Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Instances NAT
Une instance NAT fournit la traduction d'adresses réseau (NAT). Vous pouvez utiliser une instance NAT pour permettre aux ressources d'un sous-réseau privé de communiquer avec des destinations situées en dehors du cloud privé virtuel (VPC), telles qu'Internet ou un réseau sur site. Les ressources du sous-réseau privé peuvent initier le IPv4 trafic sortant vers Internet, mais elles ne peuvent pas recevoir le trafic entrant initié sur Internet.
**Important**
L’AMI NAT repose sur la dernière version de l’AMI Amazon Linux, 2018.03, qui a atteint la fin de la prise en charge standard le 31 décembre 2020 et la fin de la prise en charge de la maintenance le 31 décembre 2023. Pour plus d'informations, consultez le billet de blog sur la [fin de vie de l'Amazon Linux AMI](https://aws.amazon.com/blogs/aws/update-on-amazon-linux-ami-end-of-life/).
Si vous utilisez une AMI NAT existante, il est AWS recommandé de [migrer vers une passerelle NAT](vpc-nat-comparison.md#nat-instance-migrate). Les passerelles NAT offrent une meilleure disponibilité, une bande passante plus importante et elles demandent un moindre effort administratif. Pour de plus amples informations, veuillez consulter [Comparer des passerelles NAT et des instances NAT.](vpc-nat-comparison.md).
Si les instances NAT sont mieux adaptées à votre cas d’utilisation que les passerelles NAT, vous pouvez créer votre propre AMI NAT à partir de la version actuelle d’Amazon Linux, comme décrit dans [3. Créer une AMI NAT](work-with-nat-instances.md#create-nat-ami).
**Topics**
+ [Principes de base d'une instance NAT](#basics)
+ [Permettre aux ressources privées de communiquer en dehors du VPC](work-with-nat-instances.md)
## Principes de base d'une instance NAT
Le graphique suivant illustre les principes de base d'une instance NAT. La table de routage associée au sous-réseau privé envoie le trafic Internet depuis les instances du sous-réseau privé vers l'instance NAT dans le sous-réseau public. L'instance NAT envoie ensuite le trafic à la passerelle Internet. Le trafic est attribué à l'adresse IP publique de l'instance NAT. L'instance NAT spécifie un numéro de port élevé pour la réponse ; si une réponse revient, l'instance NAT l'envoie à une instance dans le sous-réseau privé en fonction du numéro de port de la réponse.
L'instance NAT doit avoir un accès à Internet, elle doit donc se trouver dans un sous-réseau public (un sous-réseau qui a une table de routage avec une route vers la passerelle Internet) et disposer d'une adresse IP publique ou d'une adresse IP Elastic.
![\[Schéma illustrant la configuration d’une instance NAT dans un VPC\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/nat-instance_updated.png)
Pour commencer à utiliser les instances NAT, créez une AMI NAT, créez un groupe de sécurité pour l'instance NAT et lancez l'instance NAT dans votre VPC.
Le quota de votre instance NAT dépend du quota des instances pour la Région. Pour plus d'informations, consultez [Quotas du service Amazon EC2](https://docs.aws.amazon.com/general/latest/gr/ec2-service.html#limits_ec2) dans le *Références générales AWS*.
# Permettre aux ressources privées de communiquer en dehors du VPC
Cette section décrit comment créer et utiliser des instances NAT pour permettre aux ressources d’un sous-réseau privé de communiquer en dehors du cloud privé virtuel.
**Topics**
+ [1. Créer un VPC pour l'instance NAT](#create-vpc-subnets)
+ [2. Créer un groupe de sécurité pour l'instance NAT](#NATSG)
+ [3. Créer une AMI NAT](#create-nat-ami)
+ [4. Lancer une instance NAT](#NATInstance)
+ [5. Désactiver les source/destination chèques](#EIP_Disable_SrcDestCheck)
+ [6. Mise à jour de la table de routage](#nat-routing-table)
+ [7. Tester votre instance NAT](#nat-test-configuration)
## 1. Créer un VPC pour l'instance NAT
Utilisez la procédure suivante pour créer un VPC avec un sous-réseau public et un sous-réseau privé.
**Pour créer le VPC**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Sélectionnez **Create VPC** (Créer un VPC).
1. Sous **Resources to create** (Ressources à créer), choisissez **VPC and more** (VPC et autres).
1. Pour **Name tag auto-generation** (Génération automatique de balises de nom), saisissez un nom pour le VPC.
1. Pour configurer les sous-réseaux, procédez comme suit :
1. Pour **Number of Availability Zones** (Nombre de zones de disponibilité), choisissez **1** ou **2**, selon vos besoins.
1. Pour **Number of public subnets** (Nombre de sous-réseaux publics), assurez-vous de disposer d'un sous-réseau public par zone de disponibilité.
1. Pour **Number of private subnets** (Nombre de sous-réseaux privés), assurez-vous de disposer d'un sous-réseau privé par zone de disponibilité.
1. Sélectionnez **Create VPC** (Créer un VPC).
## 2. Créer un groupe de sécurité pour l'instance NAT
Créez un groupe de sécurité avec les règles décrites dans le tableau suivant. Ces règles permettent à votre instance NAT de recevoir du trafic lié à Internet depuis des instances dans le sous-réseau privé, ainsi que du trafic SSH depuis votre réseau. L'instance NAT peut également envoyer le trafic vers Internet pour permettre aux instances du sous-réseau privé de recevoir des mises à jour logicielles.
Les règles entrantes recommandées sont décrites ci-dessous.
| Source | Protocole | Plage de ports | Commentaires |
| --- | --- | --- | --- |
| Private subnet CIDR | TCP | 80 | Autorisez le trafic HTTP entrant depuis les serveurs dans le sous-réseau privé |
| Private subnet CIDR | TCP | 443 | Autorisez le trafic HTTPS entrant depuis les serveurs dans le sous-réseau privé |
| Public IP address range of your network | TCP | 22 | Autoriser l'accès SSH entrant vers l'instance NAT depuis votre réseau (via la passerelle Internet) |
Les règles sortantes recommandées sont décrites ci-dessous.
| Destination | Protocole | Plage de ports | Commentaires |
| --- | --- | --- | --- |
| 0.0.0.0/0 | TCP | 80 | Autoriser l'accès à Internet du HTTP sortant |
| 0.0.0.0/0 | TCP | 443 | Autoriser l'accès HTTPS sortant à Internet |
**Pour créer le groupe de sécurité**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez **Create security group** (Créer un groupe de sécurité).
1. Saisissez un nom et une description pour le groupe de sécurité.
1. Pour **VPC**, sélectionnez l'ID du VPC pour votre instance NAT.
1. Ajoutez des règles pour le trafic entrant sous **Règles entrantes** comme suit :
1. Choisissez **Ajouter une règle**. Sélectionnez **HTTP** pour **Type** et saisissez la plage d'adresses IP de votre sous-réseau privé pour **Source**.
1. Choisissez **Ajouter une règle**. Sélectionnez **HTTPS** pour **Type** et saisissez la plage d'adresses IP de votre sous-réseau privé pour **Source**.
1. Choisissez **Ajouter une règle**. Sélectionnez **SSH** pour **Type** et saisissez la plage d'adresses IP de votre réseau pour **Source**.
1. Ajoutez des règles pour le trafic sortant sous **Règles sortantes** comme suit :
1. Choisissez **Ajouter une règle**. Choisissez **HTTP** pour le **Type** et entrez 0.0.0.0/0 pour **Destination.**
1. Choisissez **Ajouter une règle**. Choisissez **HTTPS** pour le **Type** et entrez 0.0.0.0/0 pour **Destination.**
1. Sélectionnez **Créer un groupe de sécurité**.
Pour de plus amples informations, veuillez consulter [Groupes de sécurité](vpc-security-groups.md).
## 3. Créer une AMI NAT
Une AMI NAT est configurée pour exécuter NAT sur une instance EC2. Vous devez créer une AMI NAT, puis lancer votre instance NAT à l'aide de votre AMI NAT.
Si vous prévoyez d'utiliser un système d'exploitation autre qu'Amazon Linux pour votre AMI NAT, reportez-vous à la documentation de ce système d'exploitation pour savoir comment configurer la NAT. Veillez à enregistrer ces paramètres afin qu'ils soient conservés même après le redémarrage d'une instance.
**Pour créer une AMI NAT pour Amazon Linux**
1. Lancez une instance EC2 exécutant AL2023 Amazon Linux 2. Assurez-vous de spécifier le groupe de sécurité que vous avez créé pour l'instance NAT.
1. Connectez-vous à votre instance et exécutez les commandes suivantes sur l'instance pour activer les iptables.
```
sudo yum install iptables-services -y
sudo systemctl enable iptables
sudo systemctl start iptables
```
1. Procédez comme suit sur l'instance pour activer le transfert d'IP de manière à ce qu'il perdure après le redémarrage :
1. À l'aide d'un éditeur de texte, tel que **nano** ou **vim**, créez le fichier de configuration suivant : `/etc/sysctl.d/custom-ip-forwarding.conf`.
1. Ajoutez la ligne suivante au fichier de configuration.
```
net.ipv4.ip_forward=1
```
1. Enregistrez le fichier de configuration et quittez l'éditeur de texte.
1. Exécutez la commande suivante pour appliquer le fichier de configuration.
```
sudo sysctl -p /etc/sysctl.d/custom-ip-forwarding.conf
```
1. Exécutez la commande suivante sur l'instance et notez le nom de l'interface réseau principale. Vous aurez besoin de ces informations pour l'étape suivante.
```
netstat -i
```
Dans la sortie de l'exemple suivant, `docker0` est une interface réseau créée par docker, `eth0` est l'interface réseau principale et `lo` est l'interface de bouclage.
```
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
docker0 1500 0 0 0 0 0 0 0 0 BMU
eth0 9001 7276052 0 0 0 5364991 0 0 0 BMRU
lo 65536 538857 0 0 0 538857 0 0 0 LRU
```
Dans la sortie de l'exemple suivant, l'interface réseau principale est `enX0`.
```
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
enX0 9001 1076 0 0 0 1247 0 0 0 BMRU
lo 65536 24 0 0 0 24 0 0 0 LRU
```
Dans la sortie de l'exemple suivant, l'interface réseau principale est `ens5`.
```
Iface MTU RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
ens5 9001 14036 0 0 0 2116 0 0 0 BMRU
lo 65536 12 0 0 0 12 0 0 0 LRU
```
1. Exécutez les commandes suivantes sur l'instance pour configurer le NAT. Si ce n'est pas le cas`eth0`, remplacez-la *eth0* par l'interface réseau principale que vous avez indiquée à l'étape précédente.
```
sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo /sbin/iptables -F FORWARD
sudo service iptables save
```
1. Créez une AMI NAT à partir de l'instance EC2. Pour plus d’informations, consultez [Créer une AMI Linux à partir d’une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html#how-to-create-ebs-ami) dans le *Guide de l’utilisateur Amazon EC2*.
## 4. Lancer une instance NAT
Utilisez la procédure suivante pour lancer une instance NAT à l'aide du VPC, du groupe de sécurité et de l'AMI NAT que vous avez créés.
**Pour lancer une instance NAT**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Sur le tableau de bord, choisissez **Lancer une instance**.
1. Pour **Nom**, saisissez un nom pour votre instance NAT.
1. Pour les **images d'applications et de systèmes d'exploitation**, sélectionnez votre AMI NAT (choisissez **Parcourir davantage AMIs**, **Mon AMIs**).
1. Dans **Type d'instance**, choisissez un type d'instance fournissant les ressources de calcul, de mémoire et de stockage dont votre instance NAT a besoin.
1. Pour **Paire de clés**, sélectionnez une paire de clés existante ou choisissez **Créer une paire de clés**.
1. Sous **Network settings** (Paramètres réseau), effectuez les opérations suivantes :
1. Choisissez **Modifier**.
1. Pour **VPC**, choisissez le VPC que vous avez créé.
1. Pour **Sous-réseau**, choisissez le sous-réseau public que vous avez créé.
1. Pour **Auto-assign Public IP** (Attribuer automatiquement l'adresse IP publique), choisissez **Enable** (Activer). Vous pouvez également, après avoir lancé l'instance NAT, allouer une adresse IP Elastic et l'attribuer à l'instance NAT.
1. Pour **Pre-feu**, choisissez **Sélectionner un groupe de sécurité existant**, puis choisissez le groupe de sécurité que vous avez créé.
1. Choisissez **Launch instance** (Lancer une instance). Sélectionnez l'ID de l'instance pour ouvrir la page des détails de l'instance. Attendez que l'état de l'instance passe à **En cours d'exécution** et que les vérifications de l'état réussissent.
1. Désactivez les source/destination vérifications pour l'instance NAT (voir[5. Désactiver les source/destination chèques](#EIP_Disable_SrcDestCheck)).
1. Mettez à jour la table de routage pour envoyer du trafic vers l'instance NAT (voir [6. Mise à jour de la table de routage](#nat-routing-table)).
## 5. Désactiver les source/destination chèques
Chaque instance EC2 effectue source/destination des vérifications par défaut. Cela signifie que l'instance doit être la source ou la destination de tout trafic qu'elle envoie ou qu'elle reçoit. Cependant, une instance NAT doit pouvoir envoyer et recevoir du trafic quand elle n'est pas la source ni la destination. Par conséquent, vous devez désactiver les source/destination vérifications sur l'instance NAT.
**Pour désactiver la source/destination vérification**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, choisissez **Instances**.
1. Sélectionnez l'instance NAT.
1. Choisissez **Actions**, **Mise en réseau**, ** source/destination Vérification des modifications**.
1. Pour **Vérifier la source/destination**, sélectionnez **Arrêter.**
1. Choisissez **Enregistrer**.
1. Si l'instance NAT possède une interface réseau secondaire, sélectionnez-la depuis **Interfaces réseau** sous l'onglet **Networking** (Mise en réseau). Sélectionnez l'ID d'interface pour accéder à la page Network interfaces (Interfaces réseau). Sélectionnez **Actions**, **Change source/dest. check** (Changer la vérification de source/destionation), désélectionnez **Enable** (Activer), puis sélectionnez **Save** (Enregistrer).
## 6. Mise à jour de la table de routage
La table de routage du sous-réseau privé doit contenir une route qui envoie le trafic Internet vers l'instance NAT.
**Pour mettre à jour la table de routage**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Route tables** (Tables de routage).
1. Sélectionnez la table de routage pour le sous-réseau privé.
1. Sous l'onglet **Routes**, choisissez **Modifier les routes**, puis **Ajouter une route**.
1. Saisissez 0.0.0.0/0 pour **Destination** et l'ID d'instance de l'instance NAT pour **Cible**.
1. Sélectionnez **Enregistrer les modifications**.
Pour de plus amples informations, veuillez consulter [Configuration des tables de routage](VPC_Route_Tables.md).
## 7. Tester votre instance NAT
Après avoir lancé une instance NAT et effectué les étapes de configuration ci-dessus, vous pouvez tester si une instance de votre sous-réseau privé peut accéder à Internet par l'intermédiaire de l'instance NAT en utilisant l'instance NAT comme serveur bastion.
**Topics**
+ [Étape 1 : mettez à jour le groupe de sécurité de l'instance NAT](#nat-test-security)
+ [Étape 2 : lancez une instance de test dans le sous-réseau privé](#nat-test-launch-instance)
+ [Étape 3 : envoi d'un ping à un site Web compatible ICMP](#nat-test-ping)
+ [Étape 4 : nettoyer](#nat-test-clean-up)
### Étape 1 : mettez à jour le groupe de sécurité de l'instance NAT
Pour autoriser les instances de votre sous-réseau privé à envoyer du trafic ping à l'instance NAT, ajoutez une règle autorisant le trafic ICMP entrant et sortant. Pour permettre à l'instance NAT de servir de serveur bastion, ajoutez une règle autorisant le trafic SSH sortant vers le sous-réseau privé.
**Pour mettre à jour le groupe de sécurité de votre instance NAT**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Cochez la case du groupe de sécurité associé à votre instance NAT.
1. Sous l’onglet **Inbound Rules (Règles entrantes)**, sélectionnez **Edit inbound rules (Modifier les règles entrantes)**.
1. Choisissez **Ajouter une règle**. Choisissez **All ICMP - IPv4** pour **Type**. Choisissez **Personnalisé** pour **Source** et saisissez la plage d'adresses IP de votre sous-réseau privé. Sélectionnez **Enregistrer les règles**.
1. Sélectionnez **Outbound rules** (Modifier les règles sortantes) sous l'onglet **Outbound rules** (Règles sortantes).
1. Choisissez **Add rule**. Sélectionnez **SSH** pour **Type**. Sélectionnez **Personnalisé** pour **Destination** et saisissez la plage d'adresses IP de votre sous-réseau privé.
1. Choisissez **Ajouter une règle**. Choisissez **All ICMP - IPv4** pour **Type**. Choisissez **N'importe où - IPv4** pour **Destination**. Sélectionnez **Enregistrer les règles**.
### Étape 2 : lancez une instance de test dans le sous-réseau privé
Lancez une instance dans votre sous-réseau privé. Vous devez autoriser l'accès SSH depuis l'instance NAT et utiliser la même paire de clés que celle que vous avez utilisée pour l'instance NAT.
**Pour lancer une instance de test dans le sous-réseau privé**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Sur le tableau de bord, choisissez **Lancer une instance**.
1. Sélectionnez votre sous-réseau privé.
1. N'assignez pas d'adresse IP publique à cette instance.
1. Assurez-vous que le groupe de sécurité de cette instance autorise l'accès SSH entrant depuis votre instance NAT ou depuis la plage d'adresses IP de votre sous-réseau public, ainsi que le trafic ICMP sortant.
1. Sélectionnez la même paire de clés que celle que vous avez utilisée pour l'instance NAT.
### Étape 3 : envoi d'un ping à un site Web compatible ICMP
Pour vérifier que l'instance de test de votre sous-réseau privé peut utiliser votre instance NAT pour communiquer avec Internet, exécutez la commande **ping**.
**Pour tester la connexion Internet à partir de votre instance privée**
1. À partir de votre ordinateur local, configurez le transfert de l'agent SSH afin de pouvoir utiliser l'instance NAT comme serveur bastion.
------
#### [ Linux and macOS ]
```
ssh-add key.pem
```
------
#### [ Windows ]
[Téléchargez et installez Pageant](https://www.chiark.greenend.org.uk/~sgtatham/putty/), s'il n'est pas déjà installé.
[Convertissez votre clé privée à l'aide de Pu TTYgen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key).
Démarrez Pageant, cliquez avec le bouton droit sur l'icône **Pageant** de la barre des tâches (il peut être masqué) et choisissez **Ajouter une clé**. Sélectionnez le fichier .ppk que vous avez créé, saisissez le mot de passe si nécessaire et choisissez **Ouvrir**.
------
1. À partir de votre ordinateur local, connectez-vous à votre instance NAT.
------
#### [ Linux and macOS ]
```
ssh -A ec2-user@nat-instance-public-ip-address
```
------
#### [ Windows ]
Connectez-vous à votre instance NAT à l'aide de PuTTY. Pour **Authentification**, vous devez sélectionner **Autoriser le transfert des agents** et laisser **Fichier de clé privée pour l'authentification** vide.
------
1. À partir de l'instance NAT, exécutez la commande **ping** et spécifiez un site Web compatible avec ICMP.
```
[ec2-user@ip-10-0-4-184]$ ping ietf.org
```
Pour vérifier que votre instance NAT dispose d'un accès à Internet, vérifiez que vous avez reçu une sortie telle que la suivante, puis appuyez sur **Ctrl\$1C** pour annuler la commande **ping**. Dans le cas contraire, vérifiez que l'instance NAT se trouve dans un sous-réseau public (sa table de routage contient une route vers une passerelle Internet).
```
PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=7.88 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.09 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=7.97 ms
...
```
1. Depuis votre instance NAT, connectez-vous à votre instance dans votre sous-réseau privé en utilisant son adresse IP privée.
```
[ec2-user@ip-10-0-4-184]$ ssh ec2-user@private-server-private-ip-address
```
1. Depuis votre instance privée, vérifiez que vous pouvez vous connecter à Internet en exécutant la commande **ping**.
```
[ec2-user@ip-10-0-135-25]$ ping ietf.org
```
Pour vérifier que votre instance privée dispose d'un accès à Internet via l'instance NAT, vérifiez que vous avez reçu une sortie telle que la suivante, puis appuyez sur **Ctrl\$1C** pour annuler la commande **ping**.
```
PING ietf.org (104.16.45.99) 56(84) bytes of data.
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=1 ttl=33 time=8.76 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=2 ttl=33 time=8.26 ms
64 bytes from 104.16.45.99 (104.16.45.99): icmp_seq=3 ttl=33 time=8.27 ms
...
```
**Résolution des problèmes**
Si la commande **ping** échoue à partir du serveur du sous-réseau privé, procédez comme suit pour résoudre le problème :
+ Vérifiez que vous avez effectué un test ping du site Web dont l'ICMP est activé. Dans le cas contraire, votre serveur ne pourra pas recevoir de paquets de réponse. Pour le tester, exécutez la même commande **ping** depuis un terminal de ligne de commande sur votre propre ordinateur.
+ Vérifiez que le groupe de sécurité de votre instance NAT autorise le trafic ICMP entrant provenant de votre sous-réseau privé. Si ce n'est pas le cas, votre instance NAT ne peut pas recevoir la commande **ping** depuis votre instance privée.
+ Vérifiez que vous avez désactivé source/destination la vérification de votre instance NAT. Pour de plus amples informations, veuillez consulter [5. Désactiver les source/destination chèques](#EIP_Disable_SrcDestCheck).
+ Vérifiez que vous avez correctement configuré vos tables de routage. Pour de plus amples informations, veuillez consulter [6. Mise à jour de la table de routage](#nat-routing-table).
### Étape 4 : nettoyer
Si vous n'avez plus besoin du serveur de test dans le sous-réseau privé, résiliez l'instance afin qu'elle ne vous soit plus facturée. Pour de plus amples informations, veuillez consulter [Résilier une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html) dans le *Guide de l'utilisateur Amazon EC2*.
Si vous n'avez plus besoin de l'instance NAT, vous pouvez l'arrêter ou la résilier afin qu'elle ne vous soit plus facturée. Si vous avez créé une AMI NAT, vous pouvez créer une nouvelle instance NAT chaque fois que vous en avez besoin.