Comment autoriser ou bloquer des adresses IP spécifiques sur mon instance EC2 ?

Brève description

Pour autoriser ou bloquer des adresses IP spécifiques sur vos instances EC2, utilisez une liste de contrôle d'accès (ACL) réseau ou des règles de groupe de sécurité dans votre cloud privé virtuel (VPC). Les ACL réseau et les règles de groupe de sécurité font office de pare-feux autorisant ou bloquant l'accès des adresses IP à vos ressources. Les ACL réseau contrôlent le trafic entrant et sortant au niveau du sous-réseau. Étant donné que les ACL réseau fonctionnent au niveau du sous-réseau, les règles s'appliquent à toutes les instances des sous-réseaux associés. Les règles de groupe de sécurité agissent comme un pare-feu pour les instances Amazon EC2 associées, en contrôlant à la fois le trafic entrant et sortant au niveau de l'instance.

Gardez à l'esprit que les ACL réseau sont apatrides, ce qui signifie que les règles doivent autoriser explicitement le trafic de retour. Les règles de groupe de sécurité autorisent automatiquement le trafic de retour, quelles que soient les règles.

Résolution

Utiliser une ACL réseau pour autoriser ou bloquer des adresses IP spécifiques

Remarque : Les instructions suivantes fournissent un aperçu de haut niveau de l'utilisation des ACL réseau. Pour des instructions plus détaillées, consultez la section Utiliser des ACL réseau.

Créer une ACL réseau

1. Ouvrez la console Amazon VPC.

2. Sélectionnez ACL réseau.

3. Cliquez sur Créer une ACL réseau.

4. Dans la boîte de dialogue Créer une ACL réseau, nommez éventuellement votre ACL réseau, puis sélectionnez l'ID de votre VPC dans la liste VPC.

5. Sélectionnez Oui, créer.

Ajouter des règles à une ACL réseau

1. Ouvrez la console Amazon VPC.

2. Sélectionnez ACL réseau.

3. Dans le volet des détails, choisissez l'onglet Règles entrantes ou Règles sortantes, selon le type de règle que vous devez ajouter. Cliquez ensuite sur Modifier.

4. Dans Règle #, saisissez un numéro de règle (par exemple, 100). Ce numéro ne doit pas être déjà utilisé dans l'ACL réseau. Les règles sont traitées dans l'ordre, en commençant par le numéro le plus bas.

   Remarque : Il est recommandé de laisser un intervalle entre les numéros de règles (par exemple, 100, 200, 300), plutôt que d'utiliser des numéros séquentiels (comme 101, 102, 103). Cela vous permettra d'ajouter plus facilement une nouvelle règle sans avoir à renuméroter les règles existantes.

5. Sélectionnez une règle dans la liste Type. Par exemple, pour ajouter une règle pour HTTP, choisissez HTTP. Pour ajouter une règle autorisant l'ensemble du trafic TCP, sélectionnez Tout le trafic TCP. Pour certaines de ces options (par exemple, HTTP), le port est indiqué pour vous. Pour utiliser un protocole non répertorié, choisissez Règle de protocole personnalisée.

6. (Facultatif) Si vous créez une règle de protocole personnalisée, sélectionnez le numéro et le nom du protocole dans la liste Protocole. Pour plus d'informations, consultez la liste des numéros de protocole fournie par l'IANA.

7. (Facultatif) Si le protocole que vous avez sélectionné nécessite un numéro de port, saisissez ce dernier ou la plage de ports en les séparant par un tiret (par exemple, 49152-65535).

8. Dans le champ Source ou Destination (selon qu'il s'agit d'une règle entrante ou sortante), saisissez la plage d'adresses CIDR à laquelle la règle s'applique.

9. Dans la liste Autoriser/Refuser, sélectionnez AUTORISER pour autoriser le trafic spécifié ou REFUSER pour le refuser.

10. (Facultatif) Pour ajouter une autre règle, choisissez Ajouter une autre règle et répétez les étapes 4 à 9 si nécessaire.

11. Lorsque vous avez terminé, cliquez sur Enregistrer.

Associer un sous-réseau à une ACL réseau

1. Ouvrez la console Amazon VPC.

2. Sélectionnez ACL réseau, puis choisissez l'ACL réseau.

3. Dans le volet des détails, sous l'onglet Associations de sous-réseaux, choisissez Modifier. Cochez la case Associer pour le sous-réseau à associer à l'ACL réseau, puis sélectionnez Enregistrer.

Utiliser un groupe de sécurité, autoriser ou bloquer des adresses IP spécifiques

Remarque : Les instructions suivantes fournissent un aperçu de haut niveau de l'utilisation des groupes de sécurité. Pour plus d'informations sur la modification du groupe de sécurité par défaut, la création d'un groupe, l'ajout de règles et l'association de votre groupe de sécurité à une ou plusieurs instances de votre sous-réseau, consultez la section Utiliser des groupes de sécurité.

1. Ouvrez la console Amazon VPC.

2. Sélectionnez Groupes de sécurité.

3. Choisissez Créer un groupe de sécurité.

4. Saisissez un nom et une description pour le groupe de sécurité. Vous ne pouvez pas modifier le nom et la description d'un groupe de sécurité après sa création.

5. Dans VPC, choisissez le VPC.

6. Vous pouvez ajouter des règles de groupe de sécurité dès maintenant ou ultérieurement. Pour plus d'informations, consultez la section Ajouter des règles à un groupe de sécurité.

7. Vous pouvez ajouter des balises dès maintenant ou ultérieurement. Pour ajouter une balise, choisissez Ajouter une nouvelle balise et saisissez la clé et la valeur de la balise.

8. Choisissez Créer un groupe de sécurité.

Après avoir créé un groupe de sécurité, vous pouvez l'attribuer à une instance EC2 lorsque vous la lancez ou modifiez le groupe de sécurité actuellement attribué à une instance. Pour plus d'informations, consultez Lancer une instance à l'aide de paramètres définis ou Modifier le groupe de sécurité d'une instance.

Informations connexes

Confidentialité du trafic inter-réseau dans Amazon VPC

Contrôler le trafic vers les sous-réseaux à l'aide des ACL réseau

Contrôler le trafic vers les ressources à l'aide de groupes de sécurité