC a été supprimée, elle ne sera plus marquée comme obsolète si vous créez une connexion d'appairage de VPC avec les mêmes VPC.
Vous pouvez afficher et supprimer les règles du groupe de sécurité obsolètes pour un VPC à l'aide de la console Amazon VPC.
Pour afficher et supprimer des règles du groupe de sécurité obsolètes
Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Security groups (Groupes de sécurité).
-
Choisissez Actions (Actions), Manage stale rules (Gestion les règles obsolètes).
-
PourVPC, choisissez le VPC dont les règles sont obsolètes.
-
Choisissez Edit (Modifier).
-
Choisissez le bouton Supprimer à la droite de la règle à supprimer. Choisissez Prévisualiser les modifications, Enregistrer les règles.
Pour décrire vos règles de groupe de sécurité obsolètes à l'aide de la ligne de commande ou d'une API
-
describe-stale-security-groups (AWS CLI)
-
Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)
-
DescribeStaleSecurityGroups (API de requête Amazon EC2)
Dans l'exemple suivant, le VPC A (vpc-aaaaaaaa) et le VPC B étaient appairés, et la connexion d'appairage de VPC a été supprimée. Votre groupe de sécurité sg-aaaa1111 dans le VPC A référence sg-bbbb2222 dans le VPC B. Quand vous exécutez la commande describe-stale-security-groups pour votre VPC, la réponse indique que le groupe de sécurité sg-aaaa1111 possède une règle SSH obsolète qui référence sg-bbbb2222.
aws ec2 describe-stale-security-groups --vpc-idvpc-aaaaaaaa
{
"StaleSecurityGroupSet": [
{
"VpcId": "vpc-aaaaaaaa",
"StaleIpPermissionsEgress": [],
"GroupName": "Access1",
"StaleIpPermissions": [
{
"ToPort": 22,
"FromPort": 22,
"UserIdGroupPairs": [
{
"VpcId": "vpc-bbbbbbbb",
"PeeringStatus": "deleted",
"UserId": "123456789101",
"GroupName": "Prod1",
"VpcPeeringConnectionId": "pcx-b04deed9",
"GroupId": "sg-bbbb2222"
}
],
"IpProtocol": "tcp"
}
],
"GroupId": "sg-aaaa1111",
"Description": "Reference remote SG"
}
]
}Une fois que vous avez identifié les règles du groupe de sécurité obsolètes, vous pouvez les supprimer à l'aide des commandes revoke-security-group-ingress ou revoke-security-group-egress.
