Comment configurer les groupes de sécurité et les ACL réseau lors de la création d'un point de terminaison d'interface VPC pour les services de point de terminaison ?

Dernière mise à jour : 18-01-2022

Je veux créer un point de terminaison d'interface Amazon Virtual Private Cloud (Amazon VPC) pour connecter un service de point de terminaison. Comment puis-je configurer mes groupes de sécurité et mes listes de contrôle d'accès (ACL) réseau ?

Brève description

Lorsque vous créez un point de terminaison d'interface Amazon VPC avec un service de point de terminaison, une interface réseau Elastic est créée dans le sous-réseau que vous spécifiez. Ce point de terminaison d'interface VPC hérite de l'ACL réseau du sous-réseau associé. Vous devez également associer un groupe de sécurité au point de terminaison de l'interface pour protéger le trafic entrant.

Lorsque vous associez un Network Load Balancer à un service de point de terminaison, le Network Load Balancer transfère les requêtes à la cible enregistrée. Les requêtes sont transmises comme si la cible était enregistrée par adresse IP. Dans ce cas, les adresses IP source sont les adresses IP privées des nœuds de l'équilibreur de charge. Si vous avez accès au service de point de terminaison Amazon VPC, vérifiez que :

  • Les règles de groupe de sécurité de trafic entrant des cibles du Network Load Balancer permettent la communication à partir de l'adresse IP privée des nœuds du Network Load Balancer
  • Les règles de l'ACL réseau associées aux cibles du Network Load Balancer permettent la communication à partir de l'adresse IP privée des nœuds du Network Load Balancer

Solution

Rechercher la liste ACL réseau associée à votre point de terminaison d'interface

  1. Connectez-vous à la console Amazon VPC.
  2. Sélectionnez Points de terminaison.
  3. Sélectionnez l'ID de votre point de terminaison dans la liste de points de terminaison.
  4. Sélectionnez la vue Sous-réseaux.
  5. Sélectionnez les sous-réseaux associés, ce qui vous redirige vers la section Sous-réseaux de la console Amazon VPC.
  6. Notez la liste ACL réseau associée aux sous-réseaux.

Rechercher le groupe de sécurité associé à votre point de terminaison d'interface

  1. Connectez-vous à la console Amazon VPC.
  2. Sélectionnez Points de terminaison.
  3. Sélectionnez l'ID de votre point de terminaison dans la liste de points de terminaison.
  4. Sélectionnez la vue Groupes de sécurité.
  5. Notez les ID des groupes de sécurité associés.

Configurer le groupe de sécurité associé au point de terminaison d'interface

Un groupe de sécurité agit comme un pare-feu virtuel pour vos interfaces réseau Elastic afin de contrôler le trafic entrant et sortant.

Remarque : les groupes de sécurité sont avec état. Lorsque vous définissez une règle dans une seule direction, le trafic retour est automatiquement autorisé.

Configurer une règle entrante :

  • Pour Plage de ports, saisissez le même port que celui de votre service de point de terminaison
  • Pour Source, saisissez l'adresse IP ou le réseau du client à l'origine du client initiateur

Remarque : il n'est pas nécessaire de créer une règle dans le sens de la sortie du groupe de sécurité associé au point de terminaison d'interface.

Répétez ces étapes pour chaque groupe de sécurité associé à votre point de terminaison d'interface.

Configurer la liste ACL réseau associée au point de terminaison d'interface

Une liste de contrôle d'accès (ACL) réseau est une couche de sécurité facultative pour votre VPC qui agit comme un pare-feu pour contrôler le trafic dans les sous-réseaux.

Remarque : les listes ACL réseau sont sans état. Vous devez définir des règles aussi bien pour le trafic sortant que pour le trafic entrant.

  1. Pour la liste ACL réseau que vous avez notée précédemment, modifiez les règles.
  2. Configurez une règle entrante pour autoriser le trafic depuis le client :
    Pour Plage de ports, saisissez le même port que celui de votre service de point de terminaison
    Pour Source, saisissez l'adresse IP ou le réseau du client
  3. Configurez une règle sortante pour autoriser le trafic de retour à partir du point de terminaison d'interface.
    Pour Plage de ports, saisissez 1024-65535
    Pour Destination, saisissez l'adresse IP ou le réseau du client

Si des listes ACL réseau distinctes sont définies pour chaque sous-réseau, répétez les étapes pour chaque ACL réseau associée au point de terminaison de votre interface.

Remarque : lors de la configuration du groupe de sécurité du client source, vérifiez que les règles sortantes autorisent la connectivité aux adresses IP privées du point de terminaison d'interface. La direction entrante du groupe de sécurité du client n'est pas importante. Pour l'ACL réseau du client source, configurez les règles comme suit :

Règle de trafic entrant :

  • Pour Plage de ports, entrez la plage de ports éphémères 1024-65535
  • Pour Source, entrez l'adresse IP privée du point de terminaison de l'interface

Règle de trafic sortant :

  • Pour Plage de ports, saisissez le même port que celui de votre service de point de terminaison
  • Pour Destination, entrez l'adresse IP privée du point de terminaison de l'interface