Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment configurer les groupes de sécurité et les ACL réseau lorsque je crée un point de terminaison d'interface Amazon VPC pour les services de point de terminaison ?

Lecture de 5 minute(s)
0

Je souhaite configurer des groupes de sécurité et des listes de contrôle d'accès au réseau (ACL réseau) lorsque je crée un point de terminaison d'interface Amazon Virtual Private Cloud (Amazon VPC) pour connecter un service de point de terminaison.

Résolution

Lorsque vous créez un point de terminaison d'interface Amazon VPC avec un service de point de terminaison, Amazon VPC crée une interface réseau Elastic dans le sous-réseau que vous spécifiez. Le point de terminaison d’interface reçoit l'ACL réseau du sous-réseau associé. Vous devez également associer un groupe de sécurité au point de terminaison d'interface pour contrôler le trafic entrant.

Lorsque vous associez un Network Load Balancer à un service de point de terminaison, il transmet les requêtes à la cible enregistrée. Le Network Load Balancer transmet les requêtes comme si une adresse IP enregistrait la cible. Dans ce cas, les adresses IP source sont les adresses IP privées des nœuds de l'équilibreur de charge.

Si vous avez accès au service de point de terminaison Amazon VPC, vérifiez les configurations suivantes :

  • Les règles du groupe de sécurité entrant des cibles du Network Load Balancer autorisent le trafic provenant de l'adresse IP privée des nœuds du Network Load Balancer. Pour plus d'informations, consultez la section Considérations.
  • Les règles ACL réseau pour les cibles du Network Load Balancer autorisent le trafic provenant de l'adresse IP privée des nœuds du Network Load Balancer.

Trouver l'ACL réseau associée au point de terminaison de votre interface

Procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Choisissez Points de terminaison, puis sélectionnez l'ID de votre point de terminaison.
  3. Choisissez la vue Sous-réseaux.
  4. Sélectionnez les sous-réseaux associés.
  5. Dans la section Sous-réseaux, notez l'ACL réseau qui est associée aux sous-réseaux.

Trouver le groupe de sécurité qui est associé à votre point de terminaison d'interface

Procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Choisissez Points de terminaison, puis sélectionnez l'ID de votre point de terminaison.
  3. Choisissez la vue Groupes de sécurité.
  4. Notez les ID des groupes de sécurité associés.

Mettre à jour le groupe de sécurité associé à votre Network Load Balancer

Vous pouvez déterminer si le trafic AWS PrivateLink est soumis à des règles entrantes. Si vous activez les règles entrantes sur le trafic PrivateLink, la source du trafic est l'adresse IP privée du client, et non l'interface du point de terminaison.

Si vous ne souhaitez pas utiliser de règles entrantes pour le trafic que PrivateLink envoie à l'équilibreur de charge, configurez l'équilibreur de charge. Pour plus d'informations, consultez la section Mettre à jour les groupes de sécurité de votre Network Load Balancer.

Configurer le groupe de sécurité associé au point de terminaison d’interface

Remarque : Les groupes de sécurité sont avec état. Lorsque vous définissez une règle dans un sens, vous autorisez automatiquement le trafic dans l'autre sens.

Lorsque vous configurez votre règle entrante, entrez le même port que votre service de point de terminaison pour Plage de ports. Dans Source, entrez l'adresse IP ou le réseau du client initiateur.

Remarque : Il n'est pas nécessaire de créer une règle sortante dans le groupe de sécurité associé au point de terminaison d'interface.

Répétez ces étapes pour chaque groupe de sécurité associé à votre point de terminaison d’interface.

Configurer l'ACL réseau qui est associée au point de terminaison d’interface

Remarque : Les ACL réseau sont sans état. Vous devez définir des règles pour le trafic sortant et entrant.

Procédez comme suit :

  1. Ajoutez des règles à votre ACL réseau.
  2. Pour la règle entrante, utilisez les configurations suivantes pour autoriser le trafic en provenance du client :
    Pour Plage de ports, entrez le même port que votre service de point de terminaison.
    Dans Source, entrez l'adresse IP ou le réseau du client.
  3. Pour la règle sortante, utilisez les configurations suivantes pour autoriser le trafic de retour depuis le point de terminaison d'interface :
    Dans Plage de ports, saisissez 1024-65535.
    Pour Destination, entrez l'adresse IP ou le réseau du client.

Si vous avez spécifié différentes ACL réseau pour chaque sous-réseau, répétez les étapes pour chaque ACL réseau associée à votre point de terminaison d’interface.

Remarque : Lorsque vous configurez le groupe de sécurité du client source, vérifiez que les règles sortantes autorisent la connectivité aux adresses IP privées du point de terminaison d'interface. Vous n'avez pas besoin de vérifier les règles entrantes du groupe de sécurité du client. Pour l'ACL réseau du client source, utilisez les configurations suivantes :

  • Pour votre règle entrante, entrez la plage de ports éphémères 1024-65535 pour Plage de ports. Pour Source, entrez l'adresse IP privée du point de terminaison d’interface.
  • Pour votre règle sortante, entrez le même port que votre service de point de terminaison pour Plage de ports. Pour Destination, entrez l'adresse IP privée du point de terminaison d'interface.

Informations connexes

Comment résoudre les problèmes de connectivité entre un point de terminaison Amazon VPC d’interface et un service de point de terminaison géré par le client ?

Pourquoi ne puis-je pas me connecter à un service lorsque le groupe de sécurité et l’ACL réseau autorisent le trafic entrant ?

Sujets
Networking & Content Delivery
Balises
Amazon VPC
Langue
Français
AWS OFFICIELA mis à jour il y a 4 mois
Aucun commentaire

Contenus pertinents