Contrôle du trafic vers les instances EC2 avec des groupes de sécurité - Amazon Virtual Private Cloud

Contrôle du trafic vers les instances EC2 avec des groupes de sécurité

Un groupe de sécurité agit en tant que pare-feu virtuel pour vos instances EC2 afin de contrôler le trafic entrant et sortant. Lorsque vous lancez une instance EC2 dans un VPC, vous pouvez affecter à l'instance jusqu'à cinq groupes de sécurité. Les groupes de sécurité agissent au niveau instance, et non au niveau sous-réseau. Par conséquent, chaque instance dans un sous-réseau de votre VPC peut être affectée à un ensemble de groupes de sécurité différent.

Si vous lancez une instance à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande et que vous ne spécifiez pas de groupe de sécurité, l'instance est automatiquement affectée au groupe de sécurité par défaut pour le VPC. Si vous lancez une instance à l'aide de la console Amazon EC2, vous avez la possibilité de créer un nouveau groupe de sécurité pour cette dernière.

Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic entrant vers les instances et un ensemble distinct de règles qui contrôlent le trafic sortant. Cette section décrit les notions de base que vous devez connaître concernant les groupes de sécurité pour votre VPC et ses règles.

Vous pouvez définir des listes ACL réseau à l'aide de règles similaires à vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et les listes ACL réseau, consultez la section Comparer les groupes de sécurité et les listes ACL réseau.

Principes de base des groupes de sécurité

Les caractéristiques des groupes de sécurité sont les suivantes :

  • Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.

  • Vous pouvez indiquer des règles distinctes pour les trafics entrants et sortants.

  • Les règles des groupes de sécurité vous permettent de filtrer le trafic en fonction des protocoles et des numéros de port.

  • Les groupes de sécurité sont avec état. Si vous envoyez une demande à partir de votre instance, le trafic de réponse à cette demande est autorisé, indépendamment des règles du groupe de sécurité entrantes. Les réponses au trafic entrant autorisé sont autorisées à acheminer le trafic sortant quelles que soient les règles de trafic sortant.

    Note

    Certains types de trafic sont suivis différemment par rapport aux autres. Pour de plus amples informations, consultez Suivi de connexion dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

  • Lorsque vous créez un groupe de sécurité pour la première fois, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant issu d'un autre hôte de votre instance n'est autorisé tant que vous n'avez pas ajouté des règles entrantes au groupe de sécurité.

  • Par défaut, un groupe de sécurité inclut une règle sortante qui autorise tout le trafic sortant. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant issu de votre instance n'est autorisé.

  • Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer par VPC, au nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour plus d'informations, consultez Quotas Amazon VPC.

  • Les instances associées à un groupe de sécurité ne peuvent pas communiquer entre elles à moins que vous n'ajoutiez des règles autorisant le trafic (exception : le groupe de sécurité par défaut comporte ces règles par défaut).

  • Les groupes de sécurité sont associés à des interfaces réseau. Après avoir lancé une instance, vous pouvez modifier les groupes de sécurité associés à l'instance, ce qui modifie les groupes de sécurité associés à l'interface réseau principale (eth0). Vous pouvez aussi spécifier ou modifier les groupes de sécurité associés à une autre interface réseau. Par défaut, lorsque vous créez une interface réseau, elle est associée au groupe de sécurité par défaut pour le VPC, sauf si vous spécifiez un groupe de sécurité différent. Pour de plus amples informations sur les interfaces réseau, veuillez consulte Interfaces réseau Elastic.

  • Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s'appliquent :

    • Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.

    • Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et ._-:/()#,@[]+=&;{}!$*.

    • Lorsque le nom contient des espaces de fin, nous supprimons l'espace situé à la fin du nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».

    • Un nom de groupe de sécurité ne peut pas commencer par sg-, car un tel préfixe indique un groupe de sécurité par défaut.

    • Un nom de groupe de sécurité doit être unique dans le VPC.

  • Un groupe de sécurité ne peut être utilisé que dans le VPC que vous spécifiez lorsque vous créez le groupe de sécurité.

Groupe de sécurité par défaut pour votre VPC

Votre VPC est associé automatiquement à un groupe de sécurité par défaut. Si vous ne spécifiez pas un autre groupe de sécurité lorsque vous lancez l'instance, celle-ci est automatiquement associée au groupe de sécurité par défaut.

Note

Si vous lancez une instance dans la console Amazon EC2, l'assistant de lancement d'instance définit automatiquement un groupe de sécurité « launch-wizard-xx », que vous pouvez associer à l'instance à la place du groupe de sécurité par défaut.

Le tableau ci-après décrit les règles par défaut pour un groupe de sécurité par défaut.

Inbound
Source Protocole Plage de ports Description

L'ID du groupe de sécurité (sg-xxxxxxxx)

Tous

Tous

Autoriser le trafic entrant à partir d'interfaces réseau (et de leurs instances associées) affectées au même groupe de sécurité.

Outbound

Destination Protocole Plage de ports Description

0.0.0.0/0

Tous

Tous

Autorise tout le trafic IPv4 sortant.

::/0 All All Allow all outbound IPv6 traffic. This rule is added by default if you create a VPC with an IPv6 CIDR block or if you associate an IPv6 CIDR block with your existing VPC.

Vous pouvez modifier les règles du groupe de sécurité par défaut.

Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer le groupe de sécurité par défaut, vous obtenez l'erreur suivante : Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

Si vous avez modifié les règles de trafic sortant de votre groupe de sécurité, nous n'ajoutons pas automatiquement de règle de trafic sortant pour le trafic IPv6 lorsque vous associez un bloc IPv6 à votre VPC.

Règles des groupes de sécurité

Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore autoriser ou révoquer un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une plage CIDR spécifique, ou à un autre groupe de sécurité dans votre VPC ou dans un VPC pair (requiert une connexion d'appairage VPC).

Les règles d'un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les instances associées au groupe de sécurité. Les règles contrôlent également le trafic sortant autorisé à les quitter.

Les caractéristiques des règles des groupes de sécurité sont les suivantes :

  • Par défaut, les groupes de sécurité autorisent la totalité du trafic sortant.

  • Les règles des groupes de sécurité sont toujours permissives ; vous ne pouvez pas créer de règles qui refusent l'accès.

  • Les règles des groupes de sécurité vous permettent de filtrer le trafic en fonction des protocoles et des numéros de port.

  • Les groupes de sécurité sont avec état. Si vous envoyez une demande à partir de votre instance, le trafic de la réponse à cette demande est autorisé, indépendamment des règles entrantes. Cela signifie aussi que les réponses au trafic entrant autorisé sont autorisées à sortir, indépendamment des règles sortantes.

  • Vous pouvez ajouter et supprimer des règles à tout moment. Vos modifications sont appliquées automatiquement aux instances associées au groupe de sécurité.

    L'effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi.

  • Quand vous associez plusieurs groupes de sécurité à une instance, les règles de chaque groupe de sécurité sont effectivement regroupées pour créer un seul ensemble de règles. Amazon EC2 utilise cet ensemble de règles pour déterminer si l'accès doit être autorisé ou pas.

    Vous pouvez affecter plusieurs groupes de sécurité à une instance. Par conséquent, une instance peut avoir des centaines de règles qui s'appliquent. Cela peut entraîner des problèmes quand vous accédez à l'instance. Nous vous recommandons de condenser vos règles autant que possible.

Pour chaque règle, vous spécifiez les informations suivantes :

  • Nom : nom du groupe de sécurité (par exemple, my-security-group).

    Un nom peut contenir jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*. Lorsque le nom contient des espaces de fin, nous supprimons les espaces lorsque nous enregistrons le nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».

  • Protocole : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).

  • Port range (Plage de ports) : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple, 22), ou une plage de numéros de port (par exemple, 7000-8000).

  • ICMP type and code (Type et code ICMP) : pour ICMP, le code et le type ICMP.

  • Source or destination (Source ou destination) : la source (règles entrantes) ou la destination (règles sortante) pour le trafic. Spécifiez l'une des options suivantes :

    • Adresse IPv4 unique. Vous devez utiliser la longueur de préfixe /32, par exemple 203.0.113.1/32.

    • Adresse IPv6 unique. Vous devez utiliser la longueur de préfixe /128, par exemple 2001:db8:1234:1a00::123/128.

    • Plage d'adresses IPv4, en notation de bloc d'adresse CIDR : par exemple, 203.0.113.0/24.

    • Plage d'adresses IPv6, en notation de bloc d'adresse CIDR : par exemple, 2001:db8:1234:1a00::/64.

    • ID d'une liste de préfixes, par exemple, pl-1234abc1234abc123. Pour plus d'informations, consultez Utilisation de collections de blocs d'adresse CIDR avec des listes de préfixes.

    • Un autre groupe de sécurité. Les instances associées au groupe de sécurité spécifié peuvent ainsi accéder aux instances associées à ce groupe de sécurité. (Notez que cela n'ajoute pas de règles du groupe de sécurité source à ce groupe de sécurité.) Vous spécifiez l'un des groupes de sécurité suivants :

      • Groupe de sécurité en cours

      • Un groupe de sécurité différent pour le même VPC

      • Un groupe de sécurité différent pour un VPC homologue dans une connexion d'appairage de VPC

  • (Facultatif) Description : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l'identifier ultérieurement. Une description peut inclure jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et ._-:/()#,@[]+=;{}!$*.

Lorsque vous créez une règle de groupe de sécurité, AWS attribue un ID unique à la règle. Vous pouvez utiliser l'ID d'une règle lorsque vous utilisez l'API ou la CLI pour modifier ou supprimer la règle.

Quand vous spécifiez un groupe de sécurité comme source ou destination d'une règle, celle-ci affecte toutes les instances associées au groupe de sécurité. Le trafic entrant est autorisé en fonction des adresses IP privées des instances associées au groupe de sécurité source (et non des adresses IP Elastic ou des adresses IP publiques). Si votre règle de groupe de sécurité fait référence à un groupe de sécurité dans un VPC pair et si le groupe de sécurité référencé ou la connexion d'appairage de VPC est supprimée, la règle est marquée comme étant obsolète. Pour plus d'informations, consultez Utilisation de règles de groupes de sécurité obsolètes dans le Guide d'appairage Amazon VPC.

Lorsque vous spécifiez un groupe de sécurité en tant que source pour une règle, le trafic est autorisé à partir des interfaces réseau associées au groupe de sécurité source pour le protocole et le port spécifiés. Le trafic entrant est autorisé en fonction des adresses IP privées des interfaces de réseau associées au groupe de sécurité source (et non des adresses IP Elastic ou des adresses IP publiques). Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l'autre instance en tant que source, cela n'autorise pas le trafic à transiter entre les instances.

Certains systèmes pour la configuration de pare-feu vous permettent d'effectuer un filtrage sur les ports sources. Les groupes de sécurité vous permettent d'effectuer un filtrage uniquement sur les ports de destination.

Quand vous ajoutez ou supprimez des règles, les modifications sont automatiquement appliquées à toutes les instances associées au groupe de sécurité.

Le type de règles que vous ajoutez dépend souvent de l'objectif du groupe de sécurité. Le tableau suivant décrit des exemples de règles pour un groupe de sécurité associé à des serveurs web. Les serveurs web peuvent recevoir du trafic HTTP et HTTPS de toutes les adresses IPv4 et IPv6, et envoyer du trafic SQL ou MySQL vers un serveur de base de données.

Inbound
Source Protocole Plage de ports Description

0.0.0.0/0

TCP

80

Autorise l'accès HTTP entrant depuis l'ensemble des adresses IPv4

::/0 TCP 80 Allow inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

Autorise l'accès HTTPS entrant depuis l'ensemble des adresses IPv4

::/0 TCP 443 Allow inbound HTTPS access from all IPv6 addresses

Plage d'adresses IPv4 publiques de votre réseau

TCP

22

Autorise l'accès SSH entrant aux instances Linux depuis les adresses IP IPv4 de votre réseau (via la passerelle Internet)

Plage d'adresses IPv4 publiques de votre réseau

TCP

3389

Autorise l'accès RDP entrant aux instances Windows depuis les adresses IP IPv4 de votre réseau (via la passerelle Internet)

Outbound

Destination Protocole Plage de ports Description

L'ID du groupe de sécurité pour vos serveurs de base de données Microsoft SQL Server

TCP

1433

Autoriser l'accès Microsoft SQL Server sortant aux instances dans le groupe de sécurité indiqué

L'ID du groupe de sécurité pour vos serveurs de base de données MySQL

TCP

3306

Autoriser l'accès MySQL sortant aux instances dans le groupe de sécurité indiqué

Un serveur de base de données a besoin d'un ensemble de règles différent. Par exemple, au lieu du trafic HTTP et HTTPS entrant, vous pouvez ajouter une règle qui autorise l'accès MySQL ou Microsoft SQL Server entrant. Pour un exemple de règles de groupe de sécurité pour les serveurs Web et les serveurs de base de données, consultez la section Security. Pour de plus amples informations sur les groupes de sécurité pour les instances DB Amazon RDS, veuillez consulter Contrôle d’accès par groupes de sécurité dans le Guide de l’utilisateur Amazon RDS.

Pour obtenir des exemples de règles de groupes de sécurité relatives à certains types d'accès, consultez Référence des règles de groupe de sécurité dansGuide de l’utilisateur Amazon EC2 pour les instances Linux.

Règles du groupe de sécurité obsolètes

Si votre VPC est connecté à un autre VPC par appairage de VPC ou s'il utilise un VPC partagé par un autre compte, une règle de groupe de sécurité peut référencer un groupe de sécurité dans le VPC pair ou le VPC partagé. Cela permet aux instances associées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencement de communiquer entre elles.

Si le groupe de sécurité du VPC partagé est supprimé ou si la connexion par appairage de VPC est supprimée, la règle de groupe de sécurité est marquée comme étant obsolète. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité.

Pour de plus amples informations, veuillez consulter Utilisation des groupes de sécurité obsolètes dans le Guide de l’appairage Amazon VPC.

Utiliser des groupes de sécurité

Les tâches suivantes vous montrent comment utiliser les groupes de sécurité à l'aide de la console Amazon VPC.

Modifier le groupe de sécurité par défaut

Votre VPC inclut un groupe de sécurité par défaut. Vous ne pouvez pas supprimer ce groupe ; toutefois, vous pouvez modifier les règles du groupe. La procédure est la même que pour la modification d'un autre groupe de sécurité.

Création d'un groupe de sécurité

Même si vous pouvez utiliser le groupe de sécurité par défaut pour vos instances, vous souhaiterez peut-être créer vos propres groupes afin de refléter les différents rôles joués par les instances dans votre système.

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter les instances. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant.

Un groupe de sécurité ne peut être utilisé que dans le VPC dans lequel il est créé.

Pour plus d'informations sur les autorisations requises pour créer des groupes de sécurité et gérer les règles de groupe de sécurité, veuillez consulter Gérer les groupes de sécurité et Gérer les règles de groupe de sécurité.

Pour créer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez Créer un groupe de sécurité.

  4. Saisissez un nom et une description pour le groupe de sécurité. Vous ne pouvez pas modifier le nom et la description d'un groupe de sécurité créé.

  5. Dans VPC, choisissez le VPC.

  6. Vous pouvez ajouter des règles de groupe de sécurité maintenant ou plus tard. Pour de plus amples informations, veuillez consulter . Ajouter des règles à un groupe de sécurité.

  7. Vous pouvez ajouter des étiquettes maintenant ou ultérieurement. Pour ajouter une étiquette, choisissez Ajouter une nouvelle étiquette), puis entrez la clé et la valeur de l'étiquette.

  8. Sélectionnez Créer un groupe de sécurité.

Pour créer un groupe de sécurité à l'aide de la ligne de commande

Afficher vos groupes de sécurité

Vous pouvez afficher des informations sur vos groupes de sécurité comme suit.

Pour plus d'informations sur les autorisations requises pour afficher des groupes de sécurité, veuillez consulter Gérer les groupes de sécurité.

Pour afficher vos groupes de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Vos groupes de sécurité sont répertoriés. Pour afficher les détails d'un groupe de sécurité spécifique, y compris ses règles entrantes et sortantes, sélectionnez le groupe de sécurité.

Pour afficher vos groupes de sécurité à l'aide de la ligne de commande

Pour afficher tous vos groupes de sécurité relevant des différentes régions

Ouvrez la console Amazon EC2 Global View sur https://console.aws.amazon.com/ec2globalview/home.

Pour plus d'informations sur l'utilisation d'Amazon EC2 Global View, consultez Lister et filtrer les ressources à l'aide d'Amazon EC2 Global View dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Étiqueter vos groupes de sécurité

Ajoutez des étiquettes à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter des balises à vos groupes de sécurité. Les clés de balise doivent être uniques pour chaque règle de groupe de sécurité. Si vous ajoutez une balise avec une clé qui est déjà associée à la règle, cela met à jour la valeur de cette balise.

Pour étiqueter un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Activez la case à cocher en regard du groupe de sécurité.

  4. Choisissez Actions, Gérer les balises.

  5. La page Gérer les étiquettes affiche toutes les étiquettes affectées au groupe de sécurité. Pour ajouter une balise, choisissez Ajouter une balise, puis entrez la clé et la valeur de la balise. Pour supprimer une balise, choisissez Supprimer en regard de la balise à supprimer.

  6. Sélectionnez Enregistrer les modifications.

Pour étiqueter un groupe de sécurité à l'aide de la ligne de commande

Ajouter des règles à un groupe de sécurité

Lorsque vous ajoutez une règle à un groupe de sécurité, la nouvelle règle est automatiquement appliquée à toutes les instances associées au groupe de sécurité.

Si vous disposez d'une connexion d'appairage VPC, vous pouvez référencer des groupes de sécurité à partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles de votre groupe de sécurité. Pour de plus amples informations, veuillez consulter Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité de VPC appairé dans le Guide d’appairage Amazon VPC.

Pour plus d'informations sur les autorisations requises pour gérer des règles de groupe de sécurité, veuillez consulter Gérer les règles de groupe de sécurité.

Pour ajouter une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Pour chaque règle, choisissez Add rule (Ajouter une règle), puis procédez comme suit :

    1. Pour Type, choisissez le type de protocole à autoriser.

      • Pour TCP ou UDP, vous devez saisir la plage de ports à autoriser.

      • Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d'ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports.

      • Pour un autre type, le protocole et la plage de ports sont configurés automatiquement.

    2. Pour Source (règles entrantes) ou Destination (règles sortantes), effectuez l'une des opérations suivantes pour autoriser le trafic :

      • Choisissez Personnalisé, puis entrez une adresse IP en notation CIDR, un bloc d'adresse CIDR, un autre groupe de sécurité ou une liste de préfixes.

      • Choisissez N'importe où pour permettre au trafic de toute adresse IP d'atteindre vos instances (règles entrantes), ou pour permettre au trafic de vos instances d'atteindre toutes les adresses IP (règles sortantes). Cette option ajoute automatiquement le bloc d'adresse CIDR IPv4 0.0.0.0/0.

        Si votre groupe de sécurité se trouve dans un VPC activé pour IPv6, cette option ajoute automatiquement une règle pour le bloc d’adresse CIDR IPv6 ::/0.

        Pour les règles entrantes, cette solution est acceptable pour une brève durée dans un environnement de test, mais est inappropriée pour un environnement de production. Dans un environnement de production, vous autorisez uniquement une adresse IP ou une plage d'adresses IP spécifiques à accéder à vos instances.

      • Choisissez My IP (Mon adresse IP) pour autoriser uniquement le trafic provenant de (règles entrantes) ou à destination de (règles sortantes) l'adresse IPv4 publique de votre ordinateur local.

    3. (Facultatif) Pour Description, saisissez une brève description de la règle.

  6. Sélectionnez Enregistrer les règles.

Pour ajouter une règle à un groupe de sécurité à l'aide de la ligne de commande

Mettre à jour les règles du groupe de sécurité

Lorsque vous mettez à jour une règle, la règle mise à jour est automatiquement appliquée à toutes les instances associées au groupe de sécurité.

Pour plus d'informations sur les autorisations requises pour gérer des règles de groupe de sécurité, veuillez consulter Gérer les règles de groupe de sécurité.

Pour mettre à jour une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules (Modifier les règles sortantes).

  5. Mettez à jour la règle comme requis.

  6. Sélectionnez Enregistrer les règles.

Pour mettre à jour la description d'une règle de groupe de sécurité à l'aide de la ligne de commande

Étiqueter des règles de groupe de sécurité

Ajoutez des étiquettes à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter des étiquettes aux règles de groupe de sécurité. Les clés d'étiquette doivent être uniques pour chaque règle de groupe de sécurité. Si vous ajoutez une étiquette avec une clé qui est déjà associée à la règle de groupe de sécurité, cela a pour effet de mettre à jour la valeur de cette étiquette.

Pour étiqueter une règle à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Sous l'onglet Règles entrantes ou Règles sortantes, sélectionnez la case à cocher de la règle, puis choisissez Gérer les étiquettes.

  5. La page Gérer les étiquettes affiche toutes les étiquettes affectées à la règle. Pour ajouter une étiquette, choisissez Ajouter une étiquette, puis entrez la clé et la valeur de l'étiquette. Pour supprimer une balise, choisissez Supprimer en regard de la balise à supprimer.

  6. Sélectionnez Enregistrer les modifications.

Pour étiqueter un règle à l'aide de la ligne de commande

Supprimer des règles de groupe de sécurité

Lorsque vous supprimez une règle d'un groupe de sécurité, la modification est automatiquement appliquée à toutes les instances qui sont associées au groupe de sécurité.

Pour supprimer une règle de groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Choisissez Actions, puis Modifier les règles entrantes pour supprimer une règle entrante ou Modifier les règles sortantes pour supprimer une règle sortante.

  5. Choisissez le bouton Supprimer en regard de de la règle à supprimer.

  6. Choisissez Enregistrer les règles.

Pour supprimer un règle de groupe de sécurité à l'aide de la ligne de commande

Changer les groupes de sécurité d’une instance

Après avoir lancé une instance dans un VPC, vous pouvez modifier les groupes de sécurité associés à une instance quand celle-ci se trouve dans l'état running ou stopped. Pour de plus amples informations, veuillez consulter la section Modifier le groupe de sécurité d'une instance du Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Supprimer un groupe de sécurité

Vous ne pouvez supprimer un groupe de sécurité que s'il n'est associé à aucune instance (en cours d'exécution ou arrêtée). Vous pouvez modifier les groupes de sécurité associés à une instance en cours d'exécution ou arrêtée. Pour de plus amples informations, consultez . Changer les groupes de sécurité d’une instance). Vous ne pouvez pas supprimer un groupe de sécurité par défaut.

Si vous utilisez la console, vous pouvez supprimer plusieurs groupes de sécurité simultanément. Si vous utilisez la ligne de commande ou l'API, vous ne pouvez supprimer qu'un seul groupe de sécurité à la fois.

Pour supprimer un groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez un ou plusieurs groupes de sécurité, puis choisissez Actions, Delete security groups (Supprimer les groupes de sécurité).

  4. Lorsque vous êtes invité à confirmer, entrez delete, puis choisissez Delete (Supprimer).

Pour supprimer un groupe de sécurité à l'aide de la ligne de commande

Gérez de manière centralisée les groupes de sécurité VPC à l'aide de AWS Firewall Manager

AWS Firewall Manager simplifie vos tâches d'administration et de maintenance des groupes de sécurité VPC sur plusieurs comptes et ressources. Avec Firewall Manager, vous pouvez configurer et auditer vos groupes de sécurité pour votre organisation à partir d'un seul compte d'administrateur central. Firewall Manager applique automatiquement les règles et les protections sur l'ensemble de vos comptes et de vos ressources, même celles qui sont ajoutées ultérieurement. Firewall Manager est particulièrement utile lorsque vous souhaitez protéger l'ensemble de votre organisation ou si vous ajoutez fréquemment de nouvelles ressources que vous souhaitez protéger à partir d'un compte d'administrateur central.

Vous pouvez utiliser Firewall Manager pour gérer de manière centralisée les groupes de sécurité de la manière suivante :

  • Configurer des groupes de sécurité de base communs dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité commune pour fournir une association centralisée de groupes de sécurité aux comptes et aux ressources de votre organisation. Vous spécifiez où et comment appliquer la stratégie dans votre organisation.

  • Audit des groupes de sécurité existants dans votre organisation : vous pouvez utiliser une stratégie de groupe de sécurité d'audit pour vérifier les règles existantes utilisées dans les groupes de sécurité de votre organisation. Vous pouvez étendre la stratégie pour auditer tous les comptes, des comptes spécifiques ou des ressources balisées au sein de votre organisation. Firewall Manager détecte automatiquement les nouveaux comptes et ressources pour les auditer. Vous pouvez créer des règles d'audit pour définir les règles de groupe de sécurité à autoriser ou à interdire au sein de votre organisation, et pour rechercher les groupes de sécurité non utilisés ou redondants.

  • Obtenir des rapports sur les ressources non conformes et les corriger : vous pouvez obtenir des rapports et des alertes sur les ressources non conformes pour vos stratégies de référence et d'audit. Vous pouvez également définir des flux de travail de correction automatique afin de corriger les ressources non conformes détectées par Firewall Manager.

Pour en savoir plus sur l'utilisation de Firewall Manager afin de gérer vos groupes de sécurité, consultez les rubriques suivantes dans le Guide du développeur AWS WAF :