Quelle est la marche à suivre pour configurer la sécurité et les listes de contrôle d'accès (ACL) réseau pour mon point de terminaison Amazon VPC basé sur une interface pour des services de point de terminaison ?

Date de la dernière mise à jour : 09/04/2019

Je souhaite créer un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) basé sur une interface à connecter à un service de point de terminaison. Comment puis-je configurer mes groupes de sécurité et mes listes de contrôle d'accès réseau ?

Brève description

Lorsque vous créez une interface de point de terminaison Amazon VPC avec AWS PrivateLink, une interface réseau Elastic est créée à l'intérieur du sous-réseau que vous spécifiez. Ce point de terminaison d'un VPC d'interface (point de terminaison d'interface) hérite de la liste ACL réseau du sous-réseau associé. Vous devez associer un groupe de sécurité au point de terminaison d'interface afin de protéger les demandes entrantes et sortantes.

Lorsque vous associez un Network Load Balancer à un service de point de terminaison, le Network Load Balancer transfère les demandes vers la cible enregistrée, comme si la cible était enregistrée par son adresse IP. Dans ce cas, les adresses IP source sont les adresses IP privées des nœuds de l'équilibreur de charge. Si vous avez accès au service de point de terminaison d'un VPC Amazon, vous devez vérifier que les règles du groupe de sécurité et les règles au sein de la liste ACL réseau associée aux cibles du Network Load Balancer :

  • autorisent la communication à partir de l'adresse IP privée du Network Load Balancer ;
  • n'autorisent pas la communication à partir de l'adresse IP du client ou le point de terminaison d'interface.

Pour autoriser la communication entre les clients et le point de terminaison Amazon VPC, vous devez créer des règles au sein de la liste ACL réseau associée au sous-réseau du client et au sous-réseau associé au point de terminaison d'interface.

Résolution

Rechercher la liste ACL réseau associée à votre point de terminaison d'interface

  1. Connectez-vous à la console Amazon VPC.
  2. Sélectionnez Points de terminaison.
  3. Sélectionnez l'ID de votre point de terminaison dans la liste.
  4. Sélectionnez la vue Sous-réseaux .
  5. Sélectionnez les sous-réseaux associés, afin d'être redirigé vers la section Sous-réseaux de la console Amazon VPC.
  6. Notez la liste ACL réseau associée aux sous-réseaux.

Rechercher le groupe de sécurité associé à votre point de terminaison d'interface

  1. Connectez-vous à la console Amazon VPC.
  2. Sélectionnez Points de terminaison.
  3. Sélectionnez l'ID de votre point de terminaison dans la liste de points de terminaison.
  4. Sélectionnez la vue Groupes de sécurité.
  5. Notez les ID des groupes de sécurité associés.

Configurer le groupe de sécurité associé au point de terminaison d'interface de votre client

Remarque : les groupes de sécurité sont avec état. Lorsque vous définissez une règle dans une seule direction, le trafic retour est automatiquement autorisé.

Configurer une règle entrante :

  • Pour Plage de ports, saisissez le même port que votre service de point de terminaison.
  • Pour Source, saisissez l'adresse IP ou le réseau du client à l'origine du lancement.

Remarque : vous ne devez pas créer de règle sortante dans la direction de sortie du groupe de sécurité associé au point de terminaison d'interface.

Répétez ces étapes pour chaque groupe de sécurité associé à votre point de terminaison d'interface.

Configurer la liste ACL réseau associée au point de terminaison d'interface

Pour la liste ACL réseau que vous avez notée précédemment, modifiez les règles.

Configurez une règle entrante pour autoriser le trafic depuis le client :

  • Pour Plage de ports, saisissez le même port que votre service de point de terminaison.
  • Pour Source, saisissez l'adresse IP du client.

Configurez une règle sortante pour autoriser le trafic de retour à partir du point de terminaison d'interface :

  • Pour Plage de ports, saisissez 1024-65535.
  • Pour Destination, saisissez l'adresse IP ou le réseau du client.

Remarque : lorsque vous configurez le groupe de sécurité et la liste ACL réseau associés au client, vérifiez que les règles sortantes autorisent la connectivité à l'adresse IP privée du point de terminaison d'interface. La direction entrante du groupe de sécurité du client n'est pas importante. Toutefois, la direction entrante de la liste ACL réseau du client doit autoriser la plage éphémère TCP 1024-65535. L'adresse IP source est l'adresse IP de l'interface du point de terminaison Amazon VPC d'interface, car il s'agit de la source du trafic de retour.