Principes de base des groupes de sécurité Groupes de sécurité par défaut pour vos VPC Règles des groupes de sécurité Utiliser des groupes de sécurité Utiliser des règles de groupe de sécurité Gérez de manière centralisée les groupes de sécurité VPC à l'aide de AWS Firewall Manager

Contrôler le trafic vers les ressources à l'aide de groupes de sécurité

Un groupe de sécurité contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, après avoir associé un groupe de sécurité à une instance EC2, il contrôle le trafic entrant et sortant pour l'instance.

Lorsque vous créez un VPC, celui-ci est fourni avec un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires pour chaque VPC. Vous pouvez associer un groupe de sécurité uniquement aux ressources du VPC pour lequel il est créé.

Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic en fonction des protocoles et des numéros de port. Il existe des ensembles de règles distincts pour le trafic entrant et le trafic sortant.

L'utilisation de groupes de sécurité n'entraîne aucuns frais supplémentaires.

Table des matières

Principes de base des groupes de sécurité
Groupes de sécurité par défaut pour vos VPC
Règles des groupes de sécurité
Utiliser des groupes de sécurité
Utiliser des règles de groupe de sécurité
Gérez de manière centralisée les groupes de sécurité VPC à l'aide de AWS Firewall Manager

Principes de base des groupes de sécurité

Caractéristiques des groupes de sécurité

Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s'appliquent :
- Un nom de groupe de sécurité doit être unique dans le VPC.
- Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.
- Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et ._-:/()#,@[]+=&;{}!$*.
- Lorsque le nom contient des espaces de fin, nous supprimons l'espace situé à la fin du nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».
- Un nom de groupe de sécurité ne peut pas commencer par sg-.
Les groupes de sécurité sont avec état. Par exemple, si vous envoyez une demande à partir d'une instance, le trafic de réponse pour cette demande est autorisé à atteindre l'instance, quelles que soient les règles du groupe de sécurité entrant. Les réponses au trafic entrant autorisé sont autorisées à quitter l'instance, quelles que soient les règles de trafic sortant.
Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer par VPC, au nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour de plus amples informations, veuillez consulter Quotas Amazon VPC.

Caractéristiques des règles de groupe de sécurité

Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.
Lorsque vous créez un groupe de sécurité pour la première fois, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant n'est autorisé tant que vous n'avez pas ajouté de règles entrantes au groupe de sécurité.
Lorsque vous créez un groupe de sécurité pour la première fois, il possède une règle sortante qui autorise tout le trafic sortant de la ressource. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant n'est autorisé.
Lorsque vous associez plusieurs groupes de sécurité à une ressource, les règles de chaque groupe de sécurité sont regroupées pour former un ensemble unique de règles utilisées pour déterminer s'il faut autoriser l'accès.
Lorsque vous ajoutez, mettez à jour ou supprimez des règles, vos modifications sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. L'effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi. Pour de plus amples informations, consultez Suivi de connexion dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.
Lorsque vous créez une règle de groupe de sécurité, AWS attribue un ID unique à la règle. Vous pouvez utiliser l'ID d'une règle lorsque vous utilisez l'API ou la CLI pour modifier ou supprimer la règle.

Bonnes pratiques

Autorisez uniquement certains principaux IAM à créer et à modifier les groupes de sécurité.
Créez le nombre minimum de groupes de sécurité dont vous avez besoin afin de réduire le risque d'erreur. Utilisez chaque groupe de sécurité pour gérer l'accès aux ressources possédant des fonctions et des exigences de sécurité similaires.
Lorsque vous ajoutez des règles entrantes pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos instances EC2, autorisez uniquement les plages d'adresses IP spécifiques. Si vous spécifiez 0.0.0.0/0 (IPv4) et ::/ (IPv6), cela permet à n'importe qui d'accéder à vos instances à partir de n'importe quelle adresse IP qui utilise le protocole spécifié.
N'ouvrez pas des plages de ports trop vastes. Assurez-vous que l'accès via chaque port est limité aux sources ou aux destinations qui en ont besoin.
Envisagez de créer des listes ACL réseau avec des règles similaires à celles de vos groupes de sécurité, afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour en savoir plus sur les différences entre les groupes de sécurité et les listes ACL réseau, consultez la section Comparer les groupes de sécurité et les listes ACL réseau.

Groupes de sécurité par défaut pour vos VPC

Vos VPC par défaut et tous les VPC que vous créez sont fournis avec un groupe de sécurité par défaut. Avec certaines ressources, si vous n'associez pas de groupe de sécurité lorsque vous créez la ressource, nous associons le groupe de sécurité par défaut. Par exemple, si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance EC2, nous associons le groupe de sécurité par défaut.

Vous pouvez modifier les règles du groupe de sécurité par défaut. Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer le groupe de sécurité par défaut, vous obtenez l'erreur suivante : Client.CannotDelete.

Le tableau ci-après décrit les règles par défaut pour un groupe de sécurité par défaut.

Inbound
Source	Protocole	Plage de ports	Description
`sg-1234567890abcdef0`	Tous	Tous les comptes	Autorise le trafic entrant à partir de toutes les ressources attribuées à ce groupe de sécurité. La source est l'ID de ce groupe de sécurité.
Outbound
Destination	Protocole	Plage de ports	Description
0.0.0.0/0	Tous	Tous	Autorise tout le trafic IPv4 sortant.
::/0	All	All	Allows all outbound IPv6 traffic. This rule is added only if your VPC has an associated IPv6 CIDR block.

Règles des groupes de sécurité

Les règles d'un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les ressources associées au groupe de sécurité. Les règles contrôlent également le trafic sortant autorisé à les quitter.

Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore autoriser ou révoquer un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une source ou une destination spécifique.

Note

Les groupes de sécurité ne peuvent pas bloquer les demandes DNS à destination ou en provenance de Route 53 Resolver, parfois désigné « adresse IP VPC+2 » (veuillez consulter la section Amazon Route 53 Resolver du Guide du développeur Amazon Route 53), ou AmazonProvidedDNS. Afin de filtrer les demandes DNS via Route 53 Resolver, utilisez Route 53 Resolver DNS Firewall.

Avertissement

Lorsque vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos instances EC2, nous vous recommandons de n'autoriser que des plages d'adresses IP spécifique. Si vous spécifiez 0.0.0.0/0 (IPv4) et ::/ (IPv6), cela permet à n'importe qui d'accéder à vos instances à partir de n'importe quelle adresse IP qui utilise le protocole spécifié.

Table des matières

Composants d'une règle de groupe de sécurité
Référencement des groupes de sécurité
Taille de groupe de sécurité
Exemple de règles
Règles du groupe de sécurité obsolètes

Composants d'une règle de groupe de sécurité

Protocole : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).
Port range (Plage de ports) : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple, 22), ou une plage de numéros de port (par exemple, 7000-8000).
ICMP type and code (Type et code ICMP) : pour ICMP, le code et le type ICMP. Par exemple, utilisez le type 8 pour la requête ICMP Echo ou 128 pour la requête ICMPv6 Echo.
Source or destination (Source ou destination) : la source (règles entrantes) ou la destination (règles sortantes) pour le trafic à autoriser. Spécifiez l'un des éléments suivants :
- Adresse IPv4 unique. Vous devez utiliser la longueur de préfixe /32. Par exemple, 203.0.113.1/32.
- Adresse IPv6 unique. Vous devez utiliser la longueur de préfixe /128. Par exemple, 2001:db8:1234:1a00::123/128.
- Plage d'adresses IPv4, en notation de bloc d'adresses CIDR. Par exemple, 203.0.113.0/24.
- Plage d'adresses IPv6, en notation de bloc d'adresses CIDR. Par exemple, 2001:db8:1234:1a00::/64.
- ID d'une liste des préfixes. Par exemple, pl-1234abc1234abc123. Pour de plus amples informations, veuillez consulter Grouper des blocs d’adresse CIDR à l’aide de listes de préfixes gérées.
- ID d'un groupe de sécurité. Par exemple, sg-1234567890abcdef0. Pour de plus amples informations, veuillez consulter Référencement des groupes de sécurité.
(Facultatif) Description : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l'identifier ultérieurement. Une description peut inclure jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

Référencement des groupes de sécurité

Lorsque vous spécifiez un groupe de sécurité comme source ou destination d'une règle, cette règle affecte toutes les instances associées aux groupes de sécurité. Les instances peuvent communiquer dans la direction spécifiée, en utilisant les adresses IP privées des instances, via le protocole et le port spécifiés.

Par exemple, le tableau suivant présente une règle entrante pour le groupe de sécurité sg-11111111111111111 référençant le groupe de sécurité sg-22222222222222222 et autorisant l'accès SSH.

Source	Protocol	Port range
`sg-22222222222222222`	TCP	22

Lorsque vous référencez un groupe de sécurité dans une règle de groupe de sécurité, tenez compte des points suivants :

Les groupes de sécurité doivent appartenir au même VPC ou à des VPC appairés.
Aucune règle du groupe de sécurité référencé (sg-22222222222222222) n'est ajoutée au groupe de sécurité le référençant (sg-11111111111111111).
Pour les règles entrantes, les instances EC2 associées au groupe de sécurité sg-11111111111111111 peuvent recevoir le trafic entrant des adresses IP privées des instances EC2 associées au groupe de sécurité sg-22222222222222222.
Pour les règles sortantes, les instances EC2 associées au groupe de sécurité sg-11111111111111111 peuvent envoyer le trafic sortant aux adresses IP privées des instances EC2 associées au groupe de sécurité sg-22222222222222222.

Limitation

Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l'autre instance en tant que source, cela n'autorise pas le trafic à transiter entre les instances.

Taille de groupe de sécurité

Le type de source ou de destination détermine la façon dont chaque règle est prise en compte dans le nombre maximum de règles que vous pouvez avoir par groupe de sécurité.

Une règle référençant un bloc CIDR compte comme une seule règle.
Une règle référençant un autre groupe de sécurité compte comme une seule règle, quelle que soit la taille du groupe de sécurité référencé.
Une règle référençant une liste de préfixes gérée par le client compte comme la taille maximale de la liste de préfixes. Par exemple, si la taille maximale de votre liste de préfixes est égale à 20, une règle la référençant compte comme 20 règles.
Une règle référençant une liste de préfixes gérée par AWS compte comme son poids. Pour de plus amples informations, veuillez consulter Listes de préfixes gérées par AWS disponibles.

Exemple de règles

Les règles que vous ajoutez à un groupe de sécurité dépendent souvent de l'objectif du groupe de sécurité. Le tableau suivant décrit des exemples de règles pour un groupe de sécurité associé à des serveurs web. Vos serveurs web peuvent recevoir du trafic HTTP et HTTPS de toutes les adresses IPv4 et IPv6 et envoyer du trafic SQL ou MySQL à vos serveurs de base de données.

Inbound
Source	Protocole	Plage de ports	Description
0.0.0.0/0	TCP	80	Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv4
::/0	TCP	80	Allows inbound HTTP access from all IPv6 addresses
0.0.0.0/0	TCP	443	Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv4
::/0	TCP	443	Allows inbound HTTPS access from all IPv6 addresses
`Plage d'adresses IPv4 publiques de votre réseau`	TCP	22	Autorise l'accès SSH entrant à partir des adresses IP IPv4 de votre réseau
`Plage d'adresses IPv4 publiques de votre réseau`	TCP	3389	Autorise l'accès RDP entrant à partir des adresses IP IPv4 de votre réseau
Outbound
Destination	Protocole	Plage de ports	Description
`ID du groupe de sécurité pour les instances exécutant Microsoft SQL Server`	TCP	1433	Autoriser l'accès sortant à Microsoft SQL Server
`ID du groupe de sécurité pour les instances exécutant MySQL`	TCP	3306	Autoriser l'accès sortant à MySQL

Un serveur de base de données a besoin d'un ensemble de règles différent. Par exemple, au lieu du trafic HTTP et HTTPS entrant, vous pouvez ajouter une règle qui autorise l'accès MySQL ou Microsoft SQL Server entrant. Pour obtenir des exemples, consultez Sécurité. Pour de plus amples informations sur les groupes de sécurité pour les instances DB Amazon RDS, veuillez consulter Contrôle d'accès par groupes de sécurité dans le Guide de l'utilisateur Amazon RDS.

Pour d'autres exemples, consultez Référence des règles de groupe de sécurité dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Règles du groupe de sécurité obsolètes

Si votre VPC est connecté à un autre VPC par appairage de VPC ou s'il utilise un VPC partagé par un autre compte, une règle de groupe de sécurité peut référencer un groupe de sécurité dans le VPC pair ou le VPC partagé. Cela permet aux ressources associées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencement de communiquer entre elles.

Si le groupe de sécurité du VPC partagé est supprimé ou si la connexion d'appairage de VPC est supprimée, la règle de groupe de sécurité est marquée comme étant obsolète. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité. Pour plus d'informations, consultez Utilisation de règles de groupes de sécurité obsolètes dans le Guide d'appairage Amazon VPC.

Utiliser des groupes de sécurité

Les tâches suivantes vous montrent comment utiliser les groupes de sécurité à l'aide de la console Amazon VPC.

Autorisations nécessaires

Gérer les groupes de sécurité

Tâches

Création d'un groupe de sécurité
Afficher vos groupes de sécurité
Étiqueter vos groupes de sécurité
Supprimer un groupe de sécurité

Création d'un groupe de sécurité

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter la ressource. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.

Un groupe de sécurité ne peut être utilisé que dans le VPC dans lequel il est créé.

Pour plus d'informations sur les autorisations requises pour créer des groupes de sécurité et gérer les règles de groupe de sécurité, veuillez consulter Gérer les groupes de sécurité et Gérer les règles de groupe de sécurité.

Pour créer un groupe de sécurité à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).
Sélectionnez Create security group (Créer un groupe de sécurité).
Saisissez un nom et une description pour le groupe de sécurité. Vous ne pouvez pas modifier le nom et la description d'un groupe de sécurité créé.
Dans VPC, choisissez le VPC.
Vous pouvez ajouter des règles de groupe de sécurité maintenant ou plus tard. Pour de plus amples informations, veuillez consulter Ajouter des règles à un groupe de sécurité.
Vous pouvez ajouter des étiquettes maintenant ou ultérieurement. Pour ajouter une étiquette, choisissez Ajouter une nouvelle étiquette), puis entrez la clé et la valeur de l'étiquette.
Sélectionnez Créer un groupe de sécurité.

Une fois que vous avez créé un groupe de sécurité, vous pouvez l'attribuer à une instance EC2 lorsque vous lancez l'instance ou modifiez le groupe de sécurité actuellement affecté à une instance. Pour de plus amples informations, veuillez consulter la section Lancer une instance à l'aide de paramètres définis ou Changer le groupe de sécurité d'une instance du Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Pour créer un groupe de sécurité à l'aide de la ligne de commande

create-security-group (AWS CLI)
New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Afficher vos groupes de sécurité

Vous pouvez afficher des informations sur vos groupes de sécurité comme suit.

Pour plus d'informations sur les autorisations requises pour afficher des groupes de sécurité, veuillez consulterGérer les groupes de sécurité.

Pour afficher vos groupes de sécurité à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, sélectionnez Groupes de sécurité.
Vos groupes de sécurité sont répertoriés. Pour afficher les détails d'un groupe de sécurité spécifique, y compris ses règles entrantes et sortantes, sélectionnez le groupe de sécurité.

Pour afficher vos groupes de sécurité à l'aide de la ligne de commande

describe-security-groups et describe-security-group-groups (AWS CLI)
Get-EC2Securitygroup et Get-EC2Securitygrouprules (AWS Tools for Windows PowerShell)

Pour afficher tous vos groupes de sécurité relevant des différentes régions

Ouvrez la console Amazon EC2 Global View sur https://console.aws.amazon.com/ec2globalview/home.

Pour plus d'informations sur l'utilisation d'Amazon EC2 Global View, consultez Lister et filtrer les ressources à l'aide d'Amazon EC2 Global View dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Étiqueter vos groupes de sécurité

Ajoutez des étiquettes à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter des balises à vos groupes de sécurité. Les clés de balise doivent être uniques pour chaque règle de groupe de sécurité. Si vous ajoutez une balise avec une clé qui est déjà associée à la règle, cela met à jour la valeur de cette balise.

Pour étiqueter un groupe de sécurité à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, choisissez Groupes de sécurité.
Activez la case à cocher en regard du groupe de sécurité.
Choisissez Actions, Gérer les balises.
La page Gérer les étiquettes affiche toutes les étiquettes affectées au groupe de sécurité. Pour ajouter une balise, choisissez Ajouter une balise, puis entrez la clé et la valeur de la balise. Pour supprimer une balise, choisissez Remove (Supprimer) en regard de la balise à supprimer.
Sélectionnez Enregistrer les modifications.

Pour étiqueter un groupe de sécurité à l'aide de la ligne de commande

create-tags (AWS CLI)
New-EC2Tag (AWS Tools for Windows PowerShell)

Supprimer un groupe de sécurité

Vous pouvez supprimer un groupe de sécurité uniquement s'il n'est associé à aucune ressource. Vous ne pouvez pas supprimer un groupe de sécurité par défaut.

Si vous utilisez la console, vous pouvez supprimer plusieurs groupes de sécurité simultanément. Si vous utilisez la ligne de commande ou l'API, vous ne pouvez supprimer qu'un seul groupe de sécurité à la fois.

Pour supprimer un groupe de sécurité à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Groupes de sécurité.
Sélectionnez un ou plusieurs groupes de sécurité, puis choisissez Actions, Delete security groups (Supprimer les groupes de sécurité).
Lorsque vous êtes invité à confirmer, entrez delete, puis choisissez Delete (Supprimer).

Pour supprimer un groupe de sécurité à l'aide de la ligne de commande

delete-security-group (AWS CLI)
Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Utiliser des règles de groupe de sécurité

Les tâches suivantes vous montrent comment utiliser les règles de groupe de sécurité à l'aide de la console Amazon VPC.

Autorisations nécessaires

Gérer les règles de groupe de sécurité

Tâches

Ajouter des règles à un groupe de sécurité
Mettre à jour les règles du groupe de sécurité
Étiqueter des règles de groupe de sécurité
Supprimer des règles de groupe de sécurité

Ajouter des règles à un groupe de sécurité

Lorsque vous ajoutez une règle à un groupe de sécurité, la nouvelle règle est automatiquement appliquée à toutes les ressources associées au groupe de sécurité.

Si vous disposez d'une connexion d'appairage VPC, vous pouvez référencer des groupes de sécurité à partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles de votre groupe de sécurité. Pour de plus amples informations, veuillez consulter Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité de VPC appairé dans le Guide d'appairage Amazon VPC.

Pour plus d'informations sur les autorisations requises pour gérer des règles de groupe de sécurité, veuillez consulter Gérer les règles de groupe de sécurité.

Pour ajouter une règle à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Groupes de sécurité.
Sélectionnez le groupe de sécurité.
Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).
Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :
1. Pour Type, choisissez le type de protocole à autoriser.
  - Pour TCP ou UDP, vous devez saisir la plage de ports à autoriser.
  - Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d'ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports.
  - Pour un autre type, le protocole et la plage de ports sont configurés automatiquement.
2. Pour Source type (Type de source) (règles entrantes) ou Destination type (Type de destination) (règles sortantes), effectuez l'une des opérations suivantes pour autoriser le trafic :
  - Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d'adresse CIDR, un autre groupe de sécurité ou une liste de préfixes.
  - Choisissez Anywhere-IPv4 (Partout-IPv4) pour autoriser le trafic de toute adresse IPv4 (règles entrantes) ou permettre au trafic d'atteindre toutes les adresses IPv4 (règles sortantes). Cela ajoute automatiquement une règle pour le bloc d'adresses CIDR IPv4 0.0.0.0/0.
    
    Avertissement
    Si vous choisissez Anywhere-IPv4 (Partout-IPv4), vous permettez à toutes les adresses IPv4 d'accéder à votre instance au moyen du protocole spécifié. Si vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP), vous ne devriez autoriser qu'une adresse IP ou une plage d'adresses IP spécifique à accéder à votre instance.
  - Choisissez Anywhere-IPv6 (Partout-IPv6) pour autoriser le trafic de toute adresse IPv6 (règles entrantes) ou permettre au trafic d'atteindre toutes les adresses IPv6 (règles sortantes). Cela ajoute automatiquement une règle pour le bloc d'adresse CIDR IPv6 ::/0.
    
    Avertissement
    Si vous choisissez Anywhere-IPv6 (Partout-IPv6), vous permettez à toutes les adresses IPv6 d'accéder à votre instance au moyen du protocole spécifié. Si vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP), vous ne devriez autoriser qu'une adresse IP ou une plage d'adresses IP spécifique à accéder à votre instance.
  - Choisissez My IP (Mon adresse IP) pour autoriser uniquement le trafic provenant de (règles entrantes) ou à destination de (règles sortantes) l'adresse IPv4 publique de votre ordinateur local.
3. (Facultatif) Pour Description, saisissez une brève description de la règle.
Sélectionnez Enregistrer les règles.

Pour ajouter une règle à un groupe de sécurité à l'aide de la ligne de commande

authorize-security-group-ingress et authorize-security-group-egress (AWS CLI)
Grant-EC2SecurityGroupIngress et Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Mettre à jour les règles du groupe de sécurité

Lorsque vous mettez à jour une règle, la règle mise à jour est automatiquement appliquée à toutes les ressources associées au groupe de sécurité.

Pour en savoir plus sur les autorisations requises pour gérer des règles de groupe de sécurité, consultez Gérer les règles de groupe de sécurité.

Pour mettre à jour une règle à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Groupes de sécurité.
Sélectionnez le groupe de sécurité.
Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).
Mettez à jour la règle comme requis.
Sélectionnez Enregistrer les règles.

Pour mettre à jour la description d'une règle de groupe de sécurité à l'aide de la ligne de commande

modify-security-group-rules, update-security-group-rule-descriptions-ingress et update-security-group-rule-descriptions-egress (AWS CLI)
Update-EC2SecurityGroupRuleIngressDescription et Update-EC2SecurityGroupRuleEgressDescription (AWS Tools for Windows PowerShell)

Étiqueter des règles de groupe de sécurité

Ajoutez des étiquettes à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter des étiquettes aux règles de groupe de sécurité. Les clés d'étiquette doivent être uniques pour chaque règle de groupe de sécurité. Si vous ajoutez une étiquette avec une clé qui est déjà associée à la règle de groupe de sécurité, cela a pour effet de mettre à jour la valeur de cette étiquette.

Pour étiqueter une règle à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Groupes de sécurité.
Sélectionnez le groupe de sécurité.
Sous l'onglet Règles entrantes ou Règles sortantes, sélectionnez la case à cocher de la règle, puis choisissez Gérer les étiquettes.
La page Gérer les étiquettes affiche toutes les étiquettes affectées à la règle. Pour ajouter une étiquette, choisissez Ajouter une étiquette, puis entrez la clé et la valeur de l'étiquette. Pour supprimer une balise, choisissez Remove (Supprimer) en regard de la balise à supprimer.
Sélectionnez Save changes (Enregistrer les modifications).

Pour étiqueter un règle à l'aide de la ligne de commande

create-tags (AWS CLI)
New-EC2Tag (AWS Tools for Windows PowerShell)

Supprimer des règles de groupe de sécurité

Lorsque vous supprimez une règle d'un groupe de sécurité, la modification est automatiquement appliquée à toutes les instances qui sont associées au groupe de sécurité.

Pour supprimer une règle de groupe de sécurité à l'aide de la console

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation, choisissez Groupes de sécurité.
Sélectionnez le groupe de sécurité.
Choisissez Actions, puis Modifier les règles entrantes pour supprimer une règle entrante ou Modifier les règles sortantes pour supprimer une règle sortante.
Choisissez le bouton Supprimer en regard de de la règle à supprimer.
Choisissez Enregistrer les règles.

Pour supprimer un règle de groupe de sécurité à l'aide de la ligne de commande

revoke-security-group-ingress et revoke-security-group-egress(AWS CLI)
Revoke-EC2SecurityGroupIngress et Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)

Gérez de manière centralisée les groupes de sécurité VPC à l'aide de AWS Firewall Manager

AWS Firewall Manager simplifie vos tâches d'administration et de maintenance des groupes de sécurité VPC sur plusieurs comptes et ressources. Avec Firewall Manager, vous pouvez configurer et auditer vos groupes de sécurité pour votre organisation à partir d'un seul compte d'administrateur central. Firewall Manager applique automatiquement les règles et les protections sur l'ensemble de vos comptes et de vos ressources, même celles qui sont ajoutées ultérieurement. Firewall Manager est particulièrement utile lorsque vous souhaitez protéger l'ensemble de votre organisation ou si vous ajoutez fréquemment de nouvelles ressources que vous souhaitez protéger à partir d'un compte d'administrateur central.

Vous pouvez utiliser Firewall Manager pour gérer de manière centralisée les groupes de sécurité de la manière suivante :

Configurer des groupes de sécurité de base communs dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité commune pour fournir une association centralisée de groupes de sécurité aux comptes et aux ressources de votre organisation. Vous spécifiez où et comment appliquer la stratégie dans votre organisation.
Audit des groupes de sécurité existants dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité d'audit pour vérifier les règles existantes utilisées dans les groupes de sécurité de votre organisation. Vous pouvez étendre la stratégie pour auditer tous les comptes, des comptes spécifiques ou des ressources balisées au sein de votre organisation. Firewall Manager détecte automatiquement les nouveaux comptes et ressources pour les auditer. Vous pouvez créer des règles d'audit pour définir les règles de groupe de sécurité à autoriser ou à interdire au sein de votre organisation, et pour rechercher les groupes de sécurité non utilisés ou redondants.
Obtenir des rapports sur les ressources non conformes et les corriger : vous pouvez obtenir des rapports et des alertes sur les ressources non conformes pour vos stratégies de référence et d'audit. Vous pouvez également définir des flux de travail de correction automatique afin de corriger les ressources non conformes détectées par Firewall Manager.

Pour en savoir plus sur l'utilisation de Firewall Manager afin de gérer vos groupes de sécurité, consultez les rubriques suivantes dans le Guide du développeur AWS WAF :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Confidentialité du trafic inter-réseau

Validation de la conformité