Création, configuration et suppression de groupes de sécurité Amazon EC2 dans l’AWS CLI - AWS Command Line Interface
PrérequisCréation d’un groupe de sécuritéAjout de règles à votre groupe de sécuritéSuppression de votre groupe de sécuritéRéférences

Création, configuration et suppression de groupes de sécurité Amazon EC2 dans l’AWS CLI

Vous pouvez créer un groupe de sécurité pour vos instances Amazon Elastic Compute Cloud (Amazon EC2) qui fonctionne essentiellement comme un pare-feu, avec des règles qui déterminent le trafic réseau pouvant entrer et sortir.

Utilisez l’AWS Command Line Interface (AWS CLI) pour créer un groupe de sécurité, ajouter des règles aux groupes de sécurité existants, et supprimer des groupes de sécurité.

Note

Pour voir des exemples de commandes supplémentaires, consultez le Guide de référence de l’AWS CLI.

Prérequis

Pour exécuter les commandes ec2, vous devez respecter les conditions requises suivantes :

Création d’un groupe de sécurité

Vous pouvez créer des groupes de sécurité associés à des clouds privés virtuels (VPC).

L’exemple aws ec2 create-security-group suivant montre comment créer un groupe de sécurité pour un VPC spécifié.

$ aws ec2 create-security-group --group-name my-sg --description "My security group" --vpc-id vpc-1a2b3c4d
{
    "GroupId": "sg-903004f8"
}

Pour afficher les informations initiales pour un groupe de sécurité, exécutez la commande aws ec2 describe-security-groups. Vous pouvez référencer un groupe de sécurité EC2-VPC uniquement par son vpc-id et non par son nom.

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [],
            "GroupName": "my-sg",
            "VpcId": "vpc-1a2b3c4d",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

Ajout de règles à votre groupe de sécurité

Lorsque vous exécutez une instance Amazon EC2, vous devez activer les règles dans le groupe de sécurité afin d’autoriser le trafic réseau entrant comme moyen de vous connecter à l’image.

Par exemple, si vous lancez une instance Windows, vous ajoutez généralement une règle pour autoriser le trafic entrant sur le port TCP 3389 afin de prendre en charge le protocole RDP (Remote Desktop Protocol). Si vous lancez une instance Linux, vous ajoutez généralement une règle pour autoriser le trafic entrant sur le port TCP 22 afin de prendre en charge les connexions SSH.

Utilisez la commande aws ec2 authorize-security-group-ingress pour ajouter une règle à votre groupe de sécurité. L’un des paramètres obligatoires de cette commande est l’adresse IP publique de votre ordinateur ou le réseau (sous la forme d’une plage d’adresses) auquel votre ordinateur est attaché, en notation CIDR.

Note

Nous fournissons le service suivant, https://checkip.global.api.aws/, pour vous permettre de déterminer votre adresse IP publique. Pour trouver d’autres services qui peuvent vous aider à identifier votre adresse IP, recherchez « quelle est mon adresse IP » sur votre navigateur. Si votre connexion s’effectue via un FSI ou derrière un pare-feu à l’aide d’une adresse IP dynamique (via une passerelle NAT depuis un réseau privé), votre adresse peut changer périodiquement. Dans ce cas, vous devez trouver la plage d’adresses IP utilisées par les ordinateurs clients.

L’exemple suivant montre comment ajouter une règle pour RDP (port TCP 3389) à un groupe de sécurité EC2-VPC portant l’ID sg-903004f8 à l’aide de votre adresse IP.

Pour commencer, trouvez votre adresse IP.

$ curl https://checkip.amazonaws.com
x.x.x.x

Vous pouvez ensuite ajouter l’adresse IP à votre groupe de sécurité en exécutant la commande aws ec2 authorize-security-group-ingress.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 3389 --cidr x.x.x.x/x

La commande suivante ajoute une autre règle pour activer SSH sur les instances dans le même groupe de sécurité.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 22 --cidr x.x.x.x/x

Pour afficher les changements dans le groupe de sécurité, exécutez la commande aws ec2 describe-security-groups.

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [
                {
                    "ToPort": 22,
                    "IpProtocol": "tcp",
                    "IpRanges": [
                        {
                            "CidrIp": "x.x.x.x/x"
                        }
                    ]
                    "UserIdGroupPairs": [],
                    "FromPort": 22
                }
            ],
            "GroupName": "my-sg",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

Suppression de votre groupe de sécurité

Pour supprimer un groupe de sécurité, exécutez la commande aws ec2 delete-security-group.

Note

Vous ne pouvez pas supprimer un groupe de sécurité s’il est actuellement attaché à un environnement.

L’exemple de commande suivant supprime un groupe de sécurité EC2-VPC.

$ aws ec2 delete-security-group --group-id sg-903004f8

Références

Référence de l’AWS CLI :

Autre référence :