Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes de sécurité : règles entrantes et sortantes
Un groupe de sécurité agit en tant que pare-feu virtuel pour votre instance afin de contrôler le trafic entrant et sortant. Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic entrant vers les instances et un ensemble distinct de règles qui contrôlent le trafic sortant.
Pour la connexion VPC QuickSight-VPC, créez un nouveau groupe de sécurité avec la description . Ce groupe de sécurité doit autoriser tout le trafic TCP entrant à partir des groupes de sécurité des destinations de données que vous souhaitez atteindre. L’exemple suivant crée un nouveau groupe de sécurité dans le VPC et renvoie l’ID de ce nouveau groupe.
aws ec2 create-security-group \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-idvpc-0daeb67adda59e0cd
Important
La configuration réseau est suffisamment complexe pour que nous vous recommandons vivement de créer un nouveau groupe de sécurité à utiliser avec Amazon Quick Suite. Il est également plus facile pour le service d’assistance AWS de vous aider si vous avez besoin de le contacter. La création d’un nouveau groupe n’est absolument pas obligatoire. Toutefois, les rubriques suivantes partent du principe que vous suivez cette recommandation.
Pour permettre à Quick Suite de se connecter correctement à une instance de votre VPC, configurez les règles de votre groupe de sécurité afin d'autoriser le trafic entre l'interface réseau Amazon Quick Suite et l'instance contenant vos données. Pour ce faire, configurez le groupe de sécurité attaché aux règles entrantes de l’instance de votre base de données pour autoriser le trafic suivant :
-
Depuis le port auquel Amazon Quick Suite se connecte
-
À partir de l’une des options suivantes :
-
L'ID du groupe de sécurité associé à l'interface réseau Amazon Quick Suite (recommandé)
or
-
Adresse IP privée de l'interface réseau Amazon Quick Suite
-
Pour plus d'informations, consultez la section Groupes de sécurité pour votre VPC VPCs et vos sous-réseaux dans le guide de l'utilisateur Amazon VPC.
Consultez les rubriques répertoriées ci-dessous pour en savoir plus sur les règles relatives au trafic entrant et sortant.
Rubriques
Règles entrantes
Important
La section suivante s’applique à votre connexion VPC si celle-ci a été créée avant le 27 avril 2023.
Lorsque vous créez un groupe de sécurité, il n’existe pas de règles entrantes. Aucun trafic entrant issu d’un autre hôte de votre instance n’est autorisé tant que vous n’avez pas ajouté des règles entrantes au groupe de sécurité.
Le groupe de sécurité attaché à l'interface réseau Amazon Quick Suite se comporte différemment de la plupart des groupes de sécurité, car il n'est pas dynamique. Les autres groupes de sécurité sont généralement avec état. Cela signifie qu’après avoir établi une connexion sortante avec le groupe de sécurité d’une ressource, ils autorisent automatiquement le trafic de retour. En revanche, le groupe de sécurité de l'interface réseau Amazon Quick Suite n'autorise pas automatiquement le trafic de retour. De ce fait, l'ajout d'une règle de sortie au groupe de sécurité de l'interface réseau Amazon Quick Suite ne fonctionne pas. Pour que cela fonctionne pour le groupe de sécurité de l'interface réseau Amazon Quick Suite, assurez-vous d'ajouter une règle entrante qui autorise explicitement le trafic de retour depuis l'hôte de la base de données.
La règle entrante de votre groupe de sécurité doit autoriser le trafic sur tous les ports. Elle doit le faire parce que le numéro de port de destination de tous les paquets de retour entrants est défini sur un numéro de port attribué de manière aléatoire.
Pour empêcher Amazon Quick Suite de se connecter uniquement à certaines instances, vous pouvez spécifier l'ID du groupe de sécurité (recommandé) ou l'adresse IP privée des instances que vous souhaitez autoriser. Dans les deux cas, la règle entrante du groupe de sécurité doit toujours autoriser le trafic sur tous les ports (0–65535).
Pour permettre à Amazon Quick Suite de se connecter à n'importe quelle instance du VPC, vous pouvez configurer le groupe de sécurité de l'interface réseau Amazon Quick Suite. Dans ce cas, donnez-lui une règle entrante pour autoriser le trafic sur 0.0.0.0/0 sur tous les ports (0–65535). Le groupe de sécurité utilisé par l'interface réseau Amazon Quick Suite doit être différent des groupes de sécurité utilisés pour vos bases de données. Nous vous recommandons d’utiliser des groupes de sécurité distincts pour la connexion VPC.
Important
Si vous utilisez une instance de base de données Amazon RDS de longue date, vérifiez votre configuration pour voir si vous utilisez un groupe de sécurité de base de données. Les groupes de sécurité de base de données sont utilisés avec des instances de base de données qui ne se trouvent pas dans un VPC et qui se trouvent sur la plate-forme EC2 -Classic.
S'il s'agit de votre configuration et que vous ne déplacez pas votre instance de base de données dans le VPC pour l'utiliser avec Amazon Quick Suite, veillez à mettre à jour les règles entrantes de votre groupe de sécurité de base de données. Mettez-les à jour pour autoriser le trafic entrant en provenance du groupe de sécurité VPC que vous utilisez pour Amazon Quick Suite. Pour de plus amples informations, veuillez consulter Contrôle d’accès par groupe de sécurité dans le Guide de l’utilisateur Amazon RDS.
Règles sortantes
Important
La section suivante s’applique à votre connexion VPC si celle-ci a été créée avant le 27 avril 2023.
Par défaut, un groupe de sécurité inclut une règle sortante qui autorise tout le trafic sortant. Nous vous recommandons de supprimer cette règle par défaut et d’ajouter des règles sortantes qui autorisent uniquement un trafic sortant spécifique.
Avertissement
Ne configurez pas le groupe de sécurité sur l'interface réseau Amazon Quick Suite avec une règle de sortie autorisant le trafic sur tous les ports. Pour plus d'informations sur les principales considérations et recommandations relatives à la gestion du trafic de sortie du réseau VPCs, consultez les meilleures pratiques de sécurité pour votre VPC dans le guide de l'utilisateur Amazon VPC.
Le groupe de sécurité attaché à l'interface réseau Amazon Quick Suite doit disposer de règles sortantes qui autorisent le trafic vers chacune des instances de base de données de votre VPC auxquelles vous souhaitez qu'Amazon Quick Suite se connecte. Pour empêcher Amazon Quick Suite de se connecter uniquement à certaines instances, spécifiez l'ID du groupe de sécurité (recommandé) ou l'adresse IP privée des instances à autoriser. Vous devez spécifier ces données, ainsi que les numéros de port appropriés pour vos instances (le port sur lequel les instances écoutent), dans la règle sortante.
Le groupe de sécurité du VPC doit également autoriser le trafic sortant vers les groupes de sécurité des destinations de données, en particulier sur le ou les ports sur lesquels la base de données écoute.
