Groupes de sécurité - Guide de l'utilisateur avancé d'AMS
Groupes de sécurité par défautCréation, modification ou suppression de groupes de sécuritéRechercher des groupes de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes de sécurité

Dans AWS VPCs, les groupes de sécurité AWS agissent comme des pare-feux virtuels, contrôlant le trafic pour une ou plusieurs piles (une instance ou un ensemble d'instances). Lorsqu'une pile est lancée, elle est associée à un ou plusieurs groupes de sécurité, qui déterminent le trafic autorisé à l'atteindre :

  • Pour les piles de vos sous-réseaux publics, les groupes de sécurité par défaut acceptent le trafic HTTP (80) et HTTPS (443) en provenance de tous les emplacements (Internet). Les piles acceptent également le trafic SSH et RDP interne en provenance de votre réseau d'entreprise et des bastions AWS. Ces piles peuvent ensuite sortir via n'importe quel port vers Internet. Ils peuvent également accéder à vos sous-réseaux privés et à d'autres piles de votre sous-réseau public.

  • Les piles de vos sous-réseaux privés peuvent être transférées vers n'importe quelle autre pile de votre sous-réseau privé, et les instances d'une pile peuvent communiquer pleinement entre elles via n'importe quel protocole.

Important

Le groupe de sécurité par défaut pour les piles sur les sous-réseaux privés permet à toutes les piles de votre sous-réseau privé de communiquer avec les autres piles de ce sous-réseau privé. Si vous souhaitez restreindre les communications entre les piles d'un sous-réseau privé, vous devez créer de nouveaux groupes de sécurité décrivant cette restriction. Par exemple, si vous souhaitez restreindre les communications avec un serveur de base de données afin que les piles de ce sous-réseau privé ne puissent communiquer qu'à partir d'un serveur d'applications spécifique via un port spécifique, demandez un groupe de sécurité spécial. La procédure à suivre est décrite dans cette section.

Groupes de sécurité par défaut

MALZ

Le tableau suivant décrit les paramètres par défaut du groupe de sécurité entrant (SG) pour vos piles. Le SG est nommé « SentinelDefaultSecurityGroupPrivateOnly -VPC-ID ». Il s'agit ID d'un identifiant VPC dans votre compte de zone d'atterrissage multi-comptes AMS. Tout le trafic sortant vers « mc-initial-garden - SentinelDefaultSecurityGroupPrivateOnly » est autorisé via ce groupe de sécurité (tout le trafic local au sein des sous-réseaux de pile est autorisé).

Tout le trafic sortant vers 0.0.0.0/0 est autorisé par un deuxième groupe de sécurité « ». SentinelDefaultSecurityGroupPrivateOnly

Astuce

Si vous choisissez un groupe de sécurité pour un type de modification AMS, tel que EC2 create ou OpenSearch create domain, vous devez utiliser l'un des groupes de sécurité par défaut décrits ici, ou un groupe de sécurité que vous avez créé. Vous trouverez la liste des groupes de sécurité, par VPC, dans la EC2 console AWS ou dans la console VPC.

D'autres groupes de sécurité par défaut sont utilisés à des fins AMS internes.

Groupes de sécurité AMS par défaut (trafic entrant)
Type Protocole Plage de ports Source

Tout le trafic

Tous

Tous

SentinelDefaultSecurityGroupPrivateOnly (limite le trafic sortant aux membres du même groupe de sécurité)

Tout le trafic

Tous

Tous

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (ne limite pas le trafic sortant)

HTTP, HTTPS, SSH, RDP

TCP

80/ 443 (Source : 0,0,0,0/0)

L'accès SSH et RDP est autorisé depuis les bastions

SentinelDefaultSecurityGroupPublic (ne limite pas le trafic sortant)

Bastions du MALZ :

SSH

TCP

22

SharedServices VPC CIDR et DMZ VPC CIDR, ainsi que sur site fournis par le client CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

Bastions SALZ :

SSH

TCP

22

mc-initial-garden- LinuxBastion SG

SSH

TCP

22

mc-initial-garden- LinuxBastion DMZG

RDP

TCP

3389

mc-initial-garden- WindowsBastion SG

RDP

TCP

3389

mc-initial-garden- WindowsBastion DMZG

SALZ

Le tableau suivant décrit les paramètres par défaut du groupe de sécurité entrant (SG) pour vos piles. Le SG est nommé « mc-initial-garden - SentinelDefaultSecurityGroupPrivateOnly - ID » où se ID trouve un identifiant unique. Tout le trafic sortant vers « mc-initial-garden - SentinelDefaultSecurityGroupPrivateOnly » est autorisé via ce groupe de sécurité (tout le trafic local au sein des sous-réseaux de pile est autorisé).

Tout le trafic sortant vers 0.0.0.0/0 est autorisé par un deuxième groupe de sécurité « - - »mc-initial-garden. SentinelDefaultSecurityGroupPrivateOnlyEgressAll ID

Astuce

Si vous choisissez un groupe de sécurité pour un type de modification AMS, tel que EC2 create ou OpenSearch create domain, vous devez utiliser l'un des groupes de sécurité par défaut décrits ici, ou un groupe de sécurité que vous avez créé. Vous trouverez la liste des groupes de sécurité, par VPC, dans la EC2 console AWS ou dans la console VPC.

D'autres groupes de sécurité par défaut sont utilisés à des fins AMS internes.

Groupes de sécurité AMS par défaut (trafic entrant)
Type Protocole Plage de ports Source

Tout le trafic

Tous

Tous

SentinelDefaultSecurityGroupPrivateOnly (limite le trafic sortant aux membres du même groupe de sécurité)

Tout le trafic

Tous

Tous

SentinelDefaultSecurityGroupPrivateOnlyEgressAll (ne limite pas le trafic sortant)

HTTP, HTTPS, SSH, RDP

TCP

80/ 443 (Source : 0,0,0,0/0)

L'accès SSH et RDP est autorisé depuis les bastions

SentinelDefaultSecurityGroupPublic (ne limite pas le trafic sortant)

Bastions du MALZ :

SSH

TCP

22

SharedServices VPC CIDR et DMZ VPC CIDR, ainsi que sur site fournis par le client CIDRs

SSH

TCP

22

RDP

TCP

3389

RDP

TCP

3389

Bastions SALZ :

SSH

TCP

22

mc-initial-garden- LinuxBastion SG

SSH

TCP

22

mc-initial-garden- LinuxBastion DMZG

RDP

TCP

3389

mc-initial-garden- WindowsBastion SG

RDP

TCP

3389

mc-initial-garden- WindowsBastion DMZG

Création, modification ou suppression de groupes de sécurité

Vous pouvez demander des groupes de sécurité personnalisés. Dans les cas où les groupes de sécurité par défaut ne répondent pas aux besoins de vos applications ou de votre organisation, vous pouvez modifier ou créer de nouveaux groupes de sécurité. Une telle demande serait considérée comme nécessitant une approbation et serait examinée par l'équipe des opérations de l'AMS.

Pour créer un groupe de sécurité en dehors des piles VPCs, soumettez une RFC en utilisant le type de Deployment | Advanced stack components | Security group | Create (review required) modification (ct-1oxx2g2d7hc90).

Pour les modifications du groupe de sécurité Active Directory (AD), utilisez les types de modifications suivants :

  • Pour ajouter un utilisateur : soumettez une RFC à l'aide de Management | Directory Service | Utilisateurs et groupes | Ajouter un utilisateur au groupe [ct-24pi85mjtza8k]

  • Pour supprimer un utilisateur : soumettez une RFC à l'aide de Management | Directory Service | Utilisateurs et groupes | Supprimer un utilisateur du groupe [ct-2019s9y3nfml4]

Note

Lorsque vous utilisez « révision requise » CTs, AMS vous recommande d'utiliser l'option ASAP Scheduling (choisissez ASAP dans la console, laissez les heures de début et de fin vides dans l'API/CLI) car elles CTs nécessitent qu'un opérateur AMS examine la RFC et communique éventuellement avec vous avant qu'elle ne puisse être approuvée et exécutée. Si vous les planifiez RFCs, veillez à prévoir au moins 24 heures. Si l'approbation n'intervient pas avant l'heure de début prévue, le RFC est automatiquement rejeté.

Rechercher des groupes de sécurité

Pour rechercher les groupes de sécurité attachés à une pile ou à une instance, utilisez la EC2 console. Après avoir trouvé la pile ou l'instance, vous pouvez voir tous les groupes de sécurité qui y sont attachés.

Pour savoir comment rechercher des groupes de sécurité sur la ligne de commande et filtrer la sortie, consultez describe-security-groups.