Création, configuration et suppression de groupes de EC2 sécurité Amazon dans le AWS CLI - AWS Command Line Interface
PrérequisCréation d’un groupe de sécuritéAjouter des règles à votre groupe de sécuritéSupprimer votre groupe de sécuritéRéférences

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création, configuration et suppression de groupes de EC2 sécurité Amazon dans le AWS CLI

Vous pouvez créer un groupe de sécurité pour vos instances Amazon Elastic Compute Cloud (Amazon EC2) qui fonctionne essentiellement comme un pare-feu, avec des règles qui déterminent le trafic réseau qui peut entrer et sortir.

Utilisez le AWS Command Line Interface (AWS CLI) pour créer un groupe de sécurité, ajouter des règles aux groupes de sécurité existants et supprimer des groupes de sécurité.

Note

Pour des exemples de commandes supplémentaires, consultez le de référence.

Prérequis

Pour exécuter les ec2 commandes, vous devez :

Création d’un groupe de sécurité

Vous pouvez créer des groupes de sécurité associés à des clouds privés virtuels (VPCs).

L'aws ec2 create-security-groupexemple suivant montre comment créer un groupe de sécurité pour un VPC spécifique.

$ aws ec2 create-security-group --group-name my-sg --description "My security group" --vpc-id vpc-1a2b3c4d
{
    "GroupId": "sg-903004f8"
}

Pour afficher les informations initiales d'un groupe de sécurité, exécutez la aws ec2 describe-security-groups commande. Vous ne pouvez référencer un groupe de sécurité EC2 -VPC que par son nomvpc-id, et non par son nom.

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [],
            "GroupName": "my-sg",
            "VpcId": "vpc-1a2b3c4d",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

Ajouter des règles à votre groupe de sécurité

Lorsque vous exécutez une EC2 instance Amazon, vous devez activer les règles dans le groupe de sécurité afin d'autoriser le trafic réseau entrant pour votre moyen de connexion à l'image.

Par exemple, si vous lancez une instance Windows, vous ajoutez généralement une règle pour autoriser le trafic entrant sur le port TCP 3389 afin de prendre en charge le protocole RDP (Remote Desktop Protocol). Si vous lancez une instance Linux, vous ajoutez généralement une règle pour autoriser le trafic entrant sur le port TCP 22 afin de prendre en charge les connexions SSH.

Utilisez la commande aws ec2 authorize-security-group-ingress pour ajouter une règle à votre groupe de sécurité. L'un des paramètres obligatoires de cette commande est l'adresse IP publique de votre ordinateur ou le réseau (sous la forme d'une plage d'adresses) auquel votre ordinateur est attaché, en notation CIDR.

Note

Nous fournissons le service suivant, https://checkip.global.api.aws/, pour vous permettre de déterminer votre adresse IP publique. Pour trouver d'autres services qui peuvent vous aider à identifier votre adresse IP, recherchez « quelle est mon adresse IP » sur votre navigateur. Si votre connexion s'effectue via un FSI ou derrière un pare-feu à l'aide d'une adresse IP dynamique (via une passerelle NAT depuis un réseau privé), alors votre adresse peut changer périodiquement. Dans ce cas, vous devez trouver la plage d'adresses IP utilisées par les ordinateurs clients :

L'exemple suivant montre comment ajouter une règle pour le protocole RDP (port TCP 3389) à un groupe de sécurité EC2 -VPC avec l'ID sg-903004f8 correspondant à votre adresse IP.

Pour commencer, trouvez votre adresse IP.

$ curl https://checkip.amazonaws.com
x.x.x.x

Vous pouvez ensuite ajouter l'adresse IP à votre groupe de sécurité en exécutant la aws ec2 authorize-security-group-ingress commande.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 3389 --cidr x.x.x.x/x

La commande suivante ajoute une autre règle pour activer SSH sur les instances dans le même groupe de sécurité.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 22 --cidr x.x.x.x/x

Pour afficher les modifications apportées au groupe de sécurité, exécutez la aws ec2 describe-security-groups commande.

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [
                {
                    "ToPort": 22,
                    "IpProtocol": "tcp",
                    "IpRanges": [
                        {
                            "CidrIp": "x.x.x.x/x"
                        }
                    ]
                    "UserIdGroupPairs": [],
                    "FromPort": 22
                }
            ],
            "GroupName": "my-sg",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

Supprimer votre groupe de sécurité

Pour supprimer un groupe de sécurité, exécutez la aws ec2 delete-security-group commande.

Note

Vous ne pouvez pas supprimer un groupe de sécurité s'il est actuellement connecté à un environnement.

L'exemple de commande suivant supprime un groupe de sécurité EC2 -VPC.

$ aws ec2 delete-security-group --group-id sg-903004f8

Références

AWS CLI référence :

Autre référence :