Comment configurer et gérer les groupes de sécurité et les ACL réseau Amazon VPC ?
Je souhaite configurer et gérer les groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) et les listes de contrôle d'accès au réseau (ACL réseau). Je souhaite partager des VPC avec d'autres comptes AWS ou gérer plusieurs VPC.
Résolution
Remarque : Il est recommandé d'utiliser des groupes de sécurité pour un contrôle précis des accès et des ACL réseau pour un accès plus large.
Configurer un groupe de sécurité Amazon VPC
Lorsque vous configurez des règles de groupes de sécurité, autorisez uniquement le trafic nécessaire au fonctionnement de vos applications et services.
Si nécessaire, vous pouvez utiliser plusieurs groupes de sécurité pour gérer séparément différents types de règles d'accès. Par exemple, associez plusieurs groupes de sécurité à une interface réseau Elastic unique pour l’accès au trafic Web, à la base de données et aux outils de surveillance.
Assurez-vous de configurer les règles selon vos exigences relatives aux services AWS. Par exemple, pour les instances Amazon Elastic Compute Cloud (Amazon EC2), autorisez SSH (port 22) pour Linux ou le protocole TCP par défaut (port 3389) pour les instances Windows. Pour les instances Amazon Relational Database Service (Amazon RDS), autorisez les ports spécifiques à la base de données.
Exemples de règles entrantes pour vous connecter à des instances depuis votre ordinateur :
| Type de protocole | Numéro de protocole | Port | Adresse IP source |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | Adresse de votre ordinateur |
| TCP | 6 | TCP (3389) | Adresse de votre ordinateur |
Exemples de règles entrantes pour vous connecter à des instances depuis votre serveur de base de données :
| Type de protocole | Numéro de protocole | Port | Adresse IP source |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | Adresse de votre ordinateur |
| TCP | 6 | 3306 (MySQL/Amazon Aurora) | Adresse de votre ordinateur |
Lorsque vous créez vos règles, vous pouvez également référencer d'autres groupes de sécurité plutôt que des adresses IP privées individuelles ou des plages CIDR.
Associez des groupes de sécurité à plusieurs VPC.
Par défaut, vous pouvez associer des groupes de sécurité uniquement aux ressources du VPC dans lequel vous avez créé le groupe de sécurité. Pour utiliser le même groupe de sécurité sur plusieurs VPC de la même région AWS dans un compte, associez des groupes de sécurité à d'autres VPC.
Consolider et gérer les blocs CIDR du réseau à l'aide de listes de préfixes gérées
Lorsque vous faites référence à une liste de préfixes, le quota pour le nombre d'entrées de la ressource inclut le nombre maximum d'entrées pour la liste de préfixes. Par exemple, si vous faites référence à une liste de préfixes comportant 20 entrées au maximum dans une règle de groupe de sécurité, les entrées sont considérées comme 20 règles de groupe de sécurité.
Pour consolider plusieurs règles de groupes de sécurité qui ont le même port et le même protocole mais des blocs CIDR différents en une seule règle, utilisez une liste de préfixes gérée par le client. Lorsque vous mettez à jour une liste de préfixes gérée par le client, les règles des groupes de sécurité qui font référence à cette liste héritent automatiquement des modifications.
Créez une liste de préfixes gérée par le client, puis affichez les entrées de la liste.
Partager des groupes de sécurité avec Organizations
Vous pouvez partager des VPC sur plusieurs comptes au sein de votre organisation AWS Organizations. Pour partager des groupes de sécurité avec d'autres comptes de votre organisation, utilisez la fonctionnalité Groupe de sécurité partagé.
Par exemple, les comptes membres peuvent utiliser des groupes de sécurité créés par le compte propriétaire avec des règles conformes aux politiques de sécurité à l'échelle de l'organisation dans les sous-réseaux VPC partagés.
Remarque : Les comptes membres peuvent utiliser des groupes de sécurité partagés mais ne peuvent pas modifier les règles.
Configurer les ACL réseau
Lorsque vous configurez des ACL réseau, appliquez les bonnes pratiques suivantes :
- Gardez des espaces entre les règles ACL de votre réseau pour les adapter aux règles futures afin de ne pas avoir à réorganiser les règles existantes.
- Utilisez des ACL réseau distinctes pour les différents sous-réseaux afin de contrôler le trafic entrant et sortant en fonction des ressources de chaque sous-réseau.
- Utilisez des ports éphémères pour le trafic sortant afin d’autoriser les réponses des services AWS.
Ressources d’identification
Pour vous aider à identifier l'objectif et les ressources associées de vos groupes de sécurité et de vos ACL réseau, ajoutez-y une identification. Les identifications vous permettent de gérer et d'organiser efficacement vos ressources au sein d’équipes ou de projets différents. Vous pouvez filtrer et gérer systématiquement vos ressources à des fins d'automatisation et de maintenance.
Informations connexes
Différences entre les ACL réseau et les groupes de sécurité
Règles de groupe de sécurité pour différents cas d'utilisation
- Balises
- Amazon VPC
- Langue
- Français
Contenus pertinents
- demandé il y a 2 ans
- demandé il y a un an
- demandé il y a 9 mois
- demandé il y a un an
- demandé il y a 2 mois
- AWS OFFICIELA mis à jour il y a 7 mois
- AWS OFFICIELA mis à jour il y a 5 mois