Groupes de sécurité pour le point de terminaison EC2 Instance Connect
Un groupe de sécurité contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, nous refusons le trafic à destination et en provenance d’une instance Amazon EC2 à moins qu’il ne soit spécifiquement autorisé par les groupes de sécurité associés à l’instance.
Les exemples suivants vous montrent comment configurer les règles de groupe de sécurité pour le point de terminaison EC2 Instance Connect et les instances cibles.
Exemples
Règles du groupe de sécurité du point de terminaison EC2 Instance Connect
Les règles du groupe de sécurité pour un point de terminaison EC2 Instance Connect doivent autoriser le trafic sortant destiné aux instances cibles à quitter le point de terminaison. Vous pouvez spécifier le groupe de sécurité de l’instance ou la plage d’adresses IPv4 ou IPv6 du VPC comme destination.
Le trafic vers le point de terminaison provient du service EC2 Instance Connect Endpoint, et il est autorisé quelles que soient les règles de trafic entrant pour le groupe de sécurité du point de terminaison. Pour contrôler qui peut utiliser le point de terminaison EC2 Instance Connect pour se connecter à une instance, utilisez une politique IAM. Pour de plus amples informations, consultez Autorisations pour utiliser le point de terminaison EC2 Instance Connect afin de se connecter aux instances.
Exemple de règle sortante : référencement de groupes de sécurité
L’exemple suivant utilise le référencement des groupes de sécurité, ce qui signifie que la destination est un groupe de sécurité associé aux instances cibles. Cette règle autorise le trafic sortant du point de terminaison vers toutes les instances qui utilisent ce groupe de sécurité.
| Protocole | Destination | Plage de ports | Comment |
|---|---|---|---|
| TCP | ID du groupe de sécurité de l’instance |
22 | Autorise le trafic SSH sortant vers toutes les instances associées au groupe de sécurité d’instance |
Exemple de règle sortante : plage d’adresses IPv4
L’exemple suivant autorise le trafic sortant vers la plage d’adresses IPv4 spécifiée. Les adresses IPv4 d’une instance sont attribuées à partir de son sous-réseau. Vous pouvez donc utiliser la plage d’adresses IPv4 du VPC.
| Protocole | Destination | Plage de ports | Comment |
|---|---|---|---|
| TCP | CIDR IPv4 VPC |
22 | Autorise le trafic SSH sortant vers le VPC |
Exemple de règle sortante : plage d’adresses IPv6
L’exemple suivant autorise le trafic sortant vers la plage d’adresses IPv6 spécifiée. Les adresses IPv6 d’une instance sont attribuées à partir de son sous-réseau. Vous pouvez donc utiliser la plage d’adresses IPv6 du VPC.
| Protocole | Destination | Plage de ports | Comment |
|---|---|---|---|
| TCP | CIDR IPv6 VPC |
22 | Autorise le trafic SSH sortant vers le VPC |
Règles du groupe de sécurité de l’instance cible
Les règles du groupe de sécurité pour les instances cibles doivent autoriser le trafic entrant depuis le point de terminaison EC2 Instance Connect. Vous pouvez spécifier le groupe de sécurité du point de terminaison ou une plage d’adresses IPv4 ou IPv6 comme source. Si vous spécifiez une plage d’adresses IPv4, la source varie selon que la préservation de l’adresse IP du client est activée ou désactivée. Pour de plus amples informations, consultez Considérations.
Les groupes de sécurité étant dynamiques, le trafic de réponse est autorisé à quitter le VPC quelles que soient les règles de sortie applicables au groupe de sécurité d’instance.
Exemple de règle entrante : référencement de groupes de sécurité
L’exemple suivant utilise le référencement de groupes de sécurité, ce qui signifie que la source est le groupe de sécurité associé au point de terminaison. Cette règle autorise le trafic SSH entrant depuis le point de terminaison vers toutes les instances qui utilisent ce groupe de sécurité, que la préservation de l’adresse IP du client soit activée ou non. S’il n’existe aucune autre règle de groupe de sécurité entrant pour SSH, les instances acceptent le trafic SSH uniquement en provenance du point de terminaison.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
| TCP | ID du groupe de sécurité des terminaux |
22 | Autorise le trafic SSH entrant à partir des ressources associées au groupe de sécurité du point de terminaison |
Exemple de règle entrante : conservation de l’adresse IP du client désactivée
L’exemple suivant autorise le trafic SSH entrant à partir de la plage d’adresses IPv4 spécifiée. La préservation de l’IP du client étant désactivée, l’adresse IPv4 source est l’adresse de l’interface réseau du point de terminaison. L’adresse de l’interface réseau du point de terminaison est attribuée à partir de son sous-réseau. Vous pouvez donc utiliser la plage d’adresses IPv4 du VPC pour autoriser les connexions à toutes les instances du VPC.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
| TCP | CIDR IPv4 VPC |
22 | Autorise le trafic SSH entrant depuis le VPC |
Exemple de règle entrante : préservation de l’adresse IP du client sur
L’exemple suivant autorise le trafic SSH entrant à partir de la plage d’adresses IPv4 spécifiée. La préservation de l’adresse IP du client étant activée, l’adresse IPv4 source est l’adresse du client.
| Protocole | Source | Plage de ports | Comment |
|---|---|---|---|
| TCP | Plage d’adresses IPv4 publiques |
22 | Autorise le trafic entrant à partir de la plage d’adresses IPv4 client spécifiée |
