Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôlez le trafic vers vos AWS ressources à l'aide de groupes de sécurité
Un groupe de sécurité contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, une fois que vous avez associé un groupe de sécurité à une EC2 instance, celui-ci contrôle le trafic entrant et sortant de l'instance.
Lorsque vous créez unVPC, il est fourni avec un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires pour aVPC, chacun ayant ses propres règles entrantes et sortantes. Vous pouvez spécifier la source, la plage de ports et le protocole pour chaque règle entrante. Vous pouvez spécifier la destination, la plage de ports et le protocole pour chaque règle sortante.
Le schéma suivant montre VPC un sous-réseau, une passerelle Internet et un groupe de sécurité. Le sous-réseau contient une EC2 instance. Le groupe de sécurité est attribué à l'instance. Le groupe de sécurité fonctionne comme un pare-feu virtuel. Le seul trafic qui atteint l'instance est le trafic autorisé par les règles du groupe de sécurité. Par exemple, si le groupe de sécurité contient une règle qui autorise le ICMP trafic vers l'instance depuis votre réseau, vous pouvez envoyer un ping à l'instance depuis votre ordinateur. Si le groupe de sécurité ne contient pas de règle autorisant le SSH trafic, vous ne pouvez pas vous connecter à votre instance à l'aide deSSH.
Table des matières
Tarification
L’utilisation de groupes de sécurité n’entraîne aucuns frais supplémentaires.
Principes de base des groupes de sécurité
-
Vous pouvez attribuer un groupe de sécurité uniquement aux ressources créées en même temps VPC que le groupe de sécurité. Vous pouvez attribuer plusieurs groupes de sécurité à une ressource.
-
Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s’appliquent :
-
Le nom d'un groupe de sécurité doit être unique au sein duVPC.
-
Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.
-
Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et ._-:/()#,@[]+=&;{}!$*.
-
Lorsque le nom contient des espaces de fin, nous supprimons l'espace situé à la fin du nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».
-
Un nom de groupe de sécurité ne peut pas commencer par
sg-.
-
-
Les groupes de sécurité sont avec état. Par exemple, si vous envoyez une demande à partir d'une instance, le trafic de réponse pour cette demande est autorisé à atteindre l'instance, quelles que soient les règles du groupe de sécurité entrant. Les réponses au trafic entrant autorisé sont autorisées à quitter l'instance, quelles que soient les règles de trafic sortant.
-
Les groupes de sécurité ne filtrent pas le trafic vers et depuis les services suivants :
-
Amazon Domain Name Services (DNS)
-
Protocole de configuration d'hôte Amazon Dynamic (DHCP)
-
Métadonnées de EC2 l'instance Amazon
-
Points de terminaison des métadonnées des ECS tâches Amazon
-
Activation de licence pour les instances Windows
-
Service de synchronisation temporelle d’Amazon
-
Adresses IP réservées utilisées par le VPC routeur par défaut
-
-
Il existe des quotas concernant le nombre de groupes de sécurité que vous pouvez créer par groupeVPC, le nombre de règles que vous pouvez ajouter à chaque groupe de sécurité et le nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour de plus amples informations, veuillez consulter VPCQuotas Amazon.
Bonnes pratiques
-
N'autorisez que des IAM entités spécifiques à créer et à modifier des groupes de sécurité.
-
Créez le nombre minimum de groupes de sécurité dont vous avez besoin afin de réduire le risque d'erreur. Utilisez chaque groupe de sécurité pour gérer l'accès aux ressources possédant des fonctions et des exigences de sécurité similaires.
-
Lorsque vous ajoutez des règles entrantes pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos EC2 instances, autorisez uniquement des plages d'adresses IP spécifiques. Si vous spécifiez 0.0.0.0/0 (IPv4) et : :/ (IPv6), cela permet à quiconque d'accéder à vos instances depuis n'importe quelle adresse IP en utilisant le protocole spécifié.
-
N'ouvrez pas des plages de ports trop vastes. Assurez-vous que l'accès via chaque port est limité aux sources ou aux destinations qui en ont besoin.
-
Envisagez de créer ACLs un réseau avec des règles similaires à celles de vos groupes de sécurité, afin d'ajouter une couche de sécurité supplémentaire à votreVPC. Pour plus d'informations sur les différences entre les groupes de sécurité et le réseauACLs, consultezComparez les groupes de sécurité et le réseau ACLs.
Exemple de groupe de sécurité
Le schéma suivant montre un VPC avec deux groupes de sécurité et deux sous-réseaux. Les instances du sous-réseau A ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 1. Les instances du sous-réseau B ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 2. Les règles du groupe de sécurité autorisent le trafic comme suit :
-
La première règle entrante du groupe de sécurité 1 autorise le SSH trafic vers les instances du sous-réseau A à partir de la plage d'adresses spécifiée (par exemple, une plage de votre propre réseau).
-
La deuxième règle entrante du groupe de sécurité 1 permet aux instances du sous-réseau A de communiquer entre elles en utilisant n'importe quel protocole et port.
-
La première règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau B de communiquer entre elles en utilisant n'importe quel protocole et port.
-
La deuxième règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau A de communiquer avec les instances du sous-réseau B en utilisant. SSH
-
Les deux groupes de sécurité utilisent la règle sortante par défaut, qui autorise tout le trafic.
