Exemple : contrôler l'accès aux instances dans un sous-réseau - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple : contrôler l'accès aux instances dans un sous-réseau

Dans cet exemple, les instances de votre sous-réseau peuvent communiquer entre elles et sont accessibles depuis un ordinateur distant fiable. L'ordinateur distant peut être un ordinateur de votre réseau local ou une instance d'un autre sous-réseau ou VPC. Vous l'utilisez pour vous connecter à vos instances afin d'effectuer des tâches administratives. Vos règles de groupe de sécurité et de liste ACL réseau autorisent l'accès à partir de l'adresse IP de votre ordinateur distant (172.31.1.2/32). Le reste du trafic provenant d'Internet ou d'autres réseaux est refusé. Ce scénario vous offre la possibilité de modifier les groupes de sécurité ou les règles de groupe de sécurité pour vos instances, et de définir la liste ACL réseau comme la couche de défense des sauvegardes.

Utilisation d'un groupe de sécurité et d'une liste ACL réseau

Voici un exemple de groupe de sécurité à associer aux instances. Les groupes de sécurité sont avec état. Par conséquent, vous n'avez pas besoin d'une règle qui autorise les réponses pour le trafic entrant.

Entrant
Type de protocole Protocole Plage de ports Source Commentaires
Tout le trafic Tous Tous les comptes sg-1234567890abcdef0 Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles.
SSH TCP 22 172.31.1.2/32 Autorise l'accès SSH entrant depuis l'ordinateur distant.
Sortant
Type de protocole Protocole Plage de ports Destination Commentaires
Tout le trafic Tous Tous les comptes sg-1234567890abcdef0 Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles.

Voici un exemple d'ACL réseau à associer aux sous-réseaux pour les instances. Les règles ACL réseau s'appliquent à toutes les instances du sous-réseau. Les listes ACL réseau sont sans état. Par conséquent, vous avez besoin d'une règle qui autorise les réponses pour le trafic entrant.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser Commentaires
100 SSH TCP 22 172.31.1.2/32 AUTORISER Autorise le trafic entrant depuis l'ordinateur distant.
* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse tout autre trafic entrant.
Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser Commentaires
100 TCP personnalisé TCP 1024-65535 172.31.1.2/32 AUTORISER Autorise les réponses sortantes vers l'ordinateur distant.
* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse tout autre trafic sortant.

Si vous rendez accidentellement vos règles de groupe de sécurité trop permissives, l'ACL réseau de cet exemple continue d'autoriser l'accès uniquement à partir de l'adresse IP spécifiée. Par exemple, le groupe de sécurité suivant contient une règle qui autorise l'accès SSH entrant à partir de n'importe quelle adresse IP. Toutefois, si vous associez ce groupe de sécurité à une instance d'un sous-réseau qui utilise l'ACL réseau, seules les autres instances du sous-réseau et de votre ordinateur distant peuvent accéder à l'instance, car les règles ACL réseau refusent tout autre trafic entrant vers le sous-réseau.

Entrant
Type Protocole Plage de ports Source Commentaires
Tout le trafic Tous Tous les comptes sg-1234567890abcdef0 Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles.
SSH TCP 22 0.0.0.0/0 Autorise l'accès SSH depuis n'importe quelle adresse IP.
Sortant
Type Protocole Plage de ports Destination Commentaires
Tout le trafic Tous Tous 0.0.0.0/0 Autorise tout le trafic sortant.