Contrôle d'accès par groupe de sécurité - Amazon Aurora
Présentation des groupes de sécurité VPCScénario de groupes de sécuritéCréation d'un groupe de sécurité VPCAssociation à un cluster de bases de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès par groupe de sécurité

Les groupes de sécurité VPC contrôlent l'accès du trafic entrant et sortant d'un cluster d' de base de données. Par défaut, l'accès au réseau est désactivé pour un cluster d' de base de données. Vous pouvez spécifier des règles dans un groupe de sécurité qui autorisent l'accès depuis une plage d'adresses IP, un port ou un groupe de sécurité. Une fois les règles d'entrée configurées, les mêmes règles s'appliquent à tous les clusters d' de base de données associés à ce groupe de sécurité. Vous pouvez spécifier jusqu'à 20 règles dans un groupe de sécurité.

Présentation des groupes de sécurité VPC

Chaque règle de groupe de sécurité VPC permet à une source spécifique d'accéder à un cluster d' de base de données dans un VPC associé à ce groupe de sécurité VPC. Cette source peut être une plage d'adresses (par exemple, 203.0.113.0/24) ou un autre groupe de sécurité VPC. En spécifiant un groupe de sécurité VPC en tant que source, vous autorisez le trafic entrant provenant de toutes les instances (généralement les serveurs d'application) qui utilisent le groupe de sécurité VPC source. Les groupes de sécurité du VPC peuvent avoir des règles qui régissent à la fois le trafic entrant et sortant. Cependant, les règles de trafic sortant ne s'appliquent généralement pas aux clusters d' de base de données. Les règles de trafic sortant s'appliquent uniquement si le cluster d' de base de données agit en tant que client. Vous devez utiliser l' EC2API Amazon ou l'option Security Group sur la console VPC pour créer des groupes de sécurité VPC.

Lorsque vous créez des règles pour votre groupe de sécurité VPC qui autorisent l'accès aux clusters d' de votre VPC, vous devez spécifier un port pour chaque plage d'adresses à laquelle la règle autorise l'accès. Par exemple, si vous souhaitez activer l'accès Secure Shell (SSH) pour les instances du VPC, créez une règle autorisant l'accès au port TCP 22 pour la plage d'adresses spécifiée.

Vous pouvez configurer plusieurs groupes de sécurité VPC qui permettent d'accéder à des ports différents pour différentes instances dans votre VPC. Par exemple, vous pouvez créer un groupe de sécurité VPC qui autorise l'accès au port TCP 80 pour les serveurs Web de votre VPC. Vous pouvez ensuite créer un autre groupe de sécurité VPC qui autorise l'accès au port TCP 3306 pour les instances de base de données RDS for de votre VPC.

Note

Dans un cluster de bases de données Aurora, le groupe de sécurité VPC associé au cluster de bases de données est également associé à toutes les instances de base de données du cluster de bases de données. Si vous modifiez le groupe de sécurité VPC associé au cluster de base de données ou à une instance de base de données, la modification est automatiquement appliquée à toutes les instances de base de données du cluster de base de données.

Pour plus d'informations sur les groupes de sécurité VPC, consultez Groupes de sécurité dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Note

Si votre cluster d' de base de données se trouve dans un VPC mais n'est pas accessible au public, vous pouvez également utiliser une connexion AWS Site-to-Site VPN ou une AWS Direct Connect connexion pour y accéder depuis un réseau privé. Pour plus d’informations, consultez Confidentialité du trafic inter-réseau.

Scénario de groupes de sécurité

Une utilisation courante d'un cluster d' de base de données dans un VPC consiste à partager des données avec un serveur d'applications exécuté dans une EC2 instance Amazon du même VPC, à laquelle accède une application cliente extérieure au VPC. Dans ce scénario, vous devez utiliser les pages RDS et VPC des opérations RDS EC2 et API pour créer les instances et les groupes de sécurité nécessaires : AWS Management Console

  1. Créez un groupe de sécurité VPC (par exemple, sg-0123ec2example) et définissez des règles entrantes qui utilisent les adresses IP de l'application cliente comme source. Ce groupe de sécurité permet à votre application cliente de se connecter aux EC2 instances d'un VPC qui utilise ce groupe de sécurité.

  2. Créez une EC2 instance pour l'application et ajoutez-la EC2 au groupe de sécurité VPC (sg-0123ec2example) que vous avez créé à l'étape précédente.

  3. Créez un second groupe de sécurité VPC (par exemple, sg-6789rdsexample) et créez une nouvelle règle en spécifiant le groupe de sécurité VPC que vous avez créé à l'étape 1 (sg-0123ec2example) en tant que source.

  4. Lorsque vous créez le cluster d' de base de données, utilisez le même numéro de port que celui spécifié pour la règle du groupe de sécurité VPC (sg-6789rdsexample) que vous avez créée à l'étape 3.

Le schéma suivant illustre ce scénario.

Cluster d' de base de données et EC2 instance dans un VPC

Pour obtenir des instructions détaillées sur la configuration d'un VPC pour ce scénario, consultez. Tutoriel : Création d'un VPC à utiliser avec un cluster d' de base de données (uniquement) IPv4 Pour plus d'informations sur l'utilisation d'un VPC, consultez. Amazon VPC et Amazon Aurora

Création d'un groupe de sécurité VPC

Vous pouvez créer un groupe de sécurité VPC pour une instance de base de données à l'aide de la console VPC. Pour plus d'informations sur la création d'un groupe de sécurité, consultez Créer un groupe de sécurité qui autorise l'accès au cluster de bases de données dans le VPC et Groupes de sécurité dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Association d'un groupe de sécurité à un cluster de base de données

Vous pouvez associer un groupe de sécurité à un cluster de base de données en utilisant Modify cluster sur la console RDS, l'API ModifyDBCluster Amazon RDS ou la modify-db-cluster AWS CLI commande.

L'exemple de CLI suivant associe un groupe VPC spécifique et supprime les groupes de sécurité de base de données du cluster de bases de données

aws rds modify-db-cluster --db-cluster-identifier dbName --vpc-security-group-ids sg-ID

Pour plus d'informations sur la modification d'un cluster de base de données, consultezModification d'un cluster de bases de données Amazon Aurora.