Bloquer l’accès public aux VPC et aux sous-réseaux
La fonctionnalité VPC Block Public Access (BPA) est une fonctionnalité de sécurité centralisée qui vous permet d’empêcher de manière officielle l’accès public à Internet aux ressources VPC sur l’ensemble d’un compte AWS, en garantissant le respect des exigences de sécurité tout en offrant une flexibilité pour les exceptions spécifiques et les capacités d’audit.
La fonctionnalité VPC BPA dispose des modes suivants :
-
Bidirectionnel : tout le trafic à destination et en provenance des passerelles Internet et des passerelles Internet de sortie uniquement dans cette région (à l’exception des VPC et des sous-réseaux exclus) est bloqué.
-
Entrée uniquement : tout le trafic Internet vers les VPC de cette région (à l’exception des VPC ou des sous-réseaux exclus) est bloqué. Seul le trafic à destination et en provenance des passerelles NAT et des passerelles Internet de sortie uniquement est autorisé, car ces passerelles autorisent uniquement l’établissement de connexions sortantes.
Vous pouvez également créer des « exclusions » pour cette fonctionnalité pour le trafic que vous ne souhaitez pas bloquer. Une exclusion est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l’exempter du mode VPC BPA du compte et autoriser un accès bidirectionnel ou de sortie uniquement.
Les exclusions peuvent avoir l’un des modes suivants :
-
Bidirectionnel : tout le trafic Internet à destination et en provenance des VPC et des sous-réseaux exclus est autorisé.
-
Sortie uniquement : le trafic Internet sortant des VPC et des sous-réseaux exclus est autorisé. Le trafic Internet entrant vers les VPC et les sous-réseaux exclus est bloqué. Cela ne s’applique que lorsque la fonctionnalité VPC BPA est réglée sur Bidirectionnel.
Table des matières
