Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs - Amazon Virtual Private Cloud
Identification de vos groupes de sécurité référencésAfficher et supprimer des règles du groupe de sécurité obsolètes

Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs

Vous pouvez mettre à jour les règles entrantes ou sortantes pour les groupes de sécurité de votre VPC pour référencer les groupes de sécurité du VPC appairé. Cette étape autorise le trafic vers et depuis les instances associées au groupe de sécurité référencé dans le VPC appairé.

Note

Les groupes de sécurité d’un VPC pair ne s’affichent pas dans la console pour que vous puissiez les sélectionner.

Prérequis

  • Pour référencer un groupe de sécurité dans un VPC pair, la connexion d'appairage de VPC doit être à l'état active.

  • Le VPC pair peut être un VPC dans votre compte ou un VPC dans un autre compte AWS. Pour référencer un groupe de sécurité qui se trouve dans un autre compte AWS mais dans la même région, incluez le numéro de compte avec l’ID du groupe de sécurité. Par exemple, 123456789012/sg-1a2b3c4d.

  • Vous ne pouvez pas faire référence au groupe de sécurité d’un VPC pair qui se trouve dans une autre région. À la place, utilisez le bloc CIDR du VPC pair.

  • Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l’adresse IP privée de l’autre instance ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.

Pour mettre à jour les règles de votre groupe de sécurité à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Security groups (Groupes de sécurité).

  3. Sélectionnez le groupe de sécurité et effectuez l’une des actions suivantes :

    • Pour modifier les règles entrantes, sélectionnez Actions, Modifier les règles entrantes.

    • Pour modifier les règles sortantes, sélectionnez Actions, Modifier les règles sortantes.

  4. Pour ajouter une règle, choisissez Ajouter une règle et spécifiez le type, le protocole et la plage de ports. Pour Source (règle entrante) ou Destination (règle sortante), effectuez l’une des opérations suivantes :

    • Pour un VPC pair dans le même compte et dans la même région, saisissez l’ID du groupe de sécurité.

    • Pour un VPC pair situé dans un compte différent mais dans la même région, saisissez l’ID du compte et l’ID du groupe de sécurité, séparés par une barre oblique (par exemple, 123456789012/sg-1a2b3c4d).

    • Pour un VPC pair dans une autre région, saisissez le bloc d’adresse CIDR du VPC pair.

  5. Pour modifier une règle existante, modifiez ses valeurs (par exemple, la source ou la description).

  6. Pour supprimer une règle, cliquez sur Supprimer à côté de la règle.

  7. Sélectionnez Enregistrer les règles.

Pour mettre à jour les règles entrantes à l'aide de la ligne de commande

Par exemple, pour mettre à jour votre groupe de sécurité sg-aaaa1111 pour autoriser un accès entrant sur HTTP depuis sg-bbbb2222 pour un VPC pair, utilisez la commande d’interface de ligne de commande qui suit. Si le VPC pair se trouve dans la même région mais sur un compte différent, ajoutez le --group-owner aws-account-id.

aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
Pour mettre à jour les règles sortantes à l'aide de la ligne de commande

Après avoir mis à jour les règles du groupe de sécurité, utilisez la commande describe-security-groups pour afficher le groupe de sécurité référencé dans vos règles de groupe de sécurité.

Identification de vos groupes de sécurité référencés

Pour déterminer si votre groupe de sécurité est référencé dans les règles d'un groupe de sécurité dans un VPC pair, vous pouvez utiliser l'une des commandes suivantes pour un ou pour plusieurs groupes de sécurité dans votre compte.

Dans l'exemple suivant, la réponse indique que le groupe de sécurité sg-bbbb2222 est référencé par un groupe de sécurité dans le VPC vpc-aaaaaaaa :

aws ec2 describe-security-group-references --group-id sg-bbbb2222
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}

Si la connexion d'appairage de VPC est supprimée, ou si le propriétaire du VPC pair supprime le groupe de sécurité référencé, la règle du groupe de sécurité devient caduque.

Afficher et supprimer des règles du groupe de sécurité obsolètes

Une règle de groupe de sécurité obsolète est une règle qui référence un groupe de sécurité supprimé dans le même VPC ou dans un VPC pair, ou qui référence un groupe de sécurité dans un VPC pair pour lequel la connexion d'appairage de VPC a été supprimée. Lorsqu'une règle du groupe de sécurité devient obsolète, elle n'est pas automatiquement supprimée de votre groupe de sécurité et vous devez la supprimer manuellement. Si une règle du groupe de sécurité est obsolète parce que la connexion d'appairage de VPC a été supprimée, elle ne sera plus marquée comme obsolète si vous créez une connexion d'appairage de VPC avec les mêmes VPC.

Vous pouvez afficher et supprimer les règles du groupe de sécurité obsolètes pour un VPC à l'aide de la console Amazon VPC.

Pour afficher et supprimer des règles du groupe de sécurité obsolètes

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Security groups (Groupes de sécurité).

  3. Choisissez Actions (Actions), Manage stale rules (Gestion les règles obsolètes).

  4. PourVPC, choisissez le VPC dont les règles sont obsolètes.

  5. Choisissez Modifier.

  6. Choisissez le bouton Supprimer à la droite de la règle à supprimer. Choisissez Prévisualiser les modifications, Enregistrer les règles.

Pour décrire vos règles de groupes de sécurité obsolètes à l’aide de la ligne de commande

Dans l'exemple suivant, le VPC A (vpc-aaaaaaaa) et le VPC B étaient appairés, et la connexion d'appairage de VPC a été supprimée. Votre groupe de sécurité sg-aaaa1111 dans le VPC A référence sg-bbbb2222 dans le VPC B. Quand vous exécutez la commande describe-stale-security-groups pour votre VPC, la réponse indique que le groupe de sécurité sg-aaaa1111 possède une règle SSH obsolète qui référence sg-bbbb2222.

aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}

Une fois que vous avez identifié les règles du groupe de sécurité obsolètes, vous pouvez les supprimer à l'aide des commandes revoke-security-group-ingress ou revoke-security-group-egress.