Contrôler le trafic vers les ressources à l'aide de groupes de sécurité - Amazon Virtual Private Cloud

Contrôler le trafic vers les ressources à l'aide de groupes de sécurité

Un groupe de sécurité contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, après avoir associé un groupe de sécurité à une instance EC2, il contrôle le trafic entrant et sortant pour l'instance.

Lorsque vous créez un VPC, celui-ci est fourni avec un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires pour chaque VPC. Vous pouvez associer un groupe de sécurité uniquement aux ressources du VPC pour lequel il est créé.

Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic en fonction des protocoles et des numéros de port. Il existe des ensembles de règles distincts pour le trafic entrant et le trafic sortant.

Principes de base des groupes de sécurité

Caractéristiques des groupes de sécurité

  • Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s'appliquent :

    • Un nom de groupe de sécurité doit être unique dans le VPC.

    • Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.

    • Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et ._-:/()#,@[]+=&;{}!$*.

    • Lorsque le nom contient des espaces de fin, nous supprimons l'espace situé à la fin du nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».

    • Un nom de groupe de sécurité ne peut pas commencer par sg-.

  • Les groupes de sécurité sont avec état. Par exemple, si vous envoyez une demande à partir d'une instance, le trafic de réponse pour cette demande est autorisé à atteindre l'instance, quelles que soient les règles du groupe de sécurité entrant. Les réponses au trafic entrant autorisé sont autorisées à quitter l'instance, quelles que soient les règles de trafic sortant.

  • Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer par VPC, au nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour plus d'informations, consultez Quotas Amazon VPC.

Caractéristiques des règles de groupe de sécurité

  • Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.

  • Lorsque vous créez un groupe de sécurité pour la première fois, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant n'est autorisé tant que vous n'avez pas ajouté de règles entrantes au groupe de sécurité.

  • Lorsque vous créez un groupe de sécurité pour la première fois, il possède une règle sortante qui autorise tout le trafic sortant de la ressource. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant n'est autorisé.

  • Lorsque vous associez plusieurs groupes de sécurité à une ressource, les règles de chaque groupe de sécurité sont regroupées pour former un ensemble unique de règles utilisées pour déterminer s'il faut autoriser l'accès.

  • Lorsque vous ajoutez, mettez à jour ou supprimez des règles, vos modifications sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. L'effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi. Pour de plus amples informations, consultez Suivi de connexion dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

  • Lorsque vous créez une règle de groupe de sécurité, AWS attribue un ID unique à la règle. Vous pouvez utiliser l'ID d'une règle lorsque vous utilisez l'API ou la CLI pour modifier ou supprimer la règle.

Bonnes pratiques

  • Autorisez uniquement certains principaux IAM à créer et à modifier les groupes de sécurité.

  • Créez le nombre minimum de groupes de sécurité dont vous avez besoin afin de réduire le risque d'erreur. Utilisez chaque groupe de sécurité pour gérer l'accès aux ressources possédant des fonctions et des exigences de sécurité similaires.

  • Lorsque vous ajoutez des règles entrantes pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos instances EC2, autorisez uniquement les plages d'adresses IP spécifiques. Si vous spécifiez 0.0.0.0/0 (IPv4) et ::/ (IPv6), cela permet à n'importe qui d'accéder à vos instances à partir de n'importe quelle adresse IP qui utilise le protocole spécifié.

  • N'ouvrez pas des plages de ports trop vastes. Assurez-vous que l'accès via chaque port est limité aux sources ou aux destinations qui en ont besoin.

  • Envisagez de créer des listes ACL réseau avec des règles similaires à celles de vos groupes de sécurité, afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour en savoir plus sur les différences entre les groupes de sécurité et les listes ACL réseau, consultez la section Comparer les groupes de sécurité et les listes ACL réseau.

Groupes de sécurité par défaut pour vos VPC

Vos VPC par défaut et tous les VPC que vous créez sont fournis avec un groupe de sécurité par défaut. Avec certaines ressources, si vous n'associez pas de groupe de sécurité lorsque vous créez la ressource, nous associons le groupe de sécurité par défaut. Par exemple, si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance EC2, nous associons le groupe de sécurité par défaut.

Vous pouvez modifier les règles du groupe de sécurité par défaut. Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer le groupe de sécurité par défaut, vous obtenez l'erreur suivante : Client.CannotDelete.

Le tableau ci-après décrit les règles par défaut pour un groupe de sécurité par défaut.

Inbound
Source Protocole Plage de ports Description

L'ID du groupe de sécurité (son propre ID de ressource)

Tous

Tous les comptes

Autorise le trafic entrant à partir de ressources affectées au même groupe de sécurité.

Outbound

Destination Protocole Plage de ports Description

0.0.0.0/0

Tous

Tous

Autorise tout le trafic IPv4 sortant.

::/0 All All Allows all outbound IPv6 traffic. This rule is added only if your VPC has an associated IPv6 CIDR block.

Règles des groupes de sécurité

Les règles d'un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les ressources associées au groupe de sécurité. Les règles contrôlent également le trafic sortant autorisé à les quitter.

Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore autoriser ou révoquer un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une plage d'adresses CIDR spécifique, ou à un autre groupe de sécurité dans votre VPC ou dans un VPC pair (requiert une connexion d'appairage VPC).

Avertissement

Lorsque vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos instances EC2, nous vous recommandons de n'autoriser que des plages d'adresses IP spécifique. Si vous spécifiez 0.0.0.0/0 (IPv4) et ::/ (IPv6), cela permet à n'importe qui d'accéder à vos instances à partir de n'importe quelle adresse IP qui utilise le protocole spécifié.

Pour chaque règle, vous spécifiez les informations suivantes :

  • Protocole : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).

  • Port range (Plage de ports) : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple, 22), ou une plage de numéros de port (par exemple, 7000-8000).

  • ICMP type and code (Type et code ICMP) : pour ICMP, le code et le type ICMP. Par exemple, utilisez le type 8 pour la requête ICMP Echo ou 128 pour la requête ICMPv6 Echo.

  • Source or destination (Source ou destination) : la source (règles entrantes) ou la destination (règles sortantes) pour le trafic à autoriser. Spécifiez l'un des éléments suivants :

    • Adresse IPv4 unique. Vous devez utiliser la longueur de préfixe /32. Par exemple, 203.0.113.1/32.

    • Adresse IPv6 unique. Vous devez utiliser la longueur de préfixe /128. Par exemple, 2001:db8:1234:1a00::123/128.

    • Plage d'adresses IPv4, en notation de bloc d'adresses CIDR. Par exemple, 203.0.113.0/24.

    • Plage d'adresses IPv6, en notation de bloc d'adresses CIDR. Par exemple, 2001:db8:1234:1a00::/64.

    • ID d'une liste des préfixes. Par exemple, pl-1234abc1234abc123. Pour plus d'informations, consultez Grouper des blocs d’adresse CIDR à l’aide de listes de préfixes gérées.

    • ID d'un groupe de sécurité (appelé ici groupe de sécurité spécifié). Par exemple, le groupe de sécurité actuel, un groupe de sécurité du même VPC ou un groupe de sécurité pour un VPC appairé. Cela autorise le trafic basé sur les adresses IP privées des ressources associées au groupe de sécurité spécifié. Cela n'ajoute pas les règles du groupe de sécurité spécifié au groupe de sécurité actuel. †

  • (Facultatif) Description : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l'identifier ultérieurement. Une description peut inclure jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

† Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l'autre instance en tant que source, cela n'autorise pas le trafic à transiter entre les instances.

Exemple de règles

Les règles que vous ajoutez à un groupe de sécurité dépendent souvent de l'objectif du groupe de sécurité. Le tableau suivant décrit des exemples de règles pour un groupe de sécurité associé à des serveurs web. Vos serveurs web peuvent recevoir du trafic HTTP et HTTPS de toutes les adresses IPv4 et IPv6 et envoyer du trafic SQL ou MySQL à vos serveurs de base de données.

Inbound
Source Protocole Plage de ports Description

0.0.0.0/0

TCP

80

Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv4

::/0 TCP 80 Allows inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv4

::/0 TCP 443 Allows inbound HTTPS access from all IPv6 addresses

Plage d'adresses IPv4 publiques de votre réseau

TCP

22

Autorise l'accès SSH entrant à partir des adresses IP IPv4 de votre réseau

Plage d'adresses IPv4 publiques de votre réseau

TCP

3389

Autorise l'accès RDP entrant à partir des adresses IP IPv4 de votre réseau

Outbound

Destination Protocole Plage de ports Description

L'ID du groupe de sécurité pour vos serveurs de base de données Microsoft SQL Server

TCP

1433

Autoriser l'accès sortant à Microsoft SQL Server

L'ID du groupe de sécurité pour vos serveurs de base de données MySQL

TCP

3306

Autoriser l'accès sortant à MySQL

Un serveur de base de données a besoin d'un ensemble de règles différent. Par exemple, au lieu du trafic HTTP et HTTPS entrant, vous pouvez ajouter une règle qui autorise l'accès MySQL ou Microsoft SQL Server entrant. Pour obtenir des exemples, consultez Sécurité. Pour de plus amples informations sur les groupes de sécurité pour les instances DB Amazon RDS, veuillez consulter Contrôle d’accès par groupes de sécurité dans le Guide de l’utilisateur Amazon RDS.

Pour d'autres exemples, consultez Référence des règles de groupe de sécurité dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Règles du groupe de sécurité obsolètes

Si votre VPC est connecté à un autre VPC par appairage de VPC ou s'il utilise un VPC partagé par un autre compte, une règle de groupe de sécurité peut référencer un groupe de sécurité dans le VPC pair ou le VPC partagé. Cela permet aux ressources associées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencement de communiquer entre elles.

Si le groupe de sécurité du VPC partagé est supprimé ou si la connexion par l’appairage de VPC est supprimée, la règle de groupe de sécurité est marquée comme étant obsolète. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité. Pour plus d'informations, consultez Utilisation de règles de groupes de sécurité obsolètes dans le Guide d'appairage Amazon VPC.

Utiliser des groupes de sécurité

Les tâches suivantes vous montrent comment utiliser les groupes de sécurité à l'aide de la console Amazon VPC.

Autorisations requises

Création d'un groupe de sécurité

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter la ressource. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.

Un groupe de sécurité ne peut être utilisé que dans le VPC dans lequel il est créé.

Pour plus d'informations sur les autorisations requises pour créer des groupes de sécurité et gérer les règles de groupe de sécurité, veuillez consulter Gérer les groupes de sécurité et Gérer les règles de groupe de sécurité.

Pour créer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).

  3. Sélectionnez Create security group (Créer un groupe de sécurité).

  4. Saisissez un nom et une description pour le groupe de sécurité. Vous ne pouvez pas modifier le nom et la description d'un groupe de sécurité créé.

  5. Dans VPC, choisissez le VPC.

  6. Vous pouvez ajouter des règles de groupe de sécurité maintenant ou plus tard. Pour plus d'informations, consultez Ajouter des règles à un groupe de sécurité.

  7. Vous pouvez ajouter des étiquettes maintenant ou ultérieurement. Pour ajouter une étiquette, choisissez Ajouter une nouvelle étiquette), puis entrez la clé et la valeur de l'étiquette.

  8. Sélectionnez Créer un groupe de sécurité.

Pour créer un groupe de sécurité à l'aide de la ligne de commande

Afficher vos groupes de sécurité

Vous pouvez afficher des informations sur vos groupes de sécurité comme suit.

Pour plus d'informations sur les autorisations requises pour afficher des groupes de sécurité, veuillez consulterGérer les groupes de sécurité.

Pour afficher vos groupes de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Vos groupes de sécurité sont répertoriés. Pour afficher les détails d'un groupe de sécurité spécifique, y compris ses règles entrantes et sortantes, sélectionnez le groupe de sécurité.

Pour afficher vos groupes de sécurité à l'aide de la ligne de commande

Pour afficher tous vos groupes de sécurité relevant des différentes régions

Ouvrez la console Amazon EC2 Global View sur https://console.aws.amazon.com/ec2globalview/home.

Pour plus d'informations sur l'utilisation d'Amazon EC2 Global View, consultez Lister et filtrer les ressources à l'aide d'Amazon EC2 Global View dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Étiqueter vos groupes de sécurité

Ajoutez des étiquettes à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter des balises à vos groupes de sécurité. Les clés de balise doivent être uniques pour chaque règle de groupe de sécurité. Si vous ajoutez une balise avec une clé qui est déjà associée à la règle, cela met à jour la valeur de cette balise.

Pour étiqueter un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Activez la case à cocher en regard du groupe de sécurité.

  4. Choisissez Actions, Gérer les balises.

  5. La page Gérer les étiquettes affiche toutes les étiquettes affectées au groupe de sécurité. Pour ajouter une balise, choisissez Ajouter une balise, puis entrez la clé et la valeur de la balise. Pour supprimer une balise, choisissez Remove (Supprimer) en regard de la balise à supprimer.

  6. Sélectionnez Enregistrer les modifications.

Pour étiqueter un groupe de sécurité à l'aide de la ligne de commande

Supprimer un groupe de sécurité

Vous pouvez supprimer un groupe de sécurité uniquement s'il n'est associé à aucune ressource. Vous ne pouvez pas supprimer un groupe de sécurité par défaut.

Si vous utilisez la console, vous pouvez supprimer plusieurs groupes de sécurité simultanément. Si vous utilisez la ligne de commande ou l'API, vous ne pouvez supprimer qu'un seul groupe de sécurité à la fois.

Pour supprimer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez un ou plusieurs groupes de sécurité, puis choisissez Actions, Delete security groups (Supprimer les groupes de sécurité).

  4. Lorsque vous êtes invité à confirmer, entrez delete, puis choisissez Delete (Supprimer).

Pour supprimer un groupe de sécurité à l'aide de la ligne de commande

Utiliser des règles de groupe de sécurité

Les tâches suivantes vous montrent comment utiliser les règles de groupe de sécurité à l'aide de la console Amazon VPC.

Ajouter des règles à un groupe de sécurité

Lorsque vous ajoutez une règle à un groupe de sécurité, la nouvelle règle est automatiquement appliquée à toutes les ressources associées au groupe de sécurité.

Si vous disposez d'une connexion d'appairage VPC, vous pouvez référencer des groupes de sécurité à partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles de votre groupe de sécurité. Pour de plus amples informations, veuillez consulter Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité de VPC appairé dans le Guide d’appairage Amazon VPC.

Pour plus d'informations sur les autorisations requises pour gérer des règles de groupe de sécurité, veuillez consulter Gérer les règles de groupe de sécurité.

Pour ajouter une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :

    1. Pour Type, choisissez le type de protocole à autoriser.

      • Pour TCP ou UDP, vous devez saisir la plage de ports à autoriser.

      • Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d'ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports.

      • Pour un autre type, le protocole et la plage de ports sont configurés automatiquement.

    2. Pour Source type (Type de source) (règles entrantes) ou Destination type (Type de destination) (règles sortantes), effectuez l'une des opérations suivantes pour autoriser le trafic :

      • Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d'adresse CIDR, un autre groupe de sécurité ou une liste de préfixes.

      • Choisissez Anywhere-IPv4 (Partout-IPv4) pour autoriser le trafic de toute adresse IPv4 (règles entrantes) ou permettre au trafic d'atteindre toutes les adresses IPv4 (règles sortantes). Cela ajoute automatiquement une règle pour le bloc d'adresses CIDR IPv4 0.0.0.0/0.

        Avertissement

        Si vous choisissez Anywhere-IPv4 (Partout-IPv4), vous permettez à toutes les adresses IPv4 d'accéder à votre instance au moyen du protocole spécifié. Si vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP), vous ne devriez autoriser qu'une adresse IP ou une plage d'adresses IP spécifique à accéder à votre instance.

      • Choisissez Anywhere-IPv6 (Partout-IPv6) pour autoriser le trafic de toute adresse IPv6 (règles entrantes) ou permettre au trafic d'atteindre toutes les adresses IPv6 (règles sortantes). Cela ajoute automatiquement une règle pour le bloc d'adresse CIDR IPv6 ::/0.

        Avertissement

        Si vous choisissez Anywhere-IPv6 (Partout-IPv6), vous permettez à toutes les adresses IPv6 d'accéder à votre instance au moyen du protocole spécifié. Si vous ajoutez des règles pour les ports 22 (SSH) ou 3389 (RDP), vous ne devriez autoriser qu'une adresse IP ou une plage d'adresses IP spécifique à accéder à votre instance.

      • Choisissez My IP (Mon adresse IP) pour autoriser uniquement le trafic provenant de (règles entrantes) ou à destination de (règles sortantes) l'adresse IPv4 publique de votre ordinateur local.

    3. (Facultatif) Pour Description, saisissez une brève description de la règle.

  6. Sélectionnez Enregistrer les règles.

Pour ajouter une règle à un groupe de sécurité à l'aide de la ligne de commande

Mettre à jour les règles du groupe de sécurité

Lorsque vous mettez à jour une règle, la règle mise à jour est automatiquement appliquée à toutes les ressources associées au groupe de sécurité.

Pour en savoir plus sur les autorisations requises pour gérer des règles de groupe de sécurité, consultez Gérer les règles de groupe de sécurité.

Pour mettre à jour une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Mettez à jour la règle comme requis.

  6. Sélectionnez Enregistrer les règles.

Pour mettre à jour la description d'une règle de groupe de sécurité à l'aide de la ligne de commande

Étiqueter des règles de groupe de sécurité

Ajoutez des étiquettes à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter des étiquettes aux règles de groupe de sécurité. Les clés d'étiquette doivent être uniques pour chaque règle de groupe de sécurité. Si vous ajoutez une étiquette avec une clé qui est déjà associée à la règle de groupe de sécurité, cela a pour effet de mettre à jour la valeur de cette étiquette.

Pour étiqueter une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Sous l'onglet Règles entrantes ou Règles sortantes, sélectionnez la case à cocher de la règle, puis choisissez Gérer les étiquettes.

  5. La page Gérer les étiquettes affiche toutes les étiquettes affectées à la règle. Pour ajouter une étiquette, choisissez Ajouter une étiquette, puis entrez la clé et la valeur de l'étiquette. Pour supprimer une balise, choisissez Remove (Supprimer) en regard de la balise à supprimer.

  6. Sélectionnez Save changes (Enregistrer les modifications).

Pour étiqueter un règle à l'aide de la ligne de commande

Supprimer des règles de groupe de sécurité

Lorsque vous supprimez une règle d'un groupe de sécurité, la modification est automatiquement appliquée à toutes les instances qui sont associées au groupe de sécurité.

Pour supprimer une règle de groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Choisissez Actions, puis Modifier les règles entrantes pour supprimer une règle entrante ou Modifier les règles sortantes pour supprimer une règle sortante.

  5. Choisissez le bouton Supprimer en regard de de la règle à supprimer.

  6. Choisissez Enregistrer les règles.

Pour supprimer un règle de groupe de sécurité à l'aide de la ligne de commande

Gérez de manière centralisée les groupes de sécurité VPC à l'aide de AWS Firewall Manager

AWS Firewall Manager simplifie vos tâches d'administration et de maintenance des groupes de sécurité VPC sur plusieurs comptes et ressources. Avec Firewall Manager, vous pouvez configurer et auditer vos groupes de sécurité pour votre organisation à partir d'un seul compte d'administrateur central. Firewall Manager applique automatiquement les règles et les protections sur l'ensemble de vos comptes et de vos ressources, même celles qui sont ajoutées ultérieurement. Firewall Manager est particulièrement utile lorsque vous souhaitez protéger l'ensemble de votre organisation ou si vous ajoutez fréquemment de nouvelles ressources que vous souhaitez protéger à partir d'un compte d'administrateur central.

Vous pouvez utiliser Firewall Manager pour gérer de manière centralisée les groupes de sécurité de la manière suivante :

  • Configurer des groupes de sécurité de base communs dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité commune pour fournir une association centralisée de groupes de sécurité aux comptes et aux ressources de votre organisation. Vous spécifiez où et comment appliquer la stratégie dans votre organisation.

  • Audit des groupes de sécurité existants dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité d'audit pour vérifier les règles existantes utilisées dans les groupes de sécurité de votre organisation. Vous pouvez étendre la stratégie pour auditer tous les comptes, des comptes spécifiques ou des ressources balisées au sein de votre organisation. Firewall Manager détecte automatiquement les nouveaux comptes et ressources pour les auditer. Vous pouvez créer des règles d'audit pour définir les règles de groupe de sécurité à autoriser ou à interdire au sein de votre organisation, et pour rechercher les groupes de sécurité non utilisés ou redondants.

  • Obtenir des rapports sur les ressources non conformes et les corriger : vous pouvez obtenir des rapports et des alertes sur les ressources non conformes pour vos stratégies de référence et d'audit. Vous pouvez également définir des flux de travail de correction automatique afin de corriger les ressources non conformes détectées par Firewall Manager.

Pour en savoir plus sur l'utilisation de Firewall Manager afin de gérer vos groupes de sécurité, consultez les rubriques suivantes dans le Guide du développeur AWS WAF :