Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Règles de groupe de sécurité pour différents cas d’utilisation
Vous pouvez créer un groupe de sécurité et ajouter des règles qui reflètent le rôle de l’instance qui est associée à ce groupe. Par exemple, une instance configurée en tant que serveur web nécessite des règles de groupe de sécurité qui autorisent l’accès HTTP et HTTPS entrant. De même, une instance de base de données a besoin de règles permettant l’accès au type de base de données, telles que l’accès via le port 3306 pour MySQL.
Voici des exemples de types de règles que vous pouvez ajouter à des groupes de sécurité pour des types d’accès spécifiques.
Exemples
Pour obtenir les instructions, consultez Création d’un groupe de sécurité et Configurer les règles des groupes de sécurité.
Règles de serveur web
Les règles entrantes suivantes autorisent l’accès HTTP et HTTPS à partir de n’importe quelle adresse IP. Si votre VPC est activé pour IPv6, vous pouvez ajouter des règles pour contrôler le trafic HTTP et HTTPS entrant provenant des adresses. IPv6
| Type de protocole | Numéro de protocole | Port | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Autorise l'accès HTTP entrant à partir de n'importe quelle adresse IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permet l'accès HTTPS entrant depuis n'importe quelle adresse IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | Autorise l'accès HTTP entrant à partir de n'importe quelle adresse IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | Permet l'accès HTTPS entrant depuis n'importe quelle adresse IPv6 |
Règles de serveur de base de données
Les règles entrantes suivantes sont des exemples de règles que vous pouvez ajouter pour un accès à une base de données selon le type de base de données que vous exécutez sur votre instance. Pour plus d’informations sur les instances Amazon RDS, consultez le Guide de l’utilisateur Amazon RDS.
Pour l’adresse IP source, spécifiez l’une des options suivantes :
-
Une adresse IP spécifique ou une plage d’adresses IP (en notation de bloc CIDR) de votre réseau local
-
Un ID de groupe de sécurité pour un groupe d’instances qui accèdent à la base de données
| Type de protocole | Numéro de protocole | Port | Remarques |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | Port par défaut pour accéder à une base de données Microsoft SQL Server, par exemple, sur une instance Amazon RDS |
| TCP | 6 | 3306 (MYSQL/Aurora) | Port par défaut pour accéder à une base MySQL ou Aurora, par exemple, sur une instance Amazon RDS |
| TCP | 6 | 5439 (Redshift) | Port par défaut pour accéder à une base de données de cluster Amazon Redshift. |
| TCP | 6 | 5432 (PostgreSQL) | Port par défaut pour accéder à une base de données PostgreSQL, par exemple, sur une instance Amazon RDS |
| TCP | 6 | 1521 (Oracle) | Port par défaut pour accéder à une base de données Oracle, par exemple, sur une instance Amazon RDS |
Vous pouvez éventuellement restreindre le trafic sortant de vos serveurs de base de données. Par exemple, vous pouvez autoriser l’accès à Internet pour les mises à jour logicielles, mais limiter tous les autres types de trafic. Vous devez d’abord supprimer la règle sortante par défaut qui autorise tout le trafic sortant.
| Type de protocole | Numéro de protocole | Port | IP de destination | Remarques |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Autorise l'accès HTTP sortant à n'importe quelle adresse IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Permet l'accès HTTPS sortant à n'importe quelle adresse IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | (VPC IPv6 activé uniquement) Autorise l'accès HTTP sortant à n'importe quelle adresse IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | (VPC IPv6 activé uniquement) Autorise l'accès HTTPS sortant à n'importe quelle adresse IPv6 |
Règles pour la connexion à des instances à partir de votre ordinateur
Pour se connecter à votre instance, votre groupe de sécurité doit avoir des règles entrantes qui autorisent l’accès SSH (pour les instances Linux) ou l’accès RDP (pour les instances Windows).
| Type de protocole | Numéro de protocole | Port | IP Source |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | L' IPv4 adresse publique de votre ordinateur ou une série d'adresses IP de votre réseau local. Si votre VPC est activé IPv6 et que votre instance possède une IPv6 adresse, vous pouvez saisir une IPv6 adresse ou une plage. |
| TCP | 6 | 3389 (RDP) | L' IPv4 adresse publique de votre ordinateur ou une série d'adresses IP de votre réseau local. Si votre VPC est activé IPv6 et que votre instance possède une IPv6 adresse, vous pouvez saisir une IPv6 adresse ou une plage. |
Règles pour la connexion à des instances à partir d’une instance avec le même groupe de sécurité
Pour autoriser les instances associées au même groupe de sécurité à communiquer les unes avec les autres, vous devez à cette fin ajouter des règles explicitement.
Note
Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l’adresse IP privée de l’autre instance ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.
Le tableau suivant décrit la règle entrante pour un groupe de sécurité qui permet aux instances associées de communiquer les unes avec les autres. La règle autorise tous les types de trafic.
| Type de protocole | Numéro de protocole | Ports | IP Source |
|---|---|---|---|
| -1 (Tout) | -1 (Tout) | -1 (Tout) | L’ID du groupe de sécurité, ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance (voir note). |
Règles pour Ping/ICMP
La commande ping est un type de trafic ICMP. Pour envoyer une commande ping à votre instance, vous devez ajouter l’une des règles ICMP entrantes suivantes.
| Type | Protocole | Source |
|---|---|---|
| ICMP personnalisé - IPv4 | Demande Echo | L' IPv4 adresse publique de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. |
| Tous les ICMP - IPv4 | IPv4 ICMP (1) | L' IPv4 adresse publique de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. |
Pour utiliser la ping6 commande pour envoyer un ping à l' IPv6 adresse de votre instance, vous devez ajouter la ICMPv6 règle entrante suivante.
| Type | Protocole | Source |
|---|---|---|
| Tous les ICMP - IPv6 | IPv6 ICMP (58) | L' IPv6 adresse de votre ordinateur, une IPv4 adresse spécifique ou une IPv6 adresse IPv4 OR depuis n'importe où. |
Règles de serveur DNS
Si vous avez configuré votre EC2 instance en tant que serveur DNS, vous devez vous assurer que le trafic TCP et UDP peut atteindre votre serveur DNS via le port 53.
Pour l’adresse IP source, spécifiez l’une des options suivantes :
-
Adresse IP ou plage d’adresses IP (en notation de bloc CIDR) d’un réseau
-
L’ID d’un groupe de sécurité pour l’ensemble d’instances de votre réseau devant d’accéder au serveur DNS
| Type de protocole | Numéro de protocole | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Règles Amazon EFS
Si vous utilisez un système de fichiers Amazon EFS avec vos EC2 instances Amazon, le groupe de sécurité que vous associez à vos cibles de montage Amazon EFS doit autoriser le trafic via le protocole NFS.
| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | ID du groupe de sécurité | Autorise l’accès NFS entrant à partir des ressources (y compris la cible de montage) associées à ce groupe de sécurité. |
Pour monter un système de fichiers Amazon EFS sur votre EC2 instance Amazon, vous devez vous connecter à votre instance. Par conséquent, le groupe de sécurité associé à votre instance doit avoir des règles qui autorisent le trafic SSH entrant à partir de votre ordinateur local ou de votre réseau local.
| Type de protocole | Numéro de protocole | Ports | IP Source | Remarques |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | Plage d’adresses IP de votre ordinateur local ou plage d’adresses IP (en notation de bloc CIDR) de votre réseau. | Autorise l’accès SSH entrant depuis votre ordinateur local. |
Règles Elastic Load Balancing
Si vous enregistrez vos EC2 instances auprès d'un équilibreur de charge, le groupe de sécurité associé à votre équilibreur de charge doit autoriser la communication avec les instances. Pour plus d’informations, consultez la documentation relative à l’équilibreur de charge élastique
