Modifiez les groupes de sécurité de votre instance Amazon EC2 - Amazon Elastic Compute Cloud
Ajouter ou supprimer des groupes de sécuritéConfigurer les règles des groupes de sécurité

Modifiez les groupes de sécurité de votre instance Amazon EC2

Vous pouvez spécifier des groupes de sécurité pour vos instances Amazon EC2 lors de leur lancement. Après avoir lancé une instance, vous pouvez ajouter ou supprimer des groupes de sécurité. Vous pouvez également ajouter, supprimer ou modifier des règles de groupe de sécurité pour les groupes de sécurité associés à tout moment.

Les groupes de sécurité sont associés à des interfaces réseau. L’ajout ou la suppression de groupes de sécurité modifie les groupes de sécurité associés à l’interface réseau principale. Vous pouvez également modifier les groupes de sécurité associés aux interfaces réseau secondaires. Pour de plus amples informations, consultez Modifier les attributs d’interface réseau.

Ajouter ou supprimer des groupes de sécurité

Après avoir lancé une instance, vous pouvez ajouter ou supprimer des groupes de sécurité de la liste des groupes de sécurité associés. Quand vous associez plusieurs groupes de sécurité à une instance, les règles de chaque groupe de sécurité sont effectivement regroupées pour créer un seul ensemble de règles. Amazon EC2 utilise cet ensemble de règles pour déterminer si le trafic est autorisé ou non.

Prérequis

  • L’instance doit être dans l’état running ou stopped.

Console
Pour changer les groupes de sécurité d’une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez instances.

  3. Sélectionnez votre instance, puis Actions (Actions), Security (Sécurité), Change security groups (Modifier les groupes de sécurité).

  4. Pour Associated security groups (Groupes de sécurité associés), sélectionnez un groupe de sécurité dans la liste et choisissez Add security group (Ajouter un groupe de sécurité).

    Pour supprimer un groupe de sécurité déjà associé, choisissez Remove (Supprimer) pour ce groupe de sécurité.

  5. Choisissez Enregistrer.

AWS CLI
Pour changer les groupes de sécurité d'une instance

Utilisez la commande modify-instance-attribute suivante.

aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
PowerShell
Pour changer les groupes de sécurité d’une instance

Utilisez l’applet de commande Edit-EC2InstanceAttribute.

Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0

Configurer les règles des groupes de sécurité

Après avoir créé un groupe de sécurité, vous pouvez ajouter, mettre à jour et supprimer ses règles de groupe de sécurité. Lorsque vous ajoutez, mettez à jour ou supprimez une règle, la modification est automatiquement appliquée aux ressources associées au groupe de sécurité.

Pour des exemples de règles que vous pouvez ajouter à un groupe de sécurité, consultez Règles de groupe de sécurité pour différents cas d’utilisation.

Autorisations requises

Avant de commencer, vérifiez que vous disposez des autorisations requises. Pour de plus amples informations, consultez Exemple : Utiliser des groupes de sécurité.

Protocoles et ports

  • Avec la console, lorsque vous sélectionnez un type prédéfini, le Protocole et la Plage de ports sont spécifiés à votre place. Pour saisir une plage de ports, vous devez sélectionner l’un des types personnalisés suivants : TCP personnalisé ou UDP personnalisé.

  • Avec l’AWS CLI, vous pouvez ajouter une seule règle avec un seul port à l’aide des options --protocol et --port. Pour ajouter plusieurs règles, ou une règle avec une plage de ports, utilisez plutôt l’option --ip-permissions.

Sources et destinations

  • Avec la console, vous pouvez spécifier les éléments suivants comme sources pour les règles entrantes ou destinations pour les règles sortantes :

    • Personnalisé : un bloc CIDR IPv4, un bloc CIDR IPv6, un groupe de sécurité ou une liste de préfixes.

    • Anywhere-IPv4 : le bloc CIDR 0.0.0.0/0 IPv4.

    • Anywhere-IPv6 : le bloc CIDR IPv6 ::/0.

    • Mon adresse IP : l’adresse IPv4 publique de votre ordinateur local.

  • Avec l’AWS CLI, vous pouvez spécifier un bloc CIDR IPv4 à l’aide de l’option --cidr ou un groupe de sécurité à l’aide de l’option --source-group. Pour spécifier une liste de préfixes ou un bloc CIDR IPv6, utilisez l’option --ip-permissions.

Avertissement

Si vous ajoutez des règles d’entrée pour les ports 22 (SSH) ou 3389 (RDP), nous vous recommandons vivement de n’autoriser que l’adresse IP spécifique ou la plage d’adresses qui doivent accéder à vos instances. Si vous choisissez Anywhere-IPv4 (Partout-IPv4), vous permettez à toutes les adresses IPv4 d’accéder à votre instance au moyen du protocole spécifié. Si vous choisissez Anywhere-IPv6 (Partout-IPv6), vous permettez à toutes les adresses IPv6 d’accéder à votre instance au moyen du protocole spécifié.

Console
Pour configurer des règles de groupe de sécurité

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité.

  4. Pour modifier les règles entrantes, choisissez Modifier les règles entrantes dans Actions ou dans l’onglet Règles entrantes.

    1. Pour ajouter une règle, choisissez Ajouter une règle et entrez le type, le protocole, le port et la source de la règle.

      Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

    2. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d’adresse CIDR IPv4, vous ne pouvez pas spécifier de bloc d’adresse CIDR IPv6, de liste de préfixes ou de groupe de sécurité.

    3. Pour supprimer une règle, cliquez sur le bouton Supprimer.

  5. Pour modifier les règles sortantes, choisissez Modifier les règles sortantes dans Actions ou dans l’onglet Règles sortantes.

    1. Pour ajouter une règle, choisissez Ajouter une règle et entrez le type, le protocole, le port et la destination de la règle. Vous pouvez également saisir une description facultative.

      Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans Protocole et, le cas échéant, le nom de code dans Plage de ports. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.

    2. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d’adresse CIDR IPv4, vous ne pouvez pas spécifier de bloc d’adresse CIDR IPv6, de liste de préfixes ou de groupe de sécurité.

    3. Pour supprimer une règle, cliquez sur le bouton Supprimer.

  6. Sélectionnez Enregistrer les règles.

AWS CLI
Pour ajouter des règles de groupe de sécurité

Utilisez la commande authorize-security-group-ingress pour ajouter des règles entrantes. L’exemple suivant autorise le trafic SSH entrant à partir des blocs CIDR de la liste de préfixes spécifiée.

aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'

Utilisez la commande authorize-security-group-egress pour ajouter des règles sortantes. L’exemple suivant autorise le trafic TCP sortant sur le port 80 à destination des instances dotées du groupe de sécurité spécifié.

aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
Pour supprimer les règles des groupes de sécurité

Utilisez la commande revoke-security-group-ingress suivante pour supprimer une règle entrante.

aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE

Utilisez la commande revoke-security-group-egress suivante pour supprimer une règle sortante.

aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
Pour modifier les règles de groupe de sécurité.

Utilisez la commande modify-security-group-rules. L’exemple suivant modifie le bloc CIDR IPv4 pour la règle de groupe de sécurité spécifiée.

aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
PowerShell
Pour ajouter des règles de groupe de sécurité

Utilisez l’applet de commande Grant-EC2SecurityGroupIngress pour ajouter des règles entrantes. L’exemple suivant autorise le trafic SSH entrant à partir des blocs CIDR de la liste de préfixes spécifiée.

$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}

Utilisez l’applet de commande Grant-EC2SecurityGroupEgress pour ajouter des règles sortante. L’exemple suivant autorise le trafic TCP sortant sur le port 80 à destination des instances dotées du groupe de sécurité spécifié.

$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
Pour supprimer les règles des groupes de sécurité

Utilisez l’applet de commande Revoke-EC2SecurityGroupIngress pour supprimer les règles entrantes.

Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE

Utilisez l’applet de commande Revoke-EC2SecurityGroupEgress pour supprimer les règles sortante.

Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
Pour modifier les règles de groupe de sécurité.

Utilisez l’applet de commande Edit-EC2SecurityGroupRule. L’exemple suivant modifie le bloc CIDR IPv4 pour la règle de groupe de sécurité spécifiée.

$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr