Gestion des groupes EC2 de sécurité - AWS Elastic Beanstalk

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des groupes EC2 de sécurité

Lorsqu'Elastic Beanstalk crée un environnement, il attribue un groupe de sécurité par défaut EC2 aux instances lancées avec celui-ci. Les groupes de sécurité attachés à vos instances déterminent le trafic autorisé à atteindre les instances et à en sortir.

Le groupe EC2 de sécurité par défaut créé par Elastic Beanstalk autorise tout le trafic entrant en provenance d'Internet ou des équilibreurs de charge sur les ports standard pour HTTP (80) et SSH (22). Vous pouvez également définir vos propres groupes de sécurité personnalisés afin de définir des règles de pare-feu pour les EC2 instances. Les groupes de sécurité peuvent autoriser le trafic sur d'autres ports ou en provenance d'autres sources. Par exemple, vous pouvez créer un groupe de sécurité pour l'accès SSH qui autorise le trafic entrant sur le port 22 à partir d'une plage d'adresses IP limitée. Pour plus de sécurité, vous pouvez également en créer un qui autorise le trafic provenant d'un hôte bastion auquel vous seul pouvez accéder.

Vous pouvez choisir de désactiver votre environnement du groupe de EC2 sécurité par défaut en définissant l'DisableDefaultEC2SecurityGroupoption dans l'espace de aws:autoscaling:launchconfiguration noms surtrue. Utilisez les fichiers de configuration AWS CLIou pour appliquer cette option à votre environnement et pour associer des groupes de sécurité personnalisés aux EC2 instances.

Gestion des groupes EC2 de sécurité dans les environnements multi-instances

Si vous créez un groupe de EC2 sécurité personnalisé dans un environnement multi-instances, vous devez également tenir compte de la manière dont les équilibreurs de charge et les règles de trafic entrant garantissent la sécurité et l'accessibilité de vos instances.

Le trafic entrant vers un environnement comportant plusieurs EC2 instances est géré par l'équilibreur de charge, qui dirige le trafic entrant entre toutes les instances. EC2 Lorsqu'Elastic Beanstalk crée EC2 un groupe de sécurité par défaut, il définit également des règles entrantes qui autorisent le trafic entrant depuis l'équilibreur de charge. Sans cette règle entrante dans le groupe de sécurité, le trafic entrant ne sera pas autorisé à entrer dans les instances. Cette condition empêcherait essentiellement les instances de recevoir des demandes externes.

Si vous désactivez le groupe EC2 de sécurité par défaut pour un environnement d'équilibrage de charge, Elastic Beanstalk valide certaines règles de configuration. Si la configuration ne répond pas aux contrôles de validation, il émet des messages vous demandant de fournir la configuration requise. Les contrôles de validation sont les suivants :

  • Au moins un groupe de sécurité doit être attribué à l'équilibreur de charge à l'aide de l'SecurityGroupsoption aws:elbv2:loadbalancer ouaws:elb:loadbalancer, selon qu'il s'agit d'un équilibreur de charge d'application ou d'un équilibreur de charge classique, respectivement. Pour des AWS CLI exemples, voirConfiguration à l'aide du AWS CLI.

  • Des règles de trafic entrant doivent exister pour permettre à vos EC2 instances de recevoir du trafic en provenance de l'équilibreur de charge. Vos groupes EC2 de sécurité et les groupes de sécurité de votre équilibreur de charge doivent faire référence à ces règles entrantes. Pour plus d'informations, consultez Règles relatives au trafic entrantla section suivante.

Règles relatives au trafic entrant

Le ou les groupes de EC2 sécurité d'un environnement multi-instances doivent inclure une règle entrante qui fait référence au groupe de sécurité de l'équilibreur de charge. Cela s'applique aux environnements dotés de tout type d'équilibreur de charge, dédié ou partagé, et dotés de groupes de sécurité d'équilibreurs de charge personnalisés ou par défaut.

Vous pouvez afficher tous les groupes de sécurité attachés aux composants de votre environnement dans la EC2 console. L'image suivante montre la liste de la EC2 console des groupes de sécurité qu'Elastic Beanstalk crée par défaut lors de l'opération de création d'un environnement.

L'écran Groupes de sécurité affiche les environnements et les groupes de sécurité associés. GettingStarted-env et GettingStarted3-env sont des environnements multi-instances dotés d'équilibreurs de charge dédiés. Chacun de ces environnements possède deux groupes de sécurité répertoriés, l'un pour les EC2 instances et l'autre pour l'équilibreur de charge. Elastic Beanstalk crée ces groupes de sécurité lorsqu'il crée les environnements. GettingStarted5-env ne possède pas de groupe de sécurité d'équilibreur de charge, car il ne possède qu'une seule EC2 instance, et donc aucun équilibreur de charge.

L'écran des règles entrantes permet d'accéder au groupe de EC2 sécurité pour les instances de GettingStarted 3-env. Cet exemple définit les règles de trafic entrant pour le groupe EC2 de sécurité. Notez que la colonne Source des règles entrantes répertorie l'identifiant du groupe de sécurité du groupe de sécurité de l'équilibreur de charge répertorié dans l'image précédente. Cette règle permet aux EC2 instances de GettingStarted3-env de recevoir du trafic entrant depuis cet équilibreur de charge spécifique sur le port 80.

EC2 La console Amazon affiche les groupes de sécurité Elastic Beanstalk pour chaque environnement.

Pour plus d'informations, consultez Modifier les groupes de sécurité pour votre instance et les règles d'Elastic Load Balancing dans le guide de EC2 l'utilisateur Amazon.