Amazon Virtual Private Cloud
Guide de l'utilisateur

Groupes de sécurité pour votre VPC

Un groupe de sécurité agit en tant que pare-feu virtuel pour votre instance afin de contrôler le trafic entrant et sortant. Lorsque vous lancez une instance dans un VPC, vous pouvez affecter à l'instance jusqu'à cinq groupes de sécurité. Les groupes de sécurité agissent au niveau instance, et non au niveau sous-réseau. Par conséquent, chaque instance dans un sous-réseau de votre VPC pourrait être affectée à un ensemble de groupes de sécurité différent. Si vous ne spécifiez pas de groupe particulier lors du lancement, l'instance est automatiquement affectée au groupe de sécurité par défaut pour le VPC.

Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic entrant vers les instances et un ensemble distinct de règles qui contrôlent le trafic sortant. Cette section décrit les notions de base que vous devez connaître concernant les groupes de sécurité pour votre VPC et ses règles.

Vous pouvez définir des listes ACL réseau à l'aide de règles similaires à vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et les listes ACL réseau, consultez la section Comparaison des groupes de sécurité et des listes ACL réseau.

Principes de base des groupes de sécurité

Les principes de base des groupes de sécurité pour votre VPC sont les suivants :

  • Vous disposez de limites sur le nombre de groupes de sécurité que vous pouvez créer par VPC, sur le nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et sur le nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour plus d'informations, consultez Limites Amazon VPC.

  • Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.

  • Vous pouvez indiquer des règles distinctes pour les trafics entrants et sortants.

  • Lorsque vous créez un groupe de sécurité, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant issu d'un autre hôte de votre instance n'est autorisé tant que vous n'avez pas ajouté des règles entrantes au groupe de sécurité.

  • Par défaut, un groupe de sécurité inclut une règle sortante qui autorise tout le trafic sortant. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant issu de votre instance n'est autorisé.

  • Les groupes de sécurité sont avec état— ; si vous envoyez une demande à partir de votre instance, le trafic de la réponse à cette demande est autorisé, indépendamment des règles entrantes des groupes de sécurité. Les réponses au trafic entrant autorisé sont autorisées à acheminer le trafic sortant quelles que soient les règles de trafic sortant.

    Note

    Certains types de trafic sont placés différemment vers d'autres. Pour plus d'informations, consultez la section Suivi de la connexion dans le manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

  • Les instances associées à un groupe de sécurité ne peuvent pas communiquer entre elles à moins que vous n'ajoutiez des règles l'autorisant (exception : le groupe de sécurité par défaut comporte ces règles par défaut).

  • Les groupes de sécurité sont associés à des interfaces réseau. Après avoir lancé une instance, vous pouvez modifier les groupes de sécurité associés à l'instance, ce qui modifie les groupes de sécurité associés à l'interface réseau principale (eth0). Vous pouvez aussi modifier les groupes de sécurité associés à une autre interface réseau. Pour plus d'informations sur les interfaces réseau, consultez Interfaces réseau Elastic.

  • Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s'appliquent :

    • Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.

    • Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et ._-:/()#,@[]+=&;{}!$*.

    • Un nom de groupe de sécurité ne peut pas commencer par sg-.

    • Un nom de groupe de sécurité doit être unique dans le VPC.

Groupe de sécurité par défaut pour votre VPC

Votre VPC est associé automatiquement à un groupe de sécurité par défaut. Si vous ne spécifiez pas un autre groupe de sécurité lorsque vous lancez l'instance, celle-ci est automatiquement associée au groupe de sécurité par défaut.

Note

Si vous lancez une instance dans la console Amazon EC2, l'Assistant de lancement d'instance définit un groupe de sécurité « launch-wizard-xx », que vous pouvez associer à l'instance à la place du groupe de sécurité par défaut.

Le tableau ci-après décrit les règles par défaut pour un groupe de sécurité par défaut.

Inbound
Source Protocol Port Range Comments

L'ID du groupe de sécurité (sg-xxxxxxxx)

Tous

Tous

Autoriser le trafic entrant en provenance des instances affectées au même groupe de sécurité.

Outbound

Destination Protocol Port Range Comments

0.0.0.0/0

Tous

Tous

Autorise tout le trafic IPv4 sortant.

::/0 Tous Tous Autorise tout le trafic IPv6 sortant. Cette règle est ajoutée par défaut si vous créez un VPC avec un bloc d'adresse CIDR IPv6 ou si vous associez un bloc d'adresse CIDR IPv6 à votre VPC existant.

Vous pouvez modifier les règles du groupe de sécurité par défaut.

Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer le groupe de sécurité par défaut, vous obtenez l'erreur suivante : Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Note

Si vous avez modifié les règles de trafic sortant de votre groupe de sécurité, nous n'ajoutons pas automatiquement de règle de trafic sortant pour le trafic IPv6 lorsque vous associez un bloc IPv6 à votre VPC.

Règles des groupes de sécurité

Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore autoriser ou révoquer un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une plage CIDR spécifique, ou à un autre groupe de sécurité dans votre VPC ou dans un VPC pair (requiert une connexion d'appairage VPC).

Voici les éléments de base d'une règle de groupe de sécurité d'un VPC :

  • (Règles de trafic entrant uniquement) La source du trafic et le port ou la plage de ports de destination. La source peut être un autre groupe de sécurité, un bloc d'adresse CIDR IPv4 ou IPv6, ou une seule adresse IPv4 ou IPv6.

  • (Règles de trafic sortant uniquement) La destination du trafic et le port ou la plage de ports de destination. La destination peut être un autre groupe de sécurité, un bloc CIDR IPv4 ou IPv6, une adresse IPv4 ou IPv6 ou un ID de liste de préfixes (un service est identifié par une liste de préfixes—le nom et l’ID d’un service pour une région).

  • Tout protocole comportant un numéro de protocole standard (pour une liste, consultez la section Numéros de protocole). Si vous indiquez ICMP comme protocole, vous pouvez indiquer tout ou partie des types et codes ICMP.

  • Description facultative de la règle du groupe de sécurité vous permettant de l'identifier ultérieurement. Une description peut inclure jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

Lorsque vous spécifiez un bloc d'adresse CIDR en tant que source pour une règle, le trafic est autorisé à partir des adresses spécifiées pour le protocole et le port spécifiés. Lorsque vous spécifiez un groupe de sécurité en tant que source pour une règle, le trafic est autorisé à partir des interfaces ENI (Elastic Network Interface) pour les instances associées au groupe de sécurité source pour le protocole et le port spécifiés. L'ajout d'un groupe de sécurité en tant que source n'ajoute pas de règles à partir du groupe de sécurité source.

Si vous spécifiez une seule adresse IPv4, précisez-la avec la longueur de préfixe /32. Si vous spécifiez une seule adresse IPv6, précisez à l'aide de la longueur de préfixe /128.

Certains systèmes lors de la configuration des pare-feu vous permettent d'effectuer un filtrage sur les ports source. Les groupes de sécurité vous permettent d'effectuer un filtrage sur les ports de destination.

Quand vous ajoutez ou supprimez des règles, elles sont automatiquement appliquées à toutes les instances associées au groupe de sécurité.

Le type de règles que vous ajoutez peut dépendre de l'objectif de l'instance. Le tableau ci-après décrit des exemples de règles pour un groupe de sécurité pour les serveurs Web. Les serveurs web peuvent recevoir du trafic HTTP et HTTPS de toutes les adresses IPv4 et IPv6, et envoyer du trafic SQL ou MySQL vers un serveur de base de données.

Inbound
Source Protocol Port Range Comments

0.0.0.0/0

TCP

80

Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv4

::/0 TCP 80 Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv6

0.0.0.0/0

TCP

443

Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv4

::/0 TCP 443 Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv6

Plage d'adresses IPv4 publiques de votre réseau

TCP

22

Autorise l'accès SSH entrant aux instances Linux depuis les adresses IP IPv4 de votre réseau (via la passerelle Internet)

Plage d'adresses IPv4 publiques de votre réseau

TCP

3389

Autorise l'accès RDP entrant aux instances Windows depuis les adresses IP IPv4 de votre réseau (via la passerelle Internet)

Outbound

Destination Protocol Port Range Comments

L'ID du groupe de sécurité pour vos serveurs de base de données Microsoft SQL Server

TCP

1433

Autoriser l'accès Microsoft SQL Server sortant aux instances dans le groupe de sécurité indiqué

L'ID du groupe de sécurité pour vos serveurs de base de données MySQL

TCP

3306

Autoriser l'accès MySQL sortant aux instances dans le groupe de sécurité indiqué

Un serveur de base de données aurait besoin d'un jeu de règles différent ; par exemple, au lieu d'un trafic HTTP et HTTPS entrant, vous pouvez ajouter une règle qui autorise l'accès MySQL ou Microsoft SQL Server entrant. Pour un exemple de règles de groupe de sécurité pour les serveurs Web et les serveurs de base de données, consultez la section Sécurité. Pour plus d'informations sur les groupes de sécurité pour Amazon RDS, consultez Contrôle de l'accès avec les groupes de sécurité dans le Amazon RDS Guide de l'utilisateur.

Pour obtenir des exemples de règles de groupes de sécurité liées à certains types d'accès, consultez Référence des règles de groupe de sécurité dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Règles des groupes de sécurité obsolètes

Si votre VPC comporte une connexion d'appairage VPC avec un autre VPC, une règle de groupe de sécurité peut référencer un autre groupe de sécurité dans le VPC pair. Ceci permet aux instances associées au groupe de sécurité référencé de communiquer avec les autres instances associées au groupe de sécurité de référencement.

Si le propriétaire du VPC pair supprime le groupe de sécurité référencé, ou si vous ou le propriétaire du VPC pair supprimez la connexion d'appairage VPC, la règle du groupe de sécurité est marquée stale. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité.

Pour plus d'informations, consultez la section Utilisation des groupes de sécurité dans le manuel Amazon VPC Peering Guide.

Différences entre les groupes de sécurité pour EC2-Classic et EC2-VPC

Vous ne pouvez pas utiliser les groupes de sécurité que vous avez créés en vue d'une utilisation avec des instances EC2-Classic dans votre VPC. Vous devez créer des groupes de sécurité spécifiques à utiliser avec des instances dans votre VPC. Les règles que vous créez en vue d'une utilisation avec un groupe de sécurité pour un VPC ne peuvent pas faire référence à un groupe de sécurité pour EC2-Classic, et inversement. Pour plus d'informations sur les différences entre les groupes de sécurité pour EC2-Classic et pour un VPC, consultez Différences entre EC2-Classic et un VPC dans le manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Utilisation des groupes de sécurité

Les tâches suivantes vous montrent comment utiliser les groupes de sécurité à l'aide de la console Amazon VPC.

Modification du groupe de sécurité par défaut

Votre VPC inclut un groupe de sécurité par défaut. Vous ne pouvez pas supprimer ce groupe ; toutefois, vous pouvez modifier les règles du groupe. La procédure est la même que pour la modification d'un autre groupe de sécurité. Pour plus d'informations, consultez Ajout, suppression et mise à jour des règles.

Création d'un groupe de sécurité

Même si vous pouvez utiliser le groupe de sécurité par défaut pour vos instances, vous souhaiterez peut-être créer vos propres groupes afin de refléter les différents rôles joués par les instances dans votre système.

Pour créer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez Create Security Group.

  4. Entrez un nom pour le groupe de sécurité (par exemple, my-security-group) et fournissez une description. Sélectionnez l'ID de votre VPC dans le menu VPC, puis choisissez Yes, Create.

Pour créer un groupe de sécurité à l'aide de la ligne de commande

Décrire un ou plusieurs groupes de sécurité à l'aide de la ligne de commande

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter les instances. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.

Ajout, suppression et mise à jour des règles

Lorsque vous ajoutez ou supprimez une règle, les instances déjà affectées au groupe de sécurité sont concernées par la modification.

Si vous disposez d'une connexion d'appairage VPC, vous pouvez référencer des groupes de sécurité à partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles de votre groupe de sécurité. Pour plus d'informations, consultez la section Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité du VPC appairé dans le manuel Amazon VPC Peering Guide.

Pour ajouter une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Pour Type, sélectionnez le type de trafic, puis complétez les informations requises. Par exemple, pour un serveur web public, choisissez HTTP ou HTTPS et spécifiez une valeur pour Source, par exemple 0.0.0.0/0.

    Note

    Si vous utilisez 0.0.0.0/0, vous permettez à toutes les adresses IPv4 d'accéder à votre instance via HTTP ou HTTPS. Pour limiter l'accès, saisissez une adresse IP spécifique ou une plage d'adresses.

  6. Vous pouvez aussi autoriser la communication entre toutes les instances associées à ce groupe de sécurité. Créez une règle entrante avec les options suivantes :

    • Type: All Traffic (Tout le trafic)

    • Source : entrez l'ID du groupe de sécurité.

  7. Sélectionnez Save rules (Enregistrer les règles).

Pour supprimer une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Choisissez le bouton de suppression (x) à la droite de la règle que vous voulez supprimer.

  6. Sélectionnez Save rules (Enregistrer les règles).

Lorsque vous modifiez le protocole, la plage de ports, ou la source ou destination de la règle existante d'un groupe de sécurité à l'aide de la console, cette dernière supprime la règle existante et en ajoute une nouvelle.

Pour mettre à jour une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Modifiez l'entrée de règle comme nécessaire.

  6. Sélectionnez Save rules (Enregistrer les règles).

Pour mettre à jour le protocole, la plage de ports, ou la source ou destination de la règle existante à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande, vous ne pouvez pas modifier la règle, mais vous devez supprimer la règle existante, puis ajouter une nouvelle règle. Pour mettre à jour la description de la règle uniquement, vous pouvez utiliser les commandes update-security-group-rule-descriptions-ingress et update-security-group-rule-descriptions-egress.

Pour ajouter une règle à un groupe de sécurité à l'aide de la ligne de commande

Pour supprimer une règle d'un groupe de sécurité à l'aide de la ligne de commande

Pour mettre à jour la description d'une règle de groupe de sécurité à l'aide de la ligne de commande

Modification des groupes de sécurité d'une instance

Après avoir lancé une instance dans un VPC, vous pouvez changer les groupes de sécurité qui sont associés à l'instance. Vous pouvez changer les groupes de sécurité pour une instance lorsqu'elle est à l'état running ou stopped.

Note

Cette procédure modifie les groupes de sécurité qui sont associés à l'interface réseau principale (eth0) de l'instance. Pour modifier les groupes de sécurité pour d'autres interfaces réseau, consultez la section Changement du groupe de sécurité d'une interface réseau.

Pour modifier les groupes de sécurité d'une instance à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Instances.

  3. Ouvrez le menu contextuel (clic droit) de l'instance et choisissez Networking, Change Security Groups.

  4. Dans la boîte de dialogue Change Security Groups, sélectionnez un ou plusieurs groupes de sécurité de la liste et choisissez Assign Security Groups.

Pour modifier les groupes de sécurité d'une instance à l'aide de la ligne de commande

Suppression d'un groupe de sécurité

Vous pouvez supprimer un groupe de sécurité uniquement si aucune instance (en cours d'exécution ou arrêtée) ne lui est affectée. Vous pouvez affecter les instances à un autre groupe de sécurité avant de supprimer le groupe de sécurité (consultez la section Modification des groupes de sécurité d'une instance). Vous ne pouvez pas supprimer un groupe de sécurité par défaut.

Si vous utilisez la console, vous pouvez supprimer plusieurs groupes de sécurité simultanément. Si vous utilisez la ligne de commande ou l'API, vous pouvez seulement supprimer les groupes de sécurité un par un.

Pour supprimer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez un ou plusieurs groupes de sécurité, puis choisissez Actions du groupe de sécurité, Supprimer le groupe de sécurité.

  4. Dans la boîte de dialogue Delete Security Group, choisissez Yes, Delete.

Pour supprimer un groupe de sécurité à l'aide de la ligne de commande

Modification du groupe de sécurité 2009-07-15 par défaut

Un VPC créé à l'aide d'une API dont la version est antérieure au 01/01/2011 comporte le groupe de sécurité 2009-07-15-default. Ce groupe de sécurité existe en plus du groupe de sécurité default qui est fourni en standard avec chaque VPC. Vous ne pouvez pas attacher une passerelle Internet à un VPC comportant le groupe de sécurité 2009-07-15-default. Par conséquent, vous devez supprimer ce groupe de sécurité avant d'attacher une passerelle Internet au VPC.

Note

Si vous avez affecté ce groupe de sécurité à des instances, vous devez affecter ces dernières à un groupe de sécurité différent avant de pouvoir supprimer le groupe de sécurité.

Pour supprimer le groupe de sécurité 2009-07-15-default

  1. Assurez-vous que ce groupe de sécurité n'est affecté à aucune instance.

    1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

    2. Dans le volet de navigation, choisissez Network Interfaces.

    3. Sélectionnez l'interface réseau pour l'instance de la liste, puis choisissez Change Security Groups, Actions.

    4. Dans la boîte de dialogue Change Security Groups, sélectionnez un nouveau groupe de sécurité de la liste, puis choisissez Save.

      Note

      Lorsque vous modifiez le groupe de sécurité d'une instance, vous pouvez sélectionner plusieurs groupes de la liste. Les groupes de sécurité que vous sélectionnez remplacent les groupes de sécurité en cours pour l'instance.

    5. Répétez les étapes précédentes pour chaque instance.

  2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  3. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  4. Sélectionnez le groupe de sécurité 2009-07-15-default, puis choisissez Security Group Actions (Actions de groupe de sécurité), Delete Security Group (Supprimer le groupe de sécurité).

  5. Dans la boîte de dialogue Delete Security Group, choisissez Yes, Delete.