Gestion des groupes de sécurité EC2 - AWS Elastic Beanstalk
Environnements à charge équilibrée (multi-instances)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des groupes de sécurité EC2

Lorsqu'Elastic Beanstalk crée un environnement, il attribue un groupe de sécurité par défaut aux instances EC2 lancées avec celui-ci. Les groupes de sécurité attachés à vos instances déterminent le trafic autorisé à atteindre les instances et à en sortir.

Le groupe de sécurité EC2 par défaut créé par Elastic Beanstalk autorise tout le trafic entrant en provenance d'Internet ou des équilibreurs de charge sur les ports standard pour HTTP (80) et SSH (22). Vous pouvez également définir vos propres groupes de sécurité personnalisés afin de définir des règles de pare-feu pour les instances EC2. Les groupes de sécurité peuvent autoriser le trafic sur d'autres ports ou en provenance d'autres sources. Par exemple, vous pouvez créer un groupe de sécurité pour l'accès SSH qui autorise le trafic entrant sur le port 22 à partir d'une plage d'adresses IP limitée. Pour plus de sécurité, vous pouvez également en créer un qui autorise le trafic provenant d'un hôte bastion auquel vous seul pouvez accéder.

Vous pouvez choisir de désactiver votre environnement du groupe de sécurité EC2 par défaut en définissant l'DisableDefaultEC2SecurityGroupoption dans l'espace de aws:autoscaling:launchconfiguration noms sur. true Utilisez les fichiers de configuration AWS CLIou pour appliquer cette option à votre environnement et pour associer des groupes de sécurité personnalisés aux instances EC2.

Gestion des groupes de sécurité EC2 dans des environnements multi-instances

Si vous créez un groupe de sécurité EC2 personnalisé dans un environnement multi-instances, vous devez également tenir compte de la manière dont les équilibreurs de charge et les règles de trafic entrant garantissent la sécurité et l'accessibilité de vos instances.

Le trafic entrant vers un environnement comportant plusieurs instances EC2 est géré par l'équilibreur de charge, qui dirige le trafic entrant entre toutes les instances EC2. Lorsqu'Elastic Beanstalk crée un groupe de sécurité EC2 par défaut, il définit également des règles entrantes qui autorisent le trafic entrant depuis l'équilibreur de charge. Sans cette règle entrante dans le groupe de sécurité, le trafic entrant ne sera pas autorisé à entrer dans les instances. Cette condition empêcherait essentiellement les instances de recevoir des demandes externes.

Si vous désactivez le groupe de sécurité EC2 par défaut pour un environnement d'équilibrage de charge, Elastic Beanstalk valide certaines règles de configuration. Si la configuration ne répond pas aux contrôles de validation, il émet des messages vous demandant de fournir la configuration requise. Les contrôles de validation sont les suivants :

  • Au moins un groupe de sécurité doit être attribué à l'équilibreur de charge à l'aide de l'SecurityGroupsoption aws:elbv2:loadbalancer ouaws:elb:loadbalancer, selon qu'il s'agit d'un équilibreur de charge d'application ou d'un équilibreur de charge classique, respectivement. Pour des AWS CLI exemples, voirConfiguration à l'aide du AWS CLI.

  • Des règles de trafic entrant doivent exister pour permettre à vos instances EC2 de recevoir du trafic en provenance de l'équilibreur de charge. Vos groupes de sécurité EC2 et vos groupes de sécurité d'équilibreur de charge doivent faire référence à ces règles entrantes. Pour plus d'informations, consultez Règles relatives au trafic entrantla section suivante.

Règles relatives au trafic entrant

Le ou les groupes de sécurité EC2 pour un environnement multi-instances doivent inclure une règle entrante qui fait référence au groupe de sécurité de l'équilibreur de charge. Cela s'applique aux environnements dotés de tout type d'équilibreur de charge, dédié ou partagé, et dotés de groupes de sécurité d'équilibreurs de charge personnalisés ou par défaut.

Vous pouvez consulter tous les groupes de sécurité attachés aux composants de votre environnement dans la console EC2. L'image suivante montre la liste des groupes de sécurité créés par défaut par Elastic Beanstalk lors de l'opération de création d'un environnement sur la console EC2.

L'écran Groupes de sécurité affiche les environnements et les groupes de sécurité associés. GettingStarted-env et GettingStarted3-env sont des environnements multi-instances dotés d'équilibreurs de charge dédiés. Chacun de ces environnements possède deux groupes de sécurité répertoriés, l'un pour les instances EC2 et l'autre pour l'équilibreur de charge. Elastic Beanstalk crée ces groupes de sécurité lorsqu'il crée les environnements. GettingStarted5-env ne possède pas de groupe de sécurité d'équilibreur de charge, car il ne possède qu'une seule instance EC2, et donc aucun équilibreur de charge.

L'écran des règles entrantes explore le groupe de sécurité EC2 pour les instances de 3-env. GettingStarted Cet exemple définit les règles entrantes pour le groupe de sécurité EC2. Notez que la colonne Source des règles entrantes répertorie l'identifiant du groupe de sécurité du groupe de sécurité de l'équilibreur de charge répertorié dans l'image précédente. Cette règle permet aux instances EC2 de GettingStarted3-env de recevoir du trafic entrant depuis cet équilibreur de charge spécifique sur le port 80.

La console Amazon EC2 affiche les groupes de sécurité Elastic Beanstalk pour chaque environnement.

Pour plus d'informations, consultez Modifier les groupes de sécurité pour votre instance et les règles d'Elastic Load Balancing dans le guide de l'utilisateur Amazon EC2.