Comment attacher un groupe de sécurité à mon équilibreur de charge Elastic Load Balancer ?

Résolution

Si vous utilisez un Classic Load Balancer, suivez les instructions de la section Gérer les groupes de sécurité à l'aide de la console ou Gérer les groupes de sécurité à l'aide d'AWS CLI.

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.

Si vous utilisez un Application Load Balancer, suivez les instructions de la section Groupes de sécurité pour votre Application Load Balancer.

Si vous utilisez un Network Load Balancer, mettez à jour les groupes de sécurité pour vos instances cibles, car les Network Load Balancers n'ont pas de groupes de sécurité associés.

• Si votre type de cible est une adresse IP et que le protocole du groupe cible est TCP/TLS/UDP/TCP_UDP - TCP/TLS, alors le protocole par défaut est l’IP privée de l'équilibreur de charge en tant qu'IP source. Cela signifie qu'il est recommandé de mettre en liste blanche les adresses IP privées de l'équilibreur de charge sur votre groupe de sécurité cible. Par défaut, UDP/TCP_UDP conserve les adresses IP des clients. Cela signifie qu'il est recommandé de mettre en liste blanche les adresses IP des clients dans le groupe de sécurité cible.

Remarque : si l'option Conserver l'adresse IP du client n'est pas activée et que les groupes de sécurité cibles autorisent les adresses IP privées de l'équilibreur de charge, vous autorisez tout le trafic entrant à accéder à votre service. Si votre service est conçu pour être limité à des plages d'adresses CIDR spécifiques, utilisez la liste de contrôle d'accès au réseau (ACL réseau) pour autoriser des CIDR spécifiques et refuser le reste. Ou vous pouvez activer la préservation de l'adresse IP du client et définir des restrictions sur le groupe de sécurité cible, comme indiqué plus loin.

• Si votre type de cible est une instance et que le protocole du groupe cible est TCP/ TLS/ UDP/TCP_UDP, le comportement par défaut du Network Load Balancer réseau est de préserver l'adresse IP du client. Si le paramètre de préservation de l'adresse IP du client reste à la valeur par défaut, il est recommandé de mettre en liste blanche les adresses IP des clients sur votre groupe de sécurité cible.

Si nécessaire, vous pouvez modifier le comportement de préservation de l'adresse IP du client par défaut pour les groupes cibles TCP/TLS en définissant un attribut de groupe cible « preserve_client_ip.enabled. » Il n'est pas possible de modifier ce comportement pour les groupes cibles du protocole UDP/TCP_UDP. Selon que la préservation de l'adresse IP du client est active ou non (en fonction de vos choix de configuration), il est recommandé d'ajuster les CIDR IP autorisées sur les groupes de sécurité cibles. Si la préservation de l'adresse IP du client est activée, il est recommandé de mettre les adresses IP des clients sur liste blanche. S'il n'est pas actif, il est recommandé de mettre en liste blanche les adresses IP privées de l'équilibreur de charge. Pour plus d'informations sur le comportement de préservation de l'adresse IP du client du Network Load Balancer, consultez Groupes cibles pour vos Network Load Balancers.

Remarque : assurez-vous d'associer au moins un groupe de sécurité à chaque Classic Load Balancer ou Application Load Balancer et que le groupe de sécurité autorise les connexions entre l'équilibreur de charge et les instances backend associées.

Informations connexes

Surveillance de votre équilibreur Classic Load Balancer

Surveillance de vos équilibreurs Application Load Balancer