Comment attacher un groupe de sécurité à mon équilibreur de charge Elastic Load Balancing ?

Lecture de 3 minute(s)
0

Je souhaite configurer et attacher un groupe de sécurité à mon équilibreur de charge Elastic Load Balancing.

Résolution

Si vous utilisez un équilibreur de charge de type Classic Load Balancer, consultez la section Gérer les groupes de sécurité à l'aide de la console ou Gérer les groupes de sécurité à l'aide de l'interface de la ligne de commande AWS (AWS CLI).

Remarque : si vous rencontrez des erreurs lors de l'exécution de commandes AWS CLI, consultez la section Résoudre les erreurs AWS CLI. Vérifiez également que vous utilisez la version la plus récente de l'interface.

Si vous utilisez un équilibreur de charge de type Application Load Balancer, consultez la section Groupes de sécurité pour votre Application Load Balancer.

Si vous utilisez un équilibreur de charge de type Network Load Balancer, vous pouvez lui associer un groupe de sécurité au moment de sa création.

Si votre type de cible est une adresse IP, le paramètre de ](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#client-ip-preservation)préservation de l'adresse IP du client[ est désactivé. La cible considère alors l'adresse IP privée de l'équilibreur de charge comme étant l’adresse IP source pour la surveillance de l'état et le trafic utilisateur. Il est recommandé de mettre sur liste blanche les adresses IP privées de l'équilibreur de charge ou le groupe de sécurité de l'équilibreur de charge sur le groupe de sécurité de la cible.

Remarque : vérifiez le paramètre de préservation de l'adresse IP de votre client et les groupes de sécurité cibles. Si le paramètre est désactivé et que la cible accepte les adresses IP privées ou les groupes de sécurité de l'équilibreur de charge, tout le trafic entrant peut alors accéder à votre service. Si l'accès à votre service est limité à des plages CIDR spécifiques, utilisez un Network Load Balancer. Vous devez créer un équilibreur de charge avec des groupes de sécurité et autoriser uniquement le CIDR des clients requis.

Si votre type de cible est une instance et que le protocole de groupe est TCP/ TLS/ UDP/TCP_UDP, l'adresse IP du client est préservée par défaut. Si vous créez un Network Load Balancer sans groupe de sécurité, il est recommandé de mettre les adresses IP des clients sur liste blanche dans votre groupe de sécurité cible. Si le Network Load Balancer dispose de groupes de sécurité, vous pouvez contrôler l'accès des clients au niveau du groupe de sécurité de l'équilibreur de charge.

Pour modifier le paramètre de préservation de l'adresse IP du client par défaut pour le groupe cible TCP/TLS, vous devez définir l'attribut de groupe ciblespreserve_client_ip.enabled. Vous ne pouvez pas modifier le comportement des groupes cibles du protocole UDP/TCP_UDP. Ce comportement est toujours activé.

Remarque : vous devez associer au moins un groupe de sécurité à chaque équilibreur de charge de type Classic Load Balancer ou Application Load Balancer. Le groupe de sécurité doit autoriser les connexions entre l'équilibreur de charge et les instances de backend associées. Il n’est pas nécessaire de sélectionner des groupes de sécurité lors de la création d’un équilibreur de charge de type Network Load Balancer. Toutefois, si un Network Load Balancer est créé sans groupe de sécurité, il est impossible de lui associer un groupe de sécurité plus tard.

Informations connexes

Surveillance de votre Classic Load Balancer

Surveillance de vos Application Load Balancer

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 6 mois