J'héberge un site Web sur une instance EC2. Comment permettre à mes utilisateurs de se connecter sur HTTP (80) ou HTTPS (443) ?
Dernière mise à jour : 26 septembre 2022
J'héberge mon site Web sur une instance Amazon Elastic Compute Cloud (Amazon EC2). Je souhaite que les utilisateurs se connectent à mon site Web sur HTTP (port 80) ou HTTPS (port 443). Comment dois-je procéder ?
Solution
Pour autoriser le trafic sur les ports 80 et 443, vous devez configurer le groupe de sécurité et la liste de contrôle d'accès réseau (ACL réseau) associés.
Règles du groupe de sécurité
Pour le trafic HTTP, ajoutez une règle entrante sur le port 80 à partir de l'adresse source 0.0.0.0/0.
Pour le trafic HTTPS, ajoutez une règle entrante sur le port 443 à partir de l'adresse source 0.0.0.0/0.
Ces règles entrantes autorisent le trafic depuis les adresses IPv4. Pour autoriser le trafic IPv6, ajoutez des règles entrantes sur les mêmes ports à partir de l'adresse source ::/0. Pour plus d'informations sur la création ou la modification des groupes de sécurité, consultez Contrôler le trafic vers les ressources à l'aide de groupes de sécurité.
Les groupes de sécurité sont dotés d'un état, de sorte que le trafic de retour de l'instance aux utilisateurs est autorisé automatiquement. Il n'est pas nécessaire de modifier les règles sortantes du groupe de sécurité.
Remarque : l'exemple suivant montre les règles du groupe de sécurité pour autoriser le trafic IPv4 et IPv6 sur les ports TCP 80 (HTTP) et 443 (HTTPS). Déterminez si d'autres sources de trafic, telles que SSH ou RDP pour se connecter à l'instance, doivent être autorisées pour votre cas d'utilisation. Ensuite, assurez-vous que votre SG dispose des règles d'entrée pertinentes pour autoriser le trafic nécessaire.
Règles entrantes
| Type | Protocole | Plage de ports | Source |
| HTTP (80) | TCP (6) | 80 | 0.0.0.0/0 |
| HTTP (80) | TCP (6) | 80 | ::/0 |
| HTTPS (443) | TCP (6) | 443 | 0.0.0.0/0 |
| HTTPS (443) | TCP (6) | 443 | ::/0 |
Liste ACL réseau (Network ACL)
La liste ACL réseau par défaut autorise tout le trafic IPv4 entrant et sortant. Si vos utilisateurs se connectent via IPv6 et que votre Amazon Virtual Private Cloud (Amazon VPC) dispose d'un bloc CIDR IPv6 associé, votre liste de contrôle d'accès au réseau par défaut ajoute automatiquement des règles autorisant tout le trafic IPv6 entrant et sortant. Toutefois, si vous utilisez une liste ACL réseau personnalisée avec des règles plus restrictives, vous devez alors autoriser explicitement le trafic sur les ports 80 et 443.
Les listes ACL réseau sont sans état. Vous devez donc ajouter à la fois des règles entrantes et sortantes pour autoriser la connexion à votre site web. Pour plus d'informations sur la modification des règles d'ACL réseau, veuillez consulter contrôle du trafic vers les sous-réseaux à l'aide des ACL réseau.
Remarque : l'exemple suivant montre une liste ACL réseau personnalisée qui autorise le trafic sur les ports TCP 80 (HTTP) et 443 (HTTPS). Les listes ACL réseau sont appliquées à toutes les ressources d'un sous-réseau entier, et pas seulement à une seule instance EC2. Dans l'exemple de configuration, tout le trafic vers et depuis les ressources du même sous-réseau est bloqué, sauf sur les ports de destination 80 et 443. Déterminez si d'autres sources de trafic, telles que SSH ou RDP pour se connecter à l'instance, doivent être autorisées pour votre cas d'utilisation. Ensuite, assurez-vous de disposer des règles d'entrée pertinentes pour autoriser le trafic nécessaire.
Règles entrantes
| Règle n° | Type | Protocole | Plage de ports | Source | Autoriser/refuser |
| 100 | HTTP (80) | TCP (6) | 80 | 0.0.0.0/0 | AUTORISER |
| 101 | HTTPS (443) | TCP (6) | 443 | 0.0.0.0/0 | AUTORISER |
| 102 | HTTP (80) | TCP (6) | 80 | ::/0 | AUTORISER |
| 103 | HTTPS (443) | TCP (6) | 443 | ::/0 | AUTORISER |
| * | TOUT le trafic | TOUT | TOUT | ::/0 | REFUSER |
| * | TOUT le trafic | TOUT | TOUT | 0.0.0.0/0 | REFUSER |
Règles sortantes
| Règle n° | Type | Protocole | Plage de ports | Destination | Autoriser/refuser |
| 100 | Règle TCP personnalisée | TCP (6) | 1024-65535 | 0.0.0.0/0 | AUTORISER |
| 101 | Règle TCP personnalisée | TCP (6) | 1024-65535 | ::/0 | AUTORISER |
| * | TOUT le trafic | TOUT | TOUT | ::/0 | REFUSER |
| * | TOUT le trafic | TOUT | TOUT | 0.0.0.0/0 | REFUSER |
Résolution d'une erreur de connexion refusée
Une erreur derefus de connexion signifie que la demande de connexion est acheminée vers l'instance mais n'est pas reçue du service sur le port spécifié. Si l'hôte A initie une connexion TCP vers l'hôte B et celui-là reçoit une erreur de refus de connexion, cette erreur signifie ce qui suit :
- Tout d'abord, l'hôte A a envoyé un paquet TCP SYN à l'hôte B.
- Ensuite, l'hôte B a envoyé un paquet TCP RST en réponse à l'hôte A.
Si vous rencontrez cette erreur, même après avoir autorisé les ports TCP 80 et 443 dans le groupe de sécurité et l'ACL réseau, veillez à résoudre les problèmes suivants :
- Le démon de service, tel que httpd (Apache), n'est pas en cours d'exécution ou est dans un état arrêté.
Pour résoudre ces problèmes, vérifiez si le service est en cours d'exécution dans l'instance EC2.
- Le service écoute sur un port erroné.
Pour résoudre les problèmes, vérifiez si l'instance EC2 écoute sur le port TCP requis (80/443).
- Le port est bloqué par un pare-feu.
Pour résoudre ces problèmes, vérifiez si un pare-feu au niveau du système d'exploitation dans l'instance EC2 bloque le trafic TCP entrant sur le port requis.
Cet article vous a-t-il été utile ?
Benötigen Sie Hilfe zur Fakturierung oder technischen Support?