Groupes de sécurité pour votre VPC - Amazon Virtual Private Cloud

Groupes de sécurité pour votre VPC

Un groupe de sécurité agit en tant que pare-feu virtuel pour votre instance afin de contrôler le trafic entrant et sortant. Lorsque vous lancez une instance dans un VPC, vous pouvez affecter à l'instance jusqu'à cinq groupes de sécurité. Les groupes de sécurité agissent au niveau instance, et non au niveau sous-réseau. Par conséquent, chaque instance dans un sous-réseau de votre VPC peut être affectée à un ensemble de groupes de sécurité différent.

Si vous lancez une instance à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande et que vous ne spécifiez pas de groupe de sécurité, l'instance est automatiquement affectée au groupe de sécurité par défaut pour le VPC. Si vous lancez une instance à l'aide de la console Amazon EC2, vous avez la possibilité de créer un nouveau groupe de sécurité pour l'instance.

Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic entrant vers les instances et un ensemble distinct de règles qui contrôlent le trafic sortant. Cette section décrit les notions de base que vous devez connaître concernant les groupes de sécurité pour votre VPC et ses règles.

Vous pouvez définir des listes ACL réseau à l'aide de règles similaires à vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et les listes ACL réseau, consultez la section Comparaison des groupes de sécurité et des listes ACL réseau.

Principes de base des groupes de sécurité

Les principes de base des groupes de sécurité pour votre VPC sont les suivants :

  • Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer par VPC, au nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour plus d'informations, consultez Quotas Amazon VPC.

  • Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.

  • Vous pouvez indiquer des règles distinctes pour les trafics entrants et sortants.

  • Lorsque vous créez un groupe de sécurité, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant issu d'un autre hôte de votre instance n'est autorisé tant que vous n'avez pas ajouté des règles entrantes au groupe de sécurité.

  • Par défaut, un groupe de sécurité inclut une règle sortante qui autorise tout le trafic sortant. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant issu de votre instance n'est autorisé.

  • Les groupes de sécurité sont avec état— ; si vous envoyez une demande à partir de votre instance, le trafic de la réponse à cette demande est autorisé, indépendamment des règles entrantes des groupes de sécurité. Les réponses au trafic entrant autorisé sont autorisées à acheminer le trafic sortant quelles que soient les règles de trafic sortant.

    Note

    Certains types de trafic sont suivis différemment par rapport aux autres. Pour plus d'informations, consultez Suivi de la connexion dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

  • Les instances associées à un groupe de sécurité ne peuvent pas communiquer entre elles à moins que vous n'ajoutiez des règles autorisant le trafic (exception : le groupe de sécurité par défaut comporte ces règles par défaut).

  • Les groupes de sécurité sont associés à des interfaces réseau. Après avoir lancé une instance, vous pouvez modifier les groupes de sécurité associés à l'instance, ce qui modifie les groupes de sécurité associés à l'interface réseau principale (eth0). Vous pouvez aussi spécifier ou modifier les groupes de sécurité associés à une autre interface réseau. Par défaut, lorsque vous créez une interface réseau, elle est associée au groupe de sécurité par défaut pour le VPC, sauf si vous spécifiez un groupe de sécurité différent. Pour plus d'informations sur les interfaces réseau, consultez Interfaces réseau Elastic.

  • Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s'appliquent :

    • Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.

    • Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et ._-:/()#,@[]+=&;{}!$*.

    • Lorsque le nom contient des espaces de fin, nous supprimons les espaces lorsque nous enregistrons le nom. Par exemple, si vous entrez « Test Security Group  » pour le nom, nous le stockons comme « Test Security Group ».

    • Un nom de groupe de sécurité ne peut pas commencer par sg-, car un tel préfixe indique un groupe de sécurité par défaut.

    • Un nom de groupe de sécurité doit être unique dans le VPC.

  • Un groupe de sécurité ne peut être utilisé que dans le VPC que vous spécifiez lorsque vous créez le groupe de sécurité.

Groupe de sécurité par défaut pour votre VPC

Votre VPC est associé automatiquement à un groupe de sécurité par défaut. Si vous ne spécifiez pas un autre groupe de sécurité lorsque vous lancez l'instance, celle-ci est automatiquement associée au groupe de sécurité par défaut.

Note

Si vous lancez une instance dans la console Amazon EC2, l'Assistant de lancement d'instance définit un groupe de sécurité « launch-wizard-xx », que vous pouvez associer à l'instance à la place du groupe de sécurité par défaut.

Le tableau ci-après décrit les règles par défaut pour un groupe de sécurité par défaut.

Inbound
Source Protocol Port range Description

L'ID du groupe de sécurité (sg-xxxxxxxx)

Tous

Tous

Autoriser le trafic entrant à partir d'interfaces réseau (et de leurs instances associées) affectées au même groupe de sécurité.

Outbound

Destination Protocol Port range Description

0.0.0.0/0

Tous

Tous

Autorise tout le trafic IPv4 sortant.

::/0 Tous Tous Autorise tout le trafic IPv6 sortant. Cette règle est ajoutée par défaut si vous créez un VPC avec un bloc d'adresse CIDR IPv6 ou si vous associez un bloc d'adresse CIDR IPv6 à votre VPC existant.

Vous pouvez modifier les règles du groupe de sécurité par défaut.

Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer le groupe de sécurité par défaut, vous obtenez l'erreur suivante : Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Note

Si vous avez modifié les règles de trafic sortant de votre groupe de sécurité, nous n'ajoutons pas automatiquement de règle de trafic sortant pour le trafic IPv6 lorsque vous associez un bloc IPv6 à votre VPC.

Règles des groupes de sécurité

Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore autoriser ou révoquer un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une plage CIDR spécifique, ou à un autre groupe de sécurité dans votre VPC ou dans un VPC pair (requiert une connexion d'appairage VPC).

Voici les éléments de base d'une règle de groupe de sécurité d'un VPC :

  • (Règles de trafic entrant uniquement) La source du trafic et le port ou la plage de ports de destination. La source peut être un autre groupe de sécurité, un bloc d'adresses CIDR IPv4 ou IPv6, une seule adresse IPv4 ou IPv6, ou encore un ID de liste de préfixes.

  • (Règles de trafic sortant uniquement) La destination du trafic et le port ou la plage de ports de destination. La destination peut être un autre groupe de sécurité, un bloc d'adresse CIDR IPv4 ou IPv6, une seule adresse IPv4 ou IPv6, ou encore un ID de liste de préfixes.

  • Tout protocole comportant un numéro de protocole standard (pour une liste, consultez la section Numéros de protocole). Si vous indiquez ICMP comme protocole, vous pouvez indiquer tout ou partie des types et codes ICMP.

  • Description facultative de la règle du groupe de sécurité vous permettant de l'identifier ultérieurement. Une description peut inclure jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

  • Si vous ajoutez une règle de groupe de sécurité à l'aide de l’AWS CLI ou de l’API, nous définissons automatiquement le bloc d’adresse CIDR source ou destination sur la forme canonique. Par exemple, si vous spécifiez 100.68.0.18/18 pour le bloc d’adresse CIDR, nous créons une règle avec un bloc d’adresse CIDR de 100.68.0.0/18.

Lorsque vous spécifiez un bloc d'adresse CIDR en tant que source pour une règle, le trafic est autorisé à partir des adresses spécifiées pour le protocole et le port spécifiés.

Lorsque vous spécifiez un groupe de sécurité en tant que source pour une règle, le trafic est autorisé à partir des interfaces réseau associées au groupe de sécurité source pour le protocole et le port spécifiés. Le trafic entrant est autorisé en fonction des adresses IP privées des interfaces de réseau associées au groupe de sécurité source (et non des adresses IP Elastic ou des adresses IP publiques). L'ajout d'un groupe de sécurité en tant que source n'ajoute pas de règles à partir du groupe de sécurité source. Pour obtenir un exemple, consultez Groupe de sécurité par défaut pour votre VPC.

Si vous spécifiez une seule adresse IPv4, précisez-la avec la longueur de préfixe /32. Si vous spécifiez une seule adresse IPv6, précisez à l'aide de la longueur de préfixe /128.

Certains systèmes lors de la configuration des pare-feu vous permettent d'effectuer un filtrage sur les ports source. Les groupes de sécurité vous permettent d'effectuer un filtrage sur les ports de destination.

Quand vous ajoutez ou supprimez des règles, elles sont automatiquement appliquées à toutes les instances associées au groupe de sécurité.

Le type de règles que vous ajoutez peut dépendre de l'objectif du groupe de sécurité. Le tableau suivant décrit des exemples de règles pour un groupe de sécurité associé à des serveurs web. Les serveurs web peuvent recevoir du trafic HTTP et HTTPS de toutes les adresses IPv4 et IPv6, et envoyer du trafic SQL ou MySQL vers un serveur de base de données.

Inbound
Source Protocol Port range Description

0.0.0.0/0

TCP

80

Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv4

::/0 TCP 80 Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv6

0.0.0.0/0

TCP

443

Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv4

::/0 TCP 443 Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv6

Plage d'adresses IPv4 publiques de votre réseau

TCP

22

Autorise l'accès SSH entrant aux instances Linux depuis les adresses IP IPv4 de votre réseau (via la passerelle Internet)

Plage d'adresses IPv4 publiques de votre réseau

TCP

3389

Autorise l'accès RDP entrant aux instances Windows depuis les adresses IP IPv4 de votre réseau (via la passerelle Internet)

Outbound

Destination Protocol Port range Description

L'ID du groupe de sécurité pour vos serveurs de base de données Microsoft SQL Server

TCP

1433

Autoriser l'accès Microsoft SQL Server sortant aux instances dans le groupe de sécurité indiqué

L'ID du groupe de sécurité pour vos serveurs de base de données MySQL

TCP

3306

Autoriser l'accès MySQL sortant aux instances dans le groupe de sécurité indiqué

Un serveur de base de données aurait besoin d'un ensemble de règles différent. Par exemple, au lieu du trafic HTTP et HTTPS entrant, vous pouvez ajouter une règle qui autorise l'accès MySQL ou Microsoft SQL Server entrant. Pour un exemple de règles de groupe de sécurité pour les serveurs Web et les serveurs de base de données, consultez la section Sécurité. Pour plus d'informations sur les groupes de sécurité pour les instances DB Amazon RDS, consultez Contrôle de l'accès avec les groupes de sécurité dans le Amazon RDS Guide de l'utilisateur.

Pour obtenir des exemples de règles de groupes de sécurité liées à certains types d'accès, consultez Référence des règles de groupe de sécurité dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Règles du groupe de sécurité obsolètes

Si votre VPC comporte une connexion d'appairage VPC avec un autre VPC, une règle de groupe de sécurité peut référencer un autre groupe de sécurité dans le VPC pair. Cela permet aux instances associées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencement de communiquer entre elles.

Si le propriétaire du VPC pair supprime le groupe de sécurité référencé, ou si vous ou le propriétaire du VPC pair supprimez la connexion d'appairage VPC, la règle du groupe de sécurité est marquée stale. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité.

Pour plus d'informations, consultez Utilisation des groupes de sécurité dans le Amazon VPC Peering Guide.

Différences entre les groupes de sécurité pour EC2-Classic et EC2-VPC

Vous ne pouvez pas utiliser les groupes de sécurité que vous avez créés en vue d'une utilisation avec des instances EC2-Classic dans votre VPC. Vous devez créer des groupes de sécurité spécifiques à utiliser avec des instances dans votre VPC. Les règles que vous créez en vue d'une utilisation avec un groupe de sécurité pour un VPC ne peuvent pas faire référence à un groupe de sécurité pour EC2-Classic, et inversement. Pour plus d'informations sur les différences entre les groupes de sécurité pour EC2-Classic et pour un VPC, consultez Différences entre EC2-Classic et un VPC dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Utilisation des groupes de sécurité

Les tâches suivantes vous montrent comment utiliser les groupes de sécurité à l'aide de la console Amazon VPC.

Pour obtenir des exemples de stratégies IAM permettant d'utiliser des groupes de sécurité, veuillez consulter Gestion des groupes de sécurité.

Modification du groupe de sécurité par défaut

Votre VPC inclut un groupe de sécurité par défaut. Vous ne pouvez pas supprimer ce groupe ; toutefois, vous pouvez modifier les règles du groupe. La procédure est la même que pour la modification d'un autre groupe de sécurité. Pour plus d'informations, consultez Ajout, suppression et mise à jour des règles.

Création d'un groupe de sécurité

Même si vous pouvez utiliser le groupe de sécurité par défaut pour vos instances, vous souhaiterez peut-être créer vos propres groupes afin de refléter les différents rôles joués par les instances dans votre système.

Pour créer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez Create Security Group.

  4. Entrez un nom pour le groupe de sécurité (par exemple, my-security-group) et fournissez une description.

  5. Dans VPC, sélectionnez l'ID de votre VPC.

  6. (Facultatif) Ajoutez ou supprimez une balise.

    [Ajouter une balise] Choisissez Ajouter une balise et procédez comme suit :

    • Pour Clé, saisissez le nom de la clé.

    • Pour Valeur, saisissez la valeur clé.

    [Supprimer une balise] Choisissez Supprimer à la droite de la clé et de la valeur de la balise.

  7. Sélectionnez Créer.

Pour créer un groupe de sécurité à l'aide de la ligne de commande

Pour décrire un ou plusieurs groupes de sécurité à l'aide de la ligne de commande

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter les instances. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.

Ajout, suppression et mise à jour des règles

Lorsque vous ajoutez ou supprimez une règle, les instances déjà affectées au groupe de sécurité sont concernées par la modification.

Si vous disposez d'une connexion d'appairage VPC, vous pouvez référencer des groupes de sécurité à partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles de votre groupe de sécurité. Pour plus d'informations, consultez Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité du VPC appairé dans le Amazon VPC Peering Guide.

Pour ajouter une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Choisissez Add rule. Pour Type, sélectionnez le type de trafic, puis spécifiez la source (règles entrantes) ou la destination (règles sortantes). Par exemple, pour un serveur web public, choisissez HTTP ou HTTPS et spécifiez une valeur pour Source, par exemple 0.0.0.0/0.

    Si vous utilisez 0.0.0.0/0, vous permettez à toutes les adresses IPv4 d'accéder à votre instance via HTTP ou HTTPS. Pour limiter l'accès, saisissez une adresse IP spécifique ou une plage d'adresses.

  6. Vous pouvez aussi autoriser la communication entre toutes les instances associées à ce groupe de sécurité. Créez une règle entrante avec les options suivantes :

    • Type: All Traffic (Tout le trafic)

    • Source : entrez l'ID du groupe de sécurité.

  7. Sélectionnez Save rules (Enregistrer les règles).

Pour supprimer une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Choisissez le bouton de suppression (x) à la droite de la règle que vous voulez supprimer.

  6. Sélectionnez Save rules (Enregistrer les règles).

Lorsque vous modifiez le protocole, la plage de ports, ou la source ou destination de la règle existante d'un groupe de sécurité à l'aide de la console, cette dernière supprime la règle existante et en ajoute une nouvelle.

Pour mettre à jour une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité à mettre à jour.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Modifiez l'entrée de règle comme nécessaire.

  6. Sélectionnez Save rules (Enregistrer les règles).

Si vous mettez à jour le protocole, la plage de ports, ou la source ou destination d'une règle existante à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande, vous ne pouvez pas modifier la règle. Vous devez plutôt supprimer la règle existante, puis ajouter une nouvelle règle. Pour mettre à jour la description de la règle uniquement, vous pouvez utiliser les commandes update-security-group-rule-descriptions-ingress et update-security-group-rule-descriptions-egress.

Pour ajouter une règle à un groupe de sécurité à l'aide de la ligne de commande

Pour supprimer une règle d'un groupe de sécurité à l'aide de la ligne de commande

Pour mettre à jour la description d'une règle de groupe de sécurité à l'aide de la ligne de commande

Modification des groupes de sécurité d'une instance

Après avoir lancé une instance dans un VPC, vous pouvez changer les groupes de sécurité qui sont associés à l'instance. Vous pouvez changer les groupes de sécurité pour une instance lorsqu'elle est à l'état running ou stopped.

Note

Cette procédure modifie les groupes de sécurité qui sont associés à l'interface réseau principale (eth0) de l'instance. Pour modifier les groupes de sécurité pour d'autres interfaces réseau, consultez Changement du groupe de sécurité.

Pour modifier les groupes de sécurité d'une instance à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Instances.

  3. Ouvrez le menu contextuel (clic droit) de l'instance et choisissez Networking, Change Security Groups.

  4. Dans la boîte de dialogue Change Security Groups, sélectionnez un ou plusieurs groupes de sécurité de la liste et choisissez Assign Security Groups.

Pour modifier les groupes de sécurité d'une instance à l'aide de la ligne de commande

Suppression d'un groupe de sécurité

Vous pouvez supprimer un groupe de sécurité uniquement si aucune instance (en cours d'exécution ou arrêtée) ne lui est affectée. Vous pouvez affecter les instances à un autre groupe de sécurité avant de supprimer le groupe de sécurité (consultez la section Modification des groupes de sécurité d'une instance). Vous ne pouvez pas supprimer un groupe de sécurité par défaut.

Si vous utilisez la console, vous pouvez supprimer plusieurs groupes de sécurité simultanément. Si vous utilisez la ligne de commande ou l'API, vous pouvez seulement supprimer les groupes de sécurité un par un.

Pour supprimer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez un ou plusieurs groupes de sécurité, puis choisissez Actions du groupe de sécurité, Supprimer le groupe de sécurité.

  4. Dans la boîte de dialogue Delete Security Group, choisissez Yes, Delete.

Pour supprimer un groupe de sécurité à l'aide de la ligne de commande

Modification du groupe de sécurité 2009-07-15 par défaut

Un VPC créé à l'aide d'une API dont la version est antérieure au 01/01/2011 comporte le groupe de sécurité 2009-07-15-default. Ce groupe de sécurité existe en plus du groupe de sécurité default qui est fourni en standard avec chaque VPC. Vous ne pouvez pas attacher une passerelle Internet à un VPC comportant le groupe de sécurité 2009-07-15-default. Par conséquent, vous devez supprimer ce groupe de sécurité avant d'attacher une passerelle Internet au VPC.

Note

Si vous avez affecté ce groupe de sécurité à des instances, vous devez affecter ces dernières à un groupe de sécurité différent avant de pouvoir supprimer le groupe de sécurité.

Pour supprimer le groupe de sécurité 2009-07-15-default

  1. Assurez-vous que ce groupe de sécurité n'est affecté à aucune instance.

    1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

    2. Dans le volet de navigation, choisissez Network Interfaces.

    3. Sélectionnez l'interface réseau pour l'instance de la liste, puis choisissez Change Security Groups, Actions.

    4. Dans la boîte de dialogue Change Security Groups, sélectionnez un nouveau groupe de sécurité de la liste, puis choisissez Save.

      Lorsque vous modifiez le groupe de sécurité d'une instance, vous pouvez sélectionner plusieurs groupes de la liste. Les groupes de sécurité que vous sélectionnez remplacent les groupes de sécurité en cours pour l'instance.

    5. Répétez les étapes précédentes pour chaque instance.

  2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  3. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  4. Sélectionnez le groupe de sécurité 2009-07-15-default, puis choisissez Security Group Actions (Actions de groupe de sécurité), Delete Security Group (Supprimer le groupe de sécurité).

  5. Dans la boîte de dialogue Delete Security Group, choisissez Yes, Delete.

Gérez de manière centralisée les groupes de sécurité VPC à l'aide de AWS Firewall Manager

AWS Firewall Manager simplifie vos tâches d'administration et de maintenance sur plusieurs comptes et ressources. Avec Firewall Manager, vous pouvez configurer et auditer vos groupes de sécurité pour votre organisation à partir d'un seul compte d'administrateur central. Firewall Manager applique automatiquement les règles et les protections entre vos comptes et ressources, même lorsque vous ajoutez de nouvelles ressources. Firewall Manager est particulièrement utile lorsque vous souhaitez protéger l'ensemble de votre organisation ou si vous ajoutez fréquemment de nouvelles ressources que vous souhaitez protéger à partir d'un compte d'administrateur central.

Vous pouvez utiliser Firewall Manager pour gérer de manière centralisée les groupes de sécurité de la manière suivante :

  • Configurer des groupes de sécurité de base communs dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité commune pour fournir une association centralisée de groupes de sécurité aux comptes et aux ressources de votre organisation. Vous spécifiez où et comment appliquer la stratégie dans votre organisation.

  • Audit des groupes de sécurité existants dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité d'audit pour vérifier les règles existantes utilisées dans les groupes de sécurité de votre organisation. Vous pouvez étendre la stratégie pour auditer tous les comptes, comptes spécifiques ou ressources marqués au sein de votre organisation. Firewall Manager détecte automatiquement les nouveaux comptes et ressources, et les vérifie. Vous pouvez créer des règles d'audit pour définir les règles de groupe de sécurité à autoriser ou à interdire au sein de votre organisation, et pour rechercher les groupes de sécurité non utilisés ou redondants.

  • Obtenir des rapports sur les ressources non conformes et les corriger : vous pouvez obtenir des rapports et des alertes sur les ressources non conformes pour vos stratégies de référence et d'audit. Vous pouvez également définir des workflows de correction automatique pour corriger les ressources non conformes détectées par Firewall Manager.

Pour de plus amples informations sur l'utilisation de Firewall Manager afin de gérer vos groupes de sécurité, veuillez consulter les rubriques suivantes dans le Guide du développeur AWS WAF :