Amazon Virtual Private Cloud · 2020-05-06 · Amazon Virtual Private Cloud Guide de l'utilisateur...

Amazon Virtual Private CloudGuide de l'utilisateur

Amazon Virtual Private Cloud Guide de l'utilisateur

Amazon Virtual Private Cloud: Guide de l'utilisateurCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsPrésentation d'Amazon VPC ................................................................................................................ 1

Concepts Amazon VPC ............................................................................................................... 1Accès à Amazon VPC ................................................................................................................. 1Tarification pour Amazon VPC ...................................................................................................... 2Quotas Amazon VPC .................................................................................................................. 2Conformité DSS PCI ................................................................................................................... 2

Fonctionnement de Amazon VPC ......................................................................................................... 3VPC et sous-réseaux .................................................................................................................. 3VPC par défaut et personnalisés .................................................................................................. 4Tables de routage ...................................................................................................................... 4Accès à Internet ......................................................................................................................... 4Accès à un réseau d'entreprise ou domestique ............................................................................... 8Accès aux services via AWS PrivateLink ........................................................................................ 8Connexion des VPC et des réseaux .............................................................................................. 9Considérations relatives au réseau mondial privé AWS ................................................................... 10Plateformes prises en charge ..................................................................................................... 10Ressources Amazon VPC .......................................................................................................... 10

Mise en route ................................................................................................................................... 12Présentation ............................................................................................................................. 12Étape 1 : Création du VPC ......................................................................................................... 12

Afficher des informations à propos de votre VPC ................................................................... 13Étape 2 : Lancement d'une instance dans votre VPC ...................................................................... 14Étape 3 : Attribution d'une adresse IP Elastic à votre instance .......................................................... 15Étape 4 : Nettoyer ..................................................................................................................... 15Étapes suivantes ...................................................................................................................... 16Mise en route avec IPv6 ............................................................................................................ 16

Étape 1 : Création du VPC ................................................................................................. 16Étape 2 : Créer un groupe de sécurité ................................................................................. 19Étape 3 : Lancer une instance ............................................................................................. 20

Configurations de l’assistant de la console Amazon VPC ............................................................... 21VPC avec un sous-réseau public unique .............................................................................. 21VPC avec des sous-réseaux publics et privés (NAT) .............................................................. 29VPC avec des sous-réseaux publics et privés et un accès AWS Site-to-Site VPN ........................ 47VPC avec un sous-réseau privé seulement et un accès AWS Site-to-Site VPN ............................ 63

Exemples de VPC ............................................................................................................................ 70Exemple : partage de sous-réseaux publics et de sous-réseaux privés .............................................. 71Exemples : Services utilisant AWS PrivateLink et l’appairage de VPC ............................................... 72

Exemple : le fournisseur de services configure le service ........................................................ 72Exemple : un consommateur de services configure un accès ................................................... 73Exemple : un fournisseur de services configure un service pour couvrir plusieurs régions .............. 74Exemple : un consommateur de services configure un accès dans différentes régions .................. 75

Exemple : création d'un VPC et de sous-réseaux IPv4 à l'aide de l'AWS CLI ...................................... 76Étape 1 : Créer un VPC et des sous-réseaux ........................................................................ 77Étape 2 : Configurer votre sous-réseau en tant que public ....................................................... 77Étape 3 : Lancer une instance dans votre sous-réseau ........................................................... 79Étape 4 : Nettoyer ............................................................................................................. 81

Exemple : création d'un VPC et de sous-réseaux IPv6 à l'aide de l'AWS CLI ...................................... 81Étape 1 : Créer un VPC et des sous-réseaux ........................................................................ 82Étape 2 : Configurer un sous-réseau public ........................................................................... 83Étape 3 : Configurer un sous-réseau privé de sortie uniquement ............................................... 85Étape 4 : Modifier le comportement d'adressage IPv6 des sous-réseaux .................................... 86Étape 5 : Lancer une instance dans votre sous-réseau public .................................................. 86Étape 6 : Lancer une instance dans votre sous-réseau privé .................................................... 88Étape 7 : nettoyer ............................................................................................................. 89

iii


VPC et sous-réseaux ........................................................................................................................ 91Principes de base des VPC et des sous-réseaux ........................................................................... 91Extension de vos ressources VPC dans les zones locales AWS ....................................................... 94Sous-réseaux dans AWS Outposts .............................................................................................. 95Dimensionnement des VPC et des sous-réseaux ........................................................................... 95

Dimensionnement des VPC et des sous-réseaux pour IPv4 ..................................................... 95Ajout de blocs d'adresse CIDR IPv4 à un VPC ...................................................................... 96Dimensionnement des VPC et des sous-réseaux pour IPv6 ................................................... 100

Routage des sous-réseaux ....................................................................................................... 100Sécurité des sous-réseaux ....................................................................................................... 101Utilisation des VPC et des sous-réseaux .................................................................................... 101

Création d'un VPC .......................................................................................................... 102Création d'un sous-réseau dans votre VPC ......................................................................... 103Association d'un bloc d'adresse CIDR IPv4 secondaire à votre VPC ........................................ 104Association d'un bloc d'adresse CIDR IPv6 à votre VPC ........................................................ 104Association d'un bloc d'adresse CIDR IPv6 à votre sous-réseau ............................................. 105Lancement d'une instance dans votre sous-réseau ............................................................... 106Suppression de votre sous-réseau ..................................................................................... 106Dissociation d'un bloc d'adresse CIDR IPv4 de votre VPC ..................................................... 107Dissociation d'un bloc d'adresse CIDR IPv6 de votre VPC ou de votre sous-réseau .................... 107Suppression de votre VPC ............................................................................................... 108

Utilisation des VPC partagés .................................................................................................... 109Conditions préalables relatives aux VPC partagés ................................................................ 110Partage d'un sous-réseau ................................................................................................. 110Annulation du partage d'un sous-réseau ............................................................................. 110Identification du propriétaire d'un sous-réseau partagé .......................................................... 111Autorisations de sous-réseaux partagés .............................................................................. 111Facturation et mesure pour le propriétaire et les participants .................................................. 112Services non pris en charge pour les sous-réseaux partagés ................................................. 112Limites ........................................................................................................................... 112

VPC par défaut et sous-réseaux par défaut ......................................................................................... 114Composants du VPC par défaut ................................................................................................ 114

Sous-réseaux par défaut .................................................................................................. 115Disponibilité et plateformes prises en charge ............................................................................... 116

Suppression des plateformes prises en charge .................................................................... 116Affichage de votre VPC par défaut et de vos sous-réseaux par défaut ............................................. 117Lancement d'une instance EC2 dans votre VPC par défaut ........................................................... 118

Lancement d'une instance EC2 à l'aide de la console ........................................................... 118Lancement d'une instance EC2 à l'aide de la ligne de commande ........................................... 118

Suppression de vos sous-réseaux par défaut et de votre VPC par défaut ......................................... 119Création d'un VPC par défaut ................................................................................................... 119Création d'un sous-réseau par défaut ......................................................................................... 120

Adressage IP .................................................................................................................................. 122Adresses IPv4 privées .............................................................................................................. 123Adresses IPv4 publiques .......................................................................................................... 124Adresses IPv6 ........................................................................................................................ 124Comportement de l'adressage IP pour votre sous-réseau .............................................................. 125Utilisation des adresses IP ....................................................................................................... 125

Modification de l'attribut d'adressage IPv4 public de votre sous-réseau ..................................... 126Modification de l'attribut d'adressage IPv6 de votre sous-réseau ............................................. 126Attribution d'une adresse IPv4 publique lors du lancement d'une instance ................................. 127Attribution d'une adresse IPv6 lors du lancement de l'instance ................................................ 128Attribution d'une adresse IPv6 à une instance ..................................................................... 128Annulation de l'attribution d'une adresse IPv6 d'une instance ................................................. 129Présentation des API et des commandes ............................................................................ 129

Migration vers IPv6 ................................................................................................................. 130Exemple : activation d'IPv6 dans un VPC avec un sous-réseau public et privé ........................... 131

iv


Étape 1 : Associer un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux ..................... 134Étape 2 : Mettre à jour vos tables de routage ...................................................................... 135Étape 3 : Mettre à jour les règles de votre groupe de sécurité ................................................ 135Étape 4 : Modifier votre type d'instance .............................................................................. 136Étape 5 : Attribuer des adresses IPv6 à vos instances ........................................................... 137Étape 6 : (Facultatif) Configurer IPv6 sur vos instances ......................................................... 138

Sécurité ......................................................................................................................................... 145Protection des données ............................................................................................................ 145

Confidentialité du trafic inter-réseaux .................................................................................. 146Identity and Access Management .............................................................................................. 148

Public ciblé ..................................................................................................................... 149Authentification avec des identités ..................................................................................... 149Gestion de l'accès à l'aide de stratégies ............................................................................. 151Fonctionnement de Amazon VPC avec IAM ........................................................................ 153Exemples de stratégies .................................................................................................... 156Dépannage ..................................................................................................................... 162

Journalisation et surveillance .................................................................................................... 164Résilience .............................................................................................................................. 165Validation de la conformité ....................................................................................................... 165Groupes de sécurité ................................................................................................................ 165

Principes de base des groupes de sécurité ......................................................................... 166Groupe de sécurité par défaut pour votre VPC .................................................................... 167Règles des groupes de sécurité ........................................................................................ 168Différences entre les groupes de sécurité pour EC2-Classic et EC2-VPC ................................. 170Utilisation des groupes de sécurité .................................................................................... 170

ACL réseau ............................................................................................................................ 174Principes de base des listes ACL réseau ............................................................................ 174Règles des listes ACL réseau ........................................................................................... 175Liste ACL réseau par défaut ............................................................................................. 175Liste ACL réseau personnalisée ........................................................................................ 177Listes ACL réseau personnalisées et autres services AWS .................................................... 182Ports éphémères ............................................................................................................. 182Détection de la MTU du chemin ........................................................................................ 183Utilisation des listes ACL réseau ....................................................................................... 183Exemple : Contrôle de l'accès aux instances dans un sous-réseau .......................................... 187Règles recommandées pour les scénarios d'assistant VPC .................................................... 191

Journaux de flux VPC .............................................................................................................. 191Principes de base des journaux de flux .............................................................................. 191Enregistrements de journaux de flux .................................................................................. 192Exemples d'enregistrements de journaux de flux .................................................................. 196Limitations des journaux de flux ........................................................................................ 200Publication dans CloudWatch Logs. ................................................................................... 201Publication dans Amazon S3. ........................................................................................... 206Utilisation des journaux de flux .......................................................................................... 211Dépannage ..................................................................................................................... 216

Bonnes pratiques .................................................................................................................... 218Ressources supplémentaires ............................................................................................. 218

Composants de mise en réseau de VPC ............................................................................................ 219Interfaces réseau .................................................................................................................... 219Tables de routage ................................................................................................................... 220

Concepts liés aux tables de routage .................................................................................. 220Fonctionnement des tables de routage ............................................................................... 221Priorité de route .............................................................................................................. 227Exemples d'options de routage .......................................................................................... 228Utilisation des tables de routage ........................................................................................ 235

Passerelles Internet ................................................................................................................. 243Activation de l'accès Internet ............................................................................................. 243

v


Ajout d’une passerelle Internet à votre VPC ........................................................................ 245Passerelles Internet de sortie uniquement ................................................................................... 249

Principes de base sur la passerelle Internet de sortie uniquement ........................................... 249Utilisation des passerelles Internet de sortie uniquement ....................................................... 250Présentation des API et de l'interface de ligne de commande (CLI) ......................................... 252

NAT ...................................................................................................................................... 252Passerelles NAT ............................................................................................................. 253Instances NAT ................................................................................................................ 272Comparaison des instances NAT et des passerelles NAT ...................................................... 280

Jeux d'options DHCP ............................................................................................................... 281Présentation des jeux d'options DHCP ............................................................................... 282Serveur Amazon DNS ...................................................................................................... 283Modification des options DHCP ......................................................................................... 284Utilisation de jeux d'options DHCP ..................................................................................... 284Présentation des API et des commandes ............................................................................ 286

DNS ...................................................................................................................................... 287Noms d'hôte DNS ........................................................................................................... 287Prise en charge du DNS dans votre VPC ........................................................................... 288Quotas DNS ................................................................................................................... 289Affichage des noms d'hôte DNS pour votre instance EC2 ...................................................... 289Affichage et mise à jour de la prise en charge de DNS pour votre VPC .................................... 290Utilisation de zones hébergées privées ............................................................................... 291

Appairage de VPC .................................................................................................................. 292Adresses IP Elastic ................................................................................................................. 292

Principes de base d'une adresse IP Elastic ......................................................................... 292Utilisation d'adresses IP Elastic ......................................................................................... 293Présentation des API et de l'interface de ligne de commande (CLI) ......................................... 295

ClassicLink ............................................................................................................................. 296Points de terminaison d'un VPC et services de points de terminaison d’un VPC (AWS PrivateLink) ............... 297

Concepts des points de terminaison d’un VPC ............................................................................ 297Utilisation des points de terminaison d'un VPC ............................................................................ 297Points de terminaison d'un VPC ................................................................................................ 298

Points de terminaison d'interface ....................................................................................... 300Points de terminaison de passerelle ................................................................................... 316Contrôle de l'accès aux services avec Points de terminaison d'un VPC .................................... 332Suppression d'un Point de terminaison d'un VPC ................................................................. 335

Services de points de terminaison de VPC (AWS PrivateLink) ........................................................ 335Présentation ................................................................................................................... 336Considérations sur les zones de disponibilité de service de point de terminaison ........................ 338Noms DNS d’un service de point de terminaison .................................................................. 338Connexion aux centres de données locaux ......................................................................... 305Accès aux services via une connexion d'appairage de VPC ................................................... 339Utilisation du protocole proxy pour les informations de connexion ............................................ 339Restrictions de services de point de terminaison .................................................................. 339Création d'une configuration de service de point de terminaison de VPC .................................. 340Ajout et suppression d'autorisations pour votre service de point de terminaison ......................... 342Modification des Équilibreur de charge du réseau et des paramètres d'acceptation ..................... 343Acceptation et refus des demandes de connexion de point de terminaison d'interface ................. 344Création et gestion d'une notification pour un service de point de terminaison ........................... 345Ajout ou suppression des balises d’un service de point de terminaison de VPC ......................... 348Suppression d'une configuration de service de point de terminaison ........................................ 348

Identity and Access Management .............................................................................................. 349Noms DNS privés pour les services de point de terminaison .......................................................... 351

Observations relatives à la vérification du nom de domaine .................................................... 352Vérification du nom DNS privé du service de point de terminaison d’un VPC ............................. 353Modification d'un nom DNS privé d’un service de point de terminaison existant .......................... 354Affichage de la configuration du nom DNS privé du service de point de terminaison .................... 355

vi


Lancement manuel de la vérification du domaine de nom DNS privé du service de point determinaison ..................................................................................................................... 355Suppression d'un nom DNS privé du service de point de terminaison ...................................... 356Enregistrements TXT de vérification de nom de domaine DNS privé ........................................ 357Résolution des problèmes courants de vérification de domaine ............................................... 358

Connexions VPN ............................................................................................................................. 361Quotas ........................................................................................................................................... 362

VPC et sous-réseaux ............................................................................................................... 362DNS ...................................................................................................................................... 362Adresses IP Elastic (IPv4) ........................................................................................................ 362Passerelles ............................................................................................................................. 363ACL réseau ............................................................................................................................ 363Interfaces réseau .................................................................................................................... 364Tables de routage ................................................................................................................... 364Groupes de sécurité ................................................................................................................ 365Connexions d'appairage de VPC ............................................................................................... 365Points de terminaison d'un VPC ................................................................................................ 366Connexions AWS Site-to-Site VPN ............................................................................................ 366Partage de VPC ...................................................................................................................... 366

Historique du document ................................................................................................................... 368

vii

Amazon Virtual Private Cloud Guide de l'utilisateurConcepts Amazon VPC

Présentation d'Amazon VPCAmazon Virtual Private Cloud (Amazon VPC) vous permet de lancer des ressources AWS dans un réseauvirtuel défini par vos soins. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vouspourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutived'AWS.

Concepts Amazon VPCAmazon VPC est la couche de mise en réseau pour Amazon EC2. Si vous découvrez Amazon EC2,consultez la section Qu'est-ce qu'Amazon EC2 ? dans le Amazon EC2 Guide de l'utilisateur pour lesinstances Linux pour une courte présentation :

Les concepts clés liés aux VPC sont les suivants :

• Cloud privé virtuel (VPC) — Un réseau virtuel dédié à votre compte AWS.• Sous-réseau — Une plage d'adresses IP dans votre VPC.• Table de routage — Un ensemble de règles, appelées routes, qui permettent de déterminer où diriger le

trafic réseau.• Passerelle Internet — Une passerelle que vous attachez à votre VPC pour permettre la communication

entre les ressources de votre VPC et Internet.• Point de terminaison de VPC — Permet une connexion privée entre votre VPC et les services AWS pris

en charge ou les services de point de terminaison de VPC alimentés par PrivateLink sans nécessiter unepasserelle Internet, un périphérique NAT, une connexion VPN ni une connexion AWS Direct Connect.Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avec lesressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon.

Accès à Amazon VPCVous pouvez créer vos VPC, y accéder et les gérer à l'aide des interfaces suivantes :

• AWS Management Console — Offre une interface web que vous pouvez utiliser pour accéder à vosVPC.

• L'interface de ligne de commande AWS (AWS CLI)— - fournit des commandes pour une large gamme deservices AWS, notamment Amazon VPC, et est prise en charge sous Windows, Mac et Linux. Pour deplus amples informations, veuillez consulter AWS Command Line Interface.

• Kits de développement logiciel (SDK) AWS —– fournissent des API propres au langage et se chargentde nombreux détails de connexion, tels que le calcul des signatures, la gestion des nouvelles tentativesde demande et la gestion des erreurs. Pour plus d'informations, consultez Kits de développement logiciel(SDK) AWS.

• API de requête — Fournit des actions d'API de bas niveau appelées à l'aide de demandes HTTPS.L'utilisation de l'API de demande est le moyen le plus direct d'accéder à Amazon VPC, mais ellenécessite que votre application gère les détails de bas niveau, tels que la génération d'un hachage poursigner la demande et le traitement des erreurs. Pour plus d'informations, consultez le Amazon EC2 APIReference.

1

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html

https://aws.amazon.com/cli/

http://aws.amazon.com/tools/#SDKs

http://aws.amazon.com/tools/#SDKs

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/


Amazon Virtual Private Cloud Guide de l'utilisateurTarification pour Amazon VPC

Tarification pour Amazon VPCIl n'y a pas de frais supplémentaires pour l'utilisation d'Amazon VPC. Vous payez le prix standard pourles instances et les autres fonctions Amazon EC2 que vous utilisez. Ce sont des frais correspondantà l’utilisation d’une connexion Site-to-Site VPN, de PrivateLink, de la mise en miroir du trafic et d'unepasserelle NAT. Pour plus d'informations sur la tarification, veuillez consulter les pages suivantes :

• Tarification Amazon VPC• Tarification Amazon EC2

Quotas Amazon VPCLe nombre de composants Amazon VPC que vous pouvez allouer est limité. Vous pouvez demanderune augmentation de certains de ces quotas. Pour plus d'informations, consultez Quotas AmazonVPC (p. 362).

Conformité DSS PCIAmazon VPC prend en charge le traitement, le stockage et la transmission des données de cartesbancaires par un commerçant ou un fournisseur de services, et a été validé comme étant conforme à lanorme PCI (Payment Card Industry) DSS (Data Security Standard). Pour plus d'information sur PCI DSS,et notamment sur la manière de demander une copie de l'AWS PCI Compliance Package, consultez PCIDSS, niveau 1.

2

https://aws.amazon.com/vpc/pricing/

https://aws.amazon.com/ec2/pricing/

https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

Amazon Virtual Private Cloud Guide de l'utilisateurVPC et sous-réseaux

Fonctionnement de Amazon VPCAmazon Virtual Private Cloud (Amazon VPC) vous permet de lancer des ressources AWS dans un réseauvirtuel défini par vos soins. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vouspourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutived'AWS.

Amazon VPC est la couche de mise en réseau pour Amazon EC2. Si vous découvrez Amazon EC2,consultez la section Qu'est-ce qu'Amazon EC2 ? dans le Amazon EC2 Guide de l'utilisateur pour lesinstances Linux pour une courte présentation :

Sommaire• VPC et sous-réseaux (p. 3)• VPC par défaut et personnalisés (p. 4)• Tables de routage (p. 4)• Accès à Internet (p. 4)• Accès à un réseau d'entreprise ou domestique (p. 8)• Accès aux services via AWS PrivateLink (p. 8)• Connexion des VPC et des réseaux (p. 9)• Considérations relatives au réseau mondial privé AWS (p. 10)• Plateformes prises en charge (p. 10)• Ressources Amazon VPC (p. 10)

VPC et sous-réseauxUn Virtual Private Cloud (VPC) est un réseau virtuel dédié à votre compte AWS. Il est logiquement isolédes autres réseaux virtuels dans le cloud AWS. Vous pouvez lancer vos ressources AWS, comme desinstances Amazon EC2, dans votre VPC. Vous pouvez spécifier une plage d'adresses IP pour le VPC,ajouter des sous-réseaux, associer des groupes de sécurité et configurer des tables de routage.

Un sous-réseau est une plage d'adresses IP dans votre VPC. Vous pouvez lancer des ressourcesAWS dans un sous-réseau spécifié. Utilisez un sous-réseau public pour les ressources qui doivent êtreconnectées à Internet et un sous-réseau privé pour les ressources qui ne doivent pas l'être connectées.

Pour protéger les ressources AWS dans chaque sous-réseau, vous pouvez utiliser plusieurs couches desécurité, y compris des groupes de sécurité et des listes de contrôle d'accès réseau (ACL).

Vous pouvez éventuellement associer un bloc d'adresses CIDR IPv6 à votre VPC et attribuer des adressesIPv6 aux instances de votre VPC.

En savoir plus

• Principes de base des VPC et des sous-réseaux (p. 91)• Confidentialité du trafic inter-réseaux dans Amazon VPC (p. 146)• Adressage IP dans votre VPC (p. 122)

3

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html

Amazon Virtual Private Cloud Guide de l'utilisateurVPC par défaut et personnalisés

VPC par défaut et personnalisésSi votre compte a été créé après 2013-12-04, il est livré avec un VPC par défaut qui a un sous-réseaupar défaut dans chaque zone de disponibilité. Un VPC par défaut présente l'avantage de comprendre lesfonctions avancées offertes par EC2-VPC, et est prêt à être utilisé. Si vous disposez d'un VPC par défautet si vous ne spécifiez pas de sous-réseau lors du lancement d'une instance, elle est lancée dans votreVPC par défaut. Vous pouvez lancer des instances VPC dans votre VPC par défaut même si vous neconnaissez pas Amazon VPC.

Vous pouvez également créer votre propre VPC et le configurer selon vos besoins. Ce système est appeléVPC personnalisé. Les sous-réseaux que vous créez dans votre VPC personnalisé et les sous-réseauxsupplémentaires que vous créez dans votre VPC par défaut sont appelés sous-réseaux personnalisés.

En savoir plus

• VPC par défaut et sous-réseaux par défaut (p. 114)• Mise en route avec Amazon VPC (p. 12)

Tables de routageUne table de routage contient un ensemble de règles, appelées routes, qui permettent de détermineroù diriger le trafic réseau à partir de votre VPC. Vous pouvez associer explicitement un sous-réseau àune table de routage particulière. Sinon, le sous-réseau est implicitement associé à la table de routageprincipale.

Chaque itinéraire d'une table de routage spécifie la plage d'adresses IP dans laquelle vous souhaitezacheminer le trafic (la destination) et la passerelle, l'interface réseau ou la connexion via laquelle envoyer letrafic (la cible).

En savoir plus

• Tables de routage (p. 220)

Accès à InternetVous contrôlez comment les instances que vous lancez dans un VPC accèdent à vos ressources àl'extérieur du VPC.

Votre VPC par défaut inclut une passerelle Internet et chaque sous-réseau par défaut est un sous-réseaupublic. Chaque instance que vous lancez dans un sous-réseau par défaut possède une adresse IPv4privée et une adresse IPv4 publique. Ces instances peuvent communiquer avec Internet via la passerelleInternet. Une passerelle Internet permet à vos instances de se connecter à Internet via l'extrémité réseauAmazon EC2.

4

Amazon Virtual Private Cloud Guide de l'utilisateurAccès à Internet

Par défaut, chaque instance que vous lancez dans un sous-réseau personnalisé possède une adresseIPv4 privée mais pas d'adresse IPv4 publique, sauf si vous en assignez une de manière spécifique lors dulancement ou si vous modifiez l'attribut de l'adresse IP publique du sous-réseau. Ces instances peuventcommuniquer ensemble, mais ne peuvent pas accéder à Internet.

5


Vous pouvez activer l'accès à Internet pour une instance lancée dans un sous-réseau personnalisé enattachant une passerelle Internet à son VPC (si son VPC n'est pas un VPC par défaut) et en associant uneadresse IP Elastic à l'instance.

6


Pour permettre à une instance dans votre VPC d'initier des connexions sortantes sur Internet mais arrêterdes connexions entrantes non sollicitées provenant d'Internet, vous pouvez également utiliser un appareilNAT (Network Address Translation, traduction d'adresses réseau) pour le trafic IPv4. NAT mappe plusieursadresses IPv4 privées en une seule adresse IPv4 publique. Un périphérique NAT possède une adresse IPElastic et est connecté à Internet via une passerelle Internet. Vous pouvez connecter une instance dans unsous-réseau privé à Internet via le périphérique NAT, qui achemine le trafic de l'instance vers la passerelleInternet, et achemine toute réponse vers l'instance.

Si vous associez un bloc CIDR IPv6 à votre VPC et que vous affectez des adresses IPv6 à vos instances,les instances peuvent se connecter à Internet via IPv6 via une passerelle Internet. Sinon, les instancespeuvent initier des connexions sortantes à Internet via IPv6 à l'aide d'une passerelle Internet de sortieuniquement. Le trafic IPv6 est séparé du trafic IPv4 ; vos tables de routage doivent inclure les routesdistinctes pour le trafic IPv6.

En savoir plus

• Passerelles Internet (p. 243)• Passerelles Internet de sortie uniquement (p. 249)• NAT (p. 252)

7

Amazon Virtual Private Cloud Guide de l'utilisateurAccès à un réseau d'entreprise ou domestique

Accès à un réseau d'entreprise ou domestiqueSi vous le souhaitez, vous pouvez connecter votre VPC à votre propre centre de données d'entreprise àl'aide d'une connexion AWS Site-to-Site VPN IPsec, qui transforme le cloud AWS en une extension devotre centre de données.

Une connexion Site-to-Site VPN se compose de deux tunnels VPN entre une passerelle privée virtuelleou une passerelle de transit côté AWS et un périphérique de passerelle client situé dans votre centre dedonnées. Une passerelle client est un périphérique physique ou une application logicielle de votre proprecôté de la connexion Site-to-Site VPN.

En savoir plus

• Guide de l'utilisateur AWS Site-to-Site VPN• Passerelles de transit

Accès aux services via AWS PrivateLinkAWS PrivateLink est une technologie hautement disponible et évolutive qui vous permet de connecterde façon privée votre VPC aux services AWS pris en charge, aux services hébergés par d'autrescomptes AWS (services de points de terminaison VPC) et aux services partenaires AWS Marketplace

8

https://docs.aws.amazon.com/vpn/latest/s2svpn/

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

Amazon Virtual Private Cloud Guide de l'utilisateurConnexion des VPC et des réseaux

pris en charge. Vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT, d'une adresseIP publique, d'une connexion AWS Direct Connect ou d'une connexion AWS Site-to-Site VPN pourcommuniquer avec le service. Le trafic entre votre VPC et le service ne quitte pas le réseau Amazon.

Pour utiliser AWS PrivateLink, créez un point de terminaison de VPC d'interface pour un service de votreVPC. Une interface réseau Elastic est ainsi créée dans votre sous-réseau avec une adresse IP privée quisert de point d'entrée au trafic destiné au service.

Vous pouvez créer votre propre service à technologie AWS PrivateLink (service de point de terminaison) etactiver d'autres clients AWS pour accéder à votre service.

En savoir plus

• Points de terminaison d'un VPC (p. 298)• Services de points de terminaison de VPC (AWS PrivateLink) (p. 335)

Connexion des VPC et des réseauxVous pouvez créer une connexion d'appairage de VPC entre deux VPC qui permet de router le trafic entreces derniers de manière privée. Les instances des deux VPC peuvent communiquer entre elles comme sielles se trouvaient dans le même réseau.

Vous pouvez également créer une passerelle de transit et l'utiliser pour interconnecter vos VPC et réseauxlocaux. La passerelle de transit agit comme un routeur virtuel régional pour le trafic circulant entre sespièces jointes, ce qui peut inclure des VPC, des connexions VPN, des passerelles AWS Direct Connect etdes connexions d'appairage de passerelle de transit.

En savoir plus

• Guide d'appairage des VPC

9

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html

Amazon Virtual Private Cloud Guide de l'utilisateurConsidérations relatives au réseau mondial privé AWS

• Passerelles de transit

Considérations relatives au réseau mondial privéAWS

AWS fournit un réseau mondial privé à haute performance et à faible latence qui offre un environnementde cloud computing sécurisé pour prendre en charge vos besoins de mise en réseau. Les régions AWSsont connectées à plusieurs fournisseurs de services Internet (FAI), ainsi qu'à un système de réseau privémondial, ce qui améliore les performances réseau pour le trafic inter-région envoyé par les clients.

Les considérations suivantes s’appliquent :

• Le trafic au sein d’une zone de disponibilité, ou entre des zones de disponibilité dans toutes les régions,est acheminé via le réseau mondial privé d’AWS.

• Le trafic entre les régions est toujours acheminé via le réseau mondial privé d’AWS, sauf pour Régionsde Chine.

Une perte de paquets réseau peut être causée par un certain nombre de facteurs, y compris les collisionsde flux réseau, les erreurs de niveau inférieur (couche 2) et les autres défaillances du réseau. Nousdéveloppons et faisons fonctionner nos réseaux en vue de minimiser les pertes de paquets. Nousmesurons le taux de perte de paquets (PLR) au niveau de la colonne vertébrale principale raccordant lesrégions AWS. Nous faisons fonctionner notre réseau de base en vue d’obtenir un p99 pour le PLR horairede moins de 0,0001 %.

Plateformes prises en chargeLe premier lancement d'Amazon EC2 prenait en charge un réseau plat et simple partagé avec d'autresclients, appelé la plateforme EC2-Classic. Les anciens comptes AWS prennent toujours en charge cetteplateforme et peuvent lancer des instances dans EC2-Classic ou dans un VPC. Les comptes créés aprèsle 04-12-2013 prennent uniquement en charge EC2-VPC. Pour plus d'informations, consultez EC2-Classicdans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Ressources Amazon VPCLe tableau suivant répertorie les ressources supplémentaires que vous pourriez trouver utiles dans le cadrede l'utilisation de Amazon VPC.

Ressource Description

Amazon Virtual Private CloudConnectivity Options

Fournit une présentation des options pour une connexionréseau.

Guide d'appairage des VPC Décrit les scénarios de connexion par appairage de VPC,ainsi que les configurations d'appairage prises en charge.

Mise en miroir du trafic Décrit les cibles, les filtres et les sessions de mise en miroirdu trafic, et aide les administrateurs à les configurer.

Passerelles de transit Décrit les passerelles de transit et aide les administrateursréseau à les configurer.

10


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html

https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html


Amazon Virtual Private Cloud Guide de l'utilisateurRessources Amazon VPC

Ressource Description

Guide de Transit Gateway NetworkManager

Décrit Transit Gateway Network Manager et vous aide àconfigurer et à surveiller un réseau mondial.

AWS Direct Connect Guide del'utilisateur

Décrit comment utiliser AWS Direct Connect pour établir uneconnexion privée dédiée depuis un réseau distant vers votreVPC.

Guide de l'administrateur AWS ClientVPN

Décrit comment créer et configurer un point de terminaisonVPN Client pour permettre aux utilisateurs distants d'accéderaux ressources d'un VPC.

Amazon VPC forum Forum communautaire permettant aux utilisateurs d'échangerà propos de questions techniques concernant Amazon VPC.

Mise en route avec le Centre deressources

Informations pour vous aider à commencer à construire surAWS.

Centre de support AWS Page d'accueil d'AWS Support.

Contactez-nous Page de contact centralisant les demandes liées à lafacturation, aux comptes et aux événements AWS.

11

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/


https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/


https://forums.aws.amazon.com/forum.jspa?forumID=58

https://aws.amazon.com/getting-started/

https://aws.amazon.com/getting-started/

https://console.aws.amazon.com/support/home#/

https://aws.amazon.com/contact-us/

Amazon Virtual Private Cloud Guide de l'utilisateurPrésentation

Mise en route avec Amazon VPCPour commencer à utiliser Amazon VPC, vous pouvez créer un VPC autre que celui par défaut. Les étapessuivantes décrivent comment utiliser l'assistant Amazon VPC pour créer un VPC autre que celui par défautavec un sous-réseau public, qui est un sous-réseau ayant accès à Internet via une passerelle Internet.Vous pouvez ensuite lancer une instance dans le sous-réseau et vous y connecter.

Vous pouvez également démarrer le lancement d'une instance dans votre VPC par défaut existant. Veuillezconsulter Lancement d'une instance EC2 dans votre VPC par défaut.

Avant de pouvoir utiliser le Amazon VPC pour la première fois, vous devez vous inscrire à Amazon WebServices (AWS). Lorsque vous vous inscrivez, votre compte AWS est automatiquement inscrit à tous lesservices inclus dans AWS, dont Amazon VPC. Si vous n'avez pas encore créé de compte AWS, accédez àhttps://aws.amazon.com/, puis choisissez Créer un compte gratuit.

Rubriques• Présentation (p. 12)• Étape 1 : Création du VPC (p. 12)• Étape 2 : Lancement d'une instance dans votre VPC (p. 14)• Étape 3 : Attribution d'une adresse IP Elastic à votre instance (p. 15)• Étape 4 : Nettoyer (p. 15)• Étapes suivantes (p. 16)• Mise en route avec IPv6 pour Amazon VPC (p. 16)• Configurations de l’assistant de la console Amazon VPC (p. 21)

PrésentationPour effectuer cet exercice, procédez comme suit :

• Créez un VPC personnalisé avec un seul sous-réseau public.• Lancez une instance Amazon EC2 dans votre sous-réseau.• Associez une adresse IP Elastic à votre instance pour lui permettre d'accéder à Internet.

Étape 1 : Création du VPCPour cette étape, vous devez utiliser l'assistant Amazon VPC de la console Amazon VPC afin de créer unVPC. L'assistant effectue automatiquement les étapes suivantes :

• Il crée un VPC avec un bloc d'adresse CIDR IPv4 /16 (réseau comprenant 65 536 adresses IP privées).• Il associe une passerelle Internet au VPC.• Il crée un sous-réseau IPv4 de taille /24 (plage de 256 adresses IP privées) dans le VPC.• Il crée une table de routage personnalisée et l'associe à votre sous-réseau, de sorte que le trafic puisse

circuler entre le sous-réseau et la passerelle Internet.

12

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into

https://aws.amazon.com/

Amazon Virtual Private Cloud Guide de l'utilisateurAfficher des informations à propos de votre VPC

Pour créer un VPC à l'aide de l'assistant Amazon VPC :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans la barre de navigation, en haut à droite, prenez connaissance de la région AWS dans laquelle

vous allez créer le VPC. Assurez-vous de continuer à travailler dans la même région pour le reste del'exercice, car vous ne pouvez pas lancer une instance dans votre VPC à partir d'une autre région.

3. Dans le volet de navigation, choisissez Tableau de bord du VPC. Sur le tableau de bord, choisissezLaunch VPC Wizard (Lancer l'assistant VPC).

Note

Dans le volet de navigation, ne choisissez pas Vos VPC ; vous ne pouvez pas accéder àl'assistant VPC à l'aide du bouton Créer VPC depuis cette page.

4. Sélectionnez VPC avec un seul sous-réseau public, puis choisissez Sélectionner.5. Sur la page de configuration, saisissez le nom de votre VPC dans le champ VPC name (par exemple,

my-vpc), puis le nom de votre sous-réseau dans le champ Subnet name. Cela vous permet d'identifierle VPC et le sous-réseau dans la console Amazon VPC une fois que vous les avez créés. Pour cetexercice,conservez les autres paramètres de configuration sur la page et sélectionnez Créer un VPC.

6. Une fenêtre d'état indique la progression de ces tâches. Une fois l'opération terminée, choisissez OKpour fermer la fenêtre d'état.

7. La page Your VPCs affiche votre VPC par défaut et celui que vous venez de créer. Le VPC que vousavez créé étant un VPC personnalisé, la colonne Default VPC indique No.

Afficher des informations à propos de votre VPCAprès avoir créé un VPC, vous pouvez consulter des informations sur le sous-réseau, la passerelleInternet et les tables de routage. Le VPC que vous avez créé inclut deux tables de routage — une tablede routage principale (incluse dans tous les VPC par défaut) et une table de routage personnalisée, crééepar l'assistant. La table de routage personnalisée est associée à votre sous-réseau. En d'autres termes,les routes figurant dans cette table déterminent comment le trafic circule vers le sous-réseau. Si vouschoisissez d'ajouter un nouveau sous-réseau à votre VPC, il utilisera la table de routage principale pardéfaut.

Pour afficher des informations sur votre VPC :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs. Notez le nom et l'ID du VPC que vous avez

créé (consultez les colonnes Name et VPC ID). Ces informations vous permettront d'identifier lescomposants associés à votre VPC.

3. Dans le volet de navigation, choisissez Subnets. La console affiche le sous-réseau créé lors de lacréation de votre VPC. Vous pouvez identifier le sous-réseau par son nom dans la colonne Name, ouutiliser les informations sur le VPC (obtenues lors de l'étape précédente) et consulter la colonne VPC.

4. Dans le volet de navigation, choisissez Internet Gateways. Pour identifier la passerelle Internetassociée à votre VPC, consultez la colonne VPC, qui inclut l'ID et le nom (le cas échéant) du VPC.

5. Dans le volet de navigation, choisissez Route Tables. Deux tables de routage sont associées au VPC.Sélectionnez la table de routage personnalisée (celle dont la colonne Main contient la valeur No), puissélectionnez l'onglet Routes afin d'afficher les informations de routage dans le volet de détails :

• La première ligne de la table correspond au routage local, qui permet la communication desinstances figurant au sein du VPC. Ce routage est présent par défaut dans toutes les tables deroutage et ne peut pas être supprimé.

• La deuxième ligne indique le routage ajouté via l'assistant Amazon VPC pour permettre au traficdestiné à Internet (0.0.0.0/0) d'être acheminé du sous-réseau vers la passerelle Internet.

13

https://console.aws.amazon.com/vpc/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html


Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 2 : Lancement d'une instance dans votre VPC

6. Sélectionnez la table de routage principale. La table de routage principale comporte un routage local,mais pas d'autres routages.

Étape 2 : Lancement d'une instance dans votreVPC

Lorsque vous lancez une instance EC2 au sein d'un VPC, vous devez spécifier le sous-réseau dans lequelvous la lancez. Dans ce cas, vous allez lancer une instance dans le sous-réseau public du VPC que vousavez créé. Vous utiliserez l'assistant de lancement Amazon EC2 dans la console Amazon EC2 pour lancervotre instance.

Pour lancer une instance EC2 dans un VPC

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans la barre de navigation, en haut à droite, assurez-vous d'avoir sélectionné la même région que

celle dans laquelle vous avez créé votre VPC.3. Dans le tableau de bord, choisissez Launch Instance.4. Sur la première page de l'assistant, sélectionnez l'AMI que vous souhaitez utiliser. Pour cet exercice,

choisissez une AMI Amazon Linux ou une AMI Windows.5. Sur la page Choose an Instance Type, vous pouvez sélectionner la configuration matérielle et la taille

de l'instance à lancer. Par défaut, l'assistant sélectionne le premier type d'instance disponible enfonction de l'AMI que vous avez sélectionnée. Vous pouvez conserver l'option sélectionnée par défaut,puis choisir Suivant : Configurer les détails de l'instance.

6. Sur la page Configurer les détails de l'instance, sélectionnez le VPC que vous avez créé dans la listeRéseau, puis le sous-réseau dans la liste Sous-réseau. Conservez les autres paramètres par défaut,puis parcourez les pages suivantes de l'assistant jusqu'à la page Add Tags.

7. Sur la page Add Tags, vous pouvez ajouter une balise Name à votre instance (par exemple,Name=MyWebServer). Cela vous permet d'identifier votre instance dans la console Amazon EC2une fois que vous l'avez lancée. Choisissez Next: Configure Security Group une fois que vous avezterminé.

8. Sur la page Configure Security Group (Configurer le groupe de sécurité), l'assistant définitautomatiquement le groupe de sécurité lancer-l'assistant-x afin de vous permettre de vous connecter àvotre instance. Choisissez Vérifier et lancer.

Important

L'assistant crée une règle de groupe de sécurité qui permet à toutes les adresses IP(0.0.0.0/0) d'accéder à votre instance à l'aide de SSH ou RDP. Cette méthode estacceptable dans le cadre de cet exercice, mais n'est pas sécurisée pour les environnementsde production. Dans un environnement de production, vous autoriserez uniquement l'accès àvotre instance pour une adresse IP ou une plage d'adresses spécifiques.

9. Sur la page Examiner le lancement de l'instance, sélectionnez Lancement.10. Dans la boîte de dialogue Select an existing key pair or create a new key pair (Sélectionner une

paire de clés existante ou créer une nouvelle paire de clés), vous pouvez choisir une paire de clésexistante ou en créer une nouvelle. Si vous optez pour la création d'une nouvelle paire de clés, veillezà télécharger le fichier et à le stocker dans un emplacement sûr. Les éléments contenus dans la cléprivée sont nécessaires pour établir à la connexion à votre instance après son lancement.

Pour lancer votre instance, activez la case à cocher de confirmation, puis choisissez Launch Instances.11. Sur la page de confirmation, choisissez View Instances pour afficher votre instance sur la page

Instances. Sélectionnez votre instance et consultez les détails la concernant dans l'onglet Description.Le champ Private IPs contient l'adresse IP privée affectée à votre instance à partir de la plaged'adresses IP de votre sous-réseau.

14

https://console.aws.amazon.com/ec2/

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 3 : Attribution d'une

adresse IP Elastic à votre instance

Pour plus d'informations sur les options disponibles dans l'assistant de lancement d'Amazon EC2,consultez Lancement d'une instance dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Étape 3 : Attribution d'une adresse IP Elastic à votreinstance

Dans l'étape précédente, vous avez lancé votre instance dans un sous-réseau public, —c'est-à-dire unsous-réseau comportant une route vers une passerelle Internet. Toutefois, l'instance incluse dans votresous-réseau a également besoin d'une adresse IPv4 publique pour communiquer avec Internet. Par défaut,l'instance d'un VPC personnalisé ne se voit pas attribuer d'adresse IPv4 publique. Dans cette étape, vousallez attribuer une adresse IP Elastic à votre compte, puis l'associer à votre instance.

Pour affecter une adresse IP élastique

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Choisissez Allouer une nouvelle adresse, puis Allouer.4. Sélectionnez l'adresse IP Elastic dans la liste, choisissez Actions, puis Associate Address.5. Pour Resource type (Type de ressource), assurez-vous que l'option Instance est sélectionnée.

Choisissez votre instance dans la liste Instance. Choisissez Associate (Associer) lorsque vous avezterminé.

Votre instance est désormais accessible par Internet. Vous pouvez vous connecter à votre instance viason adresse IP Elastic à l'aide de SSH ou du Bureau à distance, à partir de votre réseau domestique. Pourplus d'informations sur la connexion à une instance Linux, consultez Connexion à votre instance Linux dansle Amazon EC2 Guide de l'utilisateur pour les instances Linux. Pour plus d’informations sur la connexionà une instance Windows, consultez Connexion à votre instance Windows dans le Amazon EC2 Guide del'utilisateur pour les instances Windows.

Étape 4 : NettoyerVous pouvez choisir de continuer à utiliser votre instance dans votre VPC ou, si vous n'avez pas besoin del'instance, d'y mettre fin et de libérer l'adresse IP Elastic pour éviter que des frais ne vous soient facturés.Vous pouvez également supprimer votre VPC. —Notez qu'aucuns frais ne vous sont facturés pour le VPCet les composants de VPC créés dans le cadre de cet exercice (tels que les sous-réseaux et les tables deroutage).

Avant de supprimer un VPC, vous devez mettre fin à toutes les instances qui s'y exécutent. Vous pouvezensuite supprimer le VPC et ses composants à l'aide de la console VPC.

Pour mettre fin à votre instance, libérer votre adresse IP Elastic et supprimer votre VPC :

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Instances.3. Sélectionnez votre instance, choisissez Actions, puis Instance State et Terminate.4. Dans la boîte de dialogue, développez la section Release attached Elastic IPs et cochez la case

« Elastic IP address ». Choisissez Yes, Terminate.5. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.6. Dans le volet de navigation, sélectionnez Your VPCs.7. Sélectionnez le VPC, choisissez Actions, puis Delete VPC.

15

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html



Amazon Virtual Private Cloud Guide de l'utilisateurÉtapes suivantes

8. Lorsque vous êtes invité à confirmer l'opération, choisissez Supprimer le VPC.

Étapes suivantesAprès avoir créé un VPC autre que celui par défaut, vous pouvez effectuer les opérations suivantes :

• Ajouter d'autres sous-réseaux à votre VPC. Pour plus d'informations, consultez Création d'un sous-réseau dans votre VPC (p. 103).

• Activer la prise en charge IPv6 pour votre VPC et vos sous-réseaux. Pour plus d'informations, consultezAssociation d'un bloc d'adresse CIDR IPv6 à votre VPC (p. 104) et Association d'un bloc d'adresseCIDR IPv6 à votre sous-réseau (p. 105).

• Activer les instances d'un sous-réseau privé pour accéder à Internet. Pour plus d'informations, consultezNAT (p. 252).

Mise en route avec IPv6 pour Amazon VPCLes étapes suivantes décrivent comment créer un VPC autre que celui par défaut qui prend en chargel'adressage IPv6.

Pour effectuer cet exercice, procédez comme suit :

• Créez un VPC personnalisé avec un bloc d'adresse CIDR IPv6 et un sous-réseau public unique. Lessous-réseaux vous permettent de regrouper des instances en fonction de vos besoins opérationnelset de vos exigences de sécurité. Un sous-réseau public est un sous-réseau qui dispose d'un accès àInternet via une passerelle Internet.

• Créez un groupe de sécurité pour votre instance, autorisant uniquement le trafic à transiter via des portsspécifiques.

• Lancez une instance Amazon EC2 dans votre sous-réseau et associez une adresse IPv6 à l'instance lorsdu lancement. Une adresse IPv6 est globalement unique et elle permet à votre instance de communiqueravec Internet.

• Vous pouvez demander un bloc CIDR IPv6 pour le VPC. Lorsque vous sélectionnez cette option, vouspouvez définir le groupe de bordure réseau, qui est l'emplacement à partir duquel nous publions le blocCIDR IPV6. La définition du groupe de bordure réseau limite le bloc CIDR à ce groupe.

Pour plus d’informations sur l'adressage IPv4 et IPv6, consultez Adressage IP dans votre VPC.

Tâches• Étape 1 : Création du VPC (p. 16)• Étape 2 : Créer un groupe de sécurité (p. 19)• Étape 3 : Lancer une instance (p. 20)

Étape 1 : Création du VPCPour cette étape, vous utilisez l'Assistant Amazon VPC de la console Amazon VPC afin de créer un VPC.Par défaut, l'Assistant exécute automatiquement les étapes suivantes :

• Crée un VPC avec un bloc d'adresse CIDR IPv4 /16 et associe un bloc d'adresse CIDR IPv6 /56 auVPC. Pour plus d'informations, consultez Votre VPC. La taille du bloc CIDR IPv6 est fixe (/56) et la plaged'adresses IPv6 est automatiquement allouée à partir du pool d'adresses IPv6 Amazon (vous ne pouvezpas sélectionner la plage vous-même).

16

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#YourVPC

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 1 : Création du VPC

• Il associe une passerelle Internet au VPC. Pour de plus amples informations sur les passerelles Internet,veuillez consulter Passerelles Internet.

• Crée un sous-réseau avec un bloc d'adresse CIDR IPv4 /24 et un bloc d'adresse CIDR IPv6 /64 dans leVPC. La taille du bloc d'adresse CIDR IPv6 est fixe (/64).

• Il crée une table de routage personnalisée et l'associe à votre sous-réseau, de sorte que le trafic puissecirculer entre le sous-réseau et la passerelle Internet. Pour plus d'informations sur les tables de routage,consultez Tables de routage.

• Associe un bloc CIDR fourni par Amazon IPv6 à un groupe de bordure réseau. Pour plus d'informations,consultez the section called “Extension de vos ressources VPC dans les zones locales AWS” (p. 94).

Note

Cet exercice correspond au premier scénario de l'assistant VPC. Pour plus d'informations sur lesautres scénarios, consultez la page Scenarios for Amazon VPC.

Pour créer un VPC dans la zone de disponibilité par défaut

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans la barre de navigation, en haut à droite, prenez connaissance de la région dans laquelle vous

allez créer le VPC. Assurez-vous de continuer à travailler dans la même région pour le reste del'exercice, car vous ne pouvez pas lancer une instance dans votre VPC à partir d'une autre région.Pour plus d'informations, consultez la section Régions et zones de disponibilité dans le Amazon EC2Guide de l'utilisateur pour les instances Linux.

3. Dans le volet de navigation, choisissez Tableau de bord du VPC, puis Launch VPC Wizard (Lancerl'assistant VPC).

Note


4. Choisissez l'option de configuration que vous souhaitez implémenter, par exemple, VPC avec un seulsous-réseau public, puis choisissez Sélectionner.

5. Sur la page de configuration, entrez le nom de votre VPC dans le champ Nom du VPC (par exemple,my-vpc), puis le nom de votre sous-réseau dans le champ Nom du sous-réseau (subnet). Cela vouspermet d'identifier le VPC et le sous-réseau dans la console Amazon VPC une fois que vous les avezcréés.

6. Dans le champ Bloc CIDR IPv4, vous pouvez conserver le paramètre par défaut (10.0.0.0/16) ;sinon, spécifiez-en un. Pour plus d'informations, consultez la page Dimensionnement d'un VPC.

En regard de IPv6 CIDR block, choisissez Amazon-provided IPv6 CIDR block.7. Pour Public subnet's IPv4 CIDR, conservez le paramètre par défaut ou spécifiez votre propre valeur.

Pour Public subnet's IPv6 CIDR, choisissez Specify a custom IPv6 CIDR. Vous pouvez conserver lavaleur de paire hexadécimale par défaut pour le sous-réseau IPv6 (00).

8. Conservez les autres valeurs de configuration par défaut sur la page, puis choisissez Créer VPC.9. Une fenêtre d'état indique la progression de ces tâches. Une fois l'opération terminée, choisissez OK

pour fermer la fenêtre d'état.10. La page Your VPCs affiche votre VPC par défaut et celui que vous venez de créer.

Pour créer un VPC dans une zone locale

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans la barre de navigation, en haut à droite, prenez connaissance de la région dans laquelle vous

allez créer le VPC. Assurez-vous de continuer à travailler dans la même région pour le reste del'exercice, car vous ne pouvez pas lancer une instance dans votre VPC à partir d'une autre région.

17

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing


Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 1 : Création du VPC

Pour plus d'informations, consultez la section Régions et zones de disponibilité dans le Amazon EC2Guide de l'utilisateur pour les instances Linux.

3. Dans le volet de navigation, choisissez Tableau de bord du VPC, puis Launch VPC Wizard (Lancerl'assistant VPC).

Note


4. Choisissez l'option de configuration que vous souhaitez implémenter, par exemple, VPC avec un seulsous-réseau public, puis choisissez Sélectionner.

5. Sur la page de configuration, entrez le nom de votre VPC dans le champ Nom du VPC (par exemple,my-vpc), puis le nom de votre sous-réseau dans le champ Nom du sous-réseau (subnet). Cela vouspermet d'identifier le VPC et le sous-réseau dans la console Amazon VPC une fois que vous les avezcréés.

6. Pour le bloc CIDR IPv4, spécifiez le bloc CIDR. Pour plus d’informations, consultez Dimensionnementd’un VPC.

7. En regard de IPv6 CIDR block, choisissez Amazon-provided IPv6 CIDR block.8. Pour Groupe de bordure réseau, choisissez le groupe à partir duquel AWS annonce les adresses IP.9. Conservez les autres valeurs de configuration par défaut sur la page, puis choisissez Créer VPC.10. Une fenêtre d'état indique la progression de ces tâches. Une fois l'opération terminée, choisissez OK

pour fermer la fenêtre d'état.11. La page Your VPCs affiche votre VPC par défaut et celui que vous venez de créer.

Affichage d'informations sur votre VPCAprès avoir créé un VPC, vous pouvez consulter les informations sur le sous-réseau, la passerelleInternet et les tables de routage. Le VPC que vous avez créé inclut deux tables de routage — une tablede routage principale (incluse dans tous les VPC par défaut) et une table de routage personnalisée, crééepar l'assistant. La table de routage personnalisée est associée à votre sous-réseau. En d'autres termes,les routes figurant dans cette table déterminent comment le trafic circule vers le sous-réseau. Si vouschoisissez d'ajouter un nouveau sous-réseau à votre VPC, il utilisera la table de routage principale pardéfaut.

Pour afficher des informations sur votre VPC :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs. Notez le nom et l'ID du VPC que vous avez

créé (consultez les colonnes Name et VPC ID). Ces informations vous permettent d'identifier lescomposants associés à votre VPC.

Lorsque vous utilisez des zones locales, l'entrée IPv6 (Network Border Group) indique le groupe debordure réseau VPC (par exemple, us-west-2-lax-1).

3. Dans le volet de navigation, choisissez Subnets. La console affiche le sous-réseau créé lors de lacréation de votre VPC. Vous pouvez identifier le sous-réseau par son nom dans la colonne Name, ouutiliser les informations sur le VPC (obtenues lors de l'étape précédente) et consulter la colonne VPC.

4. Dans le volet de navigation, choisissez Internet Gateways. Pour identifier la passerelle Internetassociée à votre VPC, consultez la colonne VPC, qui inclut l'ID et le nom (le cas échéant) du VPC.

5. Dans le volet de navigation, choisissez Route Tables. Deux tables de routage sont associées au VPC.Sélectionnez la table de routage personnalisée (celle dont la colonne Main contient la valeur No), puissélectionnez l'onglet Routes afin d'afficher les informations de routage dans le volet de détails :

• Les deux premières lignes de la table sont les routages locaux qui permettent aux instances au seindu VPC de communiquer via IPv4 et IPv6. Vous ne pouvez pas supprimer ces routages.

18





Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 2 : Créer un groupe de sécurité

• La ligne suivante indique le routage ajouté via l'Assistant Amazon VPC pour permettre au traficdestiné à une adresse IPv4 hors du VPC (soit 0.0.0.0/0) d'être acheminé du sous-réseau vers lapasserelle Internet.

• La ligne suivante indique le routage qui permet au trafic destiné à une adresse IPv6 hors du VPC(soit ::/0) d'être acheminé du sous-réseau vers la passerelle Internet.

6. Sélectionnez la table de routage principale. La table de routage principale comporte un routage local,mais pas d'autres routages.

Étape 2 : Créer un groupe de sécuritéUn groupe de sécurité fonctionne comme un pare-feu virtuel contrôlant le trafic vers les instances qui luisont associées. Pour utiliser un groupe de sécurité, vous devez ajouter les règles entrantes pour contrôlerle trafic entrant vers l'instance et les règles sortantes pour contrôler le trafic sortant de votre instance. Pourassocier un groupe de sécurité à une instance, vous devez le spécifier lors du lancement de cette dernière.

Votre VPC est associé à un groupe de sécurité par défaut. Toute instance qui n'est pas spécifiquementassociée à un autre groupe de sécurité lors du lancement est affectée au groupe de sécurité par défaut.Dans cet exercice, vous allez créer un groupe de sécurité (WebServerSG) et le spécifier lors du lancementd'une instance dans votre VPC.

Création de votre groupe de sécurité WebServerSGVous pouvez créer votre groupe de sécurité à l'aide de la console Amazon VPC.

Pour créer le groupe de sécurité WebServerSG et ajouter des règles :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Security Groups, Create Security Group.3. Dans le champ Nom du groupe, entrez WebServerSG comme nom du groupe de sécurité et

fournissez une description. Si vous le souhaitez, vous pouvez utiliser le champ Name tag afin de créerune balise pour le groupe de sécurité, avec la clé Name et une valeur que vous spécifiez.

4. Sélectionnez l'ID de votre VPC dans le menu VPC, puis choisissez Yes, Create.5. Sélectionnez le groupe de sécurité WebServerSG que vous venez de créer (son nom s'affiche dans la

colonne Group Name).6. Sous l'onglet Inbound Rules, choisissez Edit et ajoutez les règles pour le trafic entrant de la façon

suivante :

a. Sous Type, choisissez HTTP et entrez ::/0 dans le champ Source.b. Choisissez Add another rule, puis sélectionnez HTTPS dans la liste Type et entrez ::/0 dans le

champ Source.c. Choisissez Add another rule. Si vous lancez une instance Linux, choisissez SSH pour le Type et,

si vous lancez une instance Windows, choisissez RDP. Entrez la plage d'adresses IPv6 publiquesde votre réseau dans le champ Source. Si vous ne connaissez pas cette plage d'adresses, vouspouvez utiliser la plage ::/0 dans le cadre de cet exercice.

Important

Si vous utilisez la plage ::/0, vous autorisez toutes les adresses IPv6 à accéder à votreinstance via SSH ou RDP. Cette méthode est acceptable dans le cadre de cet exercice,mais n'est pas sécurisée pour les environnements de production. Dans un environnementde production, vous autorisez uniquement l'accès à votre instance pour une adresse IPou une plage d'adresses spécifiques.

d. Choisissez Save.

19


Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 3 : Lancer une instance

Étape 3 : Lancer une instanceLorsque vous lancez une instance EC2 au sein d'un VPC, vous devez spécifier le sous-réseau dans lequelvous la lancez. Dans ce cas, vous allez lancer une instance dans le sous-réseau public du VPC que vousavez créé. Utilisez l'Assistant de lancement Amazon EC2 dans la console Amazon EC2 pour lancer votreinstance.

Pour vous assurer que votre instance est accessible depuis Internet, attribuer une adresse IPv6 à l'instanceà partir de la plage du sous-réseau lors du lancement. Ceci permet à votre instance de communiquer avecInternet via IPv6.

Pour lancer une instance EC2 dans un VPC

Avant de lancer l'instance EC2 dans le VPC, configurez le sous-réseau du VPC pour affecterautomatiquement des adresses IP IPv6. Pour plus d'informations, consultez the section called “Modificationde l'attribut d'adressage IPv6 de votre sous-réseau” (p. 126).

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans la barre de navigation, en haut à droite, assurez-vous d'avoir sélectionné la même région que

celle dans laquelle vous avez créé votre VPC et votre groupe de sécurité.3. Dans le tableau de bord, choisissez Launch Instance.4. Sur la première page de l'Assistant, sélectionnez l'AMI que vous souhaitez utiliser. Pour cet exercice,

nous vous recommandons de choisir un AMI Amazon Linux ou Windows.5. Sur la page Choose an Instance Type, vous pouvez sélectionner la configuration matérielle et la taille

de l'instance à lancer. Par défaut, l'Assistant sélectionne le premier type d'instance disponible enfonction de l'AMI que vous avez sélectionnée. Vous pouvez conserver l'option sélectionnée par défautet choisir Suivant : Configurer les détails de l'instance.

6. Sur la page Configurer les détails de l'instance, sélectionnez le VPC que vous avez créé dans la listeRéseau, puis le sous-réseau dans la liste Sous-réseau.

7. Dans le champ Auto-assign IPv6 IP, choisissez Enable.8. Conservez les autres paramètres par défaut, puis parcourez les pages suivantes de l'assistant jusqu'à

la page Add Tags.9. Sur la page Add Tags, vous pouvez ajouter une balise Name à votre instance (par exemple,

Name=MyWebServer). Cela vous permet d'identifier votre instance dans la console Amazon EC2une fois que vous l'avez lancée. Choisissez Next: Configure Security Group une fois que vous avezterminé.

10. Sur la page Configure Security Group (Configurer le groupe de sécurité), l'assistant définitautomatiquement le groupe de sécurité lancer-l'assistant-x afin de vous permettre de vous connecterà votre instance. Choisissez plutôt l'option Select an existing security group, sélectionnez le groupeWebServerSG que vous avez créé précédemment, puis choisissez Review and Launch.

11. Sur la page Examiner le lancement de l'instance, vérifiez les détails de votre instance, puis choisissezLancer.

12. Dans la boîte de dialogue Select an existing key pair or create a new key pair (Sélectionner unepaire de clés existante ou créer une nouvelle paire de clés), vous pouvez choisir une paire de clésexistante ou en créer une nouvelle. Si vous optez pour la création d'une nouvelle paire de clés, veillezà télécharger le fichier et à le stocker dans un emplacement sûr. Les éléments contenus dans la cléprivée sont nécessaires pour établir à la connexion à votre instance après son lancement.

Pour lancer votre instance, activez la case à cocher de confirmation et choisissez Lancer desinstances.

13. Sur la page de confirmation, choisissez View Instances pour afficher votre instance sur la pageInstances. Sélectionnez votre instance et consultez les détails la concernant dans l'onglet Description.Le champ IP privées contient l'adresse IPv4 privée affectée à votre instance à partir de la plage

20


Amazon Virtual Private Cloud Guide de l'utilisateurConfigurations de l’assistant de la console Amazon VPC

d'adresses IPv4 de votre sous-réseau. Le champ IPv6 IPs contient l'adresse IPv6 affectée à votreinstance à partir de la plage d'adresses IPv6 de votre sous-réseau.

Pour plus d'informations sur les options disponibles dans l'assistant de lancement d'Amazon EC2,consultez Lancement d'une instance dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Vous pouvez vous connecter à votre instance via son adresse IPv6 à l'aide de SSH ou du Bureau àdistance, à partir de votre réseau domestique. Votre ordinateur local doit avoir une adresse IPv6 et doitêtre configuré pour utiliser IPv6. Pour plus d'informations sur la connexion à une instance Linux, consultezConnexion à votre instance Linux dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.Pour plus d'informations sur la connexion à une instance Windows, consultez Connexion à votre instanceWindows à l'aide de RDP dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Note

Si vous voulez que votre instance soit également accessible par le biais d'une adresse IPv4 viaInternet, SSH ou RDP, vous devez associer une adresse IP Elastic (une adresse IPv4 publiquestatique) à votre instance, et vous devez configurer vos règles de groupe de sécurité afin depermettre l'accès via IPv4. Pour plus d'informations, consultez Mise en route avec AmazonVPC (p. 12).

Configurations de l’assistant de la console AmazonVPC

Vous pouvez utiliser l'assistant Amazon VPC Console pour créer l'une des configurations VPC suivantesqui est autre que l'option par défaut.

Rubriques• VPC avec un sous-réseau public unique (p. 21)• VPC avec des sous-réseaux publics et privés (NAT) (p. 29)• VPC avec des sous-réseaux publics et privés et un accès AWS Site-to-Site VPN (p. 47)• VPC avec un sous-réseau privé seulement et un accès AWS Site-to-Site VPN (p. 63)

VPC avec un sous-réseau public uniqueLa configuration de ce scénario comprend un Virtual Private Cloud (VPC) avec un seul sous-réseau publicet une passerelle Internet pour permettre la communication sur Internet. Nous vous recommandons cetteconfiguration si vous avez besoin d'exécuter une application Web à un seul niveau et destinée au public,telle qu'un blog ou un simple site Web.

Ce scénario peut également être configuré pour IPv6 ; vous pouvez utiliser l'Assistant VPC pour créerun VPC et un sous-réseau avec des blocs d'adresses CIDR IPv6 associés. Les instances lancées dansle sous-réseau public peuvent recevoir des adresses IPv6 et communiquer à l'aide d'IPv6. Pour plusd'informations sur l'adressage IPv4 et IPv6, consultez Adressage IP dans votre VPC (p. 122).

Pour de plus amples informations sur la gestion de logiciels sur votre instance EC2, veuillez consulterGestion de logiciels sur votre instance Linux dans le Amazon EC2 Guide de l'utilisateur pour les instancesLinux.

Sommaire• Présentation (p. 22)• Routage (p. 23)

21

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html




https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/managing-software.html

Amazon Virtual Private Cloud Guide de l'utilisateurVPC avec un sous-réseau public unique

• Sécurité (p. 24)

PrésentationLe schéma suivant illustre les principaux composants pour la configuration de ce scénario.

Note

Si vous avez terminé , Mise en route avec Amazon VPC (p. 12)vous avez déjà implémenté cescénario à l'aide de l'assistant VPC dans la console Amazon VPC.

La configuration de ce scénario est la suivante :

• Un Virtual Private Cloud (VPC) avec bloc d'adresse CIDR IPv4 de taille /16 (par exemple : 10.0.0.0/16).Cela permet d'obtenir 65 536 adresses IPv4 privées.

• Un sous-réseau avec bloc d'adresse CIDR IPv4 de taille /24 (par exemple : 10.0.0.0/24). Cela permetd'obtenir 256 adresses IPv4 privées.

• une passerelle Internet ; Celle-ci connecte le VPC à Internet et aux autres services AWS.• Une instance dotée d'une adresse IPv4 privée dans la plage de sous-réseaux (par exemple : 10.0.0.6)

qui permet à l'instance de communiquer avec d'autres instances dans le VPC, et une adresse IPv4Elastic (par exemple : 198.51.100.2), c'est-à-dire une adresse IPv4 publique qui permet d'accéder àl'instance depuis Internet.

• Table de routage personnalisée associée au sous-réseau Les entrées de la table de routage permettentaux instances du sous-réseau d'utiliser IPv4 pour communiquer avec d'autres instances du VPC et decommuniquer directement via Internet. Un sous-réseau associé à une table de routage comportant uneroute vers une passerelle Internet est appelé sous-réseau public.

Pour plus d'informations sur les sous-réseaux, consultez la section VPC et sous-réseaux (p. 91). Pourplus d'informations sur les passerelles Internet, consultez Passerelles Internet (p. 243).

22


Présentation d'IPv6Vous pouvez activer IPv6 pour ce scénario, le cas échéant. Outre les composants répertoriés ci-dessus, laconfiguration inclut les éléments suivants :

• Un bloc d'adresse CIDR IPv6 de taille /56 associé au VPC (par exemple : 2001:db8:1234:1a00::/56).Amazon attribue automatiquement le CIDR ; vous ne pouvez pas choisir la plage.

• Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau public (par exemple :2001:db8:1234:1a00::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée auVPC. Vous ne pouvez pas choisir la taille du bloc d'adresse CIDR IPv6 du sous-réseau.

• Adresse IPv6 attribuée à l'instance à partir de la plage de sous-réseaux (exemple :2001:db8:1234:1a00::123).

• Des entrées de la table de routage personnalisée qui permettent aux instances du VPC d'utiliser IPv6pour communiquer entre elles, ainsi que directement via Internet.

RoutageVotre VPC possède un routeur implicite (illustré dans le schéma de configuration ci-dessus). Dans cescénario, l'assistant VPC crée une table de routage personnalisée qui achemine tout le trafic destiné à uneadresse à l'extérieur du VPC vers la passerelle Internet et associe cette table de routage au sous-réseau.

Le tableau suivant présente la table de routage correspondant à l'exemple de schéma de configuration ci-dessus. La première entrée correspond à l'entrée par défaut pour le routage IPv4 local dans le VPC ; elle

23


permet aux instances du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste dutrafic du sous-réseau IPv4 vers la passerelle Internet (par exemple, igw-1a2b3c4d).

Destination Target

10.0.0.0/16 locale

0.0.0.0/0 igw-id

Routage pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et votre sous-réseau, votre table de routagedoivent inclure des routages séparés pour le trafic IPv6. Le tableau suivant présente la table de routagepersonnalisée pour ce scénario, si vous choisissez d'activer la communication IPv6 dans votre VPC. Ladeuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans leVPC via IPv6. La quatrième entrée achemine tout le reste du trafic IPv6 du sous-réseau vers la passerelleInternet.

Destination Target

10.0.0.0/16 locale

2001:db8:1234:1a00::/56 locale

0.0.0.0/0 igw-id

::/0 igw-id

SécuritéAWS propose deux fonctions que vous pouvez utiliser pour renforcer la sécurité de votre VPC : les groupesde sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vosinstances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupartdes cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez égalementutiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC.Pour de plus amples informations, veuillez consulter Confidentialité du trafic inter-réseaux dans AmazonVPC (p. 146).

Pour ce scénario, vous utiliserez un groupe de sécurité mais pas de liste ACL réseau. Si vous voulezutiliser une liste ACL réseau, consultez Règles de liste ACL réseau recommandées pour un VPC avec unsous-réseau public unique (p. 26).

Votre VPC est associé à un groupe de sécurité par défaut (p. 167). Une instance lancée dans le VPCest automatiquement associée au groupe de sécurité par défaut, sauf si vous spécifiez un autre groupede sécurité lorsque vous la lancez. Vous pouvez ajouter des règles spécifiques au groupe de sécurité pardéfaut, mais celles-ci ne conviendront peut-être pas pour les autres instances que vous lancez dans leVPC. Nous vous recommandons plutôt de créer un groupe de sécurité personnalisé pour votre serveurweb.

Dans ce scénario, créez un groupe de sécurité nommé WebServerSG. Lorsque vous créez un groupede sécurité, celui-ci est associé à une règle de trafic sortant unique qui autorise tout le trafic à quitterles instances. Vous devez modifier les règles pour autoriser le trafic entrant et limiter le trafic sortant enfonction des besoins. Vous spécifierez ce groupe de sécurité lorsque vous lancerez les instances dans leVPC.

24


Le tableau suivant décrit les règles entrantes et sortantes pour le trafic IPv4 pour le groupe de sécuritéWebServerSG.

Entrant

Source Protocole Plage deports

Commentaires

0.0.0.0/0 TCP 80 Autoriser l'accès HTTP entrant auxserveurs web depuis n'importe quelleadresse IPv4.

0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS entrant auxserveurs web depuis n'importe quelleadresse IPv4

Plage d'adresses IPv4 publiquesde votre réseau

TCP 22 (Instances Linux) Autoriser l'accèsSSH entrant depuis votre réseau viaIPv4. Vous pouvez obtenir l'adresseIPv4 publique de votre ordinateurlocal à l'aide d'un service tel quehttp://checkip.amazonaws.com ouhttps://checkip.amazonaws.com. Sivotre connexion s'effectue via un ISPou derrière un pare-feu sans adresseIP statique, vous devez déterminer laplage d'adresses IP utilisée par lesordinateurs clients.


TCP 3389 (Instances Windows) Autorisezl'accès RDP entrant depuis votreréseau via IPv4.

L'ID du groupe de sécurité (sg-xxxxxxxx)

Tous Tous (Facultatif) Autorisez le traficentrant à partir des autres instancesassociées à ce groupe de sécurité.Cette règle est automatiquementajoutée au groupe de sécurité pardéfaut pour le VPC. Pour chaquegroupe de sécurité personnaliséque vous créez, vous devez ajoutermanuellement la règle autorisant cetype de communication.

Sortant (Facultatif)

Destination Protocole Plage deports

Commentaires

0.0.0.0/0 Tous Tous Règle par défaut autorisant tousles accès sortants vers n'importequelle adresse IPv4. Si vous voulezque votre serveur Web initie le traficsortant, par exemple pour obtenirdes mises à jour logicielles, vouspouvez conserver la règle sortantepar défaut. Sinon, vous pouvezsupprimer cette règle.

25

http://checkip.amazonaws.com

https://checkip.amazonaws.com


Règles de groupe de sécurité pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et votre sous-réseau, vous devez ajouterdes règles séparées à votre groupe de sécurité pour contrôler le trafic IPv6 entrant et sortant pour votreinstance de serveur web. Dans ce scénario, le serveur web sera en mesure de recevoir tout le traficInternet via IPv6 et SSH, ainsi que le trafic RDP à partir de votre réseau local via IPv6.

Voici les règles spécifiques à IPv6 (qui s'ajoutent aux règles détaillées ci-dessus) pour le groupe desécurité WebServerSG.

Entrant


Commentaires

::/0 TCP 80 Autoriser l'accès HTTP entrant auxserveurs web depuis n'importe quelleadresse IPv6.

::/0 TCP 443 Autoriser l'accès HTTPS entrant auxserveurs web depuis n'importe quelleadresse IPv6.

Plage d'adresses IPv6 de votreréseau

TCP 22 (Instances Linux) Autoriser l'accèsSSH entrant depuis votre réseau viaIPv6.


TCP 3389 (Instances Windows) Autoriserl'accès RDP entrant depuis votreréseau via IPv6

Sortant (Facultatif)


Commentaires

::/0 Tous Tous Règle par défaut autorisant tousles accès sortants vers n'importequelle adresse IPv6. Si vous voulezque votre serveur Web initie le traficsortant, par exemple pour obtenirdes mises à jour logicielles, vouspouvez conserver la règle sortantepar défaut. Sinon, vous pouvezsupprimer cette règle.

Règles de liste ACL réseau recommandées pour un VPC avec un sous-réseaupublic unique

Le tableau suivant montre les règles que nous recommandons. Elles bloquent tout le trafic, sauf celui quiest explicitement requis.

Inbound

Rule # Source IP Protocol Port Allow/Deny Comments

26


100 0.0.0.0/0 TCP 80 AUTORISER Autorise le trafic HTTPentrant depuis n'importequelle adresse IPv4.

110 0.0.0.0/0 TCP 443 AUTORISER Autorise le trafic HTTPSentrant depuis n'importequelle adresse IPv4.

120 Plaged'adresses IPv4publiques devotre réseaudomestique

TCP 22 AUTORISER Autorise le trafic SSHentrant depuis votreréseau domestique (sur lapasserelle Internet).


TCP 3389 AUTORISER Autorise le trafic RDPentrant depuis votreréseau domestique (sur lapasserelle Internet).

140 0.0.0.0/0 TCP 32768/65535 AUTORISER Autorise le trafic de retourentrant depuis les hôtes surInternet qui répondent auxdemandes provenant dusous-réseau.

Cette plage est uniquementà titre d'exemple. Pourplus d'informations sur lechoix de ports éphémèrescorrects pour votreconfiguration, consultezPorts éphémères (p. 182).

* 0.0.0.0/0 Tout Tout REFUSER Refuse l'ensemble dutrafic IPv4 entrant qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

Outbound

Rule # Dest IP Protocol Port Allow/Deny Comments

100 0.0.0.0/0 TCP 80 AUTORISER Autorise le trafic HTTPsortant du sous-réseau versInternet.

110 0.0.0.0/0 TCP 443 AUTORISER Autorise le trafic HTTPSsortant du sous-réseau versInternet.

27


120 0.0.0.0/0 TCP 32768/65535 AUTORISER Autorise les réponsessortantes aux clients surInternet (par exemple, ladiffusion de pages Webauprès des visiteurs desserveurs Web du sous-réseau)


* 0.0.0.0/0 Tout Tout REFUSER Refuse l'ensemble dutrafic IPv4 sortant qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

Règles de liste ACL réseau recommandées pour IPv6

Si vous avez implémenté la prise en charge IPv6 et créé un VPC et un sous-réseau avec les blocsd'adresse CIDR IPv6 associés, vous devez ajouter des règles distinctes à votre ACL réseau pour contrôlerle trafic IPv6 entrant et sortant.

Voici les règles IPv6 spécifiques de votre ACL réseau (qui s'ajoutent aux règles mentionnées ci-dessus).

Inbound


150 ::/0 TCP 80 AUTORISER Autorise le trafic HTTPentrant depuis n'importequelle adresse IPv6.

160 ::/0 TCP 443 AUTORISER Autorise le trafic HTTPSentrant depuis n'importequelle adresse IPv6.

170 Plaged'adresses IPv6de votreréseaudomestique




190 ::/0 TCP 32768/65535 AUTORISER Autorise le trafic de retourentrant depuis les hôtes surInternet qui répondent aux

28

Amazon Virtual Private Cloud Guide de l'utilisateurVPC avec des sous-réseaux publics et privés (NAT)

demandes provenant dusous-réseau.


* ::/0 Tout Tout REFUSER Refuse l'ensemble dutrafic IPv6 entrant qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

Outbound


130 ::/0 TCP 80 AUTORISER Autorise le trafic HTTPsortant du sous-réseau versInternet.

140 ::/0 TCP 443 AUTORISER Autorise le trafic HTTPSsortant du sous-réseau versInternet.

150 ::/0 TCP 32768/65535 AUTORISER Autorise les réponsessortantes aux clients surInternet (par exemple, ladiffusion de pages Webauprès des visiteurs desserveurs Web du sous-réseau)


* ::/0 Tout Tout REFUSER Refuse l'ensemble dutrafic IPv6 sortant qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

VPC avec des sous-réseaux publics et privés (NAT)La configuration de ce scénario comprend un Virtual Private Cloud (VPC) avec un sous-réseau public etun sous-réseau privé. Ce scénario est conseillé si vous voulez exécuter une application Web destinée aupublic tout en maintenant les serveurs principaux qui ne sont pas accessibles publiquement. Un exemplecourant est un site Web multicouches, avec les serveurs Web dans un sous-réseau public et les serveurs

29


de base de données dans un sous-réseau privé. Vous pouvez définir une sécurité et un routage de sorteque les serveurs Web puissent communiquer avec les serveurs de base de données.

Les instances du sous-réseau public peuvent envoyer le trafic sortant directement sur le réseau Internet,tandis que les instances du sous-réseau privé ne le peuvent pas. À la place, les instances du sous-réseauprivé peuvent accéder à Internet à l'aide d'une passerelle de traduction d'adresses réseau (NAT) qui setrouve dans le sous-réseau public. Les serveurs de base de données peuvent se connecter à Internet pourles mises à jour logicielles à l'aide de la passerelle NAT, mais Internet ne peut pas établir de connexionsaux serveurs de base de données.

Note

Vous pouvez aussi utiliser l'assistant VPC pour configurer un VPC avec une instance NAT ;cependant, nous vous conseillons d'utiliser une passerelle NAT. Pour plus d'informations,consultez Passerelles NAT (p. 253).

Ce scénario peut également être configuré pour IPv6— ; vous pouvez utiliser l'Assistant VPC pour créerun VPC et des sous-réseaux avec des blocs d'adresse CIDR IPv6 associés. Les instances lancées dansles sous-réseaux peuvent recevoir des adresses IPv6 et communiquer à l'aide d'IPv6. Les instancesdu sous-réseau privé peuvent utiliser une passerelle Internet de sortie uniquement pour se connecter àInternet via IPv6, mais l'Internet ne peut pas établir de connexion aux instances privées via IPv6. Pour plusd'informations sur l'adressage IPv4 et IPv6, consultez Adressage IP dans votre VPC (p. 122).


Sommaire• Présentation (p. 30)• Routage (p. 33)• Sécurité (p. 35)• Implémentation du scénario 2 (p. 38)• Implémentation du scénario 2 avec une instance NAT (p. 39)• Règles de liste ACL réseau recommandées pour un VPC avec des sous-réseaux publics et privés

(NAT) (p. 39)


30




• Un VPC avec bloc d'adresse CIDR IPv4 de taille /16 (par exemple : 10.0.0.0/16). Cela permet d'obtenir65 536 adresses IPv4 privées.

• Un sous-réseau public avec bloc d'adresse CIDR IPv4 de taille /24 (par exemple : 10.0.0.0/24). Celapermet d'obtenir 256 adresses IPv4 privées. Un sous-réseau public est un sous-réseau associé à unetable de routage comportant une route vers une passerelle Internet.

• Un sous-réseau privé avec bloc d'adresse CIDR IPv4 de taille /24 (par exemple : 10.0.1.0/24). Celapermet d'obtenir 256 adresses IPv4 privées.

• Une passerelle Internet. Celle-ci connecte le VPC à Internet et aux autres services AWS.• Les instances avec des adresses IPv4 privées dans la plage de sous-réseaux (exemples : 10.0.0.5,

10.0.1.5). Cela leur permet de communiquer les unes avec les autres, de même qu'avec d'autresinstances dans le VPC.

• Des instances du sous-réseau public dotées d'adresses IPv4 Elastic (par exemple : 198.51.100.1), c'est-à-dire des adresses IPv4 publiques qui leur permettent d'être accessibles via Internet. Les instancespeuvent avoir des adresses IP publiques attribuées au lancement au lieu d'adresses IP Elastic. Lesinstances du sous-réseau privé sont des serveurs principaux qui n'ont pas besoin d'accepter le traficentrant depuis Internet et qui, par conséquent, n'ont pas d'adresses IP publiques ; cependant, ellespeuvent envoyer des demandes à Internet à l'aide de la passerelle NAT (voir le point suivant).

• Une passerelle NAT avec sa propre adresse IPv4 Elastic : Les instances du sous-réseau privé peuventenvoyer des demandes à Internet via la passerelle NAT via IPv4 (par exemple, pour les mises à jourlogicielles).

• Table de routage personnalisée associée au sous-réseau public. Cette table de routage contient uneentrée qui permet aux instances dans le sous-réseau de communiquer avec d'autres instances dans le

31


VPC via IPv4, et une entrée qui permet aux instances dans le sous-réseau de communiquer directementavec Internet via IPv4.

• Table de routage principale associée au sous-réseau privé. La table de routage contient une entrée quipermet aux instances dans le sous-réseau de communiquer avec d'autres instances dans le VPC viaIPv4, et une entrée qui permet aux instances dans le sous-réseau de communiquer avec Internet via lapasserelle NAT via IPv4.

Pour plus d'informations sur les sous-réseaux, consultez la section VPC et sous-réseaux (p. 91).Pour plus d'informations sur les passerelles Internet, consultez Passerelles Internet (p. 243). Pour plusd'informations les passerelles NAT, consultez la section Passerelles NAT (p. 253).

Présentation d'IPv6

Vous pouvez activer IPv6 pour ce scénario, le cas échéant. Outre les composants répertoriés ci-dessus, laconfiguration inclut les éléments suivants :

• Un bloc d'adresse CIDR IPv6 de taille /56 associé au VPC (par exemple : 2001:db8:1234:1a00::/56).Amazon attribue automatiquement le CIDR ; vous ne pouvez pas choisir la plage.

• Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau public (par exemple :2001:db8:1234:1a00::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée auVPC. Vous ne pouvez pas choisir la taille du bloc d'adresse CIDR IPv6 du VPC.

• Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau privé (par exemple :2001:db8:1234:1a01::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée auVPC. Vous ne pouvez pas choisir la taille du bloc d'adresse CIDR IPv6 du sous-réseau.

• Des adresses IPv6 attribuées aux instances à partir de la plage du sous-réseau (par exemple :2001:db8:1234:1a00::1a).

• Passerelle Internet de sortie uniquement. Cela permet aux instances du sous-réseau privé d'envoyer desdemandes à Internet via IPv6 (par exemple, pour des mises à jour logicielles). Une passerelle Internetde sortie uniquement est nécessaire si vous souhaitez que les instances du sous-réseau privé puissentinitier la communication avec Internet via IPv6. Pour plus d'informations, consultez Passerelles Internetde sortie uniquement (p. 249).

• Des entrées de la table de routage personnalisée qui permettent aux instances du sous-réseau publicd'utiliser IPv6 pour communiquer entre elles, ainsi que directement via Internet.

• Entrées de la table de routage principale qui permettent aux instances du sous-réseau privé d'utiliserIPv6 pour communiquer entre elles et pour communiquer avec Internet via une passerelle Internet desortie uniquement.

32


RoutageDans ce scénario, l'assistant VPC met à jour la table de routage principale utilisée avec le sous-réseauprivé, puis il crée une table de routage personnalisée et l'associe au sous-réseau public.

Dans ce scénario, tout le trafic de chaque sous-réseau qui est lié pour AWS (par exemple, aux pointsde terminaison Amazon EC2 ou Amazon S3) passe pas la passerelle Internet. Les serveurs de base dedonnées dans le sous-réseau privé ne peuvent pas recevoir de trafic en provenance d'Internet directementcar ils n'ont pas d'adresses IP Elastic. Cependant, les serveurs de base de données peuvent envoyer etrecevoir du trafic Internet via le dispositif NAT dans le sous-réseau public.

Tous les sous-réseaux supplémentaires que vous créez utilisent la table de routage principale par défaut,ce qui signifie qu'ils sont des sous-réseaux privés par défaut. Si vous voulez rendre un sous-réseau public,vous pouvez toujours modifier la table de routage à laquelle il est associé.

Les tableaux ci-après décrivent les tables de routage pour ce scénario.

Table de routage principale

La première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet auxinstances du VPC de communiquer entre elles. La deuxième entrée envoie tout le reste du trafic du sous-réseau vers la passerelle NAT (par exemple, nat-12345678901234567).

33


Destination Target

10.0.0.0/16 locale

0.0.0.0/0 nat-gateway-id

Table de routage personnaliséeLa première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet auxinstances du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic dusous-réseau à Internet via la passerelle Internet (par exemple, igw-1a2b3d4d).

Destination Target

10.0.0.0/16 locale

0.0.0.0/0 igw-id

Routage pour IPv6Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vos tables de routagedoivent inclure des routages séparés pour le trafic IPv6. Les tableaux suivants présentent les tables deroutage pour ce scénario, si vous choisissez d'activer la communication IPv6 dans votre VPC.


La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dansle VPC via IPv6. La quatrième entrée achemine tout le reste du trafic de sous-réseau IPv6 à la passerelleInternet de sortie uniquement.

Destination Target

10.0.0.0/16 locale

2001:db8:1234:1a00::/56 locale


::/0 egress-only-igw-id

Table de routage personnalisée

La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans leVPC via IPv6. La quatrième entrée achemine tout le reste du trafic IPv6 du sous-réseau vers la passerelleInternet.

Destination Target

10.0.0.0/16 locale

2001:db8:1234:1a00::/56 locale

0.0.0.0/0 igw-id

::/0 igw-id

34



Pour le scénario 2, vous utilisez des groupes de sécurité, mais pas de liste ACL réseau. Si vous voulezutiliser une liste ACL réseau, consultez Règles de liste ACL réseau recommandées pour un VPC avec dessous-réseaux publics et privés (NAT) (p. 39).

Votre VPC est associé à un groupe de sécurité par défaut (p. 167). Une instance lancée dans le VPCest automatiquement associée au groupe de sécurité par défaut, sauf si vous spécifiez un autre groupe desécurité lorsque vous la lancez. Pour ce scénario, nous vous conseillons de créer les groupes de sécuritésuivants plutôt que d'utiliser le groupe de sécurité par défaut :

• WebServerSG : spécifiez ce groupe de sécurité lorsque vous lancez les serveurs web dans le sous-réseau public.

• DBServerSG : spécifiez ce groupe de sécurité lorsque vous lancez les serveurs de base de donnéesdans le sous-réseau privé.

Les instances affectées à un groupe de sécurité peuvent se trouver dans différents sous-réseaux.Cependant, dans ce scénario, chaque groupe de sécurité correspond au type de rôle d'une instance, etchaque rôle exige que l'instance se trouve dans un sous-réseau spécifique. Par conséquent, dans cescénario, toutes les instances affectées à un groupe de sécurité se trouvent dans le même sous-réseau.

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité WebServerSG, quipermet aux serveurs web de recevoir le trafic Internet, ainsi que le trafic SSH et RDP en provenance devotre réseau. Les serveurs Web peuvent également initier des demandes de lecture et d'écriture sur lesserveurs de base de données dans le sous-réseau privé, puis envoyer du trafic vers Internet ; par exemple,pour obtenir des mises à jour logicielles. Étant donné que le serveur Web n'est pas à l'origine d'autrescommunications sortantes, la règle de trafic sortant par défaut est retirée.

Note

Ces recommandations incluent à la fois l'accès SSH et RDP, ainsi que l'accès Microsoft SQLServer et MySQL access. Dans votre cas, vous n'aurez peut-être besoin que de règles pour Linux(SSH et MySQL) ou Windows (RDP et Microsoft SQL Server).

WebServerSG : règles recommandées

Entrant


Commentaires


0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS entrant auxserveurs web depuis n'importe quelleadresse IPv4.

35


Plage d'adresses IPv4 publiquesde votre réseau domestique

TCP 22 Autoriser l'accès SSH entrantaux instances Linux depuisvotre réseau domestique (viala passerelle Internet). Vouspouvez obtenir l'adresse IPv4publique de votre ordinateur localà l'aide d'un service tel que http://checkip.amazonaws.com ou https://checkip.amazonaws.com. Si votreconnexion s'effectue via un ISP ouderrière un pare-feu sans adresse IPstatique, vous devez déterminer laplage d'adresses IP utilisée par lesordinateurs clients.

Plage d'adresses IPv4 publiquesde votre réseau domestique

TCP 3389 Autoriser l'accès RDP entrant auxinstances Windows depuis votreréseau domestique (via la passerelleInternet).

Sortant


Commentaires

ID de votre groupe de sécuritéDBServerSG

TCP 1433 Autorisez l'accès Microsoft SQLServer sortant aux serveurs de basede données affectés au groupe desécurité DBServerSG.


TCP 3306 Autorisez l'accès MySQL sortantaux serveurs de base de donnéesaffectés au groupe de sécuritéDBServerSG.

0.0.0.0/0 TCP 80 Autoriser l'accès HTTP sortant versn'importe quelle adresse IPv4.

0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS sortant versn'importe quelle adresse IPv4.

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité DBServerSG, ce quiautorise les demandes de lecture ou d'écriture de base de données depuis les serveurs web. Les serveursde base de données peuvent également initier un trafic lié à Internet (la table de routage envoie ce traficvers la passerelle NAT, laquelle le réachemine ensuite vers Internet via la passerelle Internet).

DBServerSG : règles recommandées

Entrant


Commentaires

ID de votre groupe de sécuritéWebServerSG

TCP 1433 Autorisez l'accès entrant MicrosoftSQL Server à partir des serveursweb associés au groupe de sécuritéWebServerSG.

36







TCP 3306 Autorisez l'accès entrant MySQL àpartir des serveurs web associés augroupe de sécurité WebServerSG.

Sortant


Commentaires

0.0.0.0/0 TCP 80 Autorisez l'accès HTTP sortant àInternet sur IPv4 (par exemple, pourles mises à jour logicielles).

0.0.0.0/0 TCP 443 Autorisez l'accès HTTPS sortant àInternet sur IPv4 (par exemple, pourles mises à jour logicielles).

(Facultatif) Le groupe de sécurité par défaut pour un VPC a des règles qui autorisent automatiquement lesinstances assignées à communiquer entre elles. Pour autoriser ce type de communication pour un groupede sécurité personnalisé, vous devez ajouter les règles suivantes :

Entrant


Commentaires

ID du groupe de sécurité Tous Tous Autoriser le trafic entrant enprovenance des autres instancesaffectées à ce groupe de sécurité.

Sortant


Commentaires

ID du groupe de sécurité Tous Tous Autorisez le trafic sortant vers lesautres instances affectées à cegroupe de sécurité.

(Facultatif) Si vous lancez un hôte bastion dans votre sous-réseau public pour l'utiliser comme proxy pourle trafic SSH ou RDP depuis votre réseau domestique vers votre sous-réseau privé, ajoutez une règle augroupe de sécurité DBServerSG qui autorise le trafic SSH ou RDP entrant depuis votre instance bastion ouson groupe de sécurité associé.


Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vous devez ajouter desrègles séparées à vos groupes de sécurité WebServerSG et DBServerSG pour contrôler le trafic IPv6entrant et sortant pour vos instances. Dans ce scénario, les serveurs web seront en mesure de recevoirtout le trafic Internet via IPv6 et SSH, ainsi que le trafic RDP à partir de votre réseau local via IPv6. Ilspeuvent également lancer le trafic IPv6 sortant vers Internet. Les serveurs de base de données peuventinitier le trafic IPv6 sortant vers le réseau Internet.


37


Entrant


Commentaires







Sortant


Commentaires

::/0 TCP HTTP Autoriser l'accès HTTP sortant versn'importe quelle adresse IPv6.

::/0 TCP HTTPS Autoriser l'accès HTTPS sortant versn'importe quelle adresse IPv6.

Voici les règles spécifiques à IPv6 pour le groupe de sécurité DBServerSG (qui s'ajoutent aux règlesdétaillées ci-dessus).

Sortant


Commentaires

::/0 TCP 80 Autoriser l'accès HTTP sortant versn'importe quelle adresse IPv6.

::/0 TCP 443 Autoriser l'accès HTTPS sortant versn'importe quelle adresse IPv6.

Implémentation du scénario 2Vous pouvez utiliser l'Assistant VPC pour créer le VPC, les sous-réseaux, la passerelle NAT et le caséchéant, une passerelle Internet de sortie uniquement. Vous devez spécifier une adresse IP Elastic pourvotre passerelle NAT ; si vous n'en avez pas, vous devrez d'abord en attribuer une à votre compte. Si vousvoulez utiliser une adresse IP Elastic existante, vérifiez qu'elle n'est pas déjà associée à une autre instanceou interface réseau. La passerelle NAT est automatiquement créée dans le sous-réseau public de votreVPC.

38


Implémentation du scénario 2 avec une instance NATVous pouvez implémenter le scénario 2 à l'aide d'une instance NAT au lieu d'une passerelle NAT. Pourplus d'informations sur les instances NAT, consultez la section Instances NAT (p. 272).

Vous pouvez suivre les mêmes procédures que ci-dessus ; cependant, dans la section NAT del'assistant VPC, choisissez Use a NAT instance instead et indiquez les détails de votre instance NAT.Vous aurez aussi besoin d'un groupe de sécurité pour votre instance NAT (NATSG), ce qui permet àl'instance NAT de recevoir le trafic entrant d'Internet en provenance d'instances dans le sous-réseau privé,ainsi que le trafic SSH en provenance de votre réseau. L'instance NAT peut également envoyer du traficvers Internet, de sorte que les instances dans le sous-réseau privé peuvent recevoir des mises à jourlogicielles.

Après avoir créé le VPC avec l'instance NAT, vous devez remplacer le groupe de sécurité associé àl'instance NAT par le nouveau groupe de sécurité NATSG (par défaut, l'instance NAT est lancée à l'aide dugroupe de sécurité par défaut).

NATSG : règles recommandées

Entrant


Commentaires

10.0.1.0/24 TCP 80 Autoriser le trafic HTTP entrantdepuis les serveurs de base dedonnées situés dans le sous-réseauprivé

10.0.1.0/24 TCP 443 Autoriser le trafic HTTPS entrantdepuis les serveurs de base dedonnées situés dans le sous-réseauprivé

Plage d'adresses IP publiques devotre réseau

TCP 22 Autoriser l'accès SSH entrant versl'instance NAT depuis votre réseau(via la passerelle Internet)

Sortant


Commentaires

0.0.0.0/0 TCP 80 Autoriser l'accès HTTP sortant àInternet (via la passerelle Internet)

0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS sortant àInternet (via la passerelle Internet)

Règles de liste ACL réseau recommandées pour un VPC avecdes sous-réseaux publics et privés (NAT)Pour ce scénario, vous avez une liste ACL réseau pour le sous-réseau public et une autre pour le sous-réseau privé. Le tableau suivant montre les règles que nous recommandons pour chaque ACL. Ellesbloquent tout le trafic, sauf celui qui est explicitement requis. Elles imitent principalement les règles dugroupe de sécurité pour le scénario.

39


Règles ACL pour le sous-réseau public

Inbound


100 0.0.0.0/0 TCP 80 AUTORISER Autorise le trafic HTTPentrant depuis n'importequelle adresse IPv4.

110 0.0.0.0/0 TCP 443 AUTORISER Autorise le trafic HTTPSentrant depuis n'importequelle adresse IPv4.

120 Plaged'adressesIP publiquesde votreréseaudomestique


130 Plaged'adressesIP publiquesde votreréseaudomestique


140 0.0.0.0/0 TCP 1024-65535 AUTORISER Autorise le trafic de retourentrant depuis les hôtes surInternet qui répondent auxdemandes provenant dusous-réseau.



Outbound




40


120 10.0.1.0/24 TCP 1433 AUTORISER Autorise l'accès MS SQLsortant aux serveurs debase de données dans lesous-réseau privé.

Ce numéro de portest uniquement à titred'exemple. Parmi d'autresexemples, on peut citer3306 pour l'accès MySQL/Aurora, 5432 pour l'accèsPostgreSQL, 5439 pourl'accès Amazon Redshift, et1521 pour l'accès Oracle.

140 0.0.0.0/0 TCP 32768/65535 AUTORISER Autorise les réponsessortantes aux clients surInternet (par exemple, ladiffusion de pages Webauprès des visiteurs desserveurs Web du sous-réseau)


150 10.0.1.0/24 TCP 22 AUTORISER Autorise l'accès SSH sortantvers les instances de votresous-réseau privé (depuisun bastion SSH, si vous enavez un).


Règles ACL pour le sous-réseau privé

Inbound


100 10.0.0.0/24 TCP 1433 AUTORISER Autorise les serveurs Webdans le sous-réseau publicà lire et écrire aux serveursMS SQL dans le sous-réseau privé.

Ce numéro de portest uniquement à titre

41


d'exemple. Parmi d'autresexemples, on peut citer3306 pour l'accès MySQL/Aurora, 5432 pour l'accèsPostgreSQL, 5439 pourl'accès Amazon Redshift, et1521 pour l'accès Oracle.

120 10.0.0.0/24 TCP 22 AUTORISER Autorise le trafic SSHentrant depuis un bastionSSH dans le sous-réseaupublic (si vous en avez un).

130 10.0.0.0/24 TCP 3389 AUTORISER Autorise le trafic RDPentrant depuis la passerelledes services Terminal deMicrosoft dans le sous-réseau public.

140 0.0.0.0/0 TCP 1024-65535 AUTORISER Autorise le trafic de retourentrant du périphériqueNAT dans le sous-réseaupublic pour les demandesprovenant du sous-réseauprivé.

Pour plus d'informationssur la spécification deports éphémères corrects,consultez la note importanteau début de cette rubrique.

* 0.0.0.0/0 Tout Tout REFUSER Refuse l'ensemble dutrafic entrant IPv4 qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

Outbound




42


120 10.0.0.0/24 TCP 32768/65535 AUTORISER Autorise les réponsessortantes vers le sous-réseau public (par exemple,des réponses aux serveursweb dans le sous-réseaupublic qui communiquentavec des serveurs de basede données dans le sous-réseau privé).



Règles de listes ACL réseau recommandées pour IPv6

Si vous avez implémenté la prise en charge IPv6 et créé un VPC et des sous-réseaux avec les blocsd'adresse CIDR IPv6 associés, vous devez ajouter des règles distinctes à votre ACL réseau pour contrôlerle trafic IPv6 entrant et sortant.

Voici les règles IPv6 spécifiques de vos ACL réseau (qui s'ajoutent aux règles mentionnées ci-dessus).


Inbound





TCP 22 AUTORISER Autorise le trafic SSHentrant via IPv6 depuis votreréseau domestique (sur lapasserelle Internet).


TCP 3389 AUTORISER Autorise le trafic RDPentrant via IPv6 depuis votreréseau domestique (sur lapasserelle Internet).

43


190 ::/0 TCP 1024-65535 AUTORISER Autorise le trafic de retourentrant depuis les hôtes surInternet qui répondent auxdemandes provenant dusous-réseau.



Outbound




180 2001:db8:1234:1a01::/64TCP 1433 AUTORISER Autorise l'accès MS SQLsortant aux serveurs debase de données dans lesous-réseau privé.


44




210 2001:db8:1234:1a01::/64TCP 22 AUTORISER Autorise l'accès SSH sortantvers les instances de votresous-réseau privé (depuisun bastion SSH, si vous enavez un).


Règles ACL pour le sous-réseau privé

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 AUTORISER Autorise les serveurs Webdans le sous-réseau publicà lire et écrire aux serveursMS SQL dans le sous-réseau privé.


170 2001:db8:1234:1a00::/64TCP 22 AUTORISER Autorise le trafic SSHentrant depuis un bastionSSH dans le sous-réseaupublic (le cas échéant).

180 2001:db8:1234:1a00::/64TCP 3389 AUTORISER Autorise le trafic RDPentrant depuis une

45


passerelle des servicesTerminal Server Microsoftdans le sous-réseau public,le cas échéant.

190 ::/0 TCP 1024-65535 AUTORISER Autorise le trafic deretour entrant depuis lapasserelle Internet desortie uniquement pour lesdemandes provenant dusous-réseau privé.



Outbound




150 2001:db8:1234:1a00::/64TCP 32768/65535 AUTORISER Autorise les réponsessortantes vers le sous-réseau public (par exemple,des réponses aux serveursweb dans le sous-réseaupublic qui communiquentavec des serveurs de basede données dans le sous-réseau privé).


46

Amazon Virtual Private Cloud Guide de l'utilisateurVPC avec des sous-réseaux publics et

privés et un accès AWS Site-to-Site VPN


VPC avec des sous-réseaux publics et privés et unaccès AWS Site-to-Site VPNLa configuration de ce scénario comprend un cloud privé virtuel (VPC) avec un sous-réseau public et unsous-réseau privé, ainsi qu'une passerelle réseau privé virtuel pour permettre la communication avec votrepropre réseau via un tunnel VPN IPsec. Ce scénario est conseillé si vous souhaitez étendre votre réseaudans le cloud, tout en conservant la possibilité d'accéder directement à Internet depuis votre VPC. Cescénario vous permet d'exécuter une application multicouche avec un serveur Web frontal évolutif dans unsous-réseau public, et d'héberger vos données dans un sous-réseau privé qui est connecté à votre réseauà l'aide d'une connexion AWS Site-to-Site VPN IPsec.

Ce scénario peut également être configuré pour IPv6— ; vous pouvez utiliser l'Assistant VPC pour créer unVPC et des sous-réseaux avec des blocs d'adresse CIDR IPv6 associés. Les instances lancées dans lessous-réseaux peuvent recevoir des adresses IPv6. Actuellement, la communication IPv6 via une connexionSite-to-Site VPN n'est pas prise en charge ; toutefois, les instances du VPC peuvent communiquer entreelles via IPv6 et les instances du sous-réseau public peuvent communiquer par le biais d'Internet via IPv6.Pour plus d'informations sur l'adressage IPv4 et IPv6, consultez Adressage IP dans votre VPC (p. 122).


Sommaire• Présentation (p. 47)• Routage (p. 50)• Sécurité (p. 52)• Implémentation du scénario 3 (p. 56)• Règles de liste ACL réseau recommandées pour un VPC avec des sous-réseaux publics et privés et un

accès AWS Site-to-Site VPN (p. 56)


47




Important

Pour ce scénario, consultez Votre périphérique de passerelle client dans le Guide de l'utilisateurAWS Site-to-Site VPN pour plus d'informations sur la configuration du périphérique de passerelleclient de votre côté de la connexion Site-to-Site VPN.


• Un cloud privé virtuel (VPC) avec CIDR IPv4 de taille /16 (par exemple : 10.0.0.0/16). Cela permetd'obtenir 65 536 adresses IPv4 privées.

• Un sous-réseau public avec CIDR IPv4 de taille /24 (par exemple : 10.0.0.0/24). Cela permet d'obtenir256 adresses IPv4 privées. Un sous-réseau public est un sous-réseau associé à une table de routagecomportant une route vers une passerelle Internet.

• Un sous-réseau VPN unique avec CIDR IPv4 de taille /24 (par exemple : 10.0.1.0/24). Cela permetd'obtenir 256 adresses IPv4 privées.

• Une passerelle Internet. Elle connecte le VPC à Internet et aux autres produits AWS.• Une connexion Site-to-Site VPN entre votre VPC et votre réseau. La connexion Site-to-Site VPN se

compose d'une passerelle réseau privé virtuel située du côté Amazon de la connexion Site-to-Site VPNet une passerelle client située de votre côté de la connexion Site-to-Site VPN.

• Des instances avec des adresses IPv4 privées dans la gamme du sous-réseau (par exemple : 10.0.0.5et 10.0.1.5), ce qui permet aux instances de communiquer entre elles et avec d'autres instances dans leVPC.

• Des instances du sous-réseau public dotées d'adresses IP Elastic (par exemple : 198.51.100.1), c'est-à-dire des adresses IPv4 publiques qui leur permettent d'être accessibles depuis Internet. Les instancespeuvent avoir des adresses IPv4 publiques attribuées au lancement au lieu d'adresses IP Elastic. Lesinstances du sous-réseau VPN unique sont des serveurs principaux qui n'ont pas besoin d'accepter letrafic entrant depuis Internet ; cependant, elles peuvent envoyer et recevoir le trafic en provenance devotre réseau.

• Table de routage personnalisée associée au sous-réseau public. Cette table de routage contient uneentrée qui permet aux instances dans le sous-réseau de communiquer avec d'autres instances dans le

48

https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html



VPC, et une entrée qui permet aux instances dans le sous-réseau de communiquer directement avecInternet.

• Table de routage principale associée au sous-réseau VPN uniquement. La table de routage contient uneentrée qui permet aux instances dans le sous-réseau de communiquer avec d'autres instances dans leVPC, et une entrée qui permet aux instances dans le sous-réseau de communiquer directement avecvotre réseau.

Pour plus d'informations sur les sous-réseaux, consultez VPC et sous-réseaux (p. 91) et Adressage IPdans votre VPC (p. 122). Pour plus d'informations sur les passerelles Internet, consultez PasserellesInternet (p. 243). Pour plus d'informations sur votre connexion AWS Site-to-Site VPN, consultezPrésentation d'AWS Site-to-Site VPN? dans le Guide de l'utilisateur AWS Site-to-Site VPN.

Présentation d'IPv6

Vous pouvez activer IPv6 pour ce scénario, le cas échéant. Outre les composants répertoriés ci-dessus, laconfiguration inclut les éléments suivants :

• Un bloc d'adresse CIDR IPv6 de taille /56 associé au VPC (par exemple : 2001:db8:1234:1a00::/56).AWS attribue automatiquement le CIDR ; vous ne pouvez pas choisir la plage.

• Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau public (par exemple :2001:db8:1234:1a00::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée auVPC. Vous ne pouvez pas choisir la taille du CIDR IPv6.

• Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau VPN unique (par exemple :2001:db8:1234:1a01::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée auVPC. Vous ne pouvez pas choisir la taille du CIDR IPv6.


• Des entrées de la table de routage personnalisée qui permettent aux instances du sous-réseau publicd'utiliser IPv6 pour communiquer entre elles, ainsi que directement via Internet.

• Une entrée de la table de routage principale qui permet aux instances du sous-réseau VPN uniqued'utiliser IPv6 pour communiquer entre elles.

49

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html



RoutageVotre VPC possède un routeur implicite (montré dans le schéma de configuration de ce scénario). Pour cescénario, l'assistant VPC met à jour la table de routage principale utilisée avec le sous-réseau VPN unique,puis il crée une table de routage personnalisée et l'associe au sous-réseau public.

Les instances dans votre sous-réseau VPN unique ne peuvent pas directement atteindre Internet ; touttrafic lié à Internet doit d'abord traverser la passerelle réseau privé virtuel vers votre réseau, où le traficest ensuite soumis à votre pare-feu et aux politiques de sécurité de l'entreprise. Si les instances envoientdu trafic lié à AWS (par exemple, des demandes aux API Amazon S3 ou Amazon EC2), les demandesdoivent passer la passerelle réseau privé virtuel vers votre réseau et ensuite retourner vers Internet avantd'atteindre AWS. Actuellement, IPv6 n'est pas pris en charge pour les connexions Site-to-Site VPN.

50



Tip

Tout trafic en provenance de votre réseau et à direction d'une adresse IP Elastic pour uneinstance dans le sous-réseau public passe par Internet, et non pas par la passerelle réseau privévirtuel. Vous pouvez plutôt configurer une route et des règles de groupe de sécurité qui permettentle trafic vers et en provenance de votre réseau par la passerelle réseau privé virtuel vers le sous-réseau public.

La connexion Site-to-Site VPN est configurée soit comme une connexion Site-to-Site VPN à routagestatique, soit comme une connexion Site-to-Site VPN à routage dynamique (avec un BGP). Si voussélectionnez un routage statique, vous serez invité à manuellement entrer le préfixe IP pour votre réseauquand vous créez la connexion Site-to-Site VPN. Si vous sélectionnez un routage dynamique, le préfixe IPest automatiquement publié vers la passerelle réseau privé virtuel de votre VPC via le BGP.

Les tableaux ci-après décrivent les tables de routage pour ce scénario.

Table de routage principaleLa première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet auxinstances du VPC de communiquer entre elles via IPv4. La deuxième entrée achemine tout le reste dutrafic IPv4 de sous-réseau à partir du sous-réseau privé vers votre réseau via la passerelle réseau privévirtuel (par exemple, vgw-1a2b3c4d).

Destination Target

10.0.0.0/16 locale

0.0.0.0/0 vgw-id

Table de routage personnaliséeLa première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet auxinstances du VPC de communiquer entre elles. La deuxième entrée achemine le reste du trafic IPv4de sous-réseau entre le sous-réseau public et Internet, via la passerelle Internet (par exemple,igw-1a2b3c4d).

Destination Target

10.0.0.0/16 locale

0.0.0.0/0 igw-id

Autre routagePar ailleurs, si vous voulez que des instances du sous-réseau privé accèdent à Internet, vous pouvez créerune passerelle NAT (Network Address Translation, traduction d'adresses réseau) ou une instance dans lesous-réseau public, puis configurer le routage de sorte que le trafic Internet pour le sous-réseau passe parle périphérique NAT. Ainsi, les instances du sous-réseau VPN unique peuvent envoyer des demandes viala passerelle Internet (par exemple, pour les mises à jour logicielles).

Pour plus d'informations sur la configuration manuelle d'un périphérique NAT, consultez la sectionNAT (p. 252). Pour plus d'informations sur l'utilisation de l'assistant VPC pour configurer un périphériqueNAT, consultez la section VPC avec des sous-réseaux publics et privés (NAT) (p. 29).

Pour permettre au trafic Internet du sous-réseau privé d'accéder à la passerelle NAT, vous devez mettre àjour la table de routage principale comme suit.

51



La première entrée décrit l'entrée par défaut pour le routage local dans le VPC. L'entrée de la deuxièmeligne indique les routes du trafic de sous-réseau lié pour votre réseau client (dans ce cas, on suppose quel'adresse IP de votre réseau local est 172.16.0.0/12) vers la passerelle réseau privé virtuel. La troisièmeentrée envoie tout le reste du trafic de sous-réseau à une passerelle NAT.

Destination Target

10.0.0.0/16 locale

172.16.0.0/12 vgw-id


Routage pour IPv6Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vos tables de routagedoivent inclure des routages séparés pour le trafic IPv6. Les tableaux suivants présentent les tables deroutage pour ce scénario, si vous choisissez d'activer la communication IPv6 dans votre VPC.


La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans leVPC via IPv6.

Destination Target

10.0.0.0/16 locale

2001:db8:1234:1a00::/56 locale

0.0.0.0/0 vgw-id

Table de routage personnalisée

La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans leVPC via IPv6. La quatrième entrée achemine tout le reste du trafic IPv6 du sous-réseau vers la passerelleInternet.

Destination Target

10.0.0.0/16 locale

2001:db8:1234:1a00::/56 locale

0.0.0.0/0 igw-id

::/0 igw-id

SécuritéAWS propose deux fonctions que vous pouvez utiliser pour renforcer la sécurité de votre VPC : les groupesde sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vosinstances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupartdes cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez égalementutiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC.

52



Pour de plus amples informations, veuillez consulter Confidentialité du trafic inter-réseaux dans AmazonVPC (p. 146).

Pour le scénario 3, vous utilisez des groupes de sécurité, mais pas de liste ACL réseau. Si vous voulezutiliser une liste ACL réseau, consultez Règles de liste ACL réseau recommandées pour un VPC avec dessous-réseaux publics et privés et un accès AWS Site-to-Site VPN (p. 56).

Votre VPC est associé à un groupe de sécurité par défaut (p. 167). Une instance lancée dans le VPCest automatiquement associée au groupe de sécurité par défaut, sauf si vous spécifiez un autre groupe desécurité lorsque vous la lancez. Pour ce scénario, nous vous conseillons de créer les groupes de sécuritésuivants plutôt que d'utiliser le groupe de sécurité par défaut :

• WebServerSG : spécifiez ce groupe de sécurité lorsque vous lancez des serveurs web dans le sous-réseau public.

• DBServerSG : spécifiez ce groupe de sécurité lorsque vous lancez des serveurs de base de donnéesdans le sous-réseau VPN unique.

Les instances affectées à un groupe de sécurité peuvent se trouver dans différents sous-réseaux.Cependant, dans ce scénario, chaque groupe de sécurité correspond au type de rôle d'une instance, etchaque rôle exige que l'instance se trouve dans un sous-réseau spécifique. Par conséquent, dans cescénario, toutes les instances affectées à un groupe de sécurité se trouvent dans le même sous-réseau.

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité WebServerSG, qui permetaux serveurs web de recevoir le trafic Internet, ainsi que le trafic SSH et RDP en provenance de votreréseau. Les serveurs Web peuvent également initier des demandes de lecture et d'écriture sur les serveursde base de données dans le sous-réseau VPN unique, puis envoyer du trafic vers Internet; par exemple,pour obtenir des mises à jour logicielles. Étant donné que le serveur Web n'est pas à l'origine d'autrescommunications sortantes, la règle de trafic sortant par défaut est retirée.

Note

Le groupe inclut à la fois l'accès SSH et RDP, ainsi que l'accès Microsoft SQL Server et MySQLaccess. Dans votre cas, vous n'aurez peut-être besoin que de règles pour Linux (SSH et MySQL)ou Windows (RDP et Microsoft SQL Server).

WebServerSG : règles recommandées

Entrant


Commentaires


0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS entrant auxserveurs web depuis n'importe quelleadresse IPv4.


TCP 22 Autoriser l'accès SSH entrant auxinstances Linux depuis votre réseau(via la passerelle Internet).


TCP 3389 Autoriser l'accès RDP entrant auxinstances Windows depuis votreréseau (via la passerelle Internet).

Sortant

53




TCP 1433 Autoriser l'accès Microsoft SQLServer sortant aux serveurs de basede données affectés à DBServerSG.


TCP 3306 Autoriser l'accès MySQL sortantaux serveurs de base de donnéesaffectés à DBServerSG.

0.0.0.0/0 TCP 80 Autoriser l'accès à Internet de l'HTTPsortant.

0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS sortant àInternet.

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité DBServerSG, afind'autoriser les demandes de lecture et d'écriture Microsoft SQL Server et MySQL depuis les serveurs Web,ainsi que le trafic SSH et RDP en provenance de votre réseau. Les serveurs de base de données peuventégalement initier un trafic lié à Internet (votre table de routage envoie ce trafic vers la passerelle réseauprivé virtuel).

DBServerSG : règles recommandées

Entrant


Commentaires


TCP 1433 Autorisez l'accès entrant MicrosoftSQL Server à partir des serveursweb associés au groupe de sécuritéWebServerSG.


TCP 3306 Autorisez l'accès entrant MySQL àpartir des serveurs web associés augroupe de sécurité WebServerSG.


TCP 22 Autoriser le trafic SSH entrant versles instances Linux depuis votreréseau (via la passerelle réseau privévirtuel Internet).


TCP 3389 Autoriser le trafic RDP entrant versles instances Windows depuis votreréseau (via la passerelle réseau privévirtuel).

Sortant


Commentaires

0.0.0.0/0 TCP 80 Autoriser l'accès HTTP IPv4 sortant àInternet (par exemple, pour les misesà jour logicielles) sur la passerelleréseau privé virtuel.

0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS IPv4sortant à Internet (par exemple, pour

54



les mises à jour logicielles) sur lapasserelle réseau privé virtuel.

(Facultatif) Le groupe de sécurité par défaut pour un VPC a des règles qui autorisent automatiquement lesinstances assignées à communiquer entre elles. Pour autoriser ce type de communication pour un groupede sécurité personnalisé, vous devez ajouter les règles suivantes :

Entrant


Commentaires

ID du groupe de sécurité Tous Tous Autoriser le trafic entrant enprovenance des autres instancesaffectées à ce groupe de sécurité.

Sortant


Commentaires

ID du groupe de sécurité Tous Tous Autorisez le trafic sortant vers lesautres instances affectées à cegroupe de sécurité.


Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vous devez ajouter desrègles séparées à vos groupes de sécurité WebServerSG et DBServerSG pour contrôler le trafic IPv6entrant et sortant pour vos instances. Dans ce scénario, les serveurs web seront en mesure de recevoirtout le trafic Internet via IPv6 et SSH, ainsi que le trafic RDP à partir de votre réseau local via IPv6. Ilspeuvent également lancer le trafic IPv6 sortant vers Internet. Les serveurs de base de données ne peuventpas lancer le trafic IPv6 sortant vers Internet et, par conséquent, ils ne requièrent pas de règles de groupede sécurité supplémentaires.


Entrant


Commentaires





55





Sortant


Commentaires

::/0 TCP HTTP Autoriser l'accès HTTP sortant versn'importe quelle adresse IPv6.

::/0 TCP HTTPS Autoriser l'accès HTTPS sortant versn'importe quelle adresse IPv6.

Implémentation du scénario 3Pour mettre en œuvre le scénario 3, renseignez-vous sur votre passerelle client, puis créez le VPC à l'aidede l'Assistant VPC. L'Assistant VPC crée une connexion Site-to-Site VPN pour vous, avec une passerelleclient et une passerelle réseau privé virtuel.

Ces procédures incluent des étapes facultatives pour l'activation et la configuration de lacommunication IPv6 pour votre VPC. Il n'est pas nécessaire d'effectuer ces étapes si vous ne souhaitezpas utiliser IPv6 dans votre VPC.

Préparer votre passerelle client

1. Déterminez le dispositif que vous utiliserez comme passerelle client. Pour de plus amples informations,veuillez consulter Votre passerelle client dans le Guide de l'utilisateur AWS Site-to-Site VPN.

2. Obtenez l'adresse IP routable par Internet pour l'interface externe du périphérique de passerelleclient. L'adresse doit être statique et peut se trouver derrière un périphérique exécutant une traductiond'adresses réseau (NAT).

3. Pour créer une connexion Site-to-Site VPN à routage statique, obtenez la liste des plagesd'adresses IP internes (en notation CIDR) qui doivent être publiées sur la connexion Site-to-Site VPNmenant à la passerelle réseau privé virtuel. Pour de plus amples informations, consultez la sectionTables de routage et priorité de route VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN.

Pour de plus amples informations sur l'utilisation de l'assistant VPC avec IPv4, veuillez consulter Mise enroute (p. 12).

Pour obtenir des informations sur l'utilisation de l'assistant VPC avec IPv6, veuillez consulter the sectioncalled “Mise en route avec IPv6” (p. 16).

Règles de liste ACL réseau recommandées pour un VPC avecdes sous-réseaux publics et privés et un accès AWS Site-to-SiteVPNPour ce scénario, vous avez une liste ACL réseau pour le sous-réseau public et une autre pour le sous-réseau VPN unique. Le tableau suivant montre les règles que nous recommandons pour chaque ACL. Ellesbloquent tout le trafic, sauf celui qui est explicitement requis.


Inbound

56


https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-route-priority




100 0.0.0.0/0 TCP 80 AUTORISER Autorise le trafic HTTPentrant aux serveurs webdepuis n'importe quelleadresse IPv4.

110 0.0.0.0/0 TCP 443 AUTORISER Autorise le trafic HTTPSentrant aux serveurs webdepuis n'importe quelleadresse IPv4.


TCP 22 AUTORISER Autorise le trafic SSHentrant vers les serveursWeb depuis votre réseaudomestique (sur lapasserelle Internet).


TCP 3389 AUTORISER Autorise le trafic RDPentrant vers les serveursweb depuis votre réseaudomestique (sur lapasserelle Internet).

140 0.0.0.0/0 TCP 32768/65535 AUTORISER Autorise le trafic de retourentrant depuis les hôtes surInternet qui répondent auxdemandes provenant dusous-réseau.



Outbound




57



120 10.0.1.0/24 TCP 1433 AUTORISER Autorise l'accès MS SQLsortant aux serveurs debase de données dans lesous-réseau VPN unique.


140 0.0.0.0/0 TCP 32768/65535 AUTORISER Autorise les réponses IPv4sortantes aux clients surInternet (par exemple, ladiffusion de pages webauprès des visiteurs desserveurs web dans le sous-réseau).


* 0.0.0.0/0 Tout Tout REFUSER Refuse l'ensemble dutrafic sortant qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

Paramètres ACL pour le sous-réseau VPN uniquement

Inbound


100 10.0.0.0/24 TCP 1433 AUTORISER Autorise les serveurs Webdans le sous-réseau publicà lire et écrire aux serveursMS SQL dans le sous-réseau VPN unique.

Ce numéro de portest uniquement à titred'exemple. Parmi d'autresexemples, on peut citer3306 pour l'accès MySQL/Aurora, 5432 pour l'accèsPostgreSQL, 5439 pour

58



l'accès Amazon Redshift, et1521 pour l'accès Oracle.

120 Plaged'adresses IPv4privées devotre réseaudomestique

TCP 22 AUTORISER Autorise le trafic SSHentrant depuis le réseaudomestique (sur lapasserelle réseau privévirtuel).

130 Plaged'adresses IPv4privées devotre réseaudomestique

TCP 3389 AUTORISER Autorise le trafic RDPentrant depuis le réseaudomestique (sur lapasserelle réseau privévirtuel).

140 Plaged'adresses IPprivées devotre réseaudomestique

TCP 32768/65535 AUTORISER Autorise le trafic de retourentrant depuis les clientsdans le réseau domestique(sur la passerelle réseauprivé virtuel)


* 0.0.0.0/0 Tout Tout REFUSER Refuse l'ensemble dutrafic entrant qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

Outbound



Tous Tous AUTORISER Autorise tout le trafic sortantdepuis le sous-réseau versvotre réseau domestique(sur la passerelle réseauprivé virtuel). Cette règlecouvre également la règle120. Cependant, vouspouvez rendre cette règleplus restrictive en utilisantun type de protocole et unnuméro de port spécifiques.Si vous rendez cette règleplus restrictive, alors vousdevez inclure la règle 120dans votre liste ACL réseaupour vous assurer que lesréponses sortantes ne sontpas bloquées.

59



110 10.0.0.0/24 TCP 32768/65535 AUTORISER Autorise les réponsessortantes vers les serveursweb dans le sous-réseaupublic.



TCP 32768/65535 AUTORISER Autorise les réponsessortantes vers les clientsdans le réseau domestique(sur la passerelle réseauprivé virtuel).



Règles de liste ACL réseau recommandées pour IPv6Si vous avez implémenté la prise en charge IPv6 et créé un VPC et des sous-réseaux avec les blocsd'adresse CIDR IPv6 associés, vous devez ajouter des règles distinctes à votre ACL réseau pour contrôlerle trafic IPv6 entrant et sortant.

Voici les règles IPv6 spécifiques de vos ACL réseau (qui s'ajoutent aux règles mentionnées ci-dessus).


Inbound




170 Plaged'adresses IPv6de votre

TCP 22 AUTORISER Autorise le trafic SSHentrant via IPv6 depuis votre

60



réseaudomestique

réseau domestique (sur lapasserelle Internet).


TCP 3389 AUTORISER Autorise le trafic RDPentrant via IPv6 depuis votreréseau domestique (sur lapasserelle Internet).

190 ::/0 TCP 1024-65535 AUTORISER Autorise le trafic de retourentrant depuis les hôtes surInternet qui répondent auxdemandes provenant dusous-réseau.



Outbound




170 2001:db8:1234:1a01::/64TCP 1433 AUTORISER Autorise l'accès MS SQLsortant aux serveurs debase de données dans lesous-réseau privé.


61






Règles ACL pour le sous-réseau VPN uniquement

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 AUTORISER Autorise les serveurs Webdans le sous-réseau publicà lire et écrire aux serveursMS SQL dans le sous-réseau privé.



Outbound


130 2001:db8:1234:1a00::/64TCP 32768/65535 AUTORISER Autorise les réponsessortantes vers le sous-réseau public (par exemple,des réponses aux serveurs

62

Amazon Virtual Private Cloud Guide de l'utilisateurVPC avec un sous-réseau privé seulement

et un accès AWS Site-to-Site VPN

web dans le sous-réseaupublic qui communiquentavec des serveurs de basede données dans le sous-réseau privé).



VPC avec un sous-réseau privé seulement et un accèsAWS Site-to-Site VPNLa configuration de ce scénario comprend un Virtual Private Cloud (VPC) avec un sous-réseau privéunique et une passerelle réseau privé virtuel pour permettre la communication avec votre propre réseausur un tunnel VPN IPsec. Il n'y a pas de passerelle Internet pour permettre la communication via Internet.Nous vous recommandons ce scénario si vous voulez étendre votre réseau dans le cloud à l'aide del'infrastructure d'Amazon sans exposer votre réseau sur Internet.

Ce scénario peut également être configuré pour IPv6 ; vous pouvez utiliser l'Assistant VPC pour créerun VPC et un sous-réseau avec des blocs d'adresses CIDR IPv6 associés. Les instances lancées dansle sous-réseau peuvent recevoir des adresses IPv6. Actuellement, nous ne prenons pas en charge lacommunication IPv6 via une connexion AWS Site-to-Site VPN ; toutefois, les instances du VPC peuventcommuniquer entre elles via IPv6. Pour plus d'informations sur l'adressage IPv4 et IPv6, consultezAdressage IP dans votre VPC (p. 122).


Sommaire• Présentation (p. 63)• Routage (p. 65)• Sécurité (p. 66)


63

https://aws.amazon.com/what-is-cloud-computing/




Important

Pour ce scénario, consultez Votre périphérique de passerelle client pour configurer le périphériquede passerelle client de votre côté de la connexion Site-to-Site VPN.


• Un Virtual Private Cloud (VPC) avec CIDR de taille /16 (par exemple : 10.0.0.0/16). Cela permet d'obtenir65 536 adresses IP privées.

• Un sous-réseau VPN unique avec CIDR de taille /24 (par exemple : 10.0.0.0/24). Cela permet d'obtenir256 adresses IP privées.

• Une connexion Site-to-Site VPN entre votre VPC et votre réseau. La connexion Site-to-Site VPN secompose d'une passerelle réseau privé virtuel située du côté Amazon de la connexion Site-to-Site VPNet une passerelle client située de votre côté de la connexion Site-to-Site VPN.

• Des instances avec des adresses IP privées dans la plage de sous-réseaux (par exemple : 10.0.0.5,10.0.0.6 et 10.0.0.7), ce qui permet aux instances de communiquer entre elles et avec d'autres instancesdans le VPC.

• La table de routage principale contient une route qui permet aux instances du sous-réseau decommuniquer avec d'autres instances au sein du VPC. La propagation de route est activée. Parconséquent, une route qui permet aux instances du sous-réseau de communiquer directement avecvotre réseau apparaît en tant que route propagée dans la table de routage principale.

Pour plus d'informations sur les sous-réseaux, consultez VPC et sous-réseaux (p. 91) et Adressage IPdans votre VPC (p. 122). Pour plus d'informations sur votre connexion Site-to-Site VPN, consultezPrésentation d'AWS Site-to-Site VPN ? dans le Guide de l'utilisateur AWS Site-to-Site VPN. Pour de plusamples informations sur la configuration d'un périphérique de passerelle client, veuillez consulter Votrepériphérique de passerelle client.

Présentation d'IPv6Vous pouvez activer IPv6 pour ce scénario, le cas échéant. Outre les composants répertoriés ci-dessus, laconfiguration inclut les éléments suivants :

• Un bloc d'adresse CIDR IPv6 de taille /56 associé au VPC (par exemple : 2001:db8:1234:1a00::/56).AWS attribue automatiquement le CIDR ; vous ne pouvez pas choisir la plage.

64







• Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau VPN unique (par exemple :2001:db8:1234:1a00::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée auVPC. Vous ne pouvez pas choisir la taille du CIDR IPv6.


• Entrée de table de routage dans la table de routage principale qui permet aux instances du sous-réseauprivé d'utiliser IPv6 pour communiquer entre elles.

RoutageVotre VPC possède un routeur implicite (montré dans le schéma de configuration de ce scénario). Pource scénario, l'assistant VPC crée une table de routage qui achemine tout le trafic destiné à une adressesituée à l'extérieur du VPC vers la connexion AWS Site-to-Site VPN et associe la table de routage au sous-réseau.

Les tableaux ci-après décrivent les tables de routage pour ce scénario. La première entrée correspond àl'entrée par défaut pour le routage local dans le VPC ; elle permet aux instances du VPC de communiquerentre elles. La deuxième entrée achemine tout le reste du trafic du sous-réseau vers la passerelle réseauprivé virtuel (par exemple, vgw-1a2b3c4d).

Destination Target

10.0.0.0/16 locale

0.0.0.0/0 vgw-id

La connexion AWS Site-to-Site VPN est configurée soit comme une connexion Site-to-Site VPN à routagestatique, soit comme une connexion Site-to-Site VPN à routage dynamique (avec un BGP). Si voussélectionnez un routage statique, vous serez invité à manuellement entrer le préfixe IP pour votre réseauquand vous créez la connexion Site-to-Site VPN. Si vous sélectionnez un routage dynamique, le préfixe IPest automatiquement publié vers votre VPC via le BGP.

Les instances dans votre VPC ne peuvent pas directement atteindre Internet ; tout trafic lié à Internet doitd'abord traverser la passerelle réseau privé virtuel vers votre réseau, où le trafic est ensuite soumis à votrepare-feu et aux stratégies de sécurité de l'entreprise. Si les instances envoient du trafic lié à AWS (parexemple, des demandes à Amazon S3 ou à Amazon EC2), les demandes doivent passer sur la passerelle

65



réseau privé virtuel vers votre réseau et ensuite vers Internet avant d'atteindre AWS. Actuellement, IPv6n'est pas pris en charge pour les connexions Site-to-Site VPN.

Routage pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, votre table de routageinclut des routages séparés pour le trafic IPv6. Les tableaux ci-après décrivent la table de routagepersonnalisée pour ce scénario. La deuxième entrée est le routage par défaut qui est automatiquementajouté pour le routage local dans le VPC via IPv6.

Destination Target

10.0.0.0/16 locale

2001:db8:1234:1a00::/56 locale

0.0.0.0/0 vgw-id


Pour le scénario 4, vous utilisez le groupe de sécurité par défaut pour votre VPC, mais pas de liste ACLréseau. Si vous voulez utiliser une liste ACL réseau, consultez Règles de liste ACL réseau recommandéespour un VPC doté d'un sous-réseau privé uniquement et d’un accès AWS Site-to-Site VPN (p. 67).

Votre VPC est associé à un groupe de sécurité par défaut dont les paramètres initiaux refusent tout traficentrant, autorisent tout trafic sortant et autorisent tout trafic entre les instances attribuées au groupe desécurité. Pour ce scénario, nous vous recommandons d'ajouter des règles entrantes au groupe de sécuritépar défaut pour autoriser le trafic SSH (Linux) et le trafic du bureau à distance (Windows) depuis votreréseau.

Important

Le groupe de sécurité par défaut autorise automatiquement les instances attribuées àcommuniquer entre elles, pour que vous n'ayez pas à ajouter de règle l'autorisant. Si vous utilisezun groupe de sécurité différent, vous devez ajouter une règle pour l'autoriser.

Le tableau suivant décrit les règles entrantes que vous devez ajouter au groupe de sécurité par défaut devotre VPC.

Groupe de sécurité par défaut : règles recommandées

Entrant


Commentaires

Plage d'adresses IPv4 privées devotre réseau

TCP 22 (Instances Linux) Autorisez le traficSSH entrant depuis votre réseau.

66



Plage d'adresses IPv4 privées devotre réseau

TCP 3389 (Instances Windows) Autorisezle trafic RDP entrant depuis votreréseau.


Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vous devez ajouterdes règles séparées à votre groupe de sécurité pour contrôler le trafic IPv6 entrant et sortant pourvos instances. Dans ce scénario, les serveurs de base de données ne peuvent pas être atteints viala connexion Site-to-Site VPN à l'aide d'IPv6 ; par conséquent, aucune règle de groupe de sécuritésupplémentaire n'est nécessaire.

Règles de liste ACL réseau recommandées pour un VPC doté d'un sous-réseauprivé uniquement et d’un accès AWS Site-to-Site VPN

Le tableau suivant montre les règles que nous recommandons. Elles bloquent tout le trafic, sauf celui quiest explicitement requis.

Inbound



TCP 22 AUTORISER Autorise le trafic SSHentrant vers le sous-réseau depuis votre réseaudomestique.


TCP 3389 AUTORISER Autorise le trafic RDPentrant vers le sous-réseau depuis votre réseaudomestique.


TCP 32768/65535 AUTORISER Autorise le trafic de retourentrant de demandesprovenant du sous-réseau.


* 0.0.0.0/0 Tout Tout REFUSER Refuse l'ensemble dutrafic entrant qui n'estpas déjà géré par unerègle précédente (nonmodifiable).

Outbound


67




Tous Tous AUTORISER Autorise tout le trafic sortantdu sous-réseau vers votreréseau domestique. Cetterègle couvre également larègle 120. Cependant, vouspouvez rendre cette règleplus restrictive en utilisantun type de protocole et unnuméro de port spécifiques.Si vous rendez cette règleplus restrictive, alors vousdevez inclure la règle 120dans votre liste ACL réseaupour vous assurer que lesréponses sortantes ne sontpas bloquées.


TCP 32768/65535 AUTORISER Autorise les réponsessortantes vers les clientsdans le réseau domestique.



Règles de listes ACL réseau recommandées pour IPv6

Si vous avez implémenté le scénario 4 avec la prise en charge IPv6 et créé un VPC et un sous-réseauavec les blocs d'adresse CIDR IPv6 associés, vous devez ajouter des règles distinctes à votre ACL réseaupour contrôler le trafic IPv6 entrant et sortant.

Dans ce scénario, les serveurs de base de données ne sont pas accessibles sur la communication VPN viaIPv6, aucune règle ACL réseau supplémentaire n'est nécessaire. Voici les règles par défaut qui refusent letrafic IPv6 à destination et en provenance du sous-réseau.

Règles ACL pour le sous-réseau VPN uniquement

Inbound



68



Outbound



69


Exemples de VPCCette section contient des exemples de création et de configuration d'un VPC.

Exemple Utilisation

Exemple : création d'un VPC etde sous-réseaux IPv4 à l'aide del'AWS CLI (p. 76)

Utilisez l'AWS CLI pour créer un VPC avec un sous-réseau public etprivé.

Exemple : création d'un VPC etde sous-réseaux IPv6 à l'aide del'AWS CLI (p. 81)

Utilisez l'AWS CLI pour créer un VPC avec un bloc d'adresse CIDRIPv6 associé ainsi qu'un sous-réseau public et privé, chacun avec unbloc d'adresse CIDR IPv6 associé.

the section called “Exemple :partage de sous-réseauxpublics et de sous-réseauxprivés” (p. 71)

Partagez des sous-réseaux publics et privés avec des comptes.

the section called “Exemples :Services utilisant AWSPrivateLink et l’appairage deVPC” (p. 72)

Apprenez à combiner l'appairage VPC et AWS PrivateLink pourétendre l'accès à des services privés à des consommateurs.

Vous pouvez également utiliser une transit gateway pour connecter vos VPC.

Exemple Utilisation

Routeur centralisé Vous pouvez configurer votre transit gateway comme un routeurcentralisé raccordant tous vos VPC, AWS Direct Connect et vosconnexions AWS Site-to-Site VPN.

Pour de plus amples informations sur la configuration de votre transitgateway en tant que routeur centralisé, veuillez consulter Exemple depasserelle de transit : routeur centralisé dans Passerelles de transitAmazon VPC.

VPC isolés Vous pouvez configurer votre transit gateway sous la forme deplusieurs routeurs isolés. Cela revient à utiliser plusieurs transitgateways, tout en offrant une meilleure flexibilité dans les cas où lesroutes et les attachements peuvent changer.

Pour de plus amples informations sur la configuration de votretransit gateway pour isoler vos VPC, veuillez consulter Exemplede passerelle de transit : VPC isolés dans Passerelles de transitAmazon VPC.

VPC isolés avec servicespartagés

Vous pouvez configurer votre transit gateway sous la forme deplusieurs routeurs isolés utilisant un service partagé. Cela revientà utiliser plusieurs transit gateways, tout en offrant une meilleure

70

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

Amazon Virtual Private Cloud Guide de l'utilisateurExemple : partage de sous-réseauxpublics et de sous-réseaux privés

Exemple Utilisationflexibilité dans les cas où les routes et les attachements peuventchanger.

Pour de plus amples informations sur la configuration de votretransit gateway pour isoler vos VPC, veuillez consulter Exemplede passerelle de transit : VPC isolés avec services partagés dansPasserelles de transit Amazon VPC.

Exemple : partage de sous-réseaux publics et desous-réseaux privés

Imaginez un scénario où vous souhaitez qu'un compte soit responsable de l'infrastructure, y comprisles sous-réseaux, tables de routage, passerelles et plages CIDR, et que d'autres comptes se trouvantdans la même AWS Organization utilisent les sous-réseaux. Un propriétaire de VPC (Compte A) créel'infrastructure de routage, y compris les VPC, sous-réseaux, tables de routage, passerelles et ACL réseau.Le Compte D souhaite créer des applications face public. Le Compte B et le Compte C souhaitent créerdes applications privées qui n'ont pas besoin de se connecter à l'internet et doivent résider dans des sous-réseaux privés. Le Compte A peut utiliser l'AWS Resource Access Manager pour créer un partage deressources pour les sous-réseaux, puis partager les sous-réseaux. Le Compte A partage le sous-réseaupublic avec le Compte D ainsi que le sous-réseau privé avec le Compte B et le Compte C. Le CompteB, le Compte C et le Compte D peuvent créer des ressources dans les sous-réseaux. Chaque comptepeut uniquement voir les sous-réseaux qui sont partagés avec le compte en question ; par exemple, leCompte D peut uniquement voir le sous-réseau public. Chacun des comptes peut contrôler ses ressources,y compris les instances, et les groupes de sécurité.

Le Compte A gère l'infrastructure IP, y compris les tables de routage pour les sous-réseaux publics, et lessous-réseaux privés. Aucune configuration supplémentaire n'est requise pour les sous-réseaux partagés,les tables de routage sont donc les mêmes que les tables de routage des sous-réseaux non partagés.

Le Compte A (ID de compte 111111111111) partage les sous-réseaux privés avec le Compte D(444444444444). Le Compte D voit les sous-réseaux suivants et la colonne Propriétaire fournit deuxindicateurs montrant que les sous-réseaux sont partagés.

71

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

Amazon Virtual Private Cloud Guide de l'utilisateurExemples : Services utilisant AWSPrivateLink et l’appairage de VPC

• L'ID de compte est le propriétaire du VPC (111111111111) et est distinct de l'ID du compte D(444444444444).

• Le mot « partagé » apparaît en regard de l'ID de compte du propriétaire.

Exemples : Services utilisant AWS PrivateLink etl’appairage de VPC

Un fournisseur de services AWS PrivateLink configure des instances exécutant des services dans sonVPC, avec un Équilibreur de charge du réseau en tant que serveur frontal. Utilisez un appairage VPCintra-régional (les VPC se trouvent dans la même région) et un appairage de VPC entre régions (lesVPC se trouvent dans des régions différentes) avec AWS PrivateLink pour permettre l'accès privé auxconsommateurs sur les connexions d'appairage de VPC.

Les consommateurs dans des VPC distants ne peuvent pas utiliser de noms the section called “Noms DNSprivés pour les services de point de terminaison” (p. 351) dans les connexions d'appairage. Ils peuventtoutefois créer leurs propres zones hébergées privées sur Route 53 et les attacher à leurs VPC pour utiliserle même nom DNS privé. Pour de plus amples informations sur l'utilisation de transit gateway avec AmazonRoute 53 Resolver, pour partager des points de terminaison de l'interface PrivateLink entre plusieurs VPCconnectés et un environnement local, veuillez consulter le billet de blog Integrating AWS Transit Gatewaywith AWS PrivateLink and Amazon Route 53 Resolver.

Voici des exemples de configurations utilisant AWS PrivateLink et l’appairage de VPC.

Exemples• Exemple : le fournisseur de services configure le service (p. 72)• Exemple : un consommateur de services configure un accès (p. 73)• Exemple : un fournisseur de services configure un service pour couvrir plusieurs régions (p. 74)• Exemple : un consommateur de services configure un accès dans différentes régions (p. 75)

Pour plus d'exemples d'appairages de VPC, consultez les rubriques suivantes dans le Amazon VPCPeering Guide :

• Configurations d'appairage de VPC• Configurations d'appairage de VPC non prises en charge

Exemple : le fournisseur de services configure leservicePrenez l'exemple suivant, où un service s'exécute sur des instances dans le VPC Fournisseur 1. Lesressources se trouvant dans le VPC Consommateur 1 peuvent accéder directement au service via le pointde terminaison VPC AWS PrivateLink dans le VPC Consommateur 1.

72

https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/

https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/

https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations.html

https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html

Amazon Virtual Private Cloud Guide de l'utilisateurExemple : un consommateur de services configure un accès

Pour permettre aux ressources du Consumer VPC 2 d'accéder de manière privée au service, le fournisseurde services doit effectuer les opérations suivantes :

1. Créer un VPC Fournisseur 2.2. Configurer un appairage VPC entre le VPC Fournisseur 1 et le VPC Fournisseur 2 de manière à

acheminer le trafic entre les deux VPC.3. Créer le Network Load Balancer 2 dans le VPC Fournisseur 2.4. Configurer des groupes cibles sur le Network Load Balancer 2 pointant vers les adresses IP des

instances du service se trouvant dans le VPC 1.5. Ajuster les groupes de sécurité associés aux instances du service dans le VPC Fournisseur 1 afin

d'autoriser le trafic provenant du Network Load Balancer 2.6. Créer une configuration de service de point de terminaison VPC dans le VPC Consommateur 2 et

l'associer au Network Load Balancer 2.

Exemple : un consommateur de services configure unaccèsPrenez l'exemple suivant, où un service s'exécute sur des instances dans le VPC Fournisseur. Lesressources se trouvant dans le VPC Consommateur 3 peuvent accéder directement au service via unservice de point de terminaison VPC AWS PrivateLink dans le VPC Consommateur 3.

73

Amazon Virtual Private Cloud Guide de l'utilisateurExemple : un fournisseur de services configure

un service pour couvrir plusieurs régions

Pour permettre aux ressources dans le VPC Consommateur 1 d'accéder de manière privée au service, leconsommateur de services doit effectuer les opérations suivantes :

1. Créer un VPC Consommateur 2.2. Créer un point de terminaison d’interface VPC couvrant un ou plusieurs sous-réseaux dans le VPC

Consommateur 2.3. Ajuster les groupes de sécurité associés au service de point de terminaison VPC dans le VPC

Consommateur 2 afin d'autoriser le trafic provenant des instances dans le VPC Consommateur 1.Ajuster les groupes de sécurité associés aux instances dans le VPC Consommateur 1 afin d'autoriserle trafic vers le service de point de terminaison VPC dans le VPC Consommateur 2.

4. Configurer un appairage VPC entre le VPC Consommateur 1 et le VPC Consommateur 2 de manière àacheminer le trafic entre les deux VPC.

Exemple : un fournisseur de services configure unservice pour couvrir plusieurs régionsPrenez l'exemple suivant, où un service s'exécute sur des instances dans le VPC Fournisseur 1 dans laRégion A, par exemple la région us-east-1. Les ressources se trouvant dans le VPC Consommateur 1 dansla même région peuvent accéder directement au service via le point de terminaison VPC AWS PrivateLinkdans le VPC Consommateur 1.

74

Amazon Virtual Private Cloud Guide de l'utilisateurExemple : un consommateur de services

configure un accès dans différentes régions

Pour permettre aux ressources dans le VPC Consommateur 2 dans la Région B, par exemple la régioneu-west-1, d'accéder de manière privée au service, le fournisseur de services doit effectuer les opérationssuivantes :

1. Créer le VPC Fournisseur 2 dans la Région B.2. Configurer un appairage VPC inter-région entre le VPC Fournisseur 1 et le VPC Fournisseur 2 de

manière à router le trafic entre les deux VPC.3. Créer le Network Load Balancer 2 dans le VPC Fournisseur 2.4. Configurer des groupes cibles sur le Network Load Balancer 2 pointant vers les adresses IP des

instances du service se trouvant dans le VPC 1.5. Ajuster les groupes de sécurité associés aux instances du service dans le VPC Fournisseur 1 afin

d'autoriser le trafic provenant du Network Load Balancer 2.6. Créer une configuration de service de point de terminaison VPC dans le VPC Fournisseur 2 et

l'associer au Network Load Balancer 2.

Le compte Fournisseur 2 paie les frais de transfert de données pour l'appairage inter-région et les frais duNetwork Load Balancer. Le compte Fournisseur 1 paie les frais des instances de service.

Exemple : un consommateur de services configure unaccès dans différentes régionsPrenez l'exemple suivant, où un service s'exécute sur des instances dans le VPC Fournisseur dans laRégion B, par exemple la région us-east-1. Les ressources se trouvant dans le VPC Consommateur 3peuvent accéder directement au service via un service de point de terminaison VPC AWS PrivateLink dansle VPC Consommateur 3.

75

Amazon Virtual Private Cloud Guide de l'utilisateurExemple : création d'un VPC et de sous-

réseaux IPv4 à l'aide de l'AWS CLI

Pour permettre aux ressources dans le VPC Consommateur 1 d'accéder de manière privée au service, leconsommateur de services doit effectuer les opérations suivantes :

1. Créer le VPC Consommateur 2 dans la Région B.2. Créer un point de terminaison d’interface VPC couvrant un ou plusieurs sous-réseaux dans le VPC

Consommateur 2.3. Ajuster les groupes de sécurité associés au service de point de terminaison VPC dans le VPC

Consommateur 2 afin d'autoriser le trafic provenant des instances dans le VPC Consommateur 1.Ajuster les groupes de sécurité associés aux instances dans le VPC Consommateur 1 afin d'autoriserle trafic vers le service de point de terminaison VPC dans le VPC Consommateur 2.

4. Configurer un appairage VPC inter-région entre le VPC Consommateur 1 et le VPC Consommateur 2de manière à acheminer le trafic entre les deux VPC.

Une fois la configuration effectuée, le VPC Consommateur 1 bénéficie d'un accès privé au service.

Le compte consommateur paie les frais de transfert de données pour l'appairage inter-région, les frais detraitement de données de point de terminaison VPC et les frais horaires de point de terminaison VPC. Lefournisseur paie les frais de l'équilibreur de charge du réseau et les frais des instances de service.

Exemple : création d'un VPC et de sous-réseauxIPv4 à l'aide de l'AWS CLI

L'exemple suivant utilise les commandes de l'AWS CLI pour créer un VPC personnalisé avec un blocd'adresse CIDR IPv4 et un sous-réseau public et privé dans le VPC. Une fois que vous avez créé le VPC etles sous-réseaux, vous pouvez lancer une instance dans le sous-réseau public et vous connecter à celle-ci.Pour commencer, vous devez d'abord installer et configurer l'AWS CLI. Pour plus d’informations, consultezInstallation de l’AWS CLI.

Tâches• Étape 1 : Créer un VPC et des sous-réseaux (p. 77)• Étape 2 : Configurer votre sous-réseau en tant que public (p. 77)• Étape 3 : Lancer une instance dans votre sous-réseau (p. 79)

76

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 1 : Créer un VPC et des sous-réseaux

• Étape 4 : Nettoyer (p. 81)

Étape 1 : Créer un VPC et des sous-réseauxLa première étape consiste à créer un VPC et deux sous-réseaux. Cet exemple utilise le bloc d'adresseCIDR 10.0.0.0/16 pour le VPC, mais vous pouvez en choisir un autre. Pour plus d'informations,consultez Dimensionnement des VPC et des sous-réseaux (p. 95).

Pour créer un VPC et des sous-réseaux à l'aide de l'AWS CLI

1. Créez un VPC avec un bloc d'adresse CIDR 10.0.0.0/16.

aws ec2 create-vpc --cidr-block 10.0.0.0/16

Prenez note de l'ID du VPC qui figure dans le résultat retourné.

{ "Vpc": { "VpcId": "vpc-2f09a348", ... }}

2. A l'aide de l'ID du VPC obtenu à l'étape précédente, créez un sous-réseau avec un bloc d'adresseCIDR 10.0.1.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24

3. Créez un deuxième sous-réseau dans votre VPC avec un bloc d'adresse CIDR 10.0.0.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24

Étape 2 : Configurer votre sous-réseau en tant quepublicUne fois que vous avez créé le VPC et les sous-réseaux, vous pouvez rendre l'un des sous-réseaux publicen associant une passerelle Internet à votre VPC, en créant une table de routage personnalisée et enconfigurant le routage du sous-réseau à la passerelle Internet.

Pour rendre votre sous-réseau public

1. Création d'une passerelle Internet.

aws ec2 create-internet-gateway

Prenez note de l'ID de la passerelle Internet figurant dans le résultat retourné.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }

77

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 2 : Configurer votre sous-réseau en tant que public

}

2. A l'aide de l'ID obtenu à l'étape précédente, attachez la passerelle Internet à votre VPC.

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Créez une table de routage personnalisée pour votre VPC.

aws ec2 create-route-table --vpc-id vpc-2f09a348

Prenez note de l'ID de la table de routage figurant dans le résultat retourné.

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Créez une route dans la table de routage qui dirige tout le trafic (0.0.0.0/0) vers la passerelleInternet.

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-cidr-block 0.0.0.0/0 --gateway-id igw-1ff7a07b

5. Pour vérifier que la route a été créée et est active, vous pouvez décrire la table de routage et afficherles résultats.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "igw-1ff7a07b", "DestinationCidrBlock": "0.0.0.0/0", "State": "active", "Origin": "CreateRoute" } ] } ]}

6. La table de routage n'est actuellement associée à aucun sous-réseau. Vous devez l'associer à unsous-réseau de votre VPC pour que le trafic de ce sous-réseau soit acheminé vers la passerelle

78

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 3 : Lancer une instance dans votre sous-réseau

Internet. Tout d'abord, utilisez la commande describe-subnets pour obtenir les ID de sous-réseau.Vous pouvez utiliser l'option --filter pour retourner les sous-réseaux pour votre nouveau VPCuniquement, et l'option --query pour retourner uniquement les ID de sous-réseaux et leurs blocsd'adresse CIDR.

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,CIDR:CidrBlock}'

[ { "CIDR": "10.0.1.0/24", "ID": "subnet-b46032ec" }, { "CIDR": "10.0.0.0/24", "ID": "subnet-a46032fc" }]

7. Vous pouvez choisir le sous-réseau à associer à la table de routage personnalisée (par exemple,subnet-b46032ec). Ce sous-réseau sera votre sous-réseau public.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

8. Le cas échéant, vous pouvez modifier le comportement de l'adressage IP public de votre sous-réseaude façon à ce qu'une instance lancée dans le sous-réseau reçoive automatiquement une adresse IPpublique. Sinon, vous devez associer une adresse IP Elastic à votre instance après son lancement afinqu'elle soit accessible depuis Internet.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --map-public-ip-on-launch

Étape 3 : Lancer une instance dans votre sous-réseauPour vérifier que votre sous-réseau est public et que les instances du sous-réseau sont accessibles viaInternet, lancez une instance dans votre sous-réseau public et connectez-vous à celle-ci. Pour commencer,vous devez créer un groupe de sécurité à associer à votre instance et une paire de clés avec laquelle vousvous connecterez à votre instance. Pour plus d'informations sur les groupes de sécurité, consultez Groupesde sécurité pour votre VPC (p. 165). Pour plus d'informations sur les paires de clés, consultez la sectionPaires de clés Amazon EC2 du manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Pour lancer une instance dans votre sous-réseau public et vous y connecter

1. Créez une paire de clés et utilisez l'option --query et l'option de texte --output pour diriger votreclé privée directement dans un fichier avec l'extension .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem

Dans cet exemple, vous lancez une instance Amazon Linux. Si vous utilisez un client SSH sur unsystème d'exploitation Linux ou Mac OS X pour vous connecter à votre instance, utilisez la commandesuivante pour définir les autorisations de votre fichier de clé privée afin d'être la seule personneautorisée à le lire.

chmod 400 MyKeyPair.pem

79

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 3 : Lancer une instance dans votre sous-réseau

2. Créez un groupe de sécurité dans votre VPC et ajoutez une règle qui autorise l'accès SSH à partir den'importe quel emplacement.

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

{ "GroupId": "sg-e1fb8c9a"}

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --protocol tcp --port 22 --cidr 0.0.0.0/0

Note

Si vous utilisez 0.0.0.0/0, vous permettez à toutes les adresses IPv4 d'accéder à votreinstance avec SSH. Cette solution est acceptable dans le cadre de ce bref exercice, mais,en production, autorisez uniquement l'accès à une adresse IP ou une plage d'adresses IPspécifique.

3. Lancez une instance dans votre sous-réseau public, à l'aide du groupe de sécurité et de la paire declés que vous avez créés. Prenez note de l'ID de votre instance figurant dans le résultat retourné.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

Dans cet exemple, l'AMI est une AMI Amazon Linux de la région USA Est (Virginie du Nord).Si vous êtes dans une autre région, vous aurez besoin de l'ID d'une AMI appropriée pourvotre région. Pour plus d'informations, consultez la section Recherche d'une AMI Linux dumanuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

4. Votre instance doit être dans l'état running pour que vous puissiez vous y connecter. Décrivez votreinstance, confirmez son état et prenez note de son adresse IP publique.

aws ec2 describe-instances --instance-id i-0146854b7443af453

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "PublicIpAddress": "52.87.168.235", ... } ] } ]}

80

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 4 : Nettoyer

5. Si votre instance est en cours d'exécution, vous pouvez vous y connecter à l'aide d'un client SSH surun ordinateur Linux ou Mac OS X en utilisant la commande suivante :

ssh -i "MyKeyPair.pem" [email protected]

Si vous vous connectez depuis un ordinateur Windows, utilisez les instructions suivantes : Connexionà votre instance Linux à partir de Windows à l'aide de PuTTY.

Étape 4 : NettoyerAprès avoir vérifié que vous pouvez vous connecter à votre instance, vous pouvez y mettre fin si vousn'en avez plus besoin. Pour ce faire, utilisez la commande terminate-instances. Pour supprimer les autresressources que vous avez créées dans cet exemple, utilisez les commandes suivantes dans l'ordre où ellessont répertoriées :

1. Supprimez votre groupe de sécurité :

aws ec2 delete-security-group --group-id sg-e1fb8c9a

2. Supprimez vos sous-réseaux :

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Supprimez votre table de routage personnalisée :

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

4. Détachez votre passerelle Internet de votre VPC :

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

5. Supprimez votre passerelle Internet :

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Supprimez votre VPC :

aws ec2 delete-vpc --vpc-id vpc-2f09a348

Exemple : création d'un VPC et de sous-réseauxIPv6 à l'aide de l'AWS CLI

L'exemple suivant utilise les commandes AWS CLI pour créer un VPC personnalisé avec un bloc d'adresseCIDR IPv6, un sous-réseau public et un sous-réseau privé avec un accès Internet sortant uniquement.Une fois que vous avez créé le VPC et les sous-réseaux, vous pouvez lancer une instance dans le sous-réseau public et vous connecter à celle-ci. Vous pouvez lancer une instance dans votre sous-réseau privéet vérifier qu'elle peut se connecter à Internet. Pour commencer, vous devez d'abord installer et configurerl'AWS CLI. Pour plus d’informations, consultez Installation de l’AWS CLI.

81

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 1 : Créer un VPC et des sous-réseaux

Tâches• Étape 1 : Créer un VPC et des sous-réseaux (p. 82)• Étape 2 : Configurer un sous-réseau public (p. 83)• Étape 3 : Configurer un sous-réseau privé de sortie uniquement (p. 85)• Étape 4 : Modifier le comportement d'adressage IPv6 des sous-réseaux (p. 86)• Étape 5 : Lancer une instance dans votre sous-réseau public (p. 86)• Étape 6 : Lancer une instance dans votre sous-réseau privé (p. 88)• Étape 7 : nettoyer (p. 89)

Étape 1 : Créer un VPC et des sous-réseauxLa première étape consiste à créer un VPC et deux sous-réseaux. Cet exemple utilise le bloc d'adresseCIDR IPv4 10.0.0.0/16 pour le VPC, mais vous pouvez en choisir un autre. Pour plus d'informations,consultez Dimensionnement des VPC et des sous-réseaux (p. 95).

Pour créer un VPC et des sous-réseaux à l'aide de l'AWS CLI

1. Créez un VPC avec un bloc d'adresse CIDR 10.0.0.0/16 et associez un bloc d'adresse CIDR IPv6avec le VPC.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --amazon-provided-ipv6-cidr-block

Prenez note de l'ID du VPC qui figure dans le résultat retourné.

{ "Vpc": { "VpcId": "vpc-2f09a348", ...}

2. Décrivez votre VPC afin d'obtenir le bloc d'adresse CIDR IPv6 qui est associé au VPC.

aws ec2 describe-vpcs --vpc-id vpc-2f09a348

{ "Vpcs": [ { ... "Ipv6CidrBlockAssociationSet": [ { "Ipv6CidrBlock": "2001:db8:1234:1a00::/56", "AssociationId": "vpc-cidr-assoc-17a5407e", "Ipv6CidrBlockState": { "State": "ASSOCIATED" } } ], ...}

3. Créez un sous-réseau avec un bloc d'adresse CIDR IPv4 10.0.0.0/24 et un bloc d'adresse CIDRIPv6 2001:db8:1234:1a00::/64 (dans les plages qui ont été renvoyées à l'étape précédente).

82

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 2 : Configurer un sous-réseau public

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24 --ipv6-cidr-block 2001:db8:1234:1a00::/64

4. Créez un second sous-réseau dans votre VPC avec un bloc d'adresse CIDR IPv4 10.0.1.0/24 et unbloc d'adresse CIDR IPv6 2001:db8:1234:1a01::/64.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24 --ipv6-cidr-block 2001:db8:1234:1a01::/64

Étape 2 : Configurer un sous-réseau publicUne fois que vous avez créé le VPC et les sous-réseaux, vous pouvez rendre l'un des sous-réseaux publicen associant une passerelle Internet à votre VPC, en créant une table de routage personnalisée et enconfigurant le routage du sous-réseau à la passerelle Internet. Dans cet exemple, une table de routage estcréée qui achemine tout le trafic IPv4 et IPv6 vers une passerelle Internet.

Pour rendre votre sous-réseau public

1. Création d'une passerelle Internet.

aws ec2 create-internet-gateway

Prenez note de l'ID de la passerelle Internet figurant dans le résultat retourné.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}

2. A l'aide de l'ID obtenu à l'étape précédente, attachez la passerelle Internet à votre VPC.

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Créez une table de routage personnalisée pour votre VPC.


Prenez note de l'ID de la table de routage figurant dans le résultat retourné.

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Créez une route dans la table de routage qui dirige tout le trafic IPv6 (::/0) vers la passerelle Internet.

83

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 2 : Configurer un sous-réseau public

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-ipv6-cidr-block ::/0 --gateway-id igw-1ff7a07b

Note

Si vous avez l'intention d'utiliser votre sous-réseau public pour le trafic IPv4 également, vousdevez ajouter une autre route pour le trafic 0.0.0.0/0 qui pointe vers la passerelle Internet.

5. Pour vérifier que la route a été créée et est active, vous pouvez décrire la table de routage et afficherles résultats.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "local", "Origin": "CreateRouteTable", "State": "active", "DestinationIpv6CidrBlock": "2001:db8:1234:1a00::/56" }, { "GatewayId": "igw-1ff7a07b", "Origin": "CreateRoute", "State": "active", "DestinationIpv6CidrBlock": "::/0" } ] } ]}

6. La table de routage n'est actuellement associée à aucun sous-réseau. Associez-la à un sous-réseaude votre VPC pour que le trafic de ce sous-réseau soit acheminé vers la passerelle Internet. Pourcommencer, décrivez vos sous-réseaux afin d'obtenir leurs ID. Vous pouvez utiliser l'option --filterpour retourner les sous-réseaux pour votre nouveau VPC uniquement, et l'option --query pourretourner uniquement les ID de sous-réseaux et leurs blocs d'adresse CIDR IPv4 et IPv6.

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query 'Subnets[*].{ID:SubnetId,IPv4CIDR:CidrBlock,IPv6CIDR:Ipv6CidrBlockAssociationSet[*].Ipv6CidrBlock}'

[ { "IPv6CIDR": [ "2001:db8:1234:1a00::/64"

84

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 3 : Configurer un sous-

réseau privé de sortie uniquement

], "ID": "subnet-b46032ec", "IPv4CIDR": "10.0.0.0/24" }, { "IPv6CIDR": [ "2001:db8:1234:1a01::/64" ], "ID": "subnet-a46032fc", "IPv4CIDR": "10.0.1.0/24" }]

7. Vous pouvez choisir le sous-réseau à associer à la table de routage personnalisée (par exemple,subnet-b46032ec). Ce sous-réseau sera votre sous-réseau public.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

Étape 3 : Configurer un sous-réseau privé de sortieuniquementVous pouvez configurer le second sous-réseau dans votre VPC pour être un sous-réseau privé IPv6de sortie uniquement. Les instances qui sont lancées dans ce sous-réseau sont en mesure d'accéder àInternet via IPv6 (par exemple, pour obtenir des mises à jour logicielles) via une passerelle Internet desortie uniquement, mais les hôtes sur Internet ne peuvent pas atteindre vos instances.

Pour transformer votre sous-réseau en un sous-réseau privé de sortie uniquement

1. Créez une passerelle Internet de sortie uniquement pour votre VPC. Prenez note de l'ID de lapasserelle figurant dans le résultat retourné.

aws ec2 create-egress-only-internet-gateway --vpc-id vpc-2f09a348

{ "EgressOnlyInternetGateway": { "EgressOnlyInternetGatewayId": "eigw-015e0e244e24dfe8a", "Attachments": [ { "State": "attached", "VpcId": "vpc-2f09a348" } ] }}

2. Créez une table de routage personnalisée pour votre VPC. Prenez note de l'ID de la table de routagefigurant dans le résultat retourné.


3. Créez une route dans la table de routage qui dirige tout le trafic IPv6 (::/0) vers la passerelle Internetde sortie uniquement.

aws ec2 create-route --route-table-id rtb-abc123ab --destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

85

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 4 : Modifier le comportementd'adressage IPv6 des sous-réseaux

4. Associez la table de routage avec le second sous-réseau dans votre VPC (vous avez décrit les sous-réseaux dans la section précédente). Ce sous-réseau sera votre sous-réseau privé avec accès InternetIPv6 de sortie uniquement.

aws ec2 associate-route-table --subnet-id subnet-a46032fc --route-table-id rtb-abc123ab

Étape 4 : Modifier le comportement d'adressage IPv6des sous-réseauxLe cas échéant, vous pouvez modifier le comportement de l'adressage IP public de vos sous-réseaux defaçon à ce que des instances lancées dans les sous-réseaux reçoivent automatiquement des adressesIPv6. Lorsque vous lancez une instance dans le sous-réseau, une adresse IPv6 unique est attribuéeà partir de la plage d'adresses du sous-réseau est assignée à l'interface réseau principale (eth0) del'instance.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --assign-ipv6-address-on-creation

aws ec2 modify-subnet-attribute --subnet-id subnet-a46032fc --assign-ipv6-address-on-creation

Étape 5 : Lancer une instance dans votre sous-réseaupublicPour vérifier que votre sous-réseau est public et que les instances du sous-réseau sont accessibles àpartir d'Internet, lancez une instance dans votre sous-réseau public et connectez-vous à celle-ci. Pourcommencer, vous devez créer un groupe de sécurité à associer à votre instance et une paire de clés aveclaquelle vous vous connecterez à votre instance. Pour plus d'informations sur les groupes de sécurité,consultez Groupes de sécurité pour votre VPC (p. 165). Pour plus d'informations sur les paires de clés,consultez Paires de clés Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Pour lancer une instance dans votre sous-réseau public et vous y connecter

1. Créez une paire de clés et utilisez l'option --query et l'option de texte --output pour diriger votreclé privée directement dans un fichier avec l'extension .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query 'KeyMaterial' --output text > MyKeyPair.pem

Dans cet exemple, lancez une instance Amazon Linux. Si vous utilisez un client SSH sur un systèmed'exploitation Linux ou OS X pour vous connecter à votre instance, utilisez la commande suivante pourdéfinir les autorisations de votre fichier de clé privée afin d'être la seule personne autorisée à le lire.

chmod 400 MyKeyPair.pem

2. Créez un groupe de sécurité pour votre VPC et ajoutez une règle qui autorise l'accès SSH à partir den'importe quelle adresse IPv6.

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

86

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 5 : Lancer une instance dans votre sous-réseau public

{ "GroupId": "sg-e1fb8c9a"}

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

Note

Si vous utilisez ::/0, vous permettez à toutes les adresses IPv6 d'accéder à votre instanceavec SSH. Cette solution est acceptable dans le cadre de ce court exercice, mais enproduction, autorisez uniquement une adresse IP ou une plage d'adresses IP spécifique àaccéder à votre instance.

3. Lancez une instance dans votre sous-réseau public, à l'aide du groupe de sécurité et de la paire declés que vous avez créés. Prenez note de l'ID de votre instance figurant dans le résultat retourné.

aws ec2 run-instances --image-id ami-0de53d8956e8dcf80 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

Dans cet exemple, l'AMI est une AMI Amazon Linux de la région USA Est (Virginie du Nord).Si vous êtes dans une autre région, vous aurez besoin de l'ID d'une AMI appropriée pourvotre région. Pour plus d'informations, consultez la section Recherche d'une AMI Linux dumanuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

4. Votre instance doit être dans l'état running pour que vous puissiez vous y connecter. Décrivez votreinstance, confirmez son état et prenez note de son adresse IPv6 publique.

aws ec2 describe-instances --instance-id i-0146854b7443af453

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "NetworkInterfaces": { "Ipv6Addresses": { "Ipv6Address": "2001:db8:1234:1a00::123" } ... } ] } ]}

87

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 6 : Lancer une instance dans votre sous-réseau privé

5. Si votre instance est en cours d'exécution, vous pouvez vous y connecter à l'aide d'un client SSH surun ordinateur Linux ou OS X en utilisant la commande suivante. Une adresse IPv6 doit être configuréepour votre ordinateur local.

ssh -i "MyKeyPair.pem" ec2-user@2001:db8:1234:1a00::123

Si vous vous connectez depuis un ordinateur Windows, utilisez les instructions suivantes : Connexionà votre instance Linux à partir de Windows à l'aide de PuTTY.

Étape 6 : Lancer une instance dans votre sous-réseauprivéPour vérifier que les instances de votre sous-réseau privé de sortie uniquement peuvent accéder à Internet,lancez une instance dans votre sous-réseau privé et connectez-vous-y à l'aide d'une instance bastion dansvotre sous-réseau public (vous pouvez utiliser l'instance que vous avez lancée dans la section précédente).Tout d'abord, vous devez créer un groupe de sécurité pour l'instance. Le groupe de sécurité doit avoirune règle qui autorise votre instance bastion à se connecter à l'aide de SSH et une règle qui autorise lacommande ping6 (trafic ICMPv6) pour vérifier que l'instance n'est pas accessible depuis Internet.

1. Créez un groupe de sécurité dans votre VPC et ajoutez une règle qui autorise l'accès SSH entrant àpartir de l'adresse IPv6 de l'instance dans votre sous-réseau public et une règle qui autorise tout letrafic ICMPv6 :

aws ec2 create-security-group --group-name SSHAccessRestricted --description "Security group for SSH access from bastion" --vpc-id vpc-2f09a348

{ "GroupId": "sg-aabb1122"}

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "2001:db8:1234:1a00::123/128"}]}]'

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "58", "FromPort": -1, "ToPort": -1, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

2. Lancez une instance dans votre sous-réseau privé, à l'aide du groupe de sécurité que vous avez crééet de la même paire de clés que vous avez utilisée pour lancer l'instance dans le sous-réseau public.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-aabb1122 --subnet-id subnet-a46032fc

Utilisez la commande describe-instances pour vérifier que votre instance est en cours d'exécutionet obtenir son adresse IPv6.

3. Configurez le transfert de l'agent SSH sur votre machine locale, puis connectez-vous à votre instancedans le sous-réseau public. Pour Linux, utilisez les commandes suivantes :

ssh-add MyKeyPair.pem

88



Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 7 : nettoyer

ssh -A ec2-user@2001:db8:1234:1a00::123

Pour OS X, utilisez les commandes suivantes :

ssh-add -K MyKeyPair.pem

ssh -A ec2-user@2001:db8:1234:1a00::123

Pour Windows, utilisez les instructions suivantes : Configurer le transfert de l'agent SSH pour Windows(PuTTY) (p. 258). Connectez-vous à l'instance dans le sous-réseau public à l'aide de son adresseIPv6.

4. Depuis votre instance dans le sous-réseau public (l'instance bastion), connectez-vous à votre instancedans le sous-réseau privé en utilisant son adresse IPv6 :

ssh ec2-user@2001:db8:1234:1a01::456

5. Depuis votre instance privée, vérifiez que vous pouvez vous connecter à Internet en exécutant lacommande ping6 pour un site Web dont l'ICMP est activé, par exemple :

ping6 -n ietf.org

PING ietf.org(2001:1900:3001:11::2c) 56 data bytes64 bytes from 2001:1900:3001:11::2c: icmp_seq=1 ttl=46 time=73.9 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=2 ttl=46 time=73.8 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=3 ttl=46 time=73.9 ms...

6. Pour tester si les hôtes sur Internet ne peuvent pas accéder à votre instance dans le sous-réseauprivé, utilisez la commande ping6 à partir d'un ordinateur qui est activé pour IPv6. Vous devez obtenirune réponse d'expiration. Si vous recevez une réponse valide, votre instance est accessible depuisInternet — vérifiez la table de routage associée à votre sous-réseau privé et assurez -vous qu'elle necomporte pas de route pour le trafic IPv6 vers une passerelle Internet.

ping6 2001:db8:1234:1a01::456

Étape 7 : nettoyerAprès avoir vérifié que vous pouvez vous connecter à votre instance dans le sous-réseau public et quevotre instance du sous-réseau privé peut accéder à Internet, vous pouvez résilier les instances si vousn'avez plus besoin d'elles. Pour ce faire, utilisez la commande terminate-instances. Pour supprimer lesautres ressources que vous avez créées dans cet exemple, utilisez les commandes suivantes dans l'ordreoù elles sont répertoriées :

1. Supprimez vos groupes de sécurité :

aws ec2 delete-security-group --group-id sg-e1fb8c9a

aws ec2 delete-security-group --group-id sg-aabb1122

2. Supprimez vos sous-réseaux :

89

https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 7 : nettoyer

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Supprimez vos tables de routage personnalisées :

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

aws ec2 delete-route-table --route-table-id rtb-abc123ab

4. Détachez votre passerelle Internet de votre VPC :

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

5. Supprimez votre passerelle Internet :

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Supprimez votre passerelle Internet de sortie uniquement :

aws ec2 delete-egress-only-internet-gateway --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

7. Supprimez votre VPC :

aws ec2 delete-vpc --vpc-id vpc-2f09a348

90

Amazon Virtual Private Cloud Guide de l'utilisateurPrincipes de base des VPC et des sous-réseaux

VPC et sous-réseauxPour commencer avec Amazon Virtual Private Cloud (Amazon VPC), vous créez un VPC et des sous-réseaux. Pour une présentation générale de Amazon VPC, consultez la section Présentation d'AmazonVPC (p. 1).

Sommaire• Principes de base des VPC et des sous-réseaux (p. 91)• Extension de vos ressources VPC dans les zones locales AWS (p. 94)• Sous-réseaux dans AWS Outposts (p. 95)• Dimensionnement des VPC et des sous-réseaux (p. 95)• Routage des sous-réseaux (p. 100)• Sécurité des sous-réseaux (p. 101)• Utilisation des VPC et des sous-réseaux (p. 101)• Utilisation des VPC partagés (p. 109)

Principes de base des VPC et des sous-réseauxUn cloud privé virtuel (VPC) est un réseau virtuel dédié à votre compte AWS. Il est logiquement isolédes autres réseaux virtuels dans le cloud AWS. Vous pouvez lancer vos ressources AWS, comme desinstances Amazon EC2, dans votre VPC.

Lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la formed'un bloc d'adresse CIDR (Classless Inter-Domain Routing), par exemple, 10.0.0.0/16. Il s'agit dubloc CIDR principal pour votre VPC. Pour plus d'informations sur la notation CIDR, consultez RFC 4632.

Le diagramme suivant illustre un nouveau VPC avec un bloc d’adresse CIDR IPv4.

91

https://tools.ietf.org/html/rfc4632


La table de routage principale comporte les routes suivantes.

Destination Target

10.0.0.0/16 Locale

Un VPC couvre toutes les zones de disponibilité de la région. Après avoir créé un VPC, vous pouvezajouter un ou plusieurs sous-réseaux dans chaque zone de disponibilité. Vous pouvez éventuellementajouter des sous-réseaux dans une zone locale, c'est-à-dire déployer une infrastructure AWS qui place lecalcul, le stockage, la base de données et d'autres services sélectionnés au plus près de vos utilisateursfinaux. Une zone locale permet à vos utilisateurs finaux d'exécuter des applications qui nécessitent deslatences de l'ordre de la milliseconde. Pour de plus amples informations sur les régions qui prennent encharge les zones locales, veuillez consulter Régions disponibles dans le Amazon EC2 Guide de l'utilisateurpour les instances Linux. Lorsque vous créez un sous-réseau, vous spécifiez son bloc d'adresse CIDR,lequel est un sous-ensemble du bloc CIDR du VPC. Chaque sous-réseau doit résider entièrement dans

92

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions


une zone de disponibilité et ne peut pas s'étendre sur plusieurs zones. Les zones de disponibilité sont desemplacements distincts conçus pour être isolés des défaillances dans d'autres zones de disponibilité. Enlançant des instances dans des zones de disponibilité distinctes, vous pouvez protéger vos applications dela défaillance d'un seul emplacement. Nous affectons un ID unique à chaque sous-réseau.

Vous pouvez également attribuer un bloc d'adresse CIDR IPv6 à votre VPC, et attribuer des blocsd'adresses CIDR IPv6 à vos sous-réseaux.

Le schéma ci-après présente un VPC qui est configuré avec des sous-réseaux dans plusieurs zones dedisponibilité. 1A, 2A et 3A sont des instances de votre VPC. Un bloc d'adresse CIDR IPv6 est associéau VPC, et un bloc d'adresse CIDR IPv6 est associé à Sous-réseau 1. Une passerelle Internet active lacommunication via Internet, et une connexion de réseau privé virtuel (VPN) active la communication avecvotre réseau d'entreprise.

93

Amazon Virtual Private Cloud Guide de l'utilisateurExtension de vos ressources

VPC dans les zones locales AWS

Si le trafic de votre sous-réseau est acheminé vers une passerelle Internet, le sous-réseau est reconnucomme un sous-réseau public. Dans ce schéma, le sous-réseau 1 est un sous-réseau public. Si voussouhaitez que votre instance d'un sous-réseau public communique avec Internet via IPv4, elle doitposséder une adresse IPv4 publique ou une adresse IP Elastic (IPv4). Pour plus d'informations sur lesadresses IPv4 publiques, consultez Adresses IPv4 publiques (p. 124). Si vous voulez que votre instanced'un sous-réseau public communique avec Internet via IPv6, elle doit posséder une adresse IPv6.

Si un sous-réseau ne comporte pas de route vers la passerelle Internet, le sous-réseau est reconnu commeun sous-réseau privé. Dans ce schéma, le sous-réseau 2 est un sous-réseau privé.

Si un sous-réseau ne comporte pas de route vers la passerelle Internet, mais que son trafic est acheminévers une passerelle réseau privé virtuel pour une connexion Site-to-Site VPN, il est reconnu commesous-réseau VPN uniquement. Dans ce schéma, le sous-réseau 3 est un sous-réseau VPN unique.Actuellement, le trafic IPv6 via une connexion Site-to-Site VPN n'est pas pris en charge.

Pour plus d'informations, consultez Exemples de VPC (p. 70), Passerelles Internet (p. 243) etPrésentation d'AWS Site-to-Site VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN.

Note

Quel que soit le type de sous-réseau, la plage d'adresses IPv4 interne du sous-réseau est toujoursprivée— ; nous n'annonçons pas le bloc d'adresse à Internet.

Vous disposez d'un quota de VPC et de sous-réseaux que vous pouvez créer dans votre compte. Pour plusd'informations, consultez Quotas Amazon VPC (p. 362).

Extension de vos ressources VPC dans les zoneslocales AWS

Les zones locales AWS vous permettent de vous connecter en toute transparence à la gamme complète deservices de la région AWS, tels que Amazon Simple Storage Service et Amazon DynamoDB via les mêmesAPI et ensembles d'outils. Vous pouvez étendre votre région VPC en créant un nouveau sous-réseau dotéd'une attribution de zone locale. Lorsque vous créez un sous-réseau dans une zone locale, le VPC estégalement étendu à cette zone locale.

Un groupe de bordure réseau est un ensemble unique de zones de disponibilité ou de zones locales àpartir desquelles AWS publie des adresses IP publiques.

Lorsque vous créez un VPC doté d'adresses IPv6, vous pouvez choisir d'affecter un ensemble d'adressesIP publiques fournies par Amazon au VPC et également définir un groupe de bordure réseau pour lesadresses qui limitent les adresses au groupe. Lorsque vous définissez un groupe de bordure réseau,les adresses IP ne peuvent pas se déplacer entre les groupes de bordure réseau. Le groupe de bordureréseau us-west-2 contient les quatre zones de disponibilité de l'Ouest des États-Unis (Oregon). Legroupe de bordure réseau us-west-2-lax-1 contient les zones locales Los Angeles.

Les règles suivantes s'appliquent aux zones locales :

• Les sous-réseaux de zone locale suivent les mêmes règles de routage qu'un sous-réseau de zone dedisponibilité, notamment pour les tables de routage, les groupes de sécurité et les listes ACL réseau.

• Vous pouvez affecter des zones locales à des sous-réseaux à l'aide de la Console Amazon VPC, del'AWS CLI ou de l'API.

• Vous devez fournir des adresses IP publiques à utiliser dans une zone locale. Lorsque vous allouezdes adresses, vous pouvez spécifier l'emplacement à partir duquel l'adresse IP est annoncée. Nousappelons cela un groupe de bordure réseau et vous pouvez définir ce paramètre pour limiter l'adresseà cet emplacement. Après avoir fourni les adresses IP, vous ne pouvez pas les déplacer entre la zonelocale et la région parent (par exemple, de us-west-2-lax-1a à us-west-2).

94


Amazon Virtual Private Cloud Guide de l'utilisateurSous-réseaux dans AWS Outposts

• Vous pouvez demander les adresses IP fournies par Amazon IPv6 et les associer au groupe de bordureréseau pour un VPC nouveau ou existant.

Sous-réseaux dans AWS OutpostsAWS Outposts vous permet d'utiliser la même infrastructure matérielle AWS et les mêmes outils, APIet services AWS pour créer et exécuter vos applications sur site et dans le cloud. AWS Outposts estidéal pour les charges de travail nécessitant un accès à faible latence aux applications ou systèmes sursite, et pour celles qui impliquent le stockage et le traitement de données en local. Pour de plus amplesinformations sur AWS Outposts, veuillez consulter AWS Outposts.

Amazon VPC s'étend sur toutes les zones de disponibilité d'une région AWS. Lorsque vous connectezOutposts à la région parente, tous les VPC existants et nouvellement créés de votre compte couvrenttoutes les zones de disponibilité et tous les emplacements Outpost associés dans la région.

Les règles suivantes s'appliquent à AWS Outposts :

• Les sous-réseaux doivent résider dans un emplacement Outpost.• Une passerelle locale gère la connectivité réseau entre votre VPC et les réseaux locaux. Pour de plus

amples informations sur les passerelles locales, veuillez consulter Passerelles locales dans le Guide del'utilisateur AWS Outposts.

• Si votre compte est associé à AWS Outposts, vous affectez le sous-réseau à un Outpost en spécifiantl'ARN Outpost lors de la création du sous-réseau.

• Par défaut, chaque sous-réseau que vous créez dans un VPC associé à un Outpost hérite de la tablede routage VPC principale, y compris la route de passerelle locale. Vous pouvez également associerexplicitement une table de routage personnalisée aux sous-réseaux de votre VPC et disposer d'unepasserelle locale comme cible « next hop » pour tout le trafic devant être routé vers le réseau local.

Dimensionnement des VPC et des sous-réseauxAmazon VPC prend en charge l'adressage IPv4 et IPv6, et possède différents quotas pour la taille de blocd'adresse CIDR pour chacun. Par défaut, tous les VPC et tous les sous-réseaux doivent avoir des blocsd'adresse CIDR IPv4— ; vous ne pouvez pas modifier ce comportement. Vous pouvez associer un blocd'adresse CIDR IPv6 à votre VPC.

Pour plus d'informations sur les adresses IP, consultez Adressage IP dans votre VPC (p. 122).

Sommaire• Dimensionnement des VPC et des sous-réseaux pour IPv4 (p. 95)• Ajout de blocs d'adresse CIDR IPv4 à un VPC (p. 96)• Dimensionnement des VPC et des sous-réseaux pour IPv6 (p. 100)

Dimensionnement des VPC et des sous-réseaux pourIPv4Lorsque vous créez un VPC, vous devez spécifier un bloc d'adresse CIDR IPv4 pour le VPC. La taille debloc autorisée est comprise entre un masque réseau en /16 (65 536 adresses IP) et un masque réseau en/28 (16 adresses IP). Une fois que vous avez créé votre VPC, vous pouvez lui associer des blocs CIDRsecondaires. Pour plus d'informations, consultez Ajout de blocs d'adresse CIDR IPv4 à un VPC (p. 96).

Nous vous conseillons de créer un VPC avec un bloc d'adresse CIDR (de /16 ou plus petit) tiré des plagesd'adresses IPv4 privées, comme spécifié dans la norme RFC 1918:

95

https://aws.amazon.com/outposts

https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

http://www.faqs.org/rfcs/rfc1918.html

Amazon Virtual Private Cloud Guide de l'utilisateurAjout de blocs d'adresse CIDR IPv4 à un VPC

• 10.0.0.0 - 10.255.255.255 (préfixe 10/8)• 172.16.0.0 - 172.31.255.255 (préfixe 172.16/12)• 192.168.0.0 - 192.168.255.255 (préfixe 192.168/16)

Vous pouvez créer un VPC avec un bloc d'adresses CIDR publiquement routables qui se trouve en dehorsdes plages d'adresses IPv4 privées spécifiées dans la norme RFC 1918 ; toutefois, dans le cadre de cettedocumentation, les adresses IP privées auxquelles nous faisons référence sont des adresses IPv4 privéesqui se trouvent dans la plage d'adresses CIDR de votre VPC.

Note

Si vous créez un VPC en vue de l'utiliser avec un autre service AWS, consultez la documentationdu service en question pour savoir s'il existe des exigences spécifiques au niveau de la plaged'adresses IP ou des composants réseau.

Le bloc d'adresse CIDR d'un sous-réseau peut être identique à celui du VPC (pour un sous-réseau uniquedans le VPC) ou à un sous-ensemble du bloc CIDR du VPC (pour plusieurs sous-réseaux). La taille debloc autorisée est comprise entre un masque réseau en /28 et un masque réseau en /16. Si vous créezplusieurs sous-réseaux dans un VPC, les blocs d'adresse CIDR de ces sous-réseaux ne peuvent pas sechevaucher.

Par exemple, si vous créez un VPC avec le bloc d'adresse CIDR 10.0.0.0/24, il prend en charge256 adresses IP. Vous pouvez scinder ce bloc d'adresse CIDR en deux sous-réseaux, chacun prenant encharge 128 adresses IP. Un sous-réseau utilise le bloc d'adresse CIDR 10.0.0.0/25 (pour les adresses10.0.0.0 - 10.0.0.127) et l'autre utilise le bloc d'adresse CIDR 10.0.0.128/25 (pour les adresses10.0.0.128 - 10.0.0.255).

Plusieurs outils peuvent vous aider à calculer les blocs d'adresse CIDR du sous-réseau. Par exemple,consultez la page http://www.subnet-calculator.com/cidr.php. Votre équipe d'ingénierie réseau peut aussivous aider à déterminer les blocs d'adresse CIDR à indiquer pour vos sous-réseaux.

Les quatre premières adresses IP et la dernière adresse IP du bloc d'adresse CIDR de chaque sous-réseau ne sont pas disponibles pour utilisation, et ne peuvent donc pas être affectées à une instance. Parexemple, dans un sous-réseau avec le bloc d'adresse CIDR 10.0.0.0/24, les cinq adresses IP suivantessont réservées :

• 10.0.0.0 : Adresse réseau.• 10.0.0.1 : Réservée par AWS pour le routeur VPC.• 10.0.0.2 : réservé par AWS. Notez que l'adresse IP du serveur DNS a pour valeur la base de la

plage réseau VPC plus deux. Pour les VPC ayant plusieurs blocs CIDR, l'adresse IP du serveur DNSse trouve dans le CIDR principal. Nous réservons également la base de chaque plage de sous-réseauplus deux à tous les blocs d'adresse CIDR du VPC. Pour plus d'informations, consultez Serveur AmazonDNS (p. 283).

• 10.0.0.3 : Réservée par AWS pour un usage futur.• 10.0.0.255 : Adresse de diffusion réseau. Nous ne prenons pas en charge la diffusion dans un VPC,

par conséquent nous réservons cette adresse.

Ajout de blocs d'adresse CIDR IPv4 à un VPCVous pouvez associer des blocs d'adresse CIDR IPv4 à votre VPC. Lorsque vous associez un blocd'adresse CIDR à votre VPC, une route est ajoutée automatiquement à vos tables de routage VPC afin depermettre le routage au sein du VPC (la destination est le bloc d'adresse CIDR et la cible est local).

Dans l'exemple suivant, le VPC de gauche a un seul bloc d'adresse CIDR (10.0.0.0/16) et deux sous-réseaux. Le VPC de droite représente l'architecture du même VPC une fois que vous avez ajouté un

96

http://www.subnet-calculator.com/cidr.php


deuxième bloc d'adresse CIDR (10.2.0.0/16) et que vous avez créé un sous-réseau à partir de la plagedu deuxième CIDR.

Pour ajouter un bloc d'adresse CIDR à votre VPC, les règles suivantes s'appliquent :

• La taille de bloc autorisée est comprise entre un masque réseau en /28 et un masque réseau en /16.• Le bloc d'adresse CIDR ne doit chevaucher aucun bloc d'adresse CIDR existant associé au VPC.• Il existe des restrictions pour les plages d'adresses IPv4 que vous pouvez utiliser. Pour plus

d'informations, consultez Restrictions des associations de blocs d'adresse CIDR IPv4 (p. 98).• Vous ne pouvez pas augmenter ou diminuer la taille d'un bloc CIDR existant.• Le nombre de blocs d'adresse CIDR susceptibles d'être associés à un VPC est limité, au même titre que

le nombre de routes pouvant être ajoutées à une table de routage. Vous ne pouvez pas associer un blocd'adresse CIDR si cela entraîne un dépassement de vos quotas. Pour plus d'informations, consultezQuotas Amazon VPC (p. 362).

• Le bloc d'adresse CIDR ne doit pas être le même, ni être plus important, que la plage CIDR d'uneroute dans une table de routage de VPC. Par exemple, dans un VPC où le bloc CIDR principal est10.2.0.0/16, vous voulez associer un bloc CIDR secondaire dans la plage 10.0.0.0/16. Si vousavez déjà un itinéraire avec la destination 10.0.0.0/24 vers une passerelle réseau privé virtuel, vousne pouvez pas associer un bloc CIDR ayant la même plage ou une plage plus importante. Mais vouspouvez associer un bloc d'adresse CIDR de 10.0.0.0/25 ou plus petit.

• Si vous avez activé votre VPC pour ClassicLink, vous pouvez associer des blocs d'adresse CIDRprovenant des plages 10.0.0.0/16 et 10.1.0.0/16, mais vous ne pouvez pas associer tout autrebloc d'adresse CIDR provenant de la plage 10.0.0.0/8.

• Les règles suivantes s'appliquent lorsque vous ajoutez des blocs d'adresse CIDR IPv4 à un VPC faisantpartie d'une connexion d'appairage de VPC :• Si la connexion d'appairage de VPC est active, vous pouvez ajouter des blocs d'adresse CIDR à

un VPC, à condition qu'ils ne chevauchent pas un bloc d'adresse CIDR du VPC homologue.

97


• Si la connexion d'appairage de VPC est pending-acceptance, le propriétaire du VPC demandeurne peut pas ajouter de bloc d'adresse CIDR au VPC, qu'il chevauche ou non le bloc d'adresse CIDRdu VPC demandeur. Soit le propriétaire du VPC demandeur doit accepter la connexion d'appairage,soit il doit supprimer la demande de connexion d'appairage du VPC, ajouter le bloc d'adresse CIDR,puis demander une nouvelle connexion d'appairage du VPC.

• Si la connexion d'appairage du VPC est pending-acceptance, le propriétaire du VPC demandeurpeut ajouter des blocs d'adresse CIDR au VPC. Si un bloc d'adresse CIDR secondaire chevauche unbloc CIDR du VPC demandeur, la demande de connexion d'appairage du VPC échoue et ne peut pasêtre acceptée.

• Si vous utilisez AWS Direct Connect pour vous connecter à plusieurs VPC via une passerelle DirectConnect, les VPC associés à la passerelle Direct Connect ne doivent pas avoir de blocs d'adresseCIDR qui se chevauchent. Si vous ajoutez un bloc d'adresse CIDR à l'un des VPC qui est associé à lapasserelle Direct Connect, assurez-vous que le nouveau bloc d'adresse CIDR ne chevauche pas un blocd'adresse CIDR existant d'un autre VPC associé. Pour plus d'informations, consultez Passerelles DirectConnect dans le AWS Direct Connect Guide de l'utilisateur.

• Lorsque vous ajoutez ou supprimez un bloc d'adresse CIDR, il peut passer par différents états :associating | associated | disassociating | disassociated | failing | failed. Le blocd'adresse CIDR est prêt pour que vous l'utilisiez utilisé lorsqu'il a l'état associated.

Le tableau suivant présente les associations de blocs d'adresse CIDR autorisées et limitées en fonction dela plage d'adresses IPv4 dans laquelle se trouve le bloc d'adresse CIDR principal du VPC.

Restrictions des associations de blocs d'adresse CIDR IPv4

Plage d'adresses IP danslaquelle réside le blocd'adresse CIDR principal du VPC

Associations limitées de blocsd'adresse CIDR IPv4

Associations autorisées de blocsd'adresse CIDR IPv4

10.0.0.0/8 Les blocs d'adresse CIDRd'autres plages RFC 1918*(172.16.0.0/12 and192.168.0.0/16).

Si votre CIDR principal se trouvedans la plage 10.0.0.0/15, vousne pouvez pas ajouter de blocd'adresse CIDR provenant de laplage 10.0.0.0/16.

Bloc d'adresse CIDR provenantde la plage 198.19.0.0/16.

Tout autre CIDR provenant de laplage 10.0.0.0/8 et qui n'est paslimité.

Tout bloc d'adresseCIDR IPv4 (non RFC 1918)publiquement routable ou un blocd'adresse CIDR dans la plage100.64.0.0/10.

172.16.0.0/12 Les blocs d'adresse CIDRd'autres plages RFC 1918*(10.0.0.0/8 and 192.168.0.0/16).



Tout autre CIDR provenant de laplage 172.16.0.0/12 et qui n'estpas limité.


192.168.0.0/16 Les blocs d'adresse CIDRd'autres plages RFC 1918*(172.16.0.0/12 and 10.0.0.0/8).

Tout autre CIDR provenant de laplage 192.168.0.0/16.

Tout bloc d'adresseCIDR IPv4 (non RFC 1918)

98

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html


Plage d'adresses IP danslaquelle réside le blocd'adresse CIDR principal du VPC

Associations limitées de blocsd'adresse CIDR IPv4

Associations autorisées de blocsd'adresse CIDR IPv4


publiquement routable ou un blocd'adresse CIDR dans la plage100.64.0.0/10.

198.19.0.0/16 Blocs d'adresse CIDR d'autresplages RFC 1918*.


Un bloc d'adresse CIDR IPv4(non RFC 1918) publiquementroutable ou un bloc d'adresseCIDR dans la plage100.64.0.0/10.

Blocs d'adresse CIDR provenantdes places RFC 1918*.


Tout autre bloc d'adresseCIDR IPv4 (non RFC 1918)publiquement routable ou un blocd'adresse CIDR dans la plage100.64.0.0/10.

*Les plages RFC 1918 sont les plages d'adresses IPv4 privées spécifiées dans RFC 1918.

Vous pouvez dissocier un bloc d'adresse CIDR que vous avez associé à votre VPC, mais vous ne pouvezpas dissocier le bloc d'adresse CIDR avec lequel vous avez initialement créé le VPC (bloc d'adresse CIDRprincipal). Pour afficher le bloc d'adresse CIDR principal de votre VPC sur la console Amazon VPC,choisissez Vos VPC, sélectionnez votre VPC et notez la première entrée sous Blocs d'adresse CIDR. Vouspouvez également utiliser la commande describe-vpcs :

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

Dans la sortie qui est retournée, le bloc CIDR principal est retourné dans l'élément CidrBlock de niveausupérieur (l'avant-dernier élément dans l'exemple de sortie ci-dessous).

{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } } ],

99


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html

Amazon Virtual Private Cloud Guide de l'utilisateurDimensionnement des VPC et des sous-réseaux pour IPv6

"State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ]}

Dimensionnement des VPC et des sous-réseaux pourIPv6Vous pouvez associer un seul bloc d'adresse CIDR IPv6 avec un VPC existant dans votre compte, oulorsque vous créez un VPC. Le bloc d'adresse CIDR utilise une longueur de préfixe fixe de /56. Vouspouvez demander un bloc d'adresse CIDR IPv6 à partir du pool d'adresses IPv6 d'Amazon.

Si vous avez associé un bloc d'adresse CIDR IPv6 à votre VPC, vous pouvez associer un bloc d'adresseCIDR IPv6 à un sous-réseau existant de votre VPC, ou lorsque vous créez un sous-réseau. Un blocd'adresse CIDR IPv6 d'un sous-réseau utilise une longueur de préfixe fixe de /64.

Par exemple, vous créez un VPC et vous spécifiez que vous voulez associer un bloc d'adresse CIDRIPv6 fourni par Amazon au VPC. Amazon attribue le bloc d'adresse CIDR IPv6 suivant à votre VPC :2001:db8:1234:1a00::/56. Vous ne pouvez pas choisir vous-même la plage d'adresses IP. Vouspouvez créer un sous-réseau et associer un bloc d'adresse CIDR IPv6 à partir de cette plage ; parexemple, 2001:db8:1234:1a00::/64.

Vous pouvez dissocier un bloc d'adresse CIDR IPv6 d'un sous-réseau, et vous pouvez dissocier un blocd'adresse CIDR IPv6 d'un VPC. Une fois que vous avez dissocié un bloc d'adresse CIDR IPv6 d'un VPC,vous ne pouvez pas vous attendre à recevoir le même CIDR si vous associez une nouvelle fois un blocd'adresse CIDR IPv6 à votre VPC ultérieurement.

Les quatre premières adresses IPv6 et la dernière adresse IPv6 du bloc d'adresse CIDR de chaque sous-réseau ne sont pas disponibles pour utilisation, et ne peuvent donc pas être affectées à une instance.Par exemple, dans un sous-réseau avec le bloc d'adresse CIDR 2001:db8:1234:1a00/64, les cinqadresses IP suivantes sont réservées :

• 2001:db8:1234:1a00::

• 2001:db8:1234:1a00::1

• 2001:db8:1234:1a00::2

• 2001:db8:1234:1a00::3

• 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Routage des sous-réseauxChaque sous-réseau doit être associé à une table de routage, qui indique les routes autorisées pour letrafic sortant quittant le sous-réseau. Chaque sous-réseau que vous créez est automatiquement associé àla table de routage principale de votre VPC. Vous pouvez modifier cette association, mais aussi le contenude la table de routage principale. Pour plus d'informations, consultez Tables de routage (p. 220).

Dans le schéma précédent, la table de routage associée au sous-réseau 1 achemine tout le trafic IPv4(0.0.0.0/0) et le trafic IPv6 (::/0) vers une passerelle Internet (par exemple, igw-1a2b3c4d). Dans lamesure où l'instance 1A possède une adresse IP Elastic IPv4 et l'instance 1B possède une adresse IPv6,elles sont accessibles depuis Internet via IPv4 et IPv6 respectivement.

100

Amazon Virtual Private Cloud Guide de l'utilisateurSécurité des sous-réseaux

Note

(IPv4 uniquement) L'adresse IPv4 Elastic ou l'adresse IPv4 publique qui est associée à votreinstance est accessible via la passerelle Internet de votre VPC. Le trafic qui passe par uneconnexion AWS Site-to-Site VPN entre votre instance et un autre réseau traverse une passerelleréseau privé virtuel, et non la passerelle Internet. Il ne peut donc pas accéder à l'adresse IPv4Elastic ou à l'adresse IPv4 publique.

L'instance 2A ne peut pas accéder à Internet, mais elle peut accéder à d'autres instances dans le VPC.Vous pouvez permettre à une instance de votre VPC d'établir des connexions sortantes vers Internetvia IPv4, mais empêcher des connexions entrantes non sollicitées provenant d'Internet à l'aide d'unepasserelle ou d'une instance NAT. Comme vous pouvez allouer un nombre limité d'adresses IP Elastic,nous vous conseillons d'utiliser un périphérique NAT si vous avez plusieurs instances qui nécessitentune adresse IP publique statique. Pour plus d'informations, consultez NAT (p. 252). Pour lancer unecommunication sortante uniquement vers Internet via IPv6, vous pouvez utiliser une passerelle Internet desortie uniquement. Pour plus d'informations, consultez Passerelles Internet de sortie uniquement (p. 249).

La table de routage associée au sous-réseau 3 achemine tout le trafic IPv4 (0.0.0.0/0) vers unepasserelle réseau privé virtuel (par exemple, vgw-1a2b3c4d). L'instance 3A peut accéder aux ordinateursdu réseau d'entreprise sur une connexion Site-to-Site VPN.

Sécurité des sous-réseauxAWS propose deux fonctions que vous pouvez utiliser pour renforcer la sécurité de votre VPC : les groupesde sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vosinstances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupartdes cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez égalementutiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC.Pour de plus amples informations, veuillez consulter Confidentialité du trafic inter-réseaux dans AmazonVPC (p. 146).

Dans sa conception, chaque sous-réseau doit être associé à une liste ACL réseau. Chaque sous-réseauque vous créez est automatiquement associé à l'ACL réseau par défaut de votre VPC. Vous pouvezmodifier cette association, mais aussi le contenu de l'ACL réseau par défaut. Pour plus d'informations,consultez ACL réseau (p. 174).

Vous pouvez créer un journal de flux sur votre VPC ou sous-réseau pour capturer ces flux vers et enprovenance des interfaces réseau dans votre VPC ou sous-réseau. Vous pouvez aussi créer un journalde flux sur une interface réseau individuelle. Les journaux de flux sont publiés dans CloudWatch Logs ouAmazon S3. Pour de plus amples informations, veuillez consulter Journaux de flux VPC (p. 191).

Utilisation des VPC et des sous-réseauxLes procédures suivantes permettent de créer manuellement un VPC et des sous-réseaux. Vous devezégalement ajouter manuellement des passerelles et des tables de routage. Vous pouvez également utiliserl'assistant Amazon VPC pour créer un VPC et ses sous-réseaux, passerelles et tables de routage en uneseule étape. Pour plus d'informations, consultez Exemples de VPC (p. 70).

Tâches• Création d'un VPC (p. 102)• Création d'un sous-réseau dans votre VPC (p. 103)• Association d'un bloc d'adresse CIDR IPv4 secondaire à votre VPC (p. 104)• Association d'un bloc d'adresse CIDR IPv6 à votre VPC (p. 104)

101

Amazon Virtual Private Cloud Guide de l'utilisateurCréation d'un VPC

• Association d'un bloc d'adresse CIDR IPv6 à votre sous-réseau (p. 105)• Lancement d'une instance dans votre sous-réseau (p. 106)• Suppression de votre sous-réseau (p. 106)• Dissociation d'un bloc d'adresse CIDR IPv4 de votre VPC (p. 107)• Dissociation d'un bloc d'adresse CIDR IPv6 de votre VPC ou de votre sous-réseau (p. 107)• Suppression de votre VPC (p. 108)

Création d'un VPCVous pouvez créer un VPC vide à l'aide de la console Amazon VPC.

Pour créer un VPC à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Vos VPC, puis Créer VPC.3. Spécifiez les détails de VPC suivants si nécessaire, puis choisissez Create (Créer).

• Balise Nom : vous pouvez si vous le souhaitez nommer votre VPC. Cette étape crée une balise avecune clé de Name et la valeur que vous spécifiez.

• IPv4 CIDR block : spécifiez un bloc d'adresse CIDR IPv4 pour le VPC. Nous vous conseillonsd'indiquer un bloc d'adresse CIDR des plages d'adresses IP privées (non publiquement routables),comme spécifié dans la norme RFC 1918 ; par exemple, 10.0.0.0/16 ou 192.168.0.0/16.

Note

Vous pouvez spécifier une plage d'adresses IPv4 publiquement routables ; toutefois,à l'heure actuelle, nous ne prenons pas en charge l'accès direct à Internet depuis desblocs d'adresse CIDR publiquement routables dans un VPC. Les instances Windows nepeuvent pas s'amorcer correctement si elles sont lancées dans un VPC avec des plagescomprises entre 224.0.0.0 et 255.255.255.255 (plages d'adresses IP de classe D etde classe E).

• Bloc d'adresse CIDR IPv6 : vous pouvez éventuellement associer un bloc d'adresse CIDR IPv6 àvotre VPC en choisissant l'une des options suivantes :• Amazon-provided IPv6 CIDR block (Bloc d'adresse CIDR IPv6 fourni par Amazon) : demande un

bloc d'adresse CIDR IPv6 à partir du pool d'adresses IPv6 d'Amazon.• IPv6 CIDR owned by me (Adresses CIDR IPv6 m'appartenant) : (BYOIP) alloue un bloc d'adresse

CIDR IPv6 à partir de votre pool d'adresses IPv6. Dans Pool choisissez le pool d'adresses IPv6 àpartir duquel allouer le bloc d'adresse CIDR IPv6.

• Location : sélectionnez une option de location. Une location dédiée garantit l'exécution de vosinstances sur un matériel à client unique. Pour plus d’informations, consultez Instances dédiéesdans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Vous pouvez également utiliser un outil de ligne de commande.

Pour créer un VPC à l'aide d'un outil de ligne de commande

• create-vpc (AWS CLI)• New-EC2Vpc (Outils AWS pour Windows PowerShell)

Pour décrire un VPC à l'aide d'un outil de ligne de commande

• describe-vpcs (AWS CLI)

102



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Vpc.html


Amazon Virtual Private Cloud Guide de l'utilisateurCréation d'un sous-réseau dans votre VPC

• Get-EC2Vpc (Outils AWS pour Windows PowerShell)

Pour plus d'informations sur les adresses IP, consultez Adressage IP dans votre VPC (p. 122).

Une fois que vous avez créé un VPC, vous pouvez créer des sous-réseaux. Pour plus d'informations,consultez Création d'un sous-réseau dans votre VPC (p. 103).

Création d'un sous-réseau dans votre VPCPour ajouter un sous-réseau à votre VPC, vous devez spécifier un bloc d'adresse CIDR IPv4 pour le sous-réseau à partir de la plage de votre VPC. Vous pouvez spécifier la zone de disponibilité dans laquelle voussouhaitez que le sous-réseau se trouve. Vous pouvez avoir plusieurs sous-réseaux dans la même zone dedisponibilité.

Le cas échéant, vous pouvez spécifier un bloc d'adresse CIDR IPv6 pour votre sous-réseau si un blocd'adresse CIDR IPv6 est associé à votre VPC.

Ajouter un sous-réseau à votre VPC à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets (Sous-réseaux), Create subnet (Créer un sous-

réseau).3. Spécifiez les détails du sous-réseau si nécessaire et choisissez Create (Créer).

• Balise Nom : vous pouvez également nommer votre sous-réseau. Cette étape crée une balise avecune clé de Name et la valeur que vous spécifiez.

• VPC : choisissez le VPC pour lequel vous créez le sous-réseau.• Zone de disponibilité : vous pouvez choisir une zone de disponibilité ou une zone locale dans

laquelle votre sous-réseau réside, ou conserver la valeur Aucune préférence par défaut afin delaisser AWS choisir une zone de disponibilité à votre place.

Pour de plus amples informations sur les régions qui prennent en charge les zones locales, veuillezconsulter Régions disponibles dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

• IPv4 CIDR block : spécifiez un bloc d'adresse CIDR IPv4 pour votre sous-réseau, par exemple,10.0.1.0/24. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseauxpour IPv4 (p. 95).

• IPv6 CIDR block : (facultatif) si vous avez associé un bloc d'adresse CIDR IPv6 à votre VPC,choisissez Specify a custom IPv6 CIDR. Spécifiez la valeur de paire hexadécimale pour le sous-réseau, ou conservez la valeur par défaut.

4. (Facultatif) Si nécessaire, recommencez les étapes ci-dessus pour créer plusieurs sous-réseaux dansvotre VPC.


Pour ajouter un sous-réseau à l'aide d'un outil de ligne de commande

• create-subnet (AWS CLI)• New-EC2Subnet (Outils AWS pour Windows PowerShell)

Pour décrire un sous-réseau à l'aide d'un outil de ligne de commande

• describe-subnets (AWS CLI)• Get-EC2Subnet (Outils AWS pour Windows PowerShell)

103

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-subnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Subnet.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-subnets.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html

Amazon Virtual Private Cloud Guide de l'utilisateurAssociation d'un bloc d'adresse CIDR IPv4

secondaire à votre VPC

Une fois que vous avez créé un sous-réseau, procédez comme suit :

• Configurez votre routage. Pour définir votre sous-réseau en tant que sous-réseau public, vousdevez attacher une passerelle Internet à votre VPC. Pour plus d'informations, consultez Création etattachement d'une passerelle Internet (p. 246). Vous pourrez ensuite créer une table de routagepersonnalisée et ajouter la route à la passerelle Internet. Pour plus d'informations, consultez Créationd'une table de routage personnalisée (p. 246). Pour les autres options de routage, consultez la pageTables de routage (p. 220).

• Modifiez les paramètres de sous-réseau afin de spécifier que toutes les instances lancées dans ce sous-réseau reçoivent une adresse IPv4 publique, ou une adresse IPv6, ou les deux. Pour plus d'informations,consultez Comportement de l'adressage IP pour votre sous-réseau (p. 125).

• Créez ou modifiez vos groupes de sécurité si nécessaire. Pour plus d'informations, consultez Groupes desécurité pour votre VPC (p. 165).

• Créez ou modifiez vos ACL réseau si nécessaire. Pour plus d'informations, consultez ACLréseau (p. 174).

• Partager le sous-réseau avec d'autres comptes. Pour plus d'informations, consultez ??? (p. 110).

Association d'un bloc d'adresse CIDR IPv4 secondaireà votre VPCVous pouvez ajouter un autre bloc d'adresse CIDR IPv4 à votre VPC. Veillez à lire les restrictions (p. 96)applicables.

Une fois que vous avez associé un bloc d'adresse CIDR, le statut devientassociating. Le blocd'adresse CIDR est prêt à être utilisé lorsqu'il a l'état associated.

Pour ajouter un bloc d'adresse CIDR à votre VPC à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez le VPC et choisissez Actions, puis Modifier les blocs CIDR.4. Choisissez Blocs CIDR IPv4 du VPC, puis entrez le bloc d'adresse CIDR à ajouter, par exemple

10.2.0.0/16. Choisissez l'icône en forme de coche.5. Choisissez Fermer.


Pour ajouter un bloc d'adresse CIDR à l'aide d'un outil de ligne de commande

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (Outils AWS pour Windows PowerShell)

Une fois que vous avez ajouté les blocs d'adresse CIDR IPv4 dont vous avez besoin, vous pouvezcréer des sous-réseaux. Pour plus d'informations, consultez Création d'un sous-réseau dans votreVPC (p. 103).

Association d'un bloc d'adresse CIDR IPv6 à votreVPCVous pouvez associer un bloc d'adresse CIDR IPv6 à un VPC existant. Le VPC ne doit pas posséder debloc d'adresse CIDR IPv6 existant associé à celui-ci.

104


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html

Amazon Virtual Private Cloud Guide de l'utilisateurAssociation d'un bloc d'adresseCIDR IPv6 à votre sous-réseau

Pour associer un bloc d'adresse CIDR IPv6 à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez votre VPC, choisissez Actions, puis Edit CIDRs.4. Choisissez Add IPv6 CIDR.5. Choisissez Add IPv6 CIDR.6. Pour le Bloc d'adresse CIDR IPv6, choisissez l'une des options suivantes, puis sélectionnez Select

CIDR (Sélectionner le CIDR) :

• Amazon-provided IPv6 CIDR block (Bloc d'adresse CIDR IPv6 fourni par Amazon) : demande unbloc d'adresse CIDR IPv6 à partir du pool d'adresses IPv6 d'Amazon.

• IPv6 CIDR owned by me (Adresses CIDR IPv6 m'appartenant) : (BYOIP) alloue un bloc d'adresseCIDR IPv6 à partir de votre pool d'adresses IPv6. Dans Pool choisissez le pool d'adresses IPv6 àpartir duquel allouer le bloc d'adresse CIDR IPv6.

7. Si vous avez sélectionné le bloc CIDR IPv6 fourni par Amazon, dans Groupe de bordure réseau,sélectionnez le groupe dans lequel les adresses IP sont annoncées par AWS.

8. Choisissez Sélectionner un CIDR.9. Choisissez Fermer.


Pour associer un bloc d'adresse CIDR IPv6 à un VPC à l'aide d'un outil de ligne de commande

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (Outils AWS pour Windows PowerShell)

Association d'un bloc d'adresse CIDR IPv6 à votresous-réseauVous pouvez associer un bloc d'adresses CIDR IPv6 à un sous-réseau existant de votre VPC. Le sous-réseau ne doit pas posséder de bloc d'adresse CIDR IPv6 existant associé à celui-ci.

Pour associer un bloc d'adresse CIDR IPv6 à un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.3. Sélectionnez votre sous-réseau, choisissez Actions de sous-réseau (subnet), puis Edit IPv6 CIDRs.4. Choisissez Add IPv6 CIDR. Spécifiez la paire hexadécimale du sous-réseau (par exemple, 00) et

confirmez l'entrée en choisissant l'icône en forme de coche.5. Choisissez Fermer.


Pour associer un bloc d'adresse CIDR IPv6 à un sous-réseau à l'aide d'un outil de ligne decommande

• associate-subnet-cidr-block (AWS CLI)• Register-EC2SubnetCidrBlock (Outils AWS pour Windows PowerShell)

105


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2SubnetCidrBlock.html

Amazon Virtual Private Cloud Guide de l'utilisateurLancement d'une instance dans votre sous-réseau

Lancement d'une instance dans votre sous-réseauUne fois que vous avez créé votre sous-réseau et configuré votre routage, vous pouvez lancer uneinstance dans votre sous-réseau à l'aide de la console Amazon EC2.

Pour lancer une instance dans votre sous-réseau à l'aide de la console

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sur le tableau de bord, choisissez Launch Instance.3. Suivez les instructions dans l'assistant. Sélectionnez une interface AMI et un type d'instance, puis

choisissez Next: Configure Instance Details.

Note

Si vous voulez que votre instance communique via IPv6, vous devez sélectionner un typed'instance pris en charge. Tous les types d'instance de la génération actuelle prennent encharge les adresses IPv6.

4. Sur la page Configure Instance Details, assurez-vous d'avoir sélectionné le VPC requis dans laliste Network, puis sélectionnez le sous-réseau dans lequel lancer l'instance. Conservez les autresparamètres par défaut sur cette page et choisissez Next: Add Storage.

5. Sur les pages suivantes de l'assistant, vous pouvez configurer le stockage de votre instance et ajouterdes balises. Sur la page Configure Security Group, choisissez un groupe de sécurité existant parmiceux que vous possédez ou suivez les instructions de l'assistant pour créer un groupe de sécurité.Choisissez Review and Launch lorsque vous avez terminé.

6. Passez vos paramètres en revue et choisissez Launch (Lancer).7. Sélectionnez une paire de clés existante parmi celles que vous possédez, ou créez-en une autre, puis

choisissez Launch Instances lorsque vous avez terminé.


Pour lancer une instance dans votre sous-réseau à l'aide d'un outil de ligne de commande

• run-instances (AWS CLI)• New-EC2Instance (Outils AWS pour Windows PowerShell)

Suppression de votre sous-réseauSi vous n'avez plus besoin de votre sous-réseau, vous pouvez le supprimer. Vous devez tout d'abordmettre fin à toutes les instances dans le sous-réseau.

Pour supprimer votre sous-réseau à l'aide de la console

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Mettez fin à toutes les instances dans le sous-réseau. Pour plus d'informations, consultez la section

Résilier une instance dans le Guide de l'utilisateur EC2.3. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.4. Dans le volet de navigation, choisissez Subnets.5. Sélectionnez le sous-réseau à supprimer, puis choisissez Actions, Delete subnet (Supprimer le sous-

réseau).6. Dans la boîte de dialogue Delete Subnet (Supprimer le sous-réseau), sélectionnez Delete subnet

(Supprimer le sous-réseau).

106


https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html


Amazon Virtual Private Cloud Guide de l'utilisateurDissociation d'un bloc d'adresse CIDR IPv4 de votre VPC


Pour supprimer un sous-réseau à l'aide d'un outil de ligne de commande

• delete-subnet (AWS CLI)• Remove-EC2Subnet (Outils AWS pour Windows PowerShell)

Dissociation d'un bloc d'adresse CIDR IPv4 de votreVPCSi votre VPC est associé à plusieurs blocs d'adresse CIDR IPv4, vous pouvez dissocier un blocd'adresse CIDR IPv4 du VPC. Vous pouvez dissocier le bloc d'adresse CIDR IPv4 principal. Vouspouvez uniquement dissocier un bloc d'adresse CIDR complet, mais pas un sous-ensemble d'un blocd'adresse CIDR ou une plage fusionnée de blocs d'adresse CIDR. Vous devez commencer par supprimertous les sous-réseaux du bloc d'adresse CIDR.

Pour supprimer un bloc d'adresse CIDR d'un VPC à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez le VPC et choisissez Actions, puis Modifier les blocs CIDR.4. Sous Blocs CIDR IPv4 du VPC, choisissez le bouton de suppression (une croix) pour le bloc

d'adresse CIDR à supprimer.5. Choisissez Fermer.


Pour supprimer un bloc d'adresse CIDR IPv4 d'un VPC à l'aide d'un outil de ligne de commande

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (Outils AWS pour Windows PowerShell)

Dissociation d'un bloc d'adresse CIDR IPv6 de votreVPC ou de votre sous-réseauSi vous ne souhaitez plus prendre en charge IPv6 dans votre VPC ou votre sous-réseau, mais que voussouhaitez continuer à utiliser votre VPC ou votre sous-réseau pour la création et la communication avec lesressources IPv4, vous pouvez dissocier le bloc d'adresse CIDR IPv6.

Pour dissocier un bloc d'adresse CIDR IPv6, vous devez tout d'abord annuler l'attribution des adressesIPv6 qui sont attribuées aux instances de votre sous-réseau. Pour plus d'informations, consultez Annulationde l'attribution d'une adresse IPv6 d'une instance (p. 129).

Pour dissocier un bloc d'adresse CIDR IPv6 d'un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.3. Sélectionnez votre sous-réseau, choisissez Actions, Edit IPv6 CIDRs (Modifier les blocs d'adresses

CIDR IPv6).4. Supprimez le bloc d'adresse CIDR IPv6 du sous-réseau en choisissant l'icône en forme de croix.

107

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-subnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Subnet.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html


Amazon Virtual Private Cloud Guide de l'utilisateurSuppression de votre VPC

5. Choisissez Fermer.

Pour dissocier un bloc d'adresse CIDR IPv6 d'un VPC à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez votre VPC, choisissez Actions, puis Edit CIDRs.4. Supprimez le bloc d'adresse CIDR IPv6 en choisissant l'icône en forme de croix.5. Choisissez Fermer.

Note

La dissociation d'un bloc d'adresse CIDR IPv6 ne supprime pas automatiquement les règlesde groupe de sécurité, les règles ACL réseau ou les routes de table de routage que vous avezconfigurées pour la mise en réseau IPv6. Vous devez modifier ou supprimer manuellement cesrègles ou ces routes.


Pour dissocier un bloc d'adresse CIDR IPv6 d'un sous-réseau à l'aide d'un outil de ligne decommande

• disassociate-subnet-cidr-block (AWS CLI)• Unregister-EC2SubnetCidrBlock (Outils AWS pour Windows PowerShell)

Pour dissocier un bloc d'adresse CIDR IPv6 d'un VPC à l'aide d'un outil de ligne de commande

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (Outils AWS pour Windows PowerShell)

Suppression de votre VPCPour supprimer un VPC à l'aide de la console VPC, vous devez d'abord arrêter ou supprimer lescomposants suivants :

• Toutes les instances du VPC• Connexions d'appairage de VPC• Points de terminaison d'interface• Passerelles NAT

Lorsque vous supprimez un VPC à l'aide de la console VPC, nous supprimons également les composantsdu VPC suivants pour vous :

• Sous-réseaux• Groupes de sécurité• Listes ACL réseau• Tables de routage• Points de terminaison de passerelle• Passerelles Internet• Passerelles Internet de sortie uniquement

108


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2SubnetCidrBlock.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html

Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation des VPC partagés

• Options DHCP

Si vous disposez d'une connexion AWS Site-to-Site VPN, vous n'avez pas à la supprimer, ni lescomposants qui sont associés au réseau VPN (comme la passerelle client et la passerelle réseau privévirtuel). Si vous prévoyez d'utiliser la passerelle client avec un autre VPC, nous vous recommandons deconserver la connexion Site-to-Site VPN et les passerelles. Sinon, vous devez configurer à nouveau votrepériphérique de passerelle client après avoir créé une nouvelle connexion Site-to-Site VPN.

Pour supprimer votre VPC à l'aide de la console

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Mettez fin à toutes les instances dans le VPC. Pour plus d'informations, consultez Terminate Your

Instance dans le manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.3. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.4. Dans le panneau de navigation, sélectionnez Your VPCs.5. Sélectionnez le VPC à supprimer, choisissez Actions, puis Supprimer le VPC.6. Si vous avez une connexion Site-to-Site VPN, sélectionnez l'option pour la supprimer ; sinon, ne la

sélectionnez pas. Choisissez Delete VPC (Supprimer le VPC).

Vous pouvez également utiliser un outil de ligne de commande. Lorsque vous supprimez un VPC àl'aide de la ligne de commande, vous devez commencer par résilier toutes les instances, puis supprimerou détacher toutes les ressources associées, y compris les sous-réseaux, les groupes de sécuritépersonnalisés, les listes ACL réseau personnalisées, les tables de routage personnalisées, les connexionsd'appairage VPC, les points de terminaison, la passerelle NAT, la passerelle Internet et la passerelleInternet de sortie uniquement.

Pour supprimer un VPC à l'aide d'un outil de ligne de commande

• delete-vpc (AWS CLI)• Remove-EC2Vpc (Outils AWS pour Windows PowerShell)

Utilisation des VPC partagésLe partage de VPC permet à plusieurs comptes AWS de créer leurs ressources d'applications, commedes instances Amazon EC2, des bases de données Amazon Relational Database Service, des clustersAmazon Redshift et des fonctions AWS Lambda, dans des clouds privés virtuels (VPC) Amazon partagéset gérés de manière centralisée. Dans ce modèle, le compte détenant le VPC (propriétaire) partage un ouplusieurs sous-réseaux avec d'autres comptes (participants) appartenant à la même organisation dansAWS Organizations. Une fois un sous-réseau partagé, les participants peuvent afficher, créer, modifieret supprimer leurs ressources d'application contenues dans les sous-réseaux partagés avec eux. Ils nepeuvent toutefois pas afficher, modifier ou supprimer des ressources appartenant à d'autres participants ouau propriétaire du VPC.

Vous pouvez partager les VPC Amazon afin de tirer parti du routage implicite au sein d'un VPC au profitd'applications nécessitant un niveau élevé d'interconnectivité et comprises dans les mêmes limitesde confiance. Cela permet de réduire le nombre de VPC que vous créez et gérez, tout en utilisantdes comptes distincts pour la facturation et le contrôle d'accès. Vous pouvez simplifier les topologiesréseau en interconnectant les VPC Amazon partagés à l'aide de fonctions de connectivité comme AWSPrivateLinkAWS Transit Gateway et l'appairage Amazon VPC. Pour de plus amples informations sur lesavantages du partage de VPC, veuillez consulter le billet de blog VPC sharing: A new approach to multipleaccounts and VPC management.

Sommaire

109





https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Vpc.html

https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/

https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/

Amazon Virtual Private Cloud Guide de l'utilisateurConditions préalables relatives aux VPC partagés

• Conditions préalables relatives aux VPC partagés (p. 110)• Partage d'un sous-réseau (p. 110)• Annulation du partage d'un sous-réseau (p. 110)• Identification du propriétaire d'un sous-réseau partagé (p. 111)• Autorisations de sous-réseaux partagés (p. 111)• Facturation et mesure pour le propriétaire et les participants (p. 112)• Services non pris en charge pour les sous-réseaux partagés (p. 112)• Limites (p. 112)

Conditions préalables relatives aux VPC partagésVous devez activer le partage de ressources à partir du compte principal de votre organisation. Pourplus d'informations sur l'activation du partage de ressources, consultez Activation du partage avec AWSOrganizations dans le Guide de l'utilisateur AWS RAM.

Partage d'un sous-réseauVous pouvez partager des sous-réseaux non définis par défaut avec d'autres comptes au sein de votreorganisation. Pour partager des sous-réseaux, vous devez d'abord créer un partage de ressources avecles sous-réseaux à partager et les comptes AWS, unités d'organisation ou une organisation entière avecqui vous souhaitez partager ces sous-réseaux. Pour plus d’informations sur la création d'un partage deressources, consultez Création d'un partage de ressources dans le Guide de l'utilisateur AWS RAM.

Pour partager un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.3. Sélectionnez votre sous-réseau, choisissez Actions, puis Share subnet (Partager un sous-réseau).4. Sélectionnez partage de ressources, puis choisissez Share subnet (Partager un sous-réseau).

Pour partager un sous-réseau à l'aide d'AWS CLI

Utilisez les commandes create-resource-share et associate-resource-share.

Mappage des sous-réseaux entre les zones de disponibilitéPour garantir que les ressources sont réparties entre les zones de disponibilité d'une région, nous mapponsindépendamment les zones de disponibilité aux noms de chaque compte. Par exemple, la zone dedisponibilité us-east-1a de votre compte AWS peut avoir un emplacement différent de la zone dedisponibilité us-east-1a d'un autre compte AWS.

Pour coordonner les zones de disponibilité entre les comptes pour le partage de VPC, vous devez utiliserun ID de zone de disponibilité, qui représente l'identifiant unique et cohérent d'une zone de disponibilité.Par exemple, use1-az1 est l'une des zones de disponibilité de la région us-east-1. Les ID de zonede disponibilité permettent de déterminer l'emplacement des ressources d'un compte par rapport auxressources d'un autre compte. Pour plus d'informations, consultez Identifiants des zones de disponibilité devos ressources dans le Guide de l'utilisateur AWS RAM.

Annulation du partage d'un sous-réseauLe propriétaire peut annuler le partage d'un sous-réseau avec des participants à tout moment. Lorsque lepropriétaire a annulé le partage d'un sous-réseau, les règles suivantes doivent être respectées :

110

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create


https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html

https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html


Amazon Virtual Private Cloud Guide de l'utilisateurIdentification du propriétaire d'un sous-réseau partagé

• Les ressources des participants existants continuent de s'exécuter dans le sous-réseau dont le partage aété annulé.

• Les participants ne peuvent plus créer de ressources dans le sous-réseau dont le partage a été annulé.• Les participants peuvent modifier, décrire et supprimer leurs ressources contenues dans le sous-réseau.• Si les participants possèdent toujours des ressources dans le sous-réseau dont le partage a été annulé,

le propriétaire ne peut pas supprimer le sous-réseau partagé ou le VPC de sous-réseau partagé. Ilpeut supprimer le sous-réseau partagé ou le VPC de sous-réseau partagé uniquement une fois que lesparticipants ont supprimé toutes les ressources dans le sous-réseau dont le partage a été annulé.

Pour annuler le partage d'un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.3. Sélectionnez votre sous-réseau, choisissez Actions, puis Share subnet (Partager un sous-réseau).4. Choisissez Actions, Stop sharing (Arrêter le partage).

Pour annuler le partage d'un sous-réseau à l'aide d'AWS CLI

Utilisez la commande disassociate-resource-share.

Identification du propriétaire d'un sous-réseau partagéLes participants peuvent afficher les sous-réseaux partagés avec eux en utilisant la console Amazon VPCou l'outil de ligne de commande.

Pour identifier un propriétaire de sous-réseau (console)

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets. La colonne Propriétaire indique le propriétaire du

sous-réseau.

Pour identifier le propriétaire d'un sous-réseau à l'aide d'AWS CLI

Utilisez les commandes describe-subnets et describe-vpcs, qui comprennent l'ID du propriétaire dans leursortie.

Autorisations de sous-réseaux partagésAutorisations de propriétaireLes propriétaires de VPC sont responsables de la création, de la gestion et de la suppression de toutesles ressources de niveau VPC, notamment des sous-réseaux, des tables de routage, des listes ACLréseau, des connexions d'appairage, des points de terminaison de passerelle, des points de terminaisond'interface, des points de terminaison Amazon Route 53 Resolver, des passerelles Internet, despasserelles NAT, des passerelles réseau privé virtuel et des attachements de transit gateway.

Les propriétaires de VPC ne peuvent pas modifier ou supprimer les ressources des participants,notamment les groupes de sécurités créés par les participants. Les propriétaires de VPC peuvent consulterles informations relatives à toutes les interfaces réseau et les groupes de sécurité associés aux ressourcesdes participants, en vue de faciliter la résolution de problèmes et les audits. Les propriétaires de VPCpeuvent créer des abonnements à des journaux de flux dans le VPC, ou un niveau ENI pour la surveillancedu trafic ou la résolution de problèmes.

111


https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html




Amazon Virtual Private Cloud Guide de l'utilisateurFacturation et mesure pour le propriétaire et les participants

Autorisations des participantsLes participants inclus dans un VPC partagé sont responsables de la création, la gestion et la suppressionde leurs ressources, notamment les instances Amazon EC2, les bases de données Amazon RDS et leséquilibreurs de charge. Ils ne peuvent pas afficher ou modifier des ressources appartenant à d'autrescomptes de participants. Les participants peuvent afficher les détails des tables de routage et les ACLréseau associés aux sous-réseaux partagés avec eux. Ils ne peuvent toutefois pas modifier les ressourcesde niveau du VPC, dont les tables de routage, les ACL réseau ou les sous-réseaux. Les participantspeuvent référencer des groupes de sécurité appartenant à d'autres participants ou au propriétaire enutilisant l'ID de groupe de sécurité. Les participants peuvent créer des abonnements de journaux de fluxuniquement pour les interfaces dont ils sont propriétaires.

Facturation et mesure pour le propriétaire et lesparticipantsDans un VPC partagé, chaque participant paye les ressources de son application, notamment les instancesAmazon EC2, les bases de données Amazon Relational Database Service, les clusters Amazon Redshiftet les fonctions AWS Lambda. Il règle également les frais de transfert de données associés au transfert dedonnées entre zones de disponibilité, au transfert de données via des connexions d'appairage de VPC etau transfert de données via une passerelle AWS Direct Connect. Les propriétaires de VPC paient des fraishoraires (le cas échéant), des frais de traitement et de transfert de données via les passerelles NAT, lespasserelles réseau privé virtuel, les passerelles de transit, AWS PrivateLink et les points de terminaison deVPC. Le transfert de données au sein d'une même zone de disponibilité (identifiée par son ID de zone dedisponibilité) est gratuit, quel que soit le propriétaire du compte des ressources qui communiquent.

Services non pris en charge pour les sous-réseauxpartagésLes participants ne peuvent pas créer de ressources pour les services suivants d'un sous-réseau partagé :

• AWS CloudHSM Classic• Passerelles de transit AWS

LimitesLes restrictions suivantes s'appliquent à l'utilisation d'un partage de VPC :

• Les utilisateurs peuvent partager les sous-réseaux uniquement avec d'autres comptes ou unitésorganisationnelles se trouvant dans la même organisation d'AWS Organizations.

• Les propriétaires ne peuvent pas partager des sous-réseaux se trouvant dans un VPC par défaut.• Les participants ne peuvent pas lancer de ressources avec des groupes de sécurité détenus par d'autres

participants qui partagent le VPC ou par le propriétaire de ce dernier.• Les participants ne peuvent pas lancer de ressources en utilisant le groupe de sécurité par défaut du

VPC, car il appartient au propriétaire.• Les propriétaires ne peuvent pas lancer de ressources avec des groupes de sécurité détenus par

d'autres participants.• Les quotas de service sont appliqués à chaque compte individuel. Pour plus d'informations sur les quotas

de service, consultez Quotas de service AWS dans le Référence générale d'Amazon Web Services.• Les balises de VPC et les balises pour les ressources dans le VPC partagé ne sont pas partagées avec

les participants.

112

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html

Amazon Virtual Private Cloud Guide de l'utilisateurLimites

• Lorsque les participants lancent des ressources dans un sous-réseau partagé, ils doivent s’assurerd’attacher leur groupe de sécurité à la ressource et ne pas se reposer sur le groupe de sécurité pardéfaut. Les participants ne peuvent pas utiliser le groupe de sécurité par défaut, car il appartient aupropriétaire du VPC.

• les stratégies de groupe de sécurité AWS Firewall Manager ne sont pas prises en charge pour lesressources des participants dans un VPC partagé.

113

Amazon Virtual Private Cloud Guide de l'utilisateurComposants du VPC par défaut

VPC par défaut et sous-réseaux pardéfaut

Si vous avez créé votre compte AWS après le 04/12/2013, il prend seulement en charge EC2-VPC. Dansce cas, vous avez un VPC par défaut dans chaque région AWS. Le VPC par défaut est prêt à l'emploi,ce qui signifie que vous n'avez pas besoin d'en créer un, ni d'en configurer un, vous-même. Vous pouvezimmédiatement lancer des instances Amazon EC2 dans votre VPC par défaut. Vous pouvez égalementfaire appel à des services tels que Elastic Load Balancing, Amazon RDS et Amazon EMR dans votre VPCpar défaut.

Un VPC par défaut est la solution idéale pour une mise en route rapide et pour lancer des instancespubliques, comme un blog ou un site Internet simple. Vous pouvez modifier les composants du VPC pardéfaut à votre guise. Si vous préférez créer un VPC personnalisé, spécialement adapté à vos besoins (parexemple, avec la plage de blocs d'adresse CIDR et les tailles de sous-réseau de votre choix), reportez-vous aux exemples de scénarios (p. 70).

Sommaire• Composants du VPC par défaut (p. 114)• Disponibilité et plateformes prises en charge (p. 116)• Affichage de votre VPC par défaut et de vos sous-réseaux par défaut (p. 117)• Lancement d'une instance EC2 dans votre VPC par défaut (p. 118)• Suppression de vos sous-réseaux par défaut et de votre VPC par défaut (p. 119)• Création d'un VPC par défaut (p. 119)• Création d'un sous-réseau par défaut (p. 120)

Composants du VPC par défautLorsque nous créons un VPC par défaut, nous le configurons pour vous en procédant comme suit :

• Nous créons un VPC avec un bloc d'adresse CIDR IPv4 dont la taille est /16 (172.31.0.0/16). Celapermet d'obtenir jusqu'à 65 536 adresses IPv4 privées.

• Nous créons un sous-réseau par défaut, de taille /20, dans chaque zone de disponibilité. Cela permetd'obtenir jusqu'à 4 096 adresses par sous-réseau, dont quelques-unes nous sont réservées.

• Nous créons une passerelle Internet (p. 243) et nous la connectons à votre VPC par défaut.• Nous créons un groupe de sécurité par défaut et l'associons à votre VPC par défaut.• Nous créons une liste de contrôle d'accès (ACL) réseau par défaut et l'associons à votre VPC par défaut.• Nous associons les options DHCP par défaut définies pour votre compte AWS à votre VPC par défaut.

Note

Amazon crée les ressources ci-dessus pour votre compte. Les stratégies IAM ne s'appliquentpas à ces actions, car vous n'exécutez pas ces actions. Par exemple, si vous disposez d'unestratégie IAM qui vous refuse la possibilité d'appeler CreateInternetGateway et que vous appelezCreateDefaultVpc, la passerelle Internet dans le VPC par défaut est quand même créée.

La figure ci-dessous illustre les principaux composants que nous configurons pour un VPC par défaut.

114

Amazon Virtual Private Cloud Guide de l'utilisateurSous-réseaux par défaut

Un VPC par défaut s'utilise comme n'importe quel autre VPC :

• Ajoutez des sous-réseaux personnalisés supplémentaires.• Modifiez la table de routage principale.• Ajoutez d'autres tables de routage.• Associez d'autres groupes de sécurité.• Mettez à jour les règles du groupe de sécurité par défaut.• Ajoutez des connexions AWS Site-to-Site VPN.• Ajoutez d'autres blocs d'adresse CIDR IPv4.

Un sous-réseau par défaut s'utilise comme n'importe quel autre sous-réseau. Ajoutez-y des tables deroutage personnalisées et définissez des listes ACL réseau. Vous pouvez également spécifier un sous-réseau par défaut spécifique lorsque vous lancez une instance EC2.

Vous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC par défaut, si vous le souhaitez. Pour plusd'informations, consultez Utilisation des VPC et des sous-réseaux (p. 101).

Sous-réseaux par défautPar défaut, un sous-réseau par défaut est public, car la table de routage principale envoie le trafic du sous-réseau destiné à Internet vers la passerelle Internet. Pour transformer un sous-réseau par défaut en sous-

115

Amazon Virtual Private Cloud Guide de l'utilisateurDisponibilité et plateformes prises en charge

réseau privé, vous devez supprimer la route 0.0.0.0/0 pointant vers la passerelle Internet. Toutefois, si vousprocédez ainsi, aucune instance EC2 exécutée dans ce sous-réseau ne pourra accéder à Internet.

Les instances que vous lancez dans un sous-réseau par défaut reçoivent à la fois une adresse IPv4publique et une adresse IPv4 privée, ainsi que des noms d'hôte DNS publics et privés. Les instances quevous lancez dans un sous-réseau personnalisé d'un VPC par défaut ne reçoivent ni une adresse IPv4publique ni un nom d'hôte DNS. Vous avez la possibilité de modifier le comportement de votre sous-réseau concernant les adresses IP publiques. Pour plus d'informations, consultez Modification de l'attributd'adressage IPv4 public de votre sous-réseau (p. 126).

De temps en temps, AWS peut ajouter une nouvelle zone de disponibilité à une région. Dans la plupartdes cas, nous créons automatiquement un sous-réseau par défaut pour votre VPC par défaut dans cettezone de disponibilité en quelques jours. Toutefois, si vous avez apporté des modifications à votre VPCpar défaut, nous n'ajoutons pas de nouveau sous-réseau par défaut. Si vous avez besoin d'un sous-réseau par défaut pour la nouvelle zone de disponibilité, vous pouvez en créer un vous-même. Pour plusd'informations, consultez Création d'un sous-réseau par défaut (p. 120).

Disponibilité et plateformes prises en chargeSi vous avez créé votre compte AWS après 2013-12-04, il prend uniquement en charge EC2-VPC et vousdisposez d'un VPC par défaut dans chaque région AWS. Par conséquent, nous lançons vos instances dansvotre VPC par défaut, sauf si vous créez un VPC personnalisé et que vous le spécifiez lorsque vous lancezune instance.

Si vous avez créé votre compte AWS avant le 18/03/2013, il prend en charge EC2-Classic et EC2-VPCdans les régions que vous avez utilisées auparavant, et seulement EC2-VPC dans celles que vous n'avezpas utilisées. Dans ce cas, nous créons un VPC par défaut dans chaque région où vous n'avez crééaucune ressource AWS. Nous lançons l'instance dans votre VPC par défaut pour la région, sauf si vouscréez un VPC personnalisé et que vous le spécifiez lorsque vous lancez l'instance. Toutefois, si vouslancez une instance dans une région que vous avez utilisée auparavant, nous lançons l'instance dans EC2-Classic.

Si vous avez créé votre compte AWS entre le 18/03/2013 et le 04/12/2013, il est possible qu'il prenneen charge seulement EC2-VPC, ou EC2-Classic et EC2-VPC dans certaines des régions que vous avezutilisées. Pour identifier la détection de la prise en charge des plateformes dans chaque région pour votrecompte AWS, consultez la section Suppression des plateformes prises en charge (p. 116). Pour savoirquand les VPC par défaut ont été activés dans chaque région, consultez le fil de discussion Annonce :activation des régions pour l'ensemble de fonctions VPC par défaut dans le forum AWS consacré àAmazon VPC.

Si un compte AWS prend seulement en charge EC2-VPC, tous les comptes IAM associés à ce compteAWS prennent également en charge EC2-VPC uniquement, et ils utilisent le même VPC par défaut que lecompte AWS.

Si votre compte AWS prend en charge EC2-Classic et EC2-VPC, vous avez le choix entre créer un autrecompte AWS ou lancer vos instances dans une région encore inexploitée. Vous pouvez procéder ainsi pourtirer parti d'EC2-VPC, tout en profitant de la simplicité de lancement des instances dans EC2-Classic. Sivous préférez malgré tout ajouter un VPC par défaut à une région qui n'en possède pas et prend en chargeEC2-Classic, consultez la réponse à la question « Je voudrais vraiment disposer d'un VPC par défaut pourun compte EC2 existant. Est-ce possible ? » dans la FAQ sur les VPC par défaut.

Suppression des plateformes prises en chargeVous pouvez utiliser la console Amazon EC2 ou la ligne de commande pour déterminer si votre compteAWS prend en charge les deux plateformes, ou si vous disposez d'un VPC par défaut.

116

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html

https://forums.aws.amazon.com/ann.jspa?annID=1875#

https://forums.aws.amazon.com/ann.jspa?annID=1875#

http://aws.amazon.com/vpc/faqs/#Default_VPCs

Amazon Virtual Private Cloud Guide de l'utilisateurAffichage de votre VPC par défautet de vos sous-réseaux par défaut

Pour détecter la prise en charge des plateformes à l'aide de la console Amazon EC2

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. En haut à droite de la barre de navigation, utilisez le sélecteur pour indiquer votre région.3. Sur le tableau de bord de la console Amazon EC2, recherchez la section Plateformes prises en charge

sous Attributs du compte. Lorsque deux valeurs sont définies (EC2 et VPC), vous pouvez lancer desinstances sur la plate-forme de votre choix. Lorsqu'une seule valeur est définie (VPC), vous pouvezuniquement lancer des instances dans EC2-VPC.

Par exemple, les indications suivantes montrent que le compte prend uniquement en charge laplateforme EC2-VPC et qu'il dispose d'un VPC par défaut associé à l'identifiant vpc-1a2b3c4d.

Si vous supprimez votre VPC par défaut, la valeur Default VPC affichée correspond à None.

Pour détecter la prise en charge des plateformes à l'aide de la ligne de commande

• describe-account-attributes (AWS CLI)• Get-EC2AccountAttribute (Outils AWS pour Windows PowerShell)

L'attribut supported-platforms en sortie indique sur quelles plateformes vous pouvez lancer desinstances EC2.

Affichage de votre VPC par défaut et de vos sous-réseaux par défaut

Pour afficher votre VPC et vos sous-réseaux par défaut, vous pouvez utiliser la console Amazon VPC ou laligne de commande.

Pour afficher votre VPC et vos sous-réseaux par défaut à l'aide de la console Amazon VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Dans la colonne VPC par défaut, recherchez la valeur Oui. Notez l'identifiant du VPC par défaut.4. Dans le volet de navigation, choisissez Subnets.5. Dans la barre de recherche, saisissez l'identifiant du VPC par défaut. Les sous-réseaux renvoyés

correspondent aux sous-réseaux de votre VPC par défaut.6. Pour savoir quels sont les sous-réseaux par défaut, recherchez la valeur Oui dans la colonne Sous-

réseau par défaut.

Pour décrire votre VPC par défaut à l'aide de la ligne de commande

• Utilisez la commande describe-vpcs (AWS CLI)• Utilisez la commande Get-EC2Vpc (Outils AWS pour Windows PowerShell)

117


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-account-attributes.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AccountAttribute.html



https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html

Amazon Virtual Private Cloud Guide de l'utilisateurLancement d'une instance EC2 dans votre VPC par défaut

Saisissez les commandes avec le filtre isDefault, en définissant la valeur de celui-ci sur true.

Pour décrire vos sous-réseaux par défaut à l'aide de la ligne de commande

• Utilisez la commande describe-subnets (AWS CLI)• Utilisez la commande Get-EC2Subnet (Outils AWS pour Windows PowerShell)

Saisissez les commandes avec le filtre vpc-id, en définissant la valeur de celui-ci sur l'ID du VPC pardéfaut. En sortie, le champ DefaultForAz est défini sur true pour les sous-réseaux par défaut.

Lancement d'une instance EC2 dans votre VPC pardéfaut

Lorsque vous lancez une instance EC2 sans spécifier de sous-réseau, elle est lancée automatiquementdans un sous-réseau par défaut de votre VPC par défaut. Par défaut, nous sélectionnons pour vousune zone de disponibilité et lançons l'instance dans le sous-réseau correspondant pour cette zonede disponibilité. Vous pouvez également sélectionner la zone de disponibilité pour votre instance ensélectionnant le sous-réseau par défaut correspondant dans la console, ou en spécifiant le sous-réseau oula zone de disponibilité dans l'AWS CLI.

Lancement d'une instance EC2 à l'aide de la consolePour lancer une instance EC2 dans votre VPC par défaut :

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sur le tableau de bord EC2, sélectionnez Lancer une instance.3. Suivez les instructions dans l'assistant. Sélectionnez une AMI, puis choisissez un type d'instance.

Vous pouvez accepter les paramètres par défaut pour le reste de l'Assistant en choisissant Vérifier etlancer. Vous accédez alors directement à la page Review Instance Launch.

4. Vérifiez vos paramètres. Dans la section Instance Details, l'option sélectionnée par défaut pour Subnetest No preference (default subnet in any Availability Zone). Cela signifie que l'instance est lancée dansle sous-réseau par défaut de la zone de disponibilité sélectionnée. Vous pouvez également choisir Editinstance details et sélectionner le sous-réseau par défaut pour une zone de disponibilité spécifique.

5. Choisissez Lancer pour choisir une paire de clés et lancer l'instance.

Lancement d'une instance EC2 à l'aide de la ligne decommandePour lancer l'instance EC2, vous pouvez utiliser l'une des commandes suivantes :


Pour lancer une instance EC2 dans votre VPC par défaut, utilisez ces commandes sans spécifier de sous-réseau ou de zone de disponibilité.

Pour lancer une instance EC2 dans un sous-réseau par défaut spécifique de votre VPC par défaut,spécifiez son ID de sous-réseau ou sa zone de disponibilité.

118


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html




Amazon Virtual Private Cloud Guide de l'utilisateurSuppression de vos sous-réseaux

par défaut et de votre VPC par défaut

Suppression de vos sous-réseaux par défaut et devotre VPC par défaut

Vous pouvez supprimer un sous-réseau par défaut ou un VPC par défaut comme n'importe quel sous-réseau ou VPC. Pour plus d'informations, consultez Utilisation des VPC et des sous-réseaux (p. 101).Toutefois, si vous supprimez vos sous-réseaux par défaut ou votre VPC par défaut, vous devez spécifierexplicitement un sous-réseau dans un autre VPC dans lequel vous lancerez votre instance, car vous nepouvez pas lancer d'instances dans EC2-Classic. Si vous ne disposez pas d'un autre VPC, vous devezcréer un VPC personnalisé et un sous-réseau personnalisé. Pour de plus amples informations, veuillezconsulter Création d'un VPC (p. 102).

Si vous supprimez votre VPC par défaut, vous pouvez en recréer un. Pour plus d'informations, consultezCréation d'un VPC par défaut (p. 119).

Si vous supprimez un sous-réseau par défaut, vous pouvez en recréer un. Pour plus d'informations,consultez Création d'un sous-réseau par défaut (p. 120). Sinon, vous pouvez créer un sous-réseaupersonnalisé dans votre VPC par défaut et demander à AWS Support de le marquer comme sous-réseaupar défaut. Vous devez fournir les informations suivantes : votre ID de compte AWS, la région et l'ID dusous-réseau. Pour faire en sorte que votre nouveau sous-réseau par défaut fonctionne comme prévu,modifiez son attribut afin d'attribuer des adresses IP publiques aux instances lancées dans ce sous-réseau. Pour plus d'informations, consultez Modification de l'attribut d'adressage IPv4 public de votre sous-réseau (p. 126). Vous ne pouvez disposer que d'un seul sous-réseau par défaut par zone de disponibilité.Vous ne pouvez pas créer de sous-réseau par défaut dans un VPC personnalisé.

Création d'un VPC par défautSi vous supprimez votre VPC par défaut, vous pouvez en recréer un. Il n'est pas possible de restaurer unVPC par défaut supprimé, ni de définir un VPC personnalisé existant en tant que VPC par défaut. Si votrecompte prend en charge EC2-Classic, vous ne pouvez pas appliquer ces procédures pour créer un VPCpar défaut dans une région prenant en charge EC2-Classic.

Lorsque vous créez un VPC par défaut, il dispose des composants (p. 114) standard de tout VPC pardéfaut, notamment un sous-réseau par défaut dans chaque zone de disponibilité. Vous ne pouvez passpécifier vos propres composants. Il se peut que les blocs CIDR de sous-réseau de votre nouveau VPC pardéfaut ne soient pas mappés sur les mêmes zones de disponibilité que votre VPC par défaut précédent.Par exemple, si le sous-réseau associé au bloc CIDR 172.31.0.0/20 avait été créé dans us-east-2apour le VPC par défaut précédent, il peut être créé dans us-east-2b pour le nouveau VPC par défaut.

Si vous disposez déjà d'un VPC par défaut dans la région, vous ne pouvez pas en créer un autre.

Pour créer un VPC par défaut à l'aide de la console Amazon VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez Actions, puis Create Default VPC.4. Sélectionnez Create. Fermez l'écran de confirmation.

Pour créer un VPC par défaut à partir de la ligne de commande

• Vous pouvez utiliser la commande AWS CLI create-default-vpc. Cette commande n'est dotée d'aucunparamètre d'entrée.

119


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-vpc.html

Amazon Virtual Private Cloud Guide de l'utilisateurCréation d'un sous-réseau par défaut

aws ec2 create-default-vpc

{ "Vpc": { "VpcId": "vpc-3f139646", "InstanceTenancy": "default", "Tags": [], "Ipv6CidrBlockAssociationSet": [], "State": "pending", "DhcpOptionsId": "dopt-61079b07", "CidrBlock": "172.31.0.0/16", "IsDefault": true }}

Vous pouvez également utiliser la commande Outils pour Windows PowerShell New-EC2DefaultVpc oul'action CreateDefaultVpc dans l'API Amazon EC2.

Création d'un sous-réseau par défautVous pouvez créer un sous-réseau par défaut dans une zone de disponibilité qui n'en comporte pas un.Par exemple, il se peut que vous vouliez créer un sous-réseau par défaut si vous avez supprimé un sous-réseau par défaut, ou si AWS a ajouté une nouvelle zone de disponibilité et n'a pas créé automatiquementun sous-réseau par défaut pour cette zone dans votre VPC par défaut.

Lorsque vous créez un sous-réseau par défaut, il est créé avec un bloc d'adresses IPv4 CIDR de taille /20dans le prochain espace contigu disponible dans votre VPC par défaut. Les règles suivantes s'appliquent :

• Vous ne pouvez pas spécifier le bloc CIDR vous-même.• Vous ne pouvez pas restaurer un précédent sous-réseau par défaut que vous avez supprimé.• Vous ne pouvez avoir qu'un seul sous-réseau par défaut par zone de disponibilité.• Vous ne pouvez pas créer de sous-réseau par défaut dans un VPC personnalisé.

S'il n'y a pas assez d'espace d'adressage dans votre VPC par défaut pour créer un bloc CIDR de taille/20, la demande échoue. Si vous avez besoin de plus d'espace d'adressage, vous pouvez ajouter un blocd'adresses IPv4 CIDR à votre VPC (p. 96).

Si vous avez associé un bloc d'adresses IPv6 CIDR à votre VPC par défaut, le nouveau sous-réseau pardéfaut ne reçoit pas automatiquement un bloc d'adresses IPv6 CIDR. À la place, vous pouvez associerun bloc d'adresses IPv6 CIDR au sous-réseau par défaut après l'avoir créé. Pour plus d'informations,consultez Association d'un bloc d'adresse CIDR IPv6 à votre sous-réseau (p. 105).

Actuellement, vous pouvez créer un sous-réseau par défaut à l'aide uniquement de l'AWS CLI, d'un kit SDKAWS ou de l'API Amazon EC2.

Pour créer un sous-réseau par défaut à l'aide de l'AWS CLI

• Utilisez la commande AWS CLI create-default-subnet et spécifiez la zone de disponibilité dans laquellecréer le sous-réseau.

aws ec2 create-default-subnet --availability-zone us-east-2a

120

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultVpc.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultVpc.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-subnet.html

Amazon Virtual Private Cloud Guide de l'utilisateurCréation d'un sous-réseau par défaut

{ "Subnet": { "AvailabilityZone": "us-east-2a", "Tags": [], "AvailableIpAddressCount": 4091, "DefaultForAz": true, "Ipv6CidrBlockAssociationSet": [], "VpcId": "vpc-1a2b3c4d", "State": "available", "MapPublicIpOnLaunch": true, "SubnetId": "subnet-1122aabb", "CidrBlock": "172.31.32.0/20", "AssignIpv6AddressOnCreation": false }}

Pour plus d'informations sur la configuration de l'AWS CLI, consultez le AWS Command Line InterfaceGuide de l'utilisateur.

Sinon, vous pouvez utiliser la commande New-EC2DefaultSubnet Outils pour Windows PowerShell oul’action CreateDefaultSubnet de l’API Amazon EC2.

121

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultSubnet.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultSubnet.html


Adressage IP dans votre VPCLes adresses IP permettent aux ressources de votre VPC de communiquer entre elles, et avec lesressources via Internet. Amazon EC2 et Amazon VPC prennent en charge les protocoles d'adressage IPv4et IPv6.

Par défaut, Amazon EC2 et Amazon VPC utilisent le protocole d'adressage IPv4. Lorsque vous créez unVPC, vous devez lui attribuer un bloc d'adresse CIDR IPv4 (une plage d'adresses IPv4 privées). Il n'estpas possible d'accéder à des adresses IPv4 privées via Internet. Pour vous connecter à votre instance viaInternet, ou pour activer la communication entre vos instances et vos autres services AWS ayant des pointsde terminaison publics, vous pouvez attribuer une adresse IPv4 globalement unique à votre instance.

Vous pouvez éventuellement associer un bloc d'adresses CIDR IPv6 à votre VPC et vos sous-réseaux,et attribuer des adresses IPv6 à partir de ce bloc aux ressources de votre VPC. Les adresses IPv6 sontpubliques et accessibles via Internet.

Note

Pour garantir que vos instances puissent communiquer avec Internet, vous devez égalementattacher une passerelle Internet à votre VPC. Pour plus d'informations, consultez PasserellesInternet (p. 243).

Votre VPC peut fonctionner en mode double pile : vos ressources peuvent communiquer via IPv4, IPv6ou les deux. Les adresses IPv4 et IPv6 sont indépendantes les unes des autres ; vous devez configurer leroutage et la sécurité dans votre VPC séparément pour IPv4 et IPv6.

Le tableau suivant récapitule les différences entre IPv4 et IPv6 dans Amazon EC2 et Amazon VPC.

Caractéristiques et restrictions relatives à IPv4 et IPv6

Caractéristiques et restrictions IPv4 IPv6

Le format est 32 bits, 4 groupes de 3 chiffresdécimaux maximum.

Le format est 128 bits, 8 groupes de 4 chiffreshexadécimaux.

Par défaut et requis pour tous les VPC ; ne peut pasêtre supprimé.

Activer uniquement.

La taille du bloc d'adresse CIDR de VPC peut êtrede /16 à /28.

La taille du bloc d'adresse CIDR de VPC est fixéeà /56.

La taille du bloc d'adresse CIDR du sous-réseaupeut être de /16 à /28.

La taille du bloc d'adresse CIDR du sous-réseauest fixée à /64.

Vous pouvez choisir le bloc d'adresse CIDR IPv4privé pour votre VPC.

Nous avons choisi le bloc d'adresse CIDR IPv6pour votre VPC à partir du pool d'adresses IPv6d'Amazon. Vous ne pouvez pas sélectionner votrepropre plage.

Il existe une distinction entre les adresses IPprivées et publiques. Pour activer la communicationavec Internet, une adresse IPv4 publique estmappée à l'adresse IPv4 privée principale via latraduction d'adresses réseau (NAT).

Aucune distinction entre les adresses IP publiqueset privées. Les adresses IPv6 sont publiques.

122

Amazon Virtual Private Cloud Guide de l'utilisateurAdresses IPv4 privées

Caractéristiques et restrictions IPv4 IPv6

Pris en charge sur tous les types d'instances. Pris en charge sur tous les types d'instance dela génération actuelle, ainsi que sur les typesd'instance de la génération précédente C3, R3et I2. Pour plus d'informations, consultez Typesd'instance.

Pris en charge dans EC2-Classic et les connexionsEC2-Classic avec un VPC via ClassicLink.

Non pris en charge dans EC2-Classic, et non prisen charge pour les connexions EC2-Classic avecun VPC via ClassicLink.

Pris en charge par toutes les AMI. Pris en charge automatiquement sur les AMIconfigurées pour DHCPv6. Les versions d'AmazonLinux 2016.09.0 et ultérieures et de WindowsServer 2008 R2 et ultérieures sont configuréespour DHCPv6. Pour les autres AMI, vous devezconfigurer manuellement votre instance (p. 138)pour identifier une adresse IPv6 attribuée àl'instance.

Une instance reçoit un nom d'hôte DNS privé fournipar Amazon qui correspond à son adresse IPv4privée, et le cas échéant, un nom d'hôte DNS publicqui correspond à son adresse IPv4 publique ou IPElastic.

Les noms d'hôte DNS fournis par Amazon ne sontpas pris en charge.

Les adresses IPv4 Elastic sont prises en charge. Les adresses IPv6 Elastic ne sont pas prises encharge.

Pris en charge pour les connexions AWS Site-to-Site VPN et les passerelles client, les périphériquesNAT et les points de terminaison VPC.

Non pris en charge pour les connexions AWSSite-to-Site VPN et les passerelles client, lespériphériques NAT et les points de terminaisonVPC.

Nous prenons en charge le trafic IPv6 via une passerelle réseau privé virtuel vers une connexion AWSDirect Connect. Pour plus d'informations, consultez la AWS Direct Connect Guide de l'utilisateur.

Adresses IPv4 privéesLes adresses IPv4 privées (également appelées adresses IP privées dans cette rubrique) ne sont pasaccessibles via Internet et peuvent être utilisées pour la communication entre les instances de votre VPC.Lorsque vous lancez une instance dans un VPC, une adresse IP privée principale de la plage d'adressesIPv4 du sous-réseau est attribuée à l'interface réseau par défaut (eth0) de l'instance. Chaque instance sevoit également attribuer un nom d'hôte DNS privé (interne) qui est résolu en adresse IP privée de l'instance.Si vous ne spécifiez pas d'adresse IP privée principale, nous sélectionnons pour vous une adresse IPdisponible dans la plage de sous-réseaux. Pour plus d'informations sur les interfaces réseau, consultezElastic Network Interfaces dans le manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Vous pouvez assigner des adresses IP privées supplémentaires, appelées adresses IP privéessecondaires, aux instances qui s'exécutent dans un VPC. Contrairement à une adresse IP privéeprincipale, une adresse IP privée secondaire peut être réaffectée depuis une interface réseau à une autre.Une adresse IP privée reste associée à l'interface réseau quand l'instance est arrêtée et redémarrée, etelle est libérée quand l'instance prend fin. Pour en savoir plus sur les adresses IP primaires et secondaires,consultez Multiple IP Addresses dans le manuel Amazon EC2 Guide de l'utilisateur pour les instancesLinux.

123

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html

Amazon Virtual Private Cloud Guide de l'utilisateurAdresses IPv4 publiques

Note

Nous appelons les adresses IP privées les adresses IP qui se trouvent dans la plage d'adresseCIDR IPv4 du VPC. La plupart des plages d'adresses IP du VPC se trouvent dans les plagesd'adresses IP privées (qui ne sont pas publiquement routables) spécifiées dans le RFC 1918 ;cependant, vous pouvez utiliser des blocs d'adresses CIDR publiquement routables pour votreVPC. Quelle que soit la plage d'adresses IP de votre VPC, nous ne prenons pas en charge l'accèsdirect à Internet à partir du bloc d'adresse CIDR de votre VPC, y compris un bloc d'adresseCIDR routable publiquement. Vous devez configurer un accès à Internet via une passerelle ; parexemple, une passerelle Internet, une passerelle réseau privé virtuel, une connexion AWS Site-to-Site VPN ou AWS Direct Connect.

Adresses IPv4 publiquesTous les sous-réseaux disposent d'un attribut qui détermine si une interface réseau créée dans le sous-réseau reçoit automatiquement une adresse IPv4 publique (également appelée adresse IP publique danscette rubrique). Par conséquent, lorsque vous lancez une instance dans un sous-réseau dont cet attributest activé, une adresse IP publique est attribuée à l'interface réseau principale (eth0) qui est créée pourl'instance. Une adresse IP publique est mappée à l'adresse IP privée principale par le biais d'une traductiond'adresses réseau (NAT).

Vous pouvez contrôler si votre instance reçoit une adresse IP publique en effectuant ce qui suit :

• Modifier l'attribut d'adressage IP public de votre sous-réseau. Pour plus d'informations, consultezModification de l'attribut d'adressage IPv4 public de votre sous-réseau (p. 126).

• Activer ou désactiver la fonction d'adressage IP public pendant le lancement de l'instance, qui remplacel'attribut d'adressage IP public du sous-réseau. Pour plus d'informations, consultez Attribution d'uneadresse IPv4 publique lors du lancement d'une instance (p. 127).

Une adresse IP publique est attribuée à partir du pool d'adresses IP publiques d'Amazon ; elle n'estpas associée à votre compte. Quand une adresse IP publique est dissociée de votre instance, elle estréintégrée dans le pool et vous ne pouvez plus l'utiliser. Vous ne pouvez pas manuellement associer oudissocier une adresse IP publique. Par contre, dans certains cas, nous libérons l'adresse IP publiquede votre instance ou nous lui en affectons une nouvelle. Pour plus d'informations, consultez Public IPAddresses (Adresses IP publiques) dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Si vous avez besoin d'une adresse IP publique persistante allouée à votre compte qui peut être attribuéeaux instances et en être dissociée comme vous le souhaitez, utilisez plutôt une adresse IP Elastic. Pourplus d'informations, consultez Adresses IP Elastic (p. 292).

Si votre VPC est activé pour prendre en charge les noms d'hôte DNS, chaque instance qui reçoit uneadresse IP publique ou une adresse IP Elastic reçoit également un nom d'hôte DNS public. Nous résolvonsun nom d'hôte DNS public en adresse IP publique de l'instance en dehors du réseau de cette dernière, eten adresse IP privée de l'instance depuis le réseau de cette dernière. Pour plus d'informations, consultezUtilisation de DNS avec votre VPC (p. 287).

Adresses IPv6Vous pouvez éventuellement associer un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux. Pourplus d'informations, consultez les rubriques suivantes :

• Association d'un bloc d'adresse CIDR IPv6 à votre VPC (p. 104)

124

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses


Amazon Virtual Private Cloud Guide de l'utilisateurComportement de l'adressage IP pour votre sous-réseau

• Association d'un bloc d'adresse CIDR IPv6 à votre sous-réseau (p. 105)

Votre instance d'un VPC reçoit une adresse IPv6 si un bloc d'adresse CIDR IPv6 est associé à votre VPCet votre sous-réseau, et si l'une des conditions suivantes est vraie :

• Votre sous-réseau est configuré pour attribuer automatiquement une adresse IPv6 à l'interface réseauprincipale d'une instance lors du lancement.

• Vous attribuez manuellement une adresse IPv6 à votre instance lors du lancement.• Vous attribuez une adresse IPv6 à votre instance après le lancement.• Vous attribuez une adresse IPv6 à une interface réseau dans le même sous-réseau et vous liez

l'interface réseau à votre instance après le lancement.

Lorsque votre instance reçoit une adresse IPv6 lors du lancement, l'adresse est associée à l'interfaceréseau principale (eth0) de l'instance. Vous pouvez dissocier l'adresse IPv6 de l'interface réseau principale.Nous ne prenons pas en charge les noms d'hôte DNS IPv6 pour votre instance.

Une adresse IPv6 persiste lorsque vous arrêtez et démarrez votre instance, et est libérée lorsque vousrésiliez votre instance. Vous ne pouvez pas réattribuer une adresse IPv6 si elle est déjà attribuée à uneautre interface réseau — vous devez d'abord annuler l'attribution.

Vous pouvez attribuer des adresses IPv6 supplémentaires à votre instance en les attribuant à une interfaceréseau liée à votre instance. Le nombre d'adresses IPv6 que vous pouvez attribuer à une interface réseauet le nombre d'interfaces réseau que vous pouvez lier à une instance varient en fonction du type d'instance.Pour plus d'informations, consultez la section Adresses IP par interface réseau et par type d'instance dansle Guide de l'utilisateur Amazon EC2.

Les adresses IPv6 sont globalement uniques, et par conséquent accessibles via Internet. Vous pouvezcontrôler si les instances sont accessibles via leurs adresses IPv6 en contrôlant le routage de votre sous-réseau, ou à l'aide des règles ACL réseau et de groupe de sécurité. Pour plus d'informations, consultezConfidentialité du trafic inter-réseaux dans Amazon VPC (p. 146).

Pour plus d'informations sur les plages d'adresses IPv6 réservées, consultez Registre d'adresses IPv6IANA à des fins spéciales et RFC4291.

Comportement de l'adressage IP pour votre sous-réseau

Tous les sous-réseaux disposent d'un attribut modifiable qui détermine si une interface réseau créée dansce sous-réseau se voit attribuer une adresse IPv4 publique et, le cas échéant, une adresse IPv6. Celainclut l'interface réseau principale (eth0) qui est créée pour une instance lorsque vous lancez une instancedans ce sous-réseau.

Quel que soit l'attribut du sous-réseau, vous pouvez toujours remplacer ce paramètre pour une instancespécifique lors du lancement. Pour plus d'informations, consultez Attribution d'une adresse IPv4 publiquelors du lancement d'une instance (p. 127) et Attribution d'une adresse IPv6 lors du lancement del'instance (p. 128).

Utilisation des adresses IPVous pouvez modifier le comportement de l'adressage IP public de votre sous-réseau, attribuer uneadresse IPv4 publique à votre instance lors du lancement, et attribuer ou annuler l'attribution des adressesIPv6 vers et depuis votre instance.

125

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml


Amazon Virtual Private Cloud Guide de l'utilisateurModification de l'attribut d'adressage IPv4

public de votre sous-réseau

Tâches• Modification de l'attribut d'adressage IPv4 public de votre sous-réseau (p. 126)• Modification de l'attribut d'adressage IPv6 de votre sous-réseau (p. 126)• Attribution d'une adresse IPv4 publique lors du lancement d'une instance (p. 127)• Attribution d'une adresse IPv6 lors du lancement de l'instance (p. 128)• Attribution d'une adresse IPv6 à une instance (p. 128)• Annulation de l'attribution d'une adresse IPv6 d'une instance (p. 129)• Présentation des API et des commandes (p. 129)

Modification de l'attribut d'adressage IPv4 public devotre sous-réseauPar défaut, l'attribut d'adressage public IPv4 est configuré sur false pour les sous-réseaux personnalisés,et sur true pour les sous-réseaux par défaut. Une exception existe pour un sous-réseau personnalisé créépar l'assistant de lancement d'instance Amazon EC2, —où l'assistant détermine l'attribut comme true.Vous pouvez modifier cet attribut à l'aide de la console Amazon VPC.

Pour modifier le comportement de l'adressage IPv4 public de votre sous-réseau

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.3. Sélectionnez votre sous-réseau, choisissez Actions de sous-réseau (subnet), puis Modify Auto-Assign

Public IP.4. Si elle est activée, la case à cocher Enable auto-assign public IPv4 address demande une

adresse IPv4 publique pour toutes les instances lancées dans le sous-réseau sélectionné. Activez oudésactivez la case à cocher si nécessaire, puis choisissez Edit.

Modification de l'attribut d'adressage IPv6 de votresous-réseauPar défaut, tous les sous-réseaux disposent d'un attribut d'adressage IPv6 défini sur false. Vous pouvezmodifier cet attribut à l'aide de la console Amazon VPC. Si vous activez l'attribut d'adressage IPv6 devotre sous-réseau, les interfaces réseau créées dans le sous-réseau reçoivent une adresse IPv6 à partirde la plage du sous-réseau. Les instances lancées dans le sous-réseau reçoivent une adresse IPv6 surl'interface réseau principale.

Votre sous-réseau dispose d'un bloc d'adresse CIDR IPv6 associé.

Note

Si vous activez la fonctionnalité d'adressage IPv6 pour votre sous-réseau, votre interface réseauou instance ne reçoit une adresse IPv6 que si elle est créée à l'aide de la version 2016-11-15 ouultérieure de l'API Amazon EC2. La console Amazon EC2 utilise la dernière version de l'API.

Pour modifier le comportement de l'adressage IPv6 de votre sous-réseau

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.

126



Amazon Virtual Private Cloud Guide de l'utilisateurAttribution d'une adresse IPv4 publique

lors du lancement d'une instance

3. Sélectionnez votre sous-réseau, choisissez Actions de sous-réseau (subnet), puis Modify Auto-AssignPublic IP.

4. Si elle est activée, la case à cocher Enable auto-assign IPv6 address demande une adresse IPv6 pourtoutes les interfaces réseau créées dans le sous-réseau sélectionné. Activez ou désactivez la case àcocher si nécessaire, puis choisissez Edit.

Attribution d'une adresse IPv4 publique lors dulancement d'une instanceVous pouvez contrôler si votre instance dans un sous-réseau par défaut ou personnalisé se voit attribuerune adresse IPv4 publique lors du lancement.

Important

Vous ne pouvez pas dissocier manuellement l'adresse IPv4 publique de votre instance après lelancement. A la place, elle automatiquement libérée dans certains cas, après quoi vous ne pouvezpas la réutiliser. Si vous avez besoin d'une adresse IP publique permanente que vous pouvezassocier ou dissocier comme vous le souhaitez, alors associez une adresse IP Elastic à l'instanceaprès le lancement. Pour plus d'informations, consultez Adresses IP Elastic (p. 292).

Pour attribuer une adresse IPv4 publique à une instance lors du lancement

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Choisissez Launch Instances.3. Choisissez une AMI et un type d'instance, puis choisissez Next: Configure Instance Details.4. Sur la page Configure Instance Details, sélectionnez un VPC dans la liste Network. La liste Auto-

assign Public IP s'affiche. Sélectionnez Enable ou Disable pour remplacer les paramètres par défautdu sous-réseau.

Important

Une adresse IPv4 publique ne pourra pas être attribuée si vous spécifiez plusieurs interfacesréseau. En outre, vous ne pouvez pas remplacer le paramètre de sous-réseau à l'aide dela fonction d'attribution automatique publique IPv4, si vous spécifiez une interface réseauexistante pour eth0.

5. Complétez les étapes suivantes de l'assistant pour lancer votre instance.6. Sur l'écran Instances, sélectionnez votre instance. Sur l'onglet Description, dans le champ IPv4 Public

IP, vous pouvez voir l'adresse IP publique de votre instance. Sinon, choisissez Interfaces réseau dansle volet de navigation, puis sélectionnez l'interface réseau eth0 de votre instance. Vous pouvez voirl'adresse IP publique dans le champ IPv4 Public IP.

Note

L'adresse IPv4 publique est affichée comme propriété de l'interface réseau dans la console,mais elle est mappée à l'adresse IPv4 privée principale via la traduction d'adresses réseau(NAT). Par conséquent, si vous inspectez les propriétés de votre interface réseau sur votreinstance, par exemple via ipconfig sur une instance Windows ou ifconfig sur uneinstance Linux, l'adresse IP publique ne s'affiche pas. Vous pouvez utiliser des métadonnéesd'instance pour déterminer l'adresse IP publique de votre instance depuis l'instance. Pour plusd’informations, consultez Métadonnées d'instance et données utilisateur.

Cette fonction est uniquement disponible lors du lancement. Cependant, que vous attribuiez ou non uneadresse IPv4 publique à votre instance lors du lancement, vous pouvez associer une adresse IP Elastic àvotre instance après son lancement. Pour plus d'informations, consultez Adresses IP Elastic (p. 292).

127


https://docs.aws.amazon.com/AWSEC2/latest/DeveloperGuide/ec2-instance-metadata.html

Amazon Virtual Private Cloud Guide de l'utilisateurAttribution d'une adresse IPv6lors du lancement de l'instance

Attribution d'une adresse IPv6 lors du lancement del'instanceVous pouvez attribuer automatiquement une adresse IPv6 à votre instance lors du lancement. Pource faire, vous devez lancer votre instance dans un VPC et un sous-réseau qui dispose d'un bloc CIDRIPv6 associé (p. 104). L'adresse IPv6 est attribuée à partir de la plage du sous-réseau, et est attribuée àl'interface réseau principale (eth0).

Pour attribuer automatiquement une adresse IPv6 à une instance lors du lancement

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Choisissez Launch Instances.3. Sélectionnez une interface AMI et un type d'instance, puis choisissez Next: Configure Instance Details.

Note

Sélectionnez un type d'instance qui prend en charge les adresses IPv6.4. Sur la page Configurer les détails de l'instance, sélectionnez un VPC dans le champ Réseau et un

sous-réseau dans le champ Subnet. Dans le champ Auto-assign IPv6 IP, choisissez Enable.5. Complétez les étapes suivantes de l'assistant pour lancer votre instance.

Sinon, si vous souhaitez attribuer une adresse IPv6 spécifique de la plage de sous-réseaux à votreinstance lors du lancement, vous pouvez attribuer l'adresse à l'interface réseau principale pour votreinstance.

Pour attribuer une adresse IPv6 spécifique à une instance lors du lancement

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Choisissez Launch Instances.3. Sélectionnez une interface AMI et un type d'instance, puis choisissez Next: Configure Instance Details.

Note

Sélectionnez un type d'instance qui prend en charge les adresses IPv6.4. Sur la page Configurer les détails de l'instance, sélectionnez un VPC dans le champ Réseau et un

sous-réseau dans le champ Subnet.5. Allez à la section Interfaces réseau. Pour l'interface réseau eth0, sous IPv6 IPs, choisissez Ajouter l'IP.6. Entrez une adresse IPv6 de la plage du sous-réseau.7. Complétez les étapes suivantes de l'assistant pour lancer votre instance.

Pour plus d'informations sur l'attribution de plusieurs adresses IPv6 à votre instance lors du lancement,consultez la section Utilisation de plusieurs adresses IPv6 dans le Amazon EC2 Guide de l'utilisateur pourles instances Linux.

Attribution d'une adresse IPv6 à une instanceSi votre instance est dans un VPC et dans un sous-réseau avec un bloc d'adresse CIDR IPv6associé (p. 104), vous pouvez utiliser la console Amazon EC2 pour attribuer une adresse IPv6 à votreinstance de la plage du sous-réseau.

Pour associer une adresse IPv6 à votre instance

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

128



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html#working-with-multiple-ipv6


Amazon Virtual Private Cloud Guide de l'utilisateurAnnulation de l'attribution d'une adresse IPv6 d'une instance

2. Dans le volet de navigation, sélectionnez Instances, puis choisissez votre instance.3. Choisissez Actions, Networking (Mise en réseau), Manage IP Addresses (Gérer les adresses IP).4. Sous Adresses IPv6, choisissez Attribuer une nouvelle adresse IP. Vous pouvez spécifier une adresse

IPv6 de la plage du sous-réseau, ou conserver la valeur Attribution automatique pour laisser Amazonchoisir une adresse IPv6 à votre place.

5. Choisissez Save.

Sinon, vous pouvez attribuer une adresse IPv6 à une interface réseau. Pour plus d'informations, consultezla section Attribution d'une adresse IPv6 de la rubrique Interfaces réseau Elastic dans le Amazon EC2Guide de l'utilisateur pour les instances Linux.

Annulation de l'attribution d'une adresse IPv6 d'uneinstanceSi vous n'avez plus besoin d'adresse IPv6 pour votre instance, vous pouvez la dissocier de l'instance àl'aide de la console Amazon EC2.

Pour dissocier une adresse IPv6 de votre instance

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, sélectionnez Instances, puis choisissez votre instance.3. Choisissez Actions, Networking (Mise en réseau), Manage IP Addresses (Gérer les adresses IP).4. Sous Adresses IPv6, choisissez Annuler l'attribution pour l'adresse IPv6.5. Choisissez Save.

Sinon, vous pouvez dissocier une adresse IPv6 d'une interface réseau. Pour plus d'informations, consultezla section Annulation de l'attribution d'une adresse IPv6 de la rubrique Interfaces réseau Elastic dans leAmazon EC2 Guide de l'utilisateur pour les instances Linux.

Présentation des API et des commandesVous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'un API.Pour plus d'informations sur les interfaces de ligne de commande et la liste des API disponibles, consultezAccès à Amazon VPC (p. 1).

Attribuer une adresse IPv4 publique lors du lancement

• Utilisez l'option --associate-public-ip-address ou --no-associate-public-ip-addressavec la commande run-instances (AWS CLI)

• Utilisez le paramètre -AssociatePublicIp avec la commande New-EC2Instance (Outils AWS pourWindows PowerShell)

Attribuer une adresse IPv6 lors du lancement

• Utilisez l'option --ipv6-addresses avec la commande run-instances (AWS CLI)• Utilisez le paramètre -Ipv6Addresses avec la commande New-EC2Instance (Outils AWS pour

Windows PowerShell)

Modifier le comportement de l'adressage IP d'un sous-réseau

• modify-subnet-attribute (AWS CLI)

129

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-assign-ipv6


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-unassign-ipv6





https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html

Amazon Virtual Private Cloud Guide de l'utilisateurMigration vers IPv6

• Edit-EC2SubnetAttribute (Outils AWS pour Windows PowerShell)

Attribuer une adresse IPv6 à une interface réseau

• assign-ipv6-addresses (AWS CLI)• Register-EC2Ipv6AddressList (Outils AWS pour Windows PowerShell)

Annulation de l'attribution d'une adresse IPv6 d'une interface réseau

• unassign-ipv6-addresses (AWS CLI)• Unregister-EC2Ipv6AddressList (Outils AWS pour Windows PowerShell).

Migration vers IPv6Si vous disposez d'un VPC existant qui prend en charge IPv4 uniquement, et des ressources de votresous-réseau qui sont configurées pour utiliser IPv4 uniquement, vous pouvez activer la prise en charged'IPv6 pour votre VPC et vos ressources. Votre VPC peut fonctionner en mode double pile —: vosressources peuvent communiquer via IPv4, IPv6 ou les deux. Les communications IPv4 et IPv6 sontindépendantes l'une de l'autre.

Vous ne pouvez pas désactiver la prise en charge d'IPv4 de votre VPC et de vos sous-réseaux ; il s'agit dusystème d'adressage IP par défaut pour Amazon VPC et Amazon EC2.

Note

Ces informations supposent que vous disposez d'un VPC existant avec des sous-réseaux publicet privé. Pour plus d'informations sur la configuration d'un nouveau VPC à utiliser avec IPv6,consultez the section called “Présentation d'IPv6” (p. 23).

Le tableau suivant fournit une vue d'ensemble des étapes requises pour permettre à votre VPC et auxsous-réseaux d'utiliser IPv6.

Étape Remarques

Étape 1 : Associer un bloc d'adresse CIDR IPv6 àvotre VPC et vos sous-réseaux (p. 134)

Associez un bloc d'adresse CIDR d'IPv6 fourni parAmazon avec votre VPC et vos sous-réseaux.

Étape 2 : Mettre à jour vos tables deroutage (p. 135)

Mettez à jour vos tables de routage pour acheminerle trafic IPv6. Pour un sous-réseau public, créezun routage qui achemine l'ensemble du traficIPv6 du sous-réseau vers la passerelle Internet.Pour un sous-réseau privé, créez un routage quiachemine l'ensemble du trafic IPv6 Internet entrantdu sous-réseau vers une passerelle Internet desortie uniquement.

Étape 3 : Mettre à jour les règles de votre groupede sécurité (p. 135)

Mettez à jour vos règles de groupe de sécuritépour inclure les règles des adresses IPv6. Celaactive la circulation du trafic d'IPv6 en provenanceou à destination de vos instances. Si vous avezcréé des règles ACL réseau personnaliséespour contrôler le flux du trafic à destination et enprovenance de votre sous-réseau, vous devezinclure les règles de trafic IPv6.

130

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SubnetAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-ipv6-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Ipv6AddressList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-ipv6-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Ipv6AddressList.html

Amazon Virtual Private Cloud Guide de l'utilisateurExemple : activation d'IPv6 dans un

VPC avec un sous-réseau public et privé

Étape Remarques

Étape 4 : Modifier votre type d'instance (p. 136) Si votre type d'instance ne prend pas en chargeIPv6, modifiez le type d'instance.

Étape 5 : Attribuer des adresses IPv6 à vosinstances (p. 137)

Attribuez des adresses IPv6 à vos instances àpartir de la plage d'adresses IPv6 de votre sous-réseau.

Étape 6 : (Facultatif) Configurer IPv6 sur vosinstances (p. 138)

Si votre instance a été lancée à partir d'une AMIqui n'est pas configurée pour utiliser DHCPv6, vousdevez configurer manuellement votre instance pouridentifier une adresse IPv6 attribuée à l'instance.

Avant d'effectuer une migration à l'aide d'IPv6, veillez à consulter les fonctionnalités d'adressage IPv6 pourAmazon VPC : Caractéristiques et restrictions relatives à IPv4 et IPv6 (p. 122).

Sommaire• Exemple : activation d'IPv6 dans un VPC avec un sous-réseau public et privé (p. 131)• Étape 1 : Associer un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux (p. 134)• Étape 2 : Mettre à jour vos tables de routage (p. 135)• Étape 3 : Mettre à jour les règles de votre groupe de sécurité (p. 135)• Étape 4 : Modifier votre type d'instance (p. 136)• Étape 5 : Attribuer des adresses IPv6 à vos instances (p. 137)• Étape 6 : (Facultatif) Configurer IPv6 sur vos instances (p. 138)

Exemple : activation d'IPv6 dans un VPC avec unsous-réseau public et privéDans cet exemple, votre VPC dispose d'un sous-réseau public et un privé. Vous disposez d'une instancede base de données de votre sous-réseau privé ayant des communications sortantes avec Internet via unepasserelle NAT de votre VPC. Vous disposez d'un serveur web public dans votre sous-réseau public ayantaccès à Internet via la passerelle Internet. Le schéma suivant présente l'architecture de votre VPC.

131



Le groupe de sécurité de votre serveur web (sg-11aa22bb11aa22bb1) comporte les règles de traficentrant suivantes :

Type Protocole Plage de ports Source Commentaire

Tout le trafic Tous Tous sg-33cc44dd33cc44dd3Autorisez l'accèsentrant pour toutle trafic à partirdes instancesassociées àsg-33cc44dd33cc44dd3(l'instance de basede données).

HTTP TCP 80 0.0.0.0/0 Autorise le traficentrant à partird'Internet surHTTP.

HTTPS TCP 443 0.0.0.0/0 Autorise le traficentrant à partir

132



Type Protocole Plage de ports Source Commentaired'Internet surHTTPS.

SSH TCP 22 203.0.113.123/32 Autorise l'accèsSSH entrant àpartir de votreordinateur local ;par exemple,lorsque vous devezvous connecterà votre instancepour effectuerdes tâchesd'administration.

Le groupe de sécurité de votre instance de base de données (sg-33cc44dd33cc44dd3) comporte larègle de trafic entrant suivante :

Type Protocole Plage de ports Source Commentaire

MySQL TCP 3306 sg-11aa22bb11aa22bb1Autorise l'accèsentrant pour letrafic MySQL àpartir d'instancesassociées àsg-11aa22bb11aa22bb1(l'instance deserveur web).

Les deux groupes de sécurité comportent la règle de trafic sortant par défaut qui autorise tout le trafic IPv4sortant, et aucune autre règle sortante.

Le type d'instance de votre serveur web est t2.medium. Votre serveur de base de données est unem3.large.

Vous voulez que votre VPC et vos ressources soient activés pour IPv6, et vous voulez qu'ils fonctionnenten mode double pile ; en d'autres termes, vous voulez utiliser l'adressage IPv6 et IPv4 entre les ressourcesde votre VPC et vos ressources via Internet.

Une fois ces étapes réalisées, votre VPC disposera de la configuration suivante.

133

Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 1 : Associer un bloc d'adresse CIDR

IPv6 à votre VPC et vos sous-réseaux

Étape 1 : Associer un bloc d'adresse CIDR IPv6 àvotre VPC et vos sous-réseauxVous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC, puis associer un bloc d'adresse CIDR/64 à partir de cette plage à chaque sous-réseau.

Pour associer un bloc d'adresse CIDR IPv6 à un VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez votre VPC, choisissez Actions, puis Edit CIDRs.4. Choisissez Add IPv6 CIDR. Une fois le bloc d'adresse CIDR IPv6 ajouté, choisissez Close.

Pour associer un bloc d'adresse CIDR IPv6 à un sous-réseau

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.3. Sélectionnez votre sous-réseau, choisissez Actions de sous-réseau (subnet), puis Edit IPv6 CIDRs.

134



Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 2 : Mettre à jour vos tables de routage

4. Choisissez Add IPv6 CIDR. Spécifiez la paire hexadécimale du sous-réseau (par exemple, 00) etconfirmez l'entrée en choisissant l'icône en forme de coche.

5. Choisissez Fermer. Répétez les étapes pour les autres sous-réseaux de votre VPC.

Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux pour IPv6 (p. 100).

Étape 2 : Mettre à jour vos tables de routagePour un sous-réseau public, vous devez mettre à jour la table de routage afin de permettre aux instances(comme les serveurs web) d'utiliser la passerelle Internet pour le trafic IPv6.

Pour un sous-réseau privé, vous devez mettre à jour la table de routage afin de permettre aux instances(comme les instances de base de données) d'utiliser une passerelle Internet de sortie uniquement pour letrafic IPv6.

Pour mettre à jour votre table de routage pour un sous-réseau public

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Tables de routage et sélectionnez la table de routage associée

au sous-réseau public.3. Dans l'onglet Routes, cliquez sur Modifier.4. Choisissez Add another route. Indiquez ::/0 dans le champ Destination, sélectionnez l'ID de la

passerelle Internet dans le champ Cible, puis cliquez sur Enregistrer.

Pour mettre à jour votre table de routage pour un sous-réseau privé

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Si vous utilisez un périphérique NAT dans votre sous-réseau privé, il ne prend pas en charge le trafic

IPv6. Au lieu de cela, créez une passerelle Internet de sortie uniquement pour votre sous-réseau privéafin d'activer la communication sortante vers Internet via IPv6 et empêcher la communication entrante.Une passerelle Internet de sortie uniquement prend en charge le trafic IPv6 uniquement. Pour plusd'informations, consultez Passerelles Internet de sortie uniquement (p. 249).

3. Dans le volet de navigation, sélectionnez Tables de routage et sélectionnez la table de routageassociée au sous-réseau privé.

4. Dans l'onglet Routes, cliquez sur Modifier.5. Choisissez Add another route. En regard de Destination, spécifiez ::/0. Pour Cible, sélectionnez l'ID

de la passerelle Internet de sortie uniquement, puis choisissez Enregistrer.

Pour plus d'informations, consultez Exemples d'options de routage (p. 228).

Étape 3 : Mettre à jour les règles de votre groupe desécuritéPour activer vos instances de sorte qu'elles envoient et qu'elles reçoivent du trafic sur IPv6, vous devezmettre à jour vos règles de groupe de sécurité, de sorte qu'elles comprennent des règles pour les adressesIPv6.

Par exemple, dans l'exemple ci-dessus, vous pouvez mettre à jour le groupe de sécurité du serveur Web(sg-11aa22bb11aa22bb1) pour ajouter des règles autorisant un accès entrant sur HTTP, HTTPS, et SSHdepuis à partir des adresses IPv6. Vous n'avez pas besoin d'apporter de modifications aux règles de trafic

135



Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 4 : Modifier votre type d'instance

entrant pour votre groupe de sécurité de base de données ; la règle qui autorise toutes les communicationsà partir de sg-11aa22bb11aa22bb1 inclut la communication IPv6 par défaut.

Mettre à jour les règles de votre groupe de sécurité

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Groupes de sécurité et sélectionnez le groupe de sécurité de

votre serveur web.3. Sur l'onglet Inbound Rules, choisissez Modifier.4. Pour chaque règle, choisissez Add another rule (Ajouter une autre règle), puis Enregistrer lorsque vous

avez terminé. Par exemple, pour ajouter une règle autorisant tout le trafic HTTP sur IPv6, dans Type,sélectionnez HTTP et dans Source, saisissez ::/0.

Par défaut, une règle sortante qui autorise tout le trafic IPv6 est ajoutée automatiquement à vos groupes desécurité lorsque vous associez un bloc d'adresse CIDR IPv6 à votre VPC. Toutefois, si vous avez modifiéles règles sortantes d'origine de votre groupe de sécurité, cette règle n'est pas ajoutée automatiquement,et vous devez ajouter des règles sortantes équivalentes pour le trafic IPv6. Pour plus d'informations,consultez Groupes de sécurité pour votre VPC (p. 165).

Mettre à jour vos règles de liste ACL réseauSi vous associez un bloc d'adresse CIDR IPv6 à votre VPC, nous ajoutons automatiquement des règlesà la liste ACL réseau par défaut pour autoriser le trafic IPv6, dans la mesure où vous n'avez pas modifiéses règles par défaut. Si vous avez modifié votre liste ACL réseau par défaut ou si vous avez créé unune liste ACL réseau personnalisée avec des règles pour contrôler le flux du trafic à destination et enprovenance de votre sous-réseau, vous devez ajouter manuellement des règles pour le trafic IPv6. Pourplus d'informations, consultez ACL réseau (p. 174).

Étape 4 : Modifier votre type d'instanceTous les types d'instance de la génération actuelle prennent en charge IPv6. Pour plus d'informations,consultez Types d'instance.

Si votre type d'instance ne prend pas en charge IPv6, vous devez redimensionner l'instance en un typed'instance pris en charge. Dans l'exemple ci-dessus, l'instance de base de données est un type d'instancem3.large, qui ne prend pas en charge IPv6. Vous devez redimensionner l'instance en un type d'instancepris en charge, par exemple, m4.large.

Pour redimensionner votre instance, soyez conscient des limitations de compatibilité. Pour plusd'informations, consultez Compatibilité pour le redimensionnement des instances dans le Amazon EC2Guide de l'utilisateur pour les instances Linux. Dans ce scénario, si votre instance de base de données aété lancée à partir d'une AMI qui utilise la virtualisation HVM, vous pouvez la redimensionner par un typed'instance m4.large à l'aide de la procédure suivante.

Important

Pour redimensionner votre instance, vous devez l'arrêter. L'arrêt et le démarrage d'une instancemodifient l'adresse IPv4 publique de l'instance, s'il existe. Si vous disposez de toutes les donnéesstockées sur les volumes de stockage d'instance, les données sont effacées.

Pour redimensionner votre instance

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Instances et sélectionnez l'instance de base de données.3. Choisissez Actions, Instance State, Stop.

136



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html#resize-limitations


Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 5 : Attribuer des adresses IPv6 à vos instances

4. Dans la boîte de dialogue de confirmation, sélectionnez Yes, Stop.5. Tandis que l'instance est toujours sélectionnée, choisissez Actions, Paramètres de l'instance, puis

Changer le type d'instance.6. Pour Type d'instance, choisissez le nouveau type d'instance, puis choisissez Apply (Appliquer).7. Pour redémarrer l'instance arrêtée, sélectionnez l'instance et choisissez Actions, État de l'instance et

Démarrer. Dans la boîte de dialogue de confirmation, sélectionnez Yes, Start.

Si votre instance est une AMI basée sur le stockage d'instance, vous ne pouvez pas redimensionner votreinstance à l'aide de la procédure précédente. Au lieu de cela, vous pouvez créer une AMI basée sur lestockage d'instance à partir de votre instance et lancer une nouvelle instance à partir de votre AMI à l'aided'un nouveau type d'instance. Pour plus d’informations, consultez Création d'une AMI Linux basée surle stockage d'instance dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux et Créationd'une AMI Windows basée sur le stockage d'instance dans le Amazon EC2 Guide de l'utilisateur pour lesinstances Windows.

Vous ne pourrez peut-être pas migrer vers un nouveau type d'instance, s'il existe des limites decompatibilité. Par exemple, si votre instance a été lancée à partir d'une AMI qui utilise la virtualisation PV,le seul type d'instance qui prend en charge la virtualisation PV et IPv6 est le type d'instance C3. Ce typed'instance peut ne pas répondre à vos besoins. Dans ce cas, vous devrez peut-être réinstaller votre logicielsur une AMI HVM de base et lancer une nouvelle instance.

Si vous lancez une instance à partir d'une nouvelle AMI, vous pouvez attribuer une adresse IPv6 à votreinstance pendant le lancement.

Étape 5 : Attribuer des adresses IPv6 à vos instancesAprès avoir vérifié que votre type d'instance prend en charge IPv6, vous pouvez attribuer une adresseIPv6 à votre instance à l'aide de la console Amazon EC2. L'adresse IPv6 est attribuée à l'interface réseauprincipale (eth0) pour l'instance.

Pour attribuer une adresse IPv6 à votre instance

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Instances.3. Sélectionnez votre instance et choisissez Actions, Mise en réseau, puis Gérer les adresses IP privées.4. Sous Adresses IPv6, choisissez Attribuer une nouvelle adresse IP. Vous pouvez entrer une adresse

IPv6 spécifique à partir de la plage de votre sous-réseau, ou vous pouvez laisser la valeur Auto-Assign par défaut afin de laisser Amazon en choisir une à votre place.

5. Choisissez Oui, mettre à jour.

Sinon, si vous lancez une nouvelle instance (par exemple, si vous n'avez pas pu redimensionner votreinstance et que vous avez créé une AMI à la place), vous pouvez attribuer une adresse IPv6 lors dulancement.

Pour attribuer une adresse IPv6 à une instance lors du lancement

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sélectionnez votre AMI et un type d'instance compatible à IPv6, puis choisissez Suivant : Configurer

les détails de l'instance.3. Sur la page Configurer les détails de l'instance, sélectionnez un VPC dans le champ Réseau et un

sous-réseau dans le champ Sous-réseau (subnet). Dans le champ Auto-assign IPv6 IP, sélectionnezEnable.

137

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html



Amazon Virtual Private Cloud Guide de l'utilisateurÉtape 6 : (Facultatif) Configurer IPv6 sur vos instances

4. Complétez les étapes suivantes de l'assistant pour lancer votre instance.

Vous pouvez vous connecter à une instance à l'aide de son adresse IPv6. Si vous vous connectez àpartir d'un ordinateur local, assurez-vous que votre ordinateur local possède une adresse IPv6 et qu'ilest configuré pour utiliser IPv6. Pour plus d'informations, consultez la section Connexion à votre instanceLinux dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux et la section Connexion à votreinstance Windows dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Étape 6 : (Facultatif) Configurer IPv6 sur vos instancesSi vous avez lancé votre instance à l'aide d'Amazon Linux 2016.09.0 ou ultérieure, ou WindowsServer 2008 R2 ou ultérieure, votre instance est configurée pour IPv6 et aucune des étapessupplémentaires n'est nécessaire.

Si vous avez lancé votre instance à partir d'une AMI différente, elle n'est peut-être pas configurée pourDHCPv6, ce qui signifie que toute adresse IPv6 que vous attribuez à l'instance n'est pas automatiquementreconnue sur l'interface réseau principale. Pour vérifier si l'adresse IPv6 est configurée sur votre interfaceréseau, utilisez la commande ifconfig sous Linux ou la commande ipconfig sous Windows.

Vous pouvez configurer votre instance à l'aide de la procédure suivante. Vous devez vous connecter àvotre instance à l'aide de son adresse IPv4 publique. Pour plus d'informations, consultez Connexion à votreinstance Linux dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux et Connexion à votreinstance Windows dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Système d'exploitation• Amazon Linux (p. 138)• Ubuntu (p. 139)• RHEL/CentOS (p. 141)• Windows (p. 142)

Amazon LinuxPour configurer DHCPv6 sur Amazon Linux

1. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.2. Obtenez les derniers packages logiciels pour votre instance :

sudo yum update -y

3. A l'aide d'un éditeur de texte de votre choix, ouvrez /etc/sysconfig/network-scripts/ifcfg-eth0 et localisez la ligne suivante :

IPV6INIT=no

Remplacez cette ligne par les éléments suivants :

IPV6INIT=yes

Ajoutez les deux lignes suivantes et enregistrez vos modifications :

DHCPV6C=yesDHCPV6C_OPTIONS=-nw

138










4. Ouvrez /etc/sysconfig/network, supprimez les lignes suivantes et enregistrez vosmodifications :

NETWORKING_IPV6=noIPV6INIT=noIPV6_ROUTER=noIPV6_AUTOCONF=noIPV6FORWARDING=noIPV6TO4INIT=noIPV6_CONTROL_RADVD=no

5. Ouvrez /etc/hosts, remplacez le contenu par les éléments suivants et enregistrez vosmodifications :

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost6 localhost6.localdomain6

6. Redémarrez votre instance. Reconnectez-vous à votre instance et utilisez la commande ifconfigpour vérifier que l'adresse IPv6 est reconnue sur l'interface réseau principale.

UbuntuVous pouvez configurer votre instance Ubuntu pour reconnaître dynamiquement toute adresse IPv6attribuée à l'interface réseau. Si votre instance n'a pas d'adresse IPv6, cette configuration peut rallonger letemps de démarrage de votre instance de jusqu'à 5 minutes.

Ces étapes doivent être effectuées en tant qu'utilisateur racine.

Ubuntu Server 16

Pour configurer IPv6 sur une instance exécutant Ubuntu Server 16

1. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.2. Affichez le contenu du fichier /etc/network/interfaces.d/50-cloud-init.cfg :

cat /etc/network/interfaces.d/50-cloud-init.cfg

# This file is generated from information provided by# the datasource. Changes to it will not persist across an instance.# To disable cloud-init's network configuration capabilities, write a file# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:# network: {config: disabled}auto loiface lo inet loopback

auto eth0iface eth0 inet dhcp

Vérifiez que le périphérique réseau de bouclage (lo) est configuré et notez le nom de l'interfaceréseau. Dans cet exemple, le nom de l'interface réseau est eth0 ; le nom peut être différent enfonction du type d'instance.

3. Créez le fichier /etc/network/interfaces.d/60-default-with-ipv6.cfg et ajoutez la lignesuivante. Si nécessaire, remplacez eth0 par le nom de l'interface réseau que vous avez récupéré àl'étape précédente.

iface eth0 inet6 dhcp

139


4. Redémarrez votre instance, ou redémarrez l'interface réseau en exécutant la commande suivante. Sinécessaire, remplacez eth0 par le nom de votre interface réseau.

sudo ifdown eth0 ; sudo ifup eth0

5. Reconnectez-vous à votre instance et utilisez la commande ifconfig pour vérifier que l'adresse IPv6est configurée sur l'interface réseau.

Pour configurer IPv6 à l'aide de données utilisateur

• Vous pouvez lancer une nouvelle instance Ubuntu et vous assurer que toute adresse IPv6 attribuée àl'instance est automatiquement configurée sur l'interface réseau en spécifiant les données utilisateursuivantes lors du lancement :

#!/bin/bashecho "iface eth0 inet6 dhcp" >> /etc/network/interfaces.d/60-default-with-ipv6.cfgdhclient -6

Dans ce cas, vous n'avez pas à vous connecter à l'instance pour configurer l'adresse IPv6.

Pour plus d'informations, consultez Exécution de commandes sur votre instance Linux lors dulancement dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Ubuntu Server 14

Si vous utilisez Ubuntu Server 14, vous devez inclure une solution de contournement pour un problèmeconnu qui a lieu lorsque vous redémarrez une interface réseau à double pile (le redémarrage entraîne unlong délai d'attente pendant lequel votre instance est inaccessible).

Ces étapes doivent être effectuées en tant qu'utilisateur racine.

Pour configurer IPv6 sur une instance exécutant Ubuntu Server 14

1. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.2. Modifiez le fichier /etc/network/interfaces.d/eth0.cfg pour qu'il contienne les éléments

suivants :

auto loiface lo inet loopbackauto eth0iface eth0 inet dhcp up dhclient -6 $IFACE

3. Redémarrez votre instance:

sudo reboot

4. Reconnectez-vous à votre instance et utilisez la commande ifconfig pour vérifier que l'adresse IPv6est configurée sur l'interface réseau.

Démarrage du client DHCPv6

Sinon, pour afficher immédiatement l'adresse IPv6 pour l'interface réseau sans exécuter de configurationsupplémentaire, vous pouvez démarrer le client DHCPv6 pour l'instance. Toutefois, l'adresse IPv6 nepersiste pas sur l'interface réseau après un redémarrage.

140

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html

https://bugs.launchpad.net/ubuntu/+source/ifupdown/+bug/1013597

https://bugs.launchpad.net/ubuntu/+source/ifupdown/+bug/1013597


Pour démarrer le client DHCPv6 sur Ubuntu

1. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.2. Démarrez le client DHCPv6 :

sudo dhclient -6

3. Utilisez la commande ifconfig pour vérifier que l'adresse IPv6 est reconnue sur l'interface réseauprincipale.

RHEL/CentOSRHEL 7.4 et CentOS 7 et version ultérieures utilisent cloud-init pour configurer votre interface réseau etgénérer le fichier /etc/sysconfig/network-scripts/ifcfg-eth0. Vous pouvez créer un fichier deconfiguration cloud-init personnalisé pour activer DHCPv6, ce qui génère un fichier ifcfg-eth0 avecdes paramètres qui activent DHCPv6 après chaque redémarrage.

Note

En raison d'un problème connu, si vous utilisez RHEL/CentOS 7.4 avec la version la plus récentede cloud-init-0.7.9, cette procédure peut entraîner une perte de connectivité avec votre instanceaprès un redémarrage. Pour contourner ce problème, vous pouvez modifier manuellement lefichier /etc/sysconfig/network-scripts/ifcfg-eth0.

Pour configurer DHCPv7.4 sur RHEL 7 ou CentOS 6

1. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.2. A l'aide de l'éditeur de texte de votre choix, créez un fichier personnalisé, par exemple :

/etc/cloud/cloud.cfg.d/99-custom-networking.cfg

3. Ajoutez les lignes suivantes à votre fichier et enregistrez vos modifications :

network: version: 1 config: - type: physical name: eth0 subnets: - type: dhcp - type: dhcp6

4. À l'aide d'un éditeur de texte de votre choix, ajoutez la ligne suivante au fichier spécifique à l'interfacesous /etc/sysctl.d. Si vous avez désactivé l'affectation de noms de périphérique réseaucohérents, le nom network-interface-name est ethX ou l'interface secondaire.

net.ipv6.conf.network-interface-name.accept_ra=1

Dans l'exemple suivant, l'interface réseau est en5.

net.ipv6.conf.en5.accept_ra=1

5. Redémarrez votre instance.6. Reconnectez-vous à votre instance et utilisez la commande ifconfig pour vérifier que l'adresse IPv6

est configurée sur l'interface réseau.

141

http://cloudinit.readthedocs.io/en/latest/index.html


Pour les versions RHEL 7.3 et antérieures, vous pouvez utiliser la procédure suivante pour modifierdirectement le fichier /etc/sysconfig/network-scripts/ifcfg-eth0.

Pour configurer DHCPv6 sur RHEL 7.3 et versions antérieures

1. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.2. A l'aide d'un éditeur de texte de votre choix, ouvrez /etc/sysconfig/network-scripts/ifcfg-

eth0 et localisez la ligne suivante :

IPV6INIT="no"

Remplacez cette ligne par les éléments suivants :

IPV6INIT="yes"

Ajoutez les deux lignes suivantes et enregistrez vos modifications :

DHCPV6C=yesNM_CONTROLLED=no

3. Ouvrez /etc/sysconfig/network, ajoutez ou modifiez les lignes suivantes comme suit, puisenregistrez vos modifications :

NETWORKING_IPV6=yes

4. Redémarrez la mise en réseau sur votre instance en exécutant la commande suivante :

sudo service network restart

Vous pouvez utiliser la commande ifconfig pour vérifier que l'adresse IPv6 est reconnue surl'interface réseau principale.

Pour configurer DHCPv6 sur RHEL 6 ou CentOS 6

1. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.2. Suivez les étapes 2 à 4 de la procédure ci-dessus pour la configuration de RHEL 7/CentOS 7.3. Si vous redémarrez la mise en réseau et que vous recevez une erreur indiquant que l'adresse IPv6 ne

peut pas être obtenue, ouvrez /etc/sysconfig/network-scripts/ifup-eth et recherchez laligne suivante (par défaut, il s'agit de la ligne 327) :

if /sbin/dhclient "$DHCLIENTARGS"; then

Supprimez les guillemets qui entourent $DHCLIENTARGS et enregistrez vos modifications.Redémarrez la mise en réseau sur votre instance :

sudo service network restart

WindowsUtilisez les procédures suivantes pour configurer IPv6 sur Windows Server 2003 et Windows Server 2008SP2.

142


Pour vous assurer qu'IPv6 est privilégié par rapport à IPv4, téléchargez le correctif nommé Prefer IPv6 overIPv4 in prefix policies à partir de la page de support Microsoft suivante : https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows.

Pour activer et configurer IPv6 sur Windows Server 2003

1. Obtenez l'adresse IPv6 de votre instance en utilisant la commande describe-instances de l'AWS CLI,ou en vérifiant le champ IP IPv6 pour l'instance dans la console Amazon EC2.

2. Connectez-vous à votre instance à l'aide de l'adresse IPv4 publique de l'instance.3. A partir de votre instance, choisissez Démarrer, Panneau de configuration, Connexions réseau,

Connexion au réseau Local.4. Choisissez Propriétés, puis Installer.5. Choisissez Protocole, puis Ajouter. Dans la liste Protocole réseau, choisissez Microsoft TCP/IP

version 6, puis OK.6. Ouvrez l'invite de commande et l'environnement réseau.

netsh

7. Basculez vers le contexte IPv6 de l'interface.

interface ipv6

8. Ajoutez l'adresse IPv6 à la connexion au réseau local à l'aide de la commande suivante. Remplacez lavaleur de l'adresse IPv6 par l'adresse IPv6 de votre instance.

add address "Local Area Connection" "ipv6-address"

Exemples :

add address "Local Area Connection" "2001:db8:1234:1a00:1a01:2b:12:d08b"

9. Quittez l'environnement réseau.

exit

10. Utilisez la commande ipconfig pour vérifier que l'adresse IPv6 est reconnue pour la connexion auréseau Local.

Pour activer et configurer IPv6 sur Windows Server 2008 SP2

1. Obtenez l'adresse IPv6 de votre instance en utilisant la commande describe-instances de l'AWS CLI,ou en vérifiant le champ IP IPv6 pour l'instance dans la console Amazon EC2.

2. Connectez-vous à votre instance Windows à l'aide de l'adresse IPv4 publique de l'instance.3. Choisissez Démarrer, Panneau de configuration.4. Ouvrir le Centre Réseau et partage, puis ouvrez Connexions réseau.5. Cliquez avec le bouton droit sur Réseau Local (de l'interface réseau) et choisissez Propriétés.6. Activez la case à cocher Protocole Internet version 6 (TCP/IPv6), puis sélectionnez OK.7. Ouvrez une nouvelle fois la boîte de dialogue des propriétés pour le réseau local. Choisissez Protocole

Internet version 6 (TCP/IPv6), puis Propriétés.8. Choisissez Utiliser l'adresse IPv6 suivante et effectuez les opérations suivantes :

• Dans le champ Adresse IPv6, entrez l'adresse IPv6 obtenue à l'étape 1.• Dans le champ Longueur du préfixe de sous-réseau, entrez 64.

143

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html



9. Choisissez OK et fermez la boîte de dialogue des propriétés.10. Ouvrez l'invite de commande. Utilisez la commande ipconfig pour vérifier que l'adresse IPv6 est

reconnue pour la connexion au réseau Local.

144

Amazon Virtual Private Cloud Guide de l'utilisateurProtection des données

Sécurité dans Amazon Virtual PrivateCloud

Chez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vousbénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences desorganisations les plus pointilleuses en termes de sécurité.

La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilitépartagée décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :

• La sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute des servicesAWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toutesécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans lecadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformitéqui s'appliquent à Amazon Virtual Private Cloud, veuillez consulter Services AWS concernés par leprogramme de conformité.

• Sécurité dans le cloud – Votre responsabilité est déterminée par le service AWS que vous utilisez. Vousêtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences devotre entreprise,et la législation et la réglementation applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagéelorsque vous utilisez Amazon VPC. Les rubriques suivantes vous montrent comment configurer AmazonVPC pour qu'il réponde à vos objectifs de sécurité et de conformité. Vous allez également apprendre àutiliser d'autres services AWS pour mieux superviser et sécuriser vos ressources Amazon VPC.

Rubriques• Protection des données dans Amazon Virtual Private Cloud (p. 145)• Identity and Access Management pour Amazon VPC (p. 148)• Journalisation et surveillance pour Amazon VPC (p. 164)• Résilience dans Amazon Virtual Private Cloud (p. 165)• Validation de la conformité pour Amazon Virtual Private Cloud (p. 165)• Groupes de sécurité pour votre VPC (p. 165)• ACL réseau (p. 174)• Journaux de flux VPC (p. 191)• Bonnes pratiques de sécurité pour votre VPC (p. 218)

Protection des données dans Amazon VirtualPrivate Cloud

Amazon Virtual Private Cloud se conforme au modèle de responsabilité partagée AWS, qui inclut desdirectives et des régulations pour la protection des données. AWS est responsable de la protectionde l'infrastructure globale qui exécute tous les services AWS. AWS conserve le contrôle des données

145

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/



Amazon Virtual Private Cloud Guide de l'utilisateurConfidentialité du trafic inter-réseaux

hébergées sur cette infrastructure, y compris les contrôles de configuration de sécurité pour traiter lecontenu et les données personnelles des clients. Les clients AWS et les partenaires d'APN, qu'ils agissenten tant que contrôleurs ou responsables du traitement des données, sont responsables de toutes lesdonnées personnelles qu'ils mettent sur le cloud AWS.

Pour des raisons de protection des données, nous vous recommandons de protéger vos identifiantsde compte AWS et de configurer des comptes utilisateurs individuels avec AWS Identity and AccessManagement (IAM), afin que chaque utilisateur reçoive uniquement les permissions nécessaires pouraccomplir ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

• Utilisez l'authentification multi-facteurs (MFA) avec chaque compte.• Utilisez SSL/TLS pour communiquer avec des ressources AWS.• Configurez l'API et la consignation des activités utilisateur avec AWS CloudTrail.• Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des

services AWS.• Utilisez des services de sécurité gérés comme Amazon Macie, qui contribue à la découverte et à la

sécurisation des données personnelles stockées dans Amazon S3.

Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles quedes numéros de compte de vos clients, dans des champs de formulaire comme Nom. Cela est égalementvalable lorsque vous utilisez Amazon VPC ou d'autres services AWS à l'aide de la console, de l'API,de l'interface de ligne de commande (AWS CLI) ou des kits SDK AWS. Toutes les données que vousentrez dans Amazon VPC ou d'autres services peuvent être récupérées pour insertion dans les journauxde diagnostic. Lorsque vous fournissez une URL à un serveur externe, n'incluez pas les informationsd'identification non chiffrées dans l'URL pour valider votre demande adressée au serveur.

Pour en savoir plus sur la protection des données, consultez le billet de blog Modèle de responsabilitépartagée AWS et RGPD sur le Blog sur la sécurité d’AWS.

Confidentialité du trafic inter-réseaux dans AmazonVPCAmazon Virtual Private Cloud propose trois fonctions que vous pouvez utiliser pour accroître et surveiller lasécurité de votre Virtual Private Cloud (VPC) :

• Groupes de sécurité : les groupes de sécurité font office de pare-feu pour les instances Amazon EC2associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance. Lorsque vous lancezune instance dans un VPC, vous pouvez lui associer un ou plusieurs groupes de sécurité que vousavez créés. Chaque instance de votre VPC pourrait appartenir à un ensemble de groupes de sécuritédifférent. Si vous ne spécifiez pas un groupe de sécurité lorsque vous lancez une instance, celle-ci estautomatiquement associée au groupe de sécurité par défaut pour le VPC. Pour plus d'informations,consultez Groupes de sécurité pour votre VPC (p. 165).

• Listes de contrôle d'accès réseau (ACL) : les ACL réseau font office de pare-feu pour les sous-réseaux associés, en contrôlant le trafic entrant et le trafic sortant au niveau du sous-réseau. Pour plusd'informations, consultez ACL réseau (p. 174).

• Journaux de flux : les journaux de flux capturent les informations sur le trafic IP circulant vers et depuisles interfaces réseau de votre VPC. Vous pouvez créer un journal de flux pour un VPC, un sous-réseauou une interface réseau. Les données des journaux de flux sont publiées dans CloudWatch Logs ouAmazon S3, et elles peuvent vous aider à diagnostiquer les règles ACL réseau et de groupe de sécuritétrop restrictives ou trop permissives. Pour plus d'informations, consultez Journaux de flux VPC (p. 191).

• Mise en miroir du trafic : vous pouvez copier le trafic réseau à partir d'une interface réseau Elastic d'uneinstance Amazon EC2. Vous pouvez ensuite envoyer le trafic vers des appliances de sécurité et de

146

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

Amazon Virtual Private Cloud Guide de l'utilisateurConfidentialité du trafic inter-réseaux

surveillance hors bande. Pour de plus amples informations, veuillez consulter le Guide de mise en miroirdu trafic.

Vous pouvez utiliser AWS Identity and Access Management (IAM) pour contrôler les personnes de votreorganisation qui ont le droit de créer et de gérer les groupes de sécurité, les listes ACL réseaux et lesjournaux de flux. Par exemple, vous pouvez accorder uniquement ce droit à vos administrateurs réseau,et non au personnel qui a uniquement besoin de lancer des instances. Pour de plus amples informations,veuillez consulter Identity and Access Management pour Amazon VPC (p. 148).

Les groupes de sécurité Amazon et les ACL réseau ne filtrent pas le trafic vers ou depuis les adresses link-local (169.254.0.0/16) ou les adresses IPv4 réservées par AWS (les quatre premières adresses IPv4du sous-réseau, y compris l'adresse du serveur DNS Amazon pour le VPC). De même, les journaux de fluxne capturent pas le trafic IP vers ou en provenance de ces adresses. Ces adresses prennent en charge leséléments suivants :

• Services de noms de domaine (DNS)• Protocole DHCP (Dynamic Host Configuration Protocol)• Métadonnées d'instance Amazon EC2.• Gestion des licences KMS - (Key Management Server) pour les instances Windows• Routage du sous-réseau

Vous pouvez implémenter d'autres solutions de pare-feu dans vos instances afin de bloquer lacommunication réseau avec des adresses link-local.

Comparaison des groupes de sécurité et des listes ACL réseauLe tableau ci-après récapitule les différences de base entre les groupes de sécurité et les listes ACLréseau.

Groupe de sécurité ACL réseau

Fonctionne au niveau de l'instance Fonctionne au niveau du sous-réseau

Prend en charge les règles d'autorisationuniquement

Prend en charge les règles d'autorisation et lesrègles de refus

Est avec état : le trafic de retour estautomatiquement autorisé, quelles que soient lesrègles

Est sans état : le trafic de retour doit êtreexplicitement autorisé par des règles

Nous évaluons toutes les règles avant de décider sile trafic doit être autorisé

Nous traitons les règles dans l'ordre, encommençant par la règle numérotée la plus basse,lorsque nous décidons d'autoriser le trafic

S'applique à une instance uniquement si quelqu'unindique le groupe de sécurité lors du lancement del'instance, ou associe ultérieurement le groupe desécurité à l'instance

S'applique automatiquement à toutes lesinstances dans les sous-réseaux auxquels il estassocié (forme donc une couche de défensesupplémentaire si les règles des groupes desécurité sont trop permissives)

Le schéma ci-après illustre les couches de sécurité fournies par les groupes de sécurité et les listes ACLréseau. Par exemple, le trafic d'une passerelle Internet est routé vers le sous-réseau approprié à l'aide deroutes dans la table de routage. Les règles de la liste ACL réseau associée au sous-réseau contrôlent le

147

https://docs.aws.amazon.com/vpc/latest/mirroring/

https://docs.aws.amazon.com/vpc/latest/mirroring/

Amazon Virtual Private Cloud Guide de l'utilisateurIdentity and Access Management

trafic autorisé dans le sous-réseau. Les règles du groupe de sécurité associé à une instance contrôlent letrafic autorisé dans l'instance.

Vous pouvez sécuriser vos instances en utilisant uniquement des groupes de sécurité. Toutefois, vouspouvez ajouter des ACL réseau en tant que couche supplémentaire de défense. Pour obtenir un exemple,consultez Exemple : Contrôle de l'accès aux instances dans un sous-réseau (p. 187).

Identity and Access Management pour AmazonVPC

AWS Identity and Access Management (IAM) est un service AWS qui permet à un administrateur decontrôler en toute sécurité l'accès aux ressources AWS. Les administrateurs IAM contrôlent qui peut êtreauthentifié (connecté) et autorisé (disposant des autorisations) à utiliser les ressources Amazon VPC. IAMest un service AWS que vous pouvez utiliser sans frais supplémentaires.

Rubriques• Public ciblé (p. 149)• Authentification avec des identités (p. 149)• Gestion de l'accès à l'aide de stratégies (p. 151)• Fonctionnement de Amazon VPC avec IAM (p. 153)• Exemples de stratégies Amazon VPC (p. 156)• Résolution des problèmes d'identité et d'accès Amazon VPC (p. 162)

148

Amazon Virtual Private Cloud Guide de l'utilisateurPublic ciblé

Public cibléVotre utilisation d'AWS Identity and Access Management (IAM) évolue selon la tâche que vous réalisezdans Amazon VPC.

Utilisateur du service – Si vous utilisez le service Amazon VPC pour effectuer votre tâche, votreadministrateur vous fournira les informations d'identification et les autorisations dont vous aurez besoin.Plus vous utiliserez de fonctionnalités Amazon VPC pour effectuer votre travail, plus vous pourrez avoirbesoin d'autorisations supplémentaires. Comprendre la gestion des accès peut vous aider à demanderà votre administrateur les autorisations appropriées. Si vous ne pouvez pas accéder à une fonctionnalitédans Amazon VPC, consultez Résolution des problèmes d'identité et d'accès Amazon VPC (p. 162).

Administrateur du service –Si vous êtes le responsable des ressources Amazon VPC de votreentreprise, vous bénéficiez probablement d'un accès total à Amazon VPC. C'est à vous de déterminer lesfonctionnalités et les ressources Amazon VPC auxquelles vos employés pourront accéder. Vous devrezensuite envoyer les demandes à votre administrateur IAM pour modifier les autorisations des utilisateursde votre service. Consultez les informations sur cette page pour comprendre les concepts de base d'IAM.Pour en savoir plus sur la façon dont votre entreprise peut utiliser IAM avec Amazon VPC, consultezFonctionnement de Amazon VPC avec IAM (p. 153).

Administrateur IAM – Si vous êtes un administrateur IAM, vous souhaiterez peut-être obtenir des détailssur la façon dont vous pouvez écrire des stratégies pour gérer l'accès à Amazon VPC. Pour afficher desexemples de stratégies, reportez-vous à Exemples de stratégies Amazon VPC (p. 156).

Authentification avec des identitésL'authentification correspond au processus par lequel vous vous connectez à AWS via vos informationsd'identification. Pour plus d'informations sur la signature à l’aide d’AWS Management Console, consultezLa console et la page de connexion IAM dans le IAM Guide de l'utilisateur.

Vous devez être authentifié (connecté à AWS) en tant que Utilisateur racine d'un compte AWS ouutilisateurIAM, ou en assumant un rôle IAM. Vous pouvez également utiliser l’authentification de connexionunique de votre entreprise ou vous connecter via Google ou Facebook. Dans ce cas, votre administrateuraura précédemment configuré une fédération d’identités avec des rôles IAM. Lorsque vous accédez à AWSavec des informations d’identification d’une autre entreprise, vous assumez indirectement un rôle.

Pour vous connecter directement à la AWS Management Console, utilisez votre mot de passe avec votree-mail utilisateur racine ou votre nom d’utilisateur IAM. Vous pouvez accéder à AWS par programmationavec vos clés d’accès utilisateur utilisateur racine ou IAM. AWS fournit un kit de développement logiciel(SDK) et des outils de ligne de commande pour signer de manière cryptographique votre requête avec vosinformations d'identification. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. Pour ce faire, utilisez Signature Version 4, un protocole permettant d’authentifier les demandesd'API entrantes. Pour en savoir plus sur l'authentification des demandes, consultez Processus de signatureSignature Version 4 dans la documentation AWS General Reference.

Quelle que soit la méthode d'authentification que vous utilisez, vous devrez peut-être également fournir desinformations de sécurité supplémentaires. Par exemple, AWS vous recommande d'utiliser l'authentificationmulti-facteurs (MFA) pour améliorer la sécurité de votre compte. Pour en savoir plus, consultez Utilisationde Multi-Factor Authentication (MFA) dans AWS dans le IAM Guide de l'utilisateur.

Utilisateur racine d'un compte AWSLorsque vous créez un compte AWS, vous commencez avec une seule identité de connexion disposantd'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée lautilisateur racinedu compte AWS et elle est accessible après connexion à l'aide de l'adresse e-mail et dumot de passe utilisés pour la création du compte. Il est vivement recommandé de ne pas utiliser l'utilisateurracine pour vos tâches quotidiennes, y compris pour les tâches administratives. Au lieu de cela, respectez

149

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


Amazon Virtual Private Cloud Guide de l'utilisateurAuthentification avec des identités

la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premierutilisateurIAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les pour effectuer uniquement certaines tâches de gestion des comptes et des services.

Utilisateurs et groupes IAMUn utilisateur IAM est une identité dans votre compte AWS qui dispose d'autorisations spécifiques pourune seule personne ou application. Un utilisateur IAM peut disposer d'informations d'identification à longterme comme un nom d'utilisateur et un mot de passe ou un ensemble de clés d'accès. Pour savoircomment générer des clés d'accès, consultez Gestion des clés d’accès pour les utilisateurs IAM dans leIAM Guide de l'utilisateur. Lorsque vous générez des clés d'accès pour un utilisateur IAM, veillez à afficheret enregistrer la paire de clés de manière sécurisée. Vous ne pourrez plus récupérer la clé d'accès secrèteà l'avenir. Au lieu de cela, vous devrez générer une nouvelle paire de clés d'accès.

Un groupe IAM est une identité qui spécifie un ensemble d’utilisateurs IAM. Vous ne pouvez pas vousconnecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pourplusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pourde grands ensembles d'utilisateurs. Par exemple, vous pouvez avoir un groupe nommé Admins IAM etaccorder à ce groupe les autorisations leur permettant d'administrer des ressources IAM.

Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personneou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin.Les utilisateurs disposent d'informations d'identification permanentes, mais les rôles fournissent desinformations d'identification temporaires. Pour plus de détails, consultez Quand créer un utilisateur IAM (aulieu d'un rôle) dans le IAM Guide de l'utilisateur.

Rôles IAMUn rôle IAM est une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques. Leconcept ressemble à celui d’utilisateur IAM, mais un rôle n'est pas associé à une personne en particulier.Vous pouvez temporairement endosser un rôle IAM dans l’AWS Management Console grâce auchangement de rôle. Vous pouvez obtenir un rôle en appelant une opération d’API AWS CLI ou AWS àl'aide d'une URL personnalisée. Pour plus d'informations sur les méthodes d'utilisation des rôles, consultezUtilisation de rôles IAM dans le IAM Guide de l'utilisateur.

Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

• Autorisations utilisateur IAM temporaires – Un utilisateur IAM peut endosser un rôle IAM pour accepterdifférentes autorisations temporaires concernant une tâche spécifique.

• Accès d'utilisateurs fédérés – Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identitésd'utilisateur préexistantes provenant d'AWS Directory Service, de l'annuaire d'utilisateurs de votreentreprise ou d'un fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribue un rôleà un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour plus d'informationssur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le IAM Guide de l'utilisateur.

• Accès entre comptes – Vous pouvez utiliser un rôle IAM pour permettre à un utilisateur (mandatairede confiance) d'un compte différent d'accéder aux ressources de votre compte. Les rôles constituentle principal moyen d'accorder l'accès entre plusieurs comptes. Toutefois, certains services AWS vouspermettent d'attacher une stratégie directement à une ressource (au lieu d'utiliser un rôle en tant queproxy). Pour en savoir plus sur la différence entre les rôles et les stratégies basées sur les ressourcespour l'accès entre comptes, consultez Différence entre les rôles IAM et les stratégies basées sur lesressources dans le IAM Guide de l'utilisateur.

• Accès à un service AWS –Un rôle de service est un rôle IAM qu'un service assume pour effectuer desactions dans votre compte en votre nom. Lorsque vous configurez certains environnements de servicesAWS, vous devez définir un rôle que ce service devra assumer. Ce rôle de service doit comprendretoutes les autorisations nécessaires pour que le service puisse accéder aux ressources AWS dont il abesoin. Les rôles de service varient d'un service à un service, mais nombre d'entre eux vous permettentde choisir vos autorisations, tant que vous respectez les exigences documentées pour le service en

150

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html


Amazon Virtual Private Cloud Guide de l'utilisateurGestion de l'accès à l'aide de stratégies

question. Les rôles de service fournissent un accès uniquement au sein de votre compte et ne peuventpas être utilisés pour accorder l'accès à des services dans d'autres comptes. Vous créez, modifiezet supprimez un rôle de service à partir d'IAM. Par exemple, vous pouvez créer un rôle qui permet àAmazon Redshift d'accéder à un compartiment Amazon S3 en votre nom, puis de charger les donnéesstockées dans ce compartiment dans un cluster Amazon Redshift. Pour plus d'informations, consultezCréation d'un rôle pour déléguer des autorisations à un service AWS dans le IAM Guide de l'utilisateur.

• Applications qui s'exécutent sur Amazon EC2 –Vous pouvez utiliser un rôle IAM pour gérer desinformations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2 eteffectuent des demandes d'API AWS CLI ou AWS. Cette solution est préférable au stockage des clésd'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponibleà toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profild'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir desinformations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAMpour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans leIAM Guide de l'utilisateur.

Pour savoir si vous devez utiliser ces rôles IAM ou non, consultez Quand créer un rôle IAM (au lieu d'unutilisateur) dans le IAM Guide de l'utilisateur.

Gestion de l'accès à l'aide de stratégiesVous contrôlez les accès dans AWS en créant des stratégies et en les attachant à des identités IAM ouà des ressources AWS. Une stratégie est un objet dans AWS qui, lorsqu'il est associé à une identité ouà une ressource, définit les autorisations de ces dernières. AWS évalue ces stratégies lorsqu'une entité(utilisateur racine, utilisateur IAM ou rôle IAM) envoie une demande. Les autorisations dans les stratégiesdéterminent si la demande est autorisée ou refusée. La plupart des stratégies sont stockées dans AWS entant que documents JSON. Pour plus d'informations sur la structure et le contenu du document de stratégieJSON, consultez Présentation des stratégies JSON dans le IAM Guide de l'utilisateur.

Les stratégies permettent à un administrateur IAM de spécifier qui a accès aux ressources AWSet quellesactions ces personnes peuvent exécuter sur ces ressources. Chaque entité IAM (utilisateur ou rôle)démarre sans autorisation. En d'autres termes, par défaut, les utilisateurs ne peuvent rien faire, pasmême changer leurs propres mots de passe. Pour autoriser un utilisateur à effectuer une opération, unadministrateur doit associer une stratégie d'autorisations à ce dernier. Il peut également ajouter l'utilisateurà un groupe disposant des autorisations prévues. Lorsqu'un administrateur accorde des autorisations à ungroupe, tous les utilisateurs de ce groupe se voient octroyer ces autorisations.

Les stratégies IAM définissent les autorisations d'une action quelle que soit la méthode que vous utilisezpour exécuter l'opération. Par exemple, supposons que vous disposiez d'une stratégie qui autorise l'actioniam:GetRole. Un utilisateur avec cette stratégie peut obtenir des informations utilisateur à partir de l’AWSManagement Console, de l’AWS CLI ou de l’API AWS.

Stratégies basées sur l'identitéLes stratégies basées sur l'identité sont des documents de stratégie d'autorisations JSON que vous pouvezattacher à une identité telle qu'un utilisateur, un rôle ou un groupe IAM. Ces stratégies contrôlent lesactions que peut exécuter cette identité, sur quelles ressources et dans quelles conditions. Pour découvrircomment créer une stratégie basée sur l’identité, consultez Création de stratégies IAM dans le IAM Guidede l'utilisateur.

Les stratégies basées sur l'identité peuvent être classées comme étant des stratégies en ligne ou desstratégies gérées. Les stratégies en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Lesstratégies gérées sont des stratégies autonomes que vous pouvez lier à plusieurs utilisateurs, groupes etrôles de votre compte AWS. Les stratégies gérées incluent les stratégies gérées par AWS et les stratégiesgérées par le client. Pour découvrir comment choisir entre une politique gérée ou une politique en ligne,consultez Choix entre les stratégies gérées et les stratégies en ligne dans le IAM Guide de l'utilisateur.

151

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

Amazon Virtual Private Cloud Guide de l'utilisateurGestion de l'accès à l'aide de stratégies

Stratégies basées sur les ressourcesLes stratégies basées sur les ressources sont des documents de stratégie JSON que vous attachez àune ressource, telle qu'un compartiment Amazon S3. Les administrateurs de service peuvent utiliser cesstratégies pour définir les actions qu'un principal (membre de compte, utilisateur ou rôle) spécifié peuteffectuer sur cette ressource et dans quelles conditions. Les stratégies basées sur les ressources sont desstratégies en ligne. Il ne s'agit pas de stratégies gérées basées sur les ressources.

Listes de contrôle d'accès (ACL)Les listes de contrôle d’accès (ACL) constituent un type de stratégie permettant de définir les mandataires(membres de compte, utilisateurs ou rôles) ayant l’autorisation d’accéder à une ressource. Les listes decontrôle d'accès sont semblables aux stratégies basées sur les ressources, bien qu'elles n'utilisent pasle format de document de stratégie JSON. Amazon S3, AWS WAF et Amazon VPC sont des exemplesde services prenant en charge les listes de contrôle d'accès. Pour en savoir plus sur les listes de contrôled'accès, consultez Présentation de la liste de contrôle d'accès (ACL) dans le Manuel du développeurAmazon Simple Storage Service.

Autres types de stratégieAWS prend en charge d'autres types de stratégies moins courantes. Ces types de stratégies peuventdéfinir le nombre maximal d'autorisations qui vous sont accordées par des types de stratégies pluscourants.

• Limite d'autorisations – Une limite d'autorisations est une fonctionnalité avancée dans laquelle vousdéfinissez les autorisations maximales qu'une stratégie basée sur l'identité peut accorder à uneentité IAM (utilisateur ou rôle IAM). Vous pouvez définir une limite d'autorisations pour une entité. Lesautorisations obtenues représentent la combinaison des stratégies basées sur l'identité de l'entité et deses limites d'autorisations. Les stratégies basées sur les ressources qui spécifient l'utilisateur ou le rôledans le champ Principal ne sont pas limitées par les limites d'autorisations. Un refus explicite dansl'une de ces stratégies remplace l'autorisation. Pour plus d'informations sur les limites d'autorisations,consultez Limites d'autorisations pour des entités IAM dans le IAM Guide de l'utilisateur.

• Stratégies de contrôle de service (SCP) – Les SCP sont des stratégies JSON qui spécifient lenombre maximal d'autorisations pour une organisation ou une unité d'organisation (OU) dans AWSOrganizations. AWS Organizations est un service qui vous permet de regrouper et de gérer defaçon centralisée plusieurs comptes AWS détenus par votre entreprise. Si vous activez toutes lesfonctions d'une organisation, vous pouvez appliquer les stratégies de contrôle de service (SCP) à l'unou à l'ensemble de vos comptes. La SCP limite les autorisations pour les entités dans les comptesmembres, y compris dans chaque Utilisateur racine d'un compte AWS. Pour plus d'informations surles Organisations et les SCP, consultez Fonctionnement des stratégies de contrôle de service dans leManuel de l'utilisateur AWS Organizations.

• Stratégies de session – Les stratégies de session sont des stratégies avancées que vous transmettezen tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôleou un utilisateur fédéré. Les autorisations de la session obtenue sont une combinaison des stratégiesbasées sur l'identité de l'utilisateur ou du rôle et des stratégies de session. Les autorisations peuventégalement provenir d'une stratégie basée sur les ressources. Un refus explicite dans l'une de cesstratégies remplace l'autorisation. Pour de plus amples informations, veuillez consulter Stratégies desession dans le IAM Guide de l'utilisateur.

Plusieurs types de stratégieLorsque plusieurs types de stratégies s'appliquent à la requête, les autorisations obtenues sont pluscompliquées à comprendre. Pour découvrir la façon dont AWS détermine s'il convient d'autoriser unedemande en présence de plusieurs types de stratégies, consultez Logique d'évaluation de stratégies dansle IAM Guide de l'utilisateur.

152

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

Amazon Virtual Private Cloud Guide de l'utilisateurFonctionnement de Amazon VPC avec IAM

Fonctionnement de Amazon VPC avec IAMAvant d'utiliser IAM pour gérer l'accès à votre Amazon VPC, vous devez comprendre quelles sont lesfonctions IAM pouvant être utilisées avec votre Amazon VPC. Pour obtenir une présentation générale de lafaçon dont votre Amazon VPC et d'autres services AWS fonctionnent avec IAM, veuillez consulter ServicesAWS qui fonctionnent avec IAM dans le IAM Guide de l'utilisateur.

Rubriques• Actions (p. 153)• Ressources (p. 153)• Clés de condition (p. 154)• Stratégies Amazon VPC basées sur les ressources (p. 155)• Autorisation basée sur les balises (p. 155)• Rôles IAM (p. 155)

Avec les stratégies IAM basées sur l'identité, vous pouvez préciser les actions autorisées ou refusées. Pourcertaines actions, vous pouvez préciser les ressources et les conditions dans lesquelles les actions sontautorisées ou refusées. Votre Amazon VPC prend en charge des actions, des ressources et des clés decondition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une stratégie JSON,consultez Références des éléments de stratégie JSON IAM dans le IAM Guide de l'utilisateur.

ActionsL'élément Action d'une stratégie basée sur une identité IAM décrit les actions spécifiques qui serontautorisées ou refusées par la stratégie. Les actions de stratégie possèdent généralement le même nomque l'opération d'API AWS associée. L'action est utilisée dans une stratégie pour permettre d'effectuerl'opération associée.

Votre Amazon VPC partage son espace de noms API avec Amazon EC2. Les actions de stratégie dans leAmazon VPC utilisent le préfixe suivant avant l'action : ec2:. Par exemple, pour accorder à une personnel'autorisation de créer un VPC à l'aide de l'opération API Amazon EC2 CreateVpc, vous incluez l'actionec2:CreateVpc dans sa stratégie. Les déclarations de stratégie doivent inclure un élément Action ouNotAction.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme l'indiquel'exemple suivant.

"Action": [ "ec2:action1", "ec2:action2"]

Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques (*). Par exemple, pourspécifier toutes les actions qui commencent par le mot Describe, incluez l'action suivante.

"Action": "ec2:Describe*"

Pour afficher une liste d'actions Amazon VPC, consultez Actions, ressources et clés de condition pourAmazon EC2 dans le IAM Guide de l'utilisateur.

RessourcesL'élément Resource spécifie les objets auxquels l'action s'applique. Les instructions doivent inclure unélément Resource ou NotResource. Vous spécifiez une ressource à l'aide d'un ARN ou du caractèregénérique (*) pour indiquer que l'instruction s'applique à toutes les ressources.

153

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html



Important

Actuellement, toutes les actions d'API Amazon EC2 ne prennent pas en charge les permissions auniveau des ressources. Si une action d'API Amazon EC2 ne prend pas en charge les permissionsau niveau des ressources, vous pouvez autoriser les utilisateurs à utiliser l'action, mais vousdevez spécifier un * pour l'élément ressource de votre déclaration de stratégie. Pour savoir quellesactions vous permettent d'indiquer l'ARN de chaque ressource, consultez Actions définies parAmazon EC2.

L'ARN de la ressource VPC est décrit dans l'exemple suivant.

arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}

Pour de plus amples informations sur le format des ARN, veuillez consulter Amazon Ressource Names(ARN).

Par exemple, pour indiquer le VPC vpc-1234567890abcdef0 dans votre déclaration, utilisez l'ARN décritdans l'exemple suivant.

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"

Pour indiquer tous les VPC appartenant à un compte précis, utilisez le caractère générique (*).

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"

Certaines actions Amazon VPC, telles que la création de ressources, ne peuvent pas être exécutées surune ressource précise. Dans ce cas, vous devez utiliser le caractère générique (*).

"Resource": "*"

De nombreuses actions d'API Amazon EC2 nécessitent plusieurs ressources. Pour spécifier plusieursressources dans une seule instruction, séparez leurs ARN par des virgules.

"Resource": [ "resource1", "resource2"]

Pour afficher une liste des types de ressources Amazon VPC et de leurs ARN, veuillez consulterRessources définies par Amazon EC2 dans le IAM Guide de l'utilisateur.

Clés de conditionL'élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’uneinstruction est appliquée. L'élément Condition est facultatif. Vous pouvez créer des expressionsconditionnelles qui utilisent des opérateurs de condition, comme égal ou inférieur, pour faire correspondrela condition de la stratégie aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seulélément Condition, AWS les évalue à l'aide d'une opération AND logique. Si vous spécifiez plusieursvaleurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique.Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soientaccordées.

Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Parexemple, vous pouvez accorder à un utilisateur IAM l'autorisation d'accéder à une ressource uniquement

154

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-actions-as-permissions


https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html


si elle est balisée avec son nom d’utilisateur IAM . Pour de plus amples informations, veuillez consulterÉléments des stratégies IAM : variables et balises dans le Guide de l'utilisateur IAM.

Amazon VPC définit son propre ensemble de clés de condition et prend également en charge l'utilisationdes clés de condition générales. Pour consulter toutes les clés de condition AWS, consultez la section Clésde contexte de condition globales AWS dans le IAM Guide de l'utilisateur.

Toutes les actions Amazon EC2 prennent en charge les clés de condition aws:RequestedRegion etec2:Region. Pour plus d'informations, consultez Exemple : Restriction de l'accès à une région spécifique.

Pour afficher la liste des clés de condition Amazon VPC, veuillez consulter Clés de condition pour AmazonEC2 dans le IAM Guide de l'utilisateur. Pour savoir avec quelles actions et ressources vous pouvez utiliserune clé de condition, veuillez consultez Actions définies par Amazon EC2.

Stratégies Amazon VPC basées sur les ressourcesLes stratégies basées sur les ressources sont des documents de stratégie JSON précisant les actionsqu'un mandataire indiqué peut effectuer sur la ressource Amazon VPC et dans quelles conditions.

Pour permettre un accès entre comptes, vous pouvez spécifier un compte entier ou des entités IAMdans un autre compte en tant que mandataire dans une stratégie basée sur les ressources. L'ajout d'unmandataire entre comptes à une stratégie basée sur les ressources ne représente qu'une partie del'instauration de la relation d'approbation. Lorsque le mandataire et la ressource se trouvent dans descomptes AWS différents, vous devez également accorder à l'entité mandataire l'autorisation d'accéder à laressource. Accordez l'autorisation en attachant une stratégie basée sur les identités à l'entité. Toutefois, siune stratégie basée sur des ressources accorde l'accès à un mandataire dans le même compte, aucuneautre stratégie basée sur l'identité n'est requise. Pour plus d'informations, consultez Différence entre lesrôles IAM et les stratégies basées sur les ressources dans le IAM Guide de l'utilisateur.

Autorisation basée sur les balisesVous pouvez attacher des balises aux ressources Amazon VPC ou les transmettre dans une demande.Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dansl'élément de condition d'une stratégie en utilisant les clés de condition ec2:ResourceTag/key-name,aws:RequestTag/key-name ou aws:TagKeys. Pour de plus amples informations, veuillez consulterAutorisations au niveau des ressources pour le balisage dans le guide de l'utilisateur Amazon EC2.

Pour consulter un exemple de stratégie basée sur l'identité permettant de limiter l'accès à une ressource enfonction des balises de celle-ci, allez dans Lancement d'instances dans un VPC spécifique (p. 161).

Rôles IAMUn rôle IAM est une entité au sein de votre compteAWS qui dispose d'autorisations spécifiques.

Utilisation d'informations d'identification temporairesVous pouvez utiliser des informations d'identification temporaires pour vous connecter avec la fédération,assumer un rôle IAM, ou encore pour assumer un rôle entre comptes. Vous obtenez des informationsd'identification de sécurité temporaires en appelant des opérations d'API AWS STS comme AssumeRoleou GetFederationToken.

Amazon VPC prend en charge l'utilisation des informations d'identification temporaires.

Rôles liés à un serviceLes rôles liés à un service permettent aux services AWS d'accéder à des ressources dans d'autresservices pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compteIAM et sont détenus par le service. Un administrateur IAM peut consulter, mais ne peut pas modifier lesautorisations concernant les rôles liés à un service.

155

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-policy-keys


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html#supported-iam-actions-tagging

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

Amazon Virtual Private Cloud Guide de l'utilisateurExemples de stratégies

Les passerelles de transit prennent en charge les rôles liés au service.

Rôles de service

Cette fonction permet à un service d'endosser un rôle de service en votre nom. Ce rôle autorise le serviceà accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de services'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateurIAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bonfonctionnement du service.

Amazon VPC prend en charge les rôles de service pour les journaux de flux. Lorsque vous créez un journalde flux, vous devez définir un rôle permettant au service de journaux de flux d'y accéder CloudWatch Logs.Pour de plus amples d'informations, veuillez consulter Rôles IAM pour la publication des journaux de fluxdans CloudWatch Logs (p. 202).

Exemples de stratégies Amazon VPCPar défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou modifier les ressources VPC.Ils ne peuvent pas non plus exécuter des tâches à l'aide de AWS Management Console, AWS CLI ou del'API AWS. Un administrateur IAM doit créer des stratégies IAM autorisant les utilisateurs et les rôles àexécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuiteattacher ces stratégies aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.

Pour apprendre à créer une stratégie basée sur l’identité IAM à l'aide de ces exemples de document destratégie JSON, consultez Création de stratégies dans l'onglet JSON dans le IAM Guide de l'utilisateur.

Rubriques• Bonnes pratiques en matière de stratégies (p. 156)• Affichage de la console Amazon VPC (p. 157)• Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations (p. 158)• Créer un VPC avec un sous-réseau public (p. 159)• Modifier et supprimer les ressources VPC (p. 159)• Gestion des groupes de sécurité (p. 160)• Lancement d'instances dans un sous-réseau spécifique (p. 161)• Lancement d'instances dans un VPC spécifique (p. 161)• Exemples de stratégies Amazon VPC supplémentaires (p. 162)

Bonnes pratiques en matière de stratégiesLes stratégies basées sur l'identité sont très puissantes. Elles déterminent si une personne peut créer,consulter ou supprimer des ressources Amazon VPC dans votre compte. Ces actions peuvent entraînerdes frais pour votre compte AWS. Lorsque vous créez ou modifiez des stratégies basées sur l'identité,suivez ces instructions et recommandations :

• Commencer à utiliser des stratégies gérées AWS – Pour commencer à utiliser Amazon VPC rapidement,utilisez les politiques gérées AWS pour accorder à vos employés les autorisations dont ils ont besoin.Ces stratégies sont déjà disponibles dans votre compte et sont gérées et mises à jour par AWS. Pourplus d'informations, consultez la section Mise en route avec les autorisations à l'aide des stratégiesgérées AWS dans le IAM Guide de l'utilisateur.

• Accorder le privilège le plus faible – Lorsque vous créez des stratégies personnalisées, accordezuniquement les autorisations requises pour exécuter une seule tâche. Commencez avec unminimum d'autorisations et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que de

156

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-service-linked-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies


commencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard. Pour plusd'informations, consultez Accorder le privilège le plus faible dans le IAM Guide de l'utilisateur.

• Activer MFA pour les opérations sensibles – Pour plus de sécurité, obligez les utilisateurs IAM àutiliser l'authentification multi-facteurs (MFA) pour accéder à des ressources ou à des opérations d'APIsensibles. Pour plus d'informations, consultez Utilisation de Multi-Factor Authentication (MFA) dans AWSdans le IAM Guide de l'utilisateur.

• Utiliser des conditions de stratégie pour une plus grande sécurité – Tant que cela reste pratique pourvous, définissez les conditions dans lesquelles vos stratégies basées sur l'identité autorisent l'accès àune ressource. Par exemple, vous pouvez rédiger les conditions pour spécifier une plage d'adresses IPautorisées d'où peut provenir une demande. Vous pouvez également écrire des conditions pour autoriserles requêtes uniquement à une date ou dans une plage de temps spécifiée, ou pour imposer l'utilisationde SSL ou de MFA. Pour plus d'informations, consultez Éléments de stratégie JSON IAM : conditiondans le IAM Guide de l'utilisateur.

Affichage de la console Amazon VPCPour accéder à la console Amazon VPC, vous devez détenir un ensemble minimum d'autorisations. Cesautorisations doivent vous permettre de répertorier et d'afficher les informations relatives aux ressourcesAmazon VPC de votre compte AWS. Si vous créez une stratégie basée sur l'identité qui est plus restrictiveque l'ensemble minimum d'autorisations requis, la console ne fonctionnera pas comme prévu pour lesentités (utilisateurs et rôles IAM) tributaires de cette stratégie.

La stratégie suivante autorise les utilisateurs à répertorier les ressources dans la console VPC, mais pas àles créer, à les mettre à jour ou à les supprimer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeClassicLinkInstances", "ec2:DescribeClientVpnEndpoints", "ec2:DescribeCustomerGateways", "ec2:DescribeDhcpOptions", "ec2:DescribeEgressOnlyInternetGateways", "ec2:DescribeFlowLogs", "ec2:DescribeInternetGateways", "ec2:DescribeMovingAddresses", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeStaleSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeTrafficMirrorFilters", "ec2:DescribeTrafficMirrorSessions", "ec2:DescribeTrafficMirrorTargets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayRouteTables",

157

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


"ec2:DescribeVpcAttribute", "ec2:DescribeVpcClassicLink", "ec2:DescribeVpcClassicLinkDnsSupport", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointConnectionNotifications", "ec2:DescribeVpcEndpointConnections", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcEndpointServicePermissions", "ec2:DescribeVpcEndpointServices", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways" ], "Resource": "*" } ]}

Vous n'avez pas besoin d'accorder les autorisations minimales de console aux utilisateurs qui effectuentdes appels uniquement vers la AWS CLI ou l'API AWS. Au lieu de cela, vous ne devez accorder à cesutilisateurs que l'accès aux actions correspondant à l'opération API qu'ils doivent effectuer.

Autorisation accordée aux utilisateurs pour afficher leurs propresautorisationsCet exemple montre comment créer une stratégie qui permet aux utilisateurs IAM d'afficher les stratégiesen ligne et gérées attachées à leur identité d'utilisateur. Cette stratégie inclut les autorisations nécessairespour réaliser cette action sur la console ou par programmation à l'aide de l’AWS CLI ou de l'API AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

158


Créer un VPC avec un sous-réseau publicL'exemple suivant donne la possibilité aux utilisateurs de créer des VPC, des sous-réseaux, des tables deroutage et des passerelles Internet. Les utilisateurs peuvent également attacher une passerelle Internet àun VPC et créer des routes dans les tables de routage. L'action ec2:ModifyVpcAttribute permet auxutilisateurs d'activer les noms d'hôte DNS pour le VPC, de sorte que chaque instance lancée dans un VPCreçoive un nom d'hôte DNS.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute" ], "Resource": "*" } ]}

La stratégie précédente permet également aux utilisateurs de créer un VPC à l'aide de la première optionde configuration de l'assistant VPC dans la console Amazon VPC. Pour afficher l'assistant VPC, lesutilisateurs doivent également avoir l'autorisation d'utiliser le ec2:DescribeVpcEndpointServices.Cela garantit que la section des points de terminaison de l'assistant VPC se charge correctement.

Modifier et supprimer les ressources VPCVous avez la possibilité de contrôler les ressources VPC que les utilisateurs peuvent modifier ou supprimer.Par exemple, la stratégie suivante permet aux utilisateurs de travailler avec et de supprimer des tables deroutage comportant la balise Purpose=Test. La stratégie précise également que les utilisateurs peuventuniquement supprimer les passerelles Internet qui possèdent la balise Purpose=Test. Les utilisateurs nepeuvent pas utiliser les tables de routage ou les passerelles Internet qui ne possèdent pas cette balise.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DeleteInternetGateway", "Resource": "arn:aws:ec2:*:*:internet-gateway/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteRouteTable", "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" }

159


} } ]}

Gestion des groupes de sécuritéLa stratégie suivante autorise les utilisateurs à créer et à supprimer des règles entrantes et sortantes pourtout groupe de sécurité dans un VPC spécifique. La stratégie l'effectue en appliquant une clé de condition(ec2:Vpc) à la ressource du groupe de sécurité pour les actions Authorize et Revoke.

La deuxième instruction autorise les utilisateurs à décrire tous les groupes de sécurité. Cela permet auxutilisateurs d'afficher les règles de sécurité pour le groupe afin de les modifier.

{"Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress"], "Resource": "arn:aws:ec2:region:account:security-group/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": "ec2:DescribeSecurityGroups", "Resource": "*" } ]}

Pour voir les groupes de sécurité sur la page Security Groups dans la console Amazon VPC, lesutilisateurs doivent être autorisés à utiliser l'action ec2:DescribeSecurityGroups. Pour utiliser Créerun groupe de sécurité les utilisateurs doivent avoir l'autorisation d'utiliser les actions ec2:DescribeVpcset ec2:CreateSecurityGroup.

La stratégie suivante permet aux utilisateurs d'afficher et de créer des groupes de sécurité. Elle leur permetégalement d'ajouter et de supprimer des règles entrantes et sortantes pour tous les groupes de sécuritéassocié à vpc-11223344556677889.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:CreateSecurityGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress"

160


], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition":{ "ArnEquals": { "ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-11223344556677889" } } } ]}

Pour permettre aux utilisateurs de modifier le groupe de sécurité associé à une instance, ajoutezl'action ec2:ModifyInstanceAttribute à votre stratégie. Vous pouvez également ajouter l'actionec2:ModifyNetworkInterfaceAttribute à votre stratégie pour permettre aux utilisateurs de modifierles groupes de sécurité d'une interface réseau.

Lancement d'instances dans un sous-réseau spécifiqueLa stratégie suivante autorise les utilisateurs à lancer des instances dans un sous-réseau spécifique et àutiliser un groupe de sécurité spécifique dans la demande. La stratégie l'effectue en spécifiant l'ARN poursubnet-11223344556677889 et l'ARN pour sg-11223344551122334. Si les utilisateurs tentent delancer une instance dans un sous-réseau différent ou d'utiliser un groupe de sécurité différent, la demandeéchoue (à moins qu'une autre stratégie ou instruction n'autorise les utilisateurs à le faire).

La stratégie autorise également l'utilisation des ressources de l'interface réseau. Une fois lancée dansun sous-réseau, la demande RunInstances crée une interface réseau principale par défaut, afin quel'utilisateur ait besoin d'être autorisé à créer cette ressource lors du lancement de l'instance.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-*", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:subnet/subnet-11223344556677889", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/sg-11223344551122334" ] } ]}

Lancement d'instances dans un VPC spécifiqueLa stratégie suivante autorise les utilisateurs à lancer des instances dans n'importe quel sous-réseauau sein d'un VPC spécifique. La stratégie l'effectue en appliquant une clé de condition (ec2:Vpc) à laressource du sous-réseau.

La stratégie autorise également les utilisateurs à lancer des instances en n'utilisant que les AMI ayant labalise « department=dev ».

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances",

161

Amazon Virtual Private Cloud Guide de l'utilisateurDépannage

"Resource": "arn:aws:ec2:region:account:subnet/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region::image/ami-*", "Condition": { "StringEquals": { "ec2:ResourceTag/department": "dev" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/*" ] } ]}

Exemples de stratégies Amazon VPC supplémentairesVous trouverez d'autres exemples de stratégies IAM liées au Amazon VPC dans les rubriques suivantes :

• ClassicLink• Mise en miroir du trafic• Passerelles de transit• Services Points de terminaison d'un VPC et Point de terminaison d'un VPC• Stratégies de point de terminaison d'un VPC (p. 332)• Appairage de VPC

Résolution des problèmes d'identité et d'accèsAmazon VPCConsultez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvezrencontrer lorsque vous travaillez avec Amazon VPC et IAM.

Rubriques• Je ne suis pas autorisé à effectuer une action dans Amazon VPC (p. 163)• Je ne suis pas autorisé à exécuter : iam:PassRole (p. 163)• Je veux afficher mes clés d'accès (p. 163)• Je suis un administrateur et je souhaite autoriser d'autres utilisateurs à accéder à Amazon

VPC (p. 164)• Je souhaite permettre à des personnes extérieures à mon compte AWS d’accéder à mes ressources

Amazon VPC (p. 164)

162

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#iam-example-classiclink

https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-iam.html

https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html


Je ne suis pas autorisé à effectuer une action dans Amazon VPCSi AWS Management Console indique que vous n'êtes pas autorisé à exécuter une action, vous devezcontacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fournivotre nom d'utilisateur et votre mot de passe.

L'exemple d'erreur suivant se produit lorsque l'utilisateur mateojackson IAM tente d'utiliser la consolepour afficher des informations concernant un sous-réseau mais qu'il ne détient pas les autorisationsec2:DescribeSubnets pour le faire.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id

Dans ce cas, Mateo demande à son administrateur de mettre à jour ses stratégies pour lui permettred'accéder au sous-réseau.

Je ne suis pas autorisé à exécuter : iam:PassRoleSi vous recevez un message d'erreur selon lequel vous n'êtes pas autorisé à exécuter l'actioniam:PassRole, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur estla personne qui vous a fourni votre nom d'utilisateur et votre mot de passe. Demandez à cette personne demettre à jour vos stratégies pour vous permettre de transmettre un rôle à Amazon VPC.

Certains services AWS vous permettent de transmettre un rôle existant à ce service, au lieu de créer unnouveau rôle de service ou rôle lié à un service. Pour ce faire, un utilisateur doit disposer des autorisationsnécessaires pour transmettre le rôle au service.

L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé marymajor essaie d'utiliser laconsole pour exécuter une action dans Amazon VPC. Toutefois, l'action nécessite que le service ait desautorisations accordées par un rôle de service. Mary ne dispose pas des autorisations nécessaires pourtransférer le rôle au service.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Dans ce cas, Mary demande à son administrateur de mettre à jour ses stratégies pour lui permettred'exécuter l'action iam:PassRole.

Je veux afficher mes clés d'accèsUne fois que vous avez créé vos clés d'accès utilisateur IAM, vous pouvez afficher votre ID de clé d'accèsà tout moment. Toutefois, vous ne pouvez pas afficher à nouveau votre clé d'accès secrète. Si vous perdezvotre clé d'accès secrète, vous devez créer une nouvelle paire de clés.

Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple,AKIAIOSFODNN7EXAMPLE) et une clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). À l'instar d'un nom d'utilisateur et un mot de passe, vous devez utiliser à la foisl'ID de clé d'accès et la clé d'accès secrète pour authentifier vos demandes. Gérez vos clés d'accès demanière aussi sécurisée que votre nom d'utilisateur et votre mot de passe.

Important

Ne communiquez pas vos clés d'accès à un tiers, même pour qu'il vous aide à trouver votre IDutilisateur canonique. En effet, vous lui accorderiez ainsi un accès permanent à votre compte.

Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrètedans un emplacement sécurisé. La clé d'accès secrète est accessible uniquement au moment de sacréation. Si vous perdez votre clé d'accès secrète, vous devez ajouter de nouvelles clés d'accès pour votre

163

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

Amazon Virtual Private Cloud Guide de l'utilisateurJournalisation et surveillance

utilisateur IAM. Vous pouvez avoir un maximum de deux clés d'accès. Si vous en avez déjà deux, vousdevez supprimer une paire de clés avant d'en créer une nouvelle. Pour afficher les instructions, consultezGestion des clés d'accès dans le IAM Guide de l'utilisateur.

Je suis un administrateur et je souhaite autoriser d'autresutilisateurs à accéder à Amazon VPCPour permettre à d'autres utilisateurs d'accéder à Amazon VPC, vous devez créer une entité IAM(utilisateur ou rôle) pour la personne ou l'application qui a besoin de l'accès. Ils utiliseront les informationsd'identification de cette entité pour accéder à AWS. Vous devez ensuite associer une stratégie à l'entité quileur accorde les autorisations appropriées dans Amazon VPC.

Pour démarrer immédiatement, consultez Création de votre premier groupe et utilisateur délégué IAM dansle IAM Guide de l'utilisateur.

Je souhaite permettre à des personnes extérieures à mon compteAWS d’accéder à mes ressources Amazon VPCVous pouvez créer un rôle que les utilisateurs provenant d'autres comptes ou les personnes extérieures àvotre organisation peuvent utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est approuvépour assumer le rôle. Pour les services qui prennent en charge les stratégies basées sur les ressourcesou les listes de contrôle d'accès (ACL), vous pouvez utiliser ces stratégies pour accorder aux personnesl'accès à vos ressources.

Pour en savoir plus, consultez les éléments suivants :

• Pour savoir si Amazon VPC prend en charge ces fonctionnalités, consultez Fonctionnement de AmazonVPC avec IAM (p. 153).

• Pour savoir comment fournir un accès à vos ressources sur les comptes AWS que vous détenez,consultez Octroi à un utilisateur IAM de l'autorisation d'accès à un autre compte AWS vous appartenantdans le IAM Guide de l'utilisateur.

• Pour savoir comment fournir l'accès à vos ressources à des comptes AWS tiers, consultez Octroi d'unaccès à des comptes AWS appartenant à des tiers dans le IAM Guide de l'utilisateur.

• Pour savoir comment fournir un accès par le biais de la fédération d'identité, consultez Octroi d'accès àdes utilisateurs authentifiés en externe (fédération d'identité) dans le IAM Guide de l'utilisateur.

• Pour en savoir plus sur la différence entre l'utilisation des rôles et des stratégies basées sur lesressources pour l'accès entre comptes, consultez Différence entre les rôles IAM et les stratégies baséessur les ressources dans le IAM Guide de l'utilisateur.

Journalisation et surveillance pour Amazon VPCVous pouvez utiliser les outils de surveillance automatique suivants pour surveiller les composants de votreVPC et signaler un problème éventuel :

• Journaux de flux : les journaux de flux capturent les informations sur le trafic IP circulant vers et depuisles interfaces réseau de votre VPC. Vous pouvez créer un journal de flux pour un VPC, un sous-réseauou une interface réseau. Les données des journaux de flux sont publiées dans CloudWatch Logs ouAmazon S3, et elles peuvent vous aider à diagnostiquer les règles ACL réseau et de groupe de sécuritétrop restrictives ou trop permissives. Pour plus d'informations, consultez Journaux de flux VPC (p. 191).

• Surveillance des passerelles NAT : Vous pouvez surveiller votre passerelle NAT avec CloudWatch,qui recueille des informations de votre passerelle NAT et crée des métriques lisibles presque entemps réel. Pour plus d'informations, consultez Surveillance des passerelles NAT à l'aide de AmazonCloudWatch (p. 260).

164

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html



Amazon Virtual Private Cloud Guide de l'utilisateurRésilience

Résilience dans Amazon Virtual Private CloudL'infrastructure mondiale dAWS repose sur des régions et des zones de disponibilité AWS. Les régionsAWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseauà latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoiret exploiter des applications et des bases de données qui basculent automatiquement d'une zone à l'autresans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes etévolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.

Pour plus d'informations sur les régions et les zones de disponibilité AWS, consultez Infrastructuremondiale AWS.

Outre l'infrastructure globale AWS, Amazon VPC propose plusieurs fonctionnalités qui contribuent à laprise en charge des vos besoins en matière de résilience et de sauvegarde de données.

Validation de la conformité pour Amazon VirtualPrivate Cloud

Les auditeurs tiers évaluent la sécurité et la conformité de Amazon Virtual Private Cloud dans le cadre deplusieurs programmes de conformité AWS. Ceux-ci comprennent SOC, PCI, FedRAMP, DoD CCSRG,HIPAA BAA, IRAP, MTCS, C5, K-ISMS, ENS-High, OSPAR et HITRUST-CSF.

Pour obtenir la liste des services AWS relevant de programmes de conformité spécifiques, consultezServices AWS relevant de programmes de conformité. Pour obtenir des renseignements généraux,consultez Programmes de conformitéAWS .

Vous pouvez télécharger les rapports de l'audit externe avec AWS Artifact. Pour plus d'informations,consultez Téléchargement de rapports dans AWS Artifact.

Votre responsabilité en matière de conformité lorsque vous utilisez Amazon VPC est déterminée parla sensibilité de vos données, les objectifs de conformité de l'entreprise, ainsi que la législation et laréglementation applicables. AWS fournit les ressources suivantes pour faciliter le respect de la conformité :

• Guides de démarrage rapide de la sécurité et de la conformité – Ces guides de déploiement proposentdes considérations architecturales et fournissent des étapes pour déployer des environnements deréférence centrés sur la sécurité et la conformité sur AWS.

• Livre blanc sur l'architecture pour la sécurité et la conformité HIPAA – Le livre blanc décrit comment lesentreprises peuvent utiliser AWS pour créer des applications conformes à la loi HIPAA.

• Ressources de conformité AWS – Cet ensemble de manuels et de guides peut s'appliquer à votresecteur et à votre emplacement.

• Évaluation des ressources à l'aide de règles dans le Guide du développeur AWS Config – Le serviceAWS Config évalue dans quelle mesure vos configurations de ressources sont conformes aux pratiquesinternes, aux directives sectorielles et aux réglementations.

• AWS Security Hub – Ce service AWS fournit une vue complète de votre état de sécurité au sein d'AWSqui vous permet de vérifier votre conformité aux normes du secteur et aux bonnes pratiques de sécurité.

Groupes de sécurité pour votre VPCUn groupe de sécurité agit en tant que pare-feu virtuel pour votre instance afin de contrôler le trafic entrantet sortant. Lorsque vous lancez une instance dans un VPC, vous pouvez affecter à l'instance jusqu'à cinqgroupes de sécurité. Les groupes de sécurité agissent au niveau instance, et non au niveau sous-réseau.

165

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/


http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

Amazon Virtual Private Cloud Guide de l'utilisateurPrincipes de base des groupes de sécurité

Par conséquent, chaque instance dans un sous-réseau de votre VPC peut être affectée à un ensemble degroupes de sécurité différent.

Si vous lancez une instance à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande et que vousne spécifiez pas de groupe de sécurité, l'instance est automatiquement affectée au groupe de sécuritépar défaut pour le VPC. Si vous lancez une instance à l'aide de la console Amazon EC2, vous avez lapossibilité de créer un nouveau groupe de sécurité pour l'instance.

Pour chaque groupe de sécurité, vous ajoutez des règles qui contrôlent le trafic entrant vers les instanceset un ensemble distinct de règles qui contrôlent le trafic sortant. Cette section décrit les notions de baseque vous devez connaître concernant les groupes de sécurité pour votre VPC et ses règles.

Vous pouvez définir des listes ACL réseau à l'aide de règles similaires à vos groupes de sécurité afind'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différencesentre les groupes de sécurité et les listes ACL réseau, consultez la section Comparaison des groupes desécurité et des listes ACL réseau (p. 147).

Sommaire• Principes de base des groupes de sécurité (p. 166)• Groupe de sécurité par défaut pour votre VPC (p. 167)• Règles des groupes de sécurité (p. 168)• Différences entre les groupes de sécurité pour EC2-Classic et EC2-VPC (p. 170)• Utilisation des groupes de sécurité (p. 170)

Principes de base des groupes de sécuritéLes principes de base des groupes de sécurité pour votre VPC sont les suivants :

• Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer par VPC, au nombrede règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécuritéque vous pouvez associer à une interface réseau. Pour plus d'informations, consultez Quotas AmazonVPC (p. 362).

• Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.• Vous pouvez indiquer des règles distinctes pour les trafics entrants et sortants.• Lorsque vous créez un groupe de sécurité, il n'existe pas de règles entrantes. Par conséquent, aucun

trafic entrant issu d'un autre hôte de votre instance n'est autorisé tant que vous n'avez pas ajouté desrègles entrantes au groupe de sécurité.

• Par défaut, un groupe de sécurité inclut une règle sortante qui autorise tout le trafic sortant. Vous pouvezretirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Sivotre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant issu de votre instance n'estautorisé.

• Les groupes de sécurité sont avec état— ; si vous envoyez une demande à partir de votre instance, letrafic de la réponse à cette demande est autorisé, indépendamment des règles entrantes des groupes desécurité. Les réponses au trafic entrant autorisé sont autorisées à acheminer le trafic sortant quelles quesoient les règles de trafic sortant.

Note

Certains types de trafic sont suivis différemment par rapport aux autres. Pour plusd'informations, consultez Suivi de la connexion dans le Amazon EC2 Guide de l'utilisateur pourles instances Linux.

• Les instances associées à un groupe de sécurité ne peuvent pas communiquer entre elles à moins quevous n'ajoutiez des règles autorisant le trafic (exception : le groupe de sécurité par défaut comporte cesrègles par défaut).

166

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-connection-tracking

Amazon Virtual Private Cloud Guide de l'utilisateurGroupe de sécurité par défaut pour votre VPC

• Les groupes de sécurité sont associés à des interfaces réseau. Après avoir lancé une instance, vouspouvez modifier les groupes de sécurité associés à l'instance, ce qui modifie les groupes de sécuritéassociés à l'interface réseau principale (eth0). Vous pouvez aussi spécifier ou modifier les groupes desécurité associés à une autre interface réseau. Par défaut, lorsque vous créez une interface réseau, elleest associée au groupe de sécurité par défaut pour le VPC, sauf si vous spécifiez un groupe de sécuritédifférent. Pour plus d'informations sur les interfaces réseau, consultez Interfaces réseau Elastic.

• Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règlessuivantes s'appliquent :• Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.• Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à

9, les espaces et ._-:/()#,@[]+=&;{}!$*.• Un nom de groupe de sécurité ne peut pas commencer par sg-, car un tel préfixe indique un groupe

de sécurité par défaut.• Un nom de groupe de sécurité doit être unique dans le VPC.

• Un groupe de sécurité ne peut être utilisé que dans le VPC que vous spécifiez lorsque vous créez legroupe de sécurité.

Groupe de sécurité par défaut pour votre VPCVotre VPC est associé automatiquement à un groupe de sécurité par défaut. Si vous ne spécifiez pas unautre groupe de sécurité lorsque vous lancez l'instance, celle-ci est automatiquement associée au groupede sécurité par défaut.

Note

Si vous lancez une instance dans la console Amazon EC2, l'Assistant de lancement d'instancedéfinit un groupe de sécurité « launch-wizard-xx », que vous pouvez associer à l'instance à laplace du groupe de sécurité par défaut.

Le tableau ci-après décrit les règles par défaut pour un groupe de sécurité par défaut.

Inbound

Source Protocol Port range Description

L'ID du groupe de sécurité(sg-xxxxxxxx)

Tous Tous Autoriser le trafic entrant à partird'interfaces réseau (et de leursinstances associées) affectées aumême groupe de sécurité.

Outbound

Destination Protocol Port range Description

0.0.0.0/0 Tous Tous Autorise tout le trafic IPv4 sortant.

::/0 Tous Tous Autorise tout le trafic IPv6 sortant.Cette règle est ajoutée par défautsi vous créez un VPC avec un blocd'adresse CIDR IPv6 ou si vousassociez un bloc d'adresse CIDRIPv6 à votre VPC existant.

Vous pouvez modifier les règles du groupe de sécurité par défaut.

167


Amazon Virtual Private Cloud Guide de l'utilisateurRègles des groupes de sécurité

Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer le groupede sécurité par défaut, vous obtenez l'erreur suivante : Client.CannotDelete: the specifiedgroup: "sg-51530134" name: "default" cannot be deleted by a user.

Note

Si vous avez modifié les règles de trafic sortant de votre groupe de sécurité, nous n'ajoutons pasautomatiquement de règle de trafic sortant pour le trafic IPv6 lorsque vous associez un bloc IPv6 àvotre VPC.

Règles des groupes de sécuritéVous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore autoriser ou révoquer unaccès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvezaccorder l'accès à une plage CIDR spécifique, ou à un autre groupe de sécurité dans votre VPC ou dansun VPC pair (requiert une connexion d'appairage VPC).

Voici les éléments de base d'une règle de groupe de sécurité d'un VPC :

• (Règles de trafic entrant uniquement) La source du trafic et le port ou la plage de ports de destination.La source peut être un autre groupe de sécurité, un bloc d'adresse CIDR IPv4 ou IPv6, ou une seuleadresse IPv4 ou IPv6.

• (Règles de trafic sortant uniquement) La destination du trafic et le port ou la plage de ports dedestination. La destination peut être un autre groupe de sécurité, un bloc d'adresse CIDR IPv4 ou IPv6,une adresse IPv4 ou IPv6 ou un ID de liste de préfixes (un service est identifié par une liste de préfixes :le nom et l'ID d'un service pour une région).

• Tout protocole comportant un numéro de protocole standard (pour une liste, consultez la sectionNuméros de protocole). Si vous indiquez ICMP comme protocole, vous pouvez indiquer tout ou partiedes types et codes ICMP.

• Description facultative de la règle du groupe de sécurité vous permettant de l'identifier ultérieurement.Une description peut inclure jusqu'à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9,espaces et ._-:/()#,@[]+=;{}!$*.

• Si vous ajoutez une règle de groupe de sécurité à l'aide de l’AWS CLI ou de l’API, nous définissonsautomatiquement le bloc d’adresse CIDR de destination sur la forme canonique. Par exemple, si vousspécifiez 100.68.0.18/18 pour le bloc d’adresse CIDR, nous créons une règle avec un bloc d’adresseCIDR de 100.68.0.0/18.

Lorsque vous spécifiez un bloc d'adresse CIDR en tant que source pour une règle, le trafic est autorisé àpartir des adresses spécifiées pour le protocole et le port spécifiés.

Lorsque vous spécifiez un groupe de sécurité en tant que source pour une règle, le trafic est autorisé àpartir des interfaces réseau associées au groupe de sécurité source pour le protocole et le port spécifiés.Pour obtenir un exemple, consultez Groupe de sécurité par défaut pour votre VPC (p. 167). L'ajout d'ungroupe de sécurité en tant que source n'ajoute pas de règles à partir du groupe de sécurité source.

Si vous spécifiez une seule adresse IPv4, précisez-la avec la longueur de préfixe /32. Si vous spécifiez uneseule adresse IPv6, précisez à l'aide de la longueur de préfixe /128.

Certains systèmes lors de la configuration des pare-feu vous permettent d'effectuer un filtrage sur les portssource. Les groupes de sécurité vous permettent d'effectuer un filtrage sur les ports de destination.

Quand vous ajoutez ou supprimez des règles, elles sont automatiquement appliquées à toutes lesinstances associées au groupe de sécurité.

Le type de règles que vous ajoutez peut dépendre de l'objectif du groupe de sécurité. Le tableau suivantdécrit des exemples de règles pour un groupe de sécurité associé à des serveurs web. Les serveurs webpeuvent recevoir du trafic HTTP et HTTPS de toutes les adresses IPv4 et IPv6, et envoyer du trafic SQL ouMySQL vers un serveur de base de données.

168

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

Amazon Virtual Private Cloud Guide de l'utilisateurRègles des groupes de sécurité

Inbound

Source Protocol Port range Description

0.0.0.0/0 TCP 80 Autorise l'accès HTTP entrant depuisl'ensemble des adresses IPv4

::/0 TCP 80 Autorise l'accès HTTP entrant depuisl'ensemble des adresses IPv6

0.0.0.0/0 TCP 443 Autorise l'accès HTTPS entrantdepuis l'ensemble des adresses IPv4

::/0 TCP 443 Autorise l'accès HTTPS entrantdepuis l'ensemble des adresses IPv6


TCP 22 Autorise l'accès SSH entrant auxinstances Linux depuis les adressesIP IPv4 de votre réseau (via lapasserelle Internet)


TCP 3389 Autorise l'accès RDP entrant auxinstances Windows depuis lesadresses IP IPv4 de votre réseau (viala passerelle Internet)

Outbound

Destination Protocol Port range Description

L'ID du groupe de sécuritépour vos serveurs de base dedonnées Microsoft SQL Server

TCP 1433 Autoriser l'accès Microsoft SQLServer sortant aux instances dans legroupe de sécurité indiqué

L'ID du groupe de sécuritépour vos serveurs de base dedonnées MySQL

TCP 3306 Autoriser l'accès MySQL sortant auxinstances dans le groupe de sécuritéindiqué

Un serveur de base de données aurait besoin d'un ensemble de règles différent. Par exemple, au lieu dutrafic HTTP et HTTPS entrant, vous pouvez ajouter une règle qui autorise l'accès MySQL ou Microsoft SQLServer entrant. Pour un exemple de règles de groupe de sécurité pour les serveurs Web et les serveurs debase de données, consultez la section Sécurité (p. 52). Pour plus d'informations sur les groupes de sécuritépour les instances DB Amazon RDS, consultez Contrôle de l'accès avec les groupes de sécurité dans leAmazon RDS Guide de l'utilisateur.

Pour obtenir des exemples de règles de groupes de sécurité liées à certains types d'accès, consultezRéférence des règles de groupe de sécurité dans le Amazon EC2 Guide de l'utilisateur pour les instancesLinux.

Règles du groupe de sécurité obsolètesSi votre VPC comporte une connexion d'appairage VPC avec un autre VPC, une règle de groupe desécurité peut référencer un autre groupe de sécurité dans le VPC pair. Cela permet aux instancesassociées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencementde communiquer entre elles.

Si le propriétaire du VPC pair supprime le groupe de sécurité référencé, ou si vous ou le propriétaire duVPC pair supprimez la connexion d'appairage VPC, la règle du groupe de sécurité est marquée stale.

169

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html

Amazon Virtual Private Cloud Guide de l'utilisateurDifférences entre les groupes de

sécurité pour EC2-Classic et EC2-VPC

Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autrerègle de groupe de sécurité.

Pour plus d'informations, consultez Utilisation des groupes de sécurité dans le Amazon VPC PeeringGuide.

Différences entre les groupes de sécurité pour EC2-Classic et EC2-VPCVous ne pouvez pas utiliser les groupes de sécurité que vous avez créés en vue d'une utilisation avec desinstances EC2-Classic dans votre VPC. Vous devez créer des groupes de sécurité spécifiques à utiliseravec des instances dans votre VPC. Les règles que vous créez en vue d'une utilisation avec un groupede sécurité pour un VPC ne peuvent pas faire référence à un groupe de sécurité pour EC2-Classic, etinversement. Pour plus d'informations sur les différences entre les groupes de sécurité pour EC2-Classicet pour un VPC, consultez Différences entre EC2-Classic et un VPC dans le Amazon EC2 Guide del'utilisateur pour les instances Linux.

Utilisation des groupes de sécuritéLes tâches suivantes vous montrent comment utiliser les groupes de sécurité à l'aide de la consoleAmazon VPC.

Pour obtenir des exemples de stratégies IAM permettant d'utiliser des groupes de sécurité, veuillezconsulter Gestion des groupes de sécurité (p. 160).

Tâches• Modification du groupe de sécurité par défaut (p. 170)• Création d'un groupe de sécurité (p. 170)• Ajout, suppression et mise à jour des règles (p. 171)• Modification des groupes de sécurité d'une instance (p. 172)• Suppression d'un groupe de sécurité (p. 173)• Modification du groupe de sécurité 2009-07-15 par défaut (p. 173)

Modification du groupe de sécurité par défautVotre VPC inclut un groupe de sécurité par défaut (p. 167). Vous ne pouvez pas supprimer ce groupe ;toutefois, vous pouvez modifier les règles du groupe. La procédure est la même que pour la modificationd'un autre groupe de sécurité. Pour plus d'informations, consultez Ajout, suppression et mise à jour desrègles (p. 171).

Création d'un groupe de sécuritéMême si vous pouvez utiliser le groupe de sécurité par défaut pour vos instances, vous souhaiterez peut-être créer vos propres groupes afin de refléter les différents rôles joués par les instances dans votresystème.

Pour créer un groupe de sécurité à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Sélectionnez Create Security Group.4. Entrez un nom pour le groupe de sécurité (par exemple, my-security-group) et fournissez une

description. Sélectionnez l'ID de votre VPC dans le menu VPC, puis choisissez Yes, Create.

170

https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html#vpc-peering-stale-groups

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#differences-ec2-classic-vpc


Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation des groupes de sécurité

Pour créer un groupe de sécurité à l'aide de la ligne de commande

• create-security-group (AWS CLI)• New-EC2SecurityGroup (Outils AWS pour Windows PowerShell)

Décrire un ou plusieurs groupes de sécurité à l'aide de la ligne de commande

• describe-security-groups (AWS CLI)• Get-EC2SecurityGroup (Outils AWS pour Windows PowerShell)

Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, quipermet à la totalité du trafic de quitter les instances. Vous devez ajouter des règles pour activer un traficentrant ou limiter le trafic sortant.

Ajout, suppression et mise à jour des règlesLorsque vous ajoutez ou supprimez une règle, les instances déjà affectées au groupe de sécurité sontconcernées par la modification.

Si vous disposez d'une connexion d'appairage VPC, vous pouvez référencer des groupes de sécuritéà partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles devotre groupe de sécurité. Pour plus d'informations, consultez Mise à jour de vos groupes de sécurité pourréférencer des groupes de sécurité du VPC appairé dans le Amazon VPC Peering Guide.

Pour ajouter une règle à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Sélectionnez le groupe de sécurité à mettre à jour.4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules

(Modifier les règles sortantes).5. Pour Type, sélectionnez le type de trafic, puis complétez les informations requises. Par exemple, pour

un serveur web public, choisissez HTTP ou HTTPS et spécifiez une valeur pour Source, par exemple0.0.0.0/0.

Si vous utilisez 0.0.0.0/0, vous permettez à toutes les adresses IPv4 d'accéder à votre instance viaHTTP ou HTTPS. Pour limiter l'accès, saisissez une adresse IP spécifique ou une plage d'adresses.

6. Vous pouvez aussi autoriser la communication entre toutes les instances associées à ce groupe desécurité. Créez une règle entrante avec les options suivantes :

• Type: All Traffic (Tout le trafic)• Source : entrez l'ID du groupe de sécurité.

7. Sélectionnez Save rules (Enregistrer les règles).

Pour supprimer une règle à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Sélectionnez le groupe de sécurité à mettre à jour.4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules

(Modifier les règles sortantes).5. Choisissez le bouton de suppression (x) à la droite de la règle que vous voulez supprimer.

171

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroup.html

https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html





6. Sélectionnez Save rules (Enregistrer les règles).

Lorsque vous modifiez le protocole, la plage de ports, ou la source ou destination de la règle existanted'un groupe de sécurité à l'aide de la console, cette dernière supprime la règle existante et en ajoute unenouvelle.

Pour mettre à jour une règle à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.3. Sélectionnez le groupe de sécurité à mettre à jour.4. Choisissez Actions, Edit inbound rules (Modifier les règles entrantes) or Actions, Edit outbound rules

(Modifier les règles sortantes).5. Modifiez l'entrée de règle comme nécessaire.6. Sélectionnez Save rules (Enregistrer les règles).

Si vous mettez à jour le protocole, la plage de ports, ou la source ou destination d'une règle existante àl'aide de l'API Amazon EC2 ou d'un outil de ligne de commande, vous ne pouvez pas modifier la règle.Vous devez plutôt supprimer la règle existante, puis ajouter une nouvelle règle. Pour mettre à jour ladescription de la règle uniquement, vous pouvez utiliser les commandes update-security-group-rule-descriptions-ingress et update-security-group-rule-descriptions-egress.

Pour ajouter une règle à un groupe de sécurité à l'aide de la ligne de commande

• authorize-security-group-ingress et authorize-security-group-egress (AWS CLI)• Grant-EC2SecurityGroupIngress et Grant-EC2SecurityGroupEgress (Outils AWS pour Windows

PowerShell)

Pour supprimer une règle d'un groupe de sécurité à l'aide de la ligne de commande

• revoke-security-group-ingress et revoke-security-group-egress(AWS CLI)• Revoke-EC2SecurityGroupIngress et Revoke-EC2SecurityGroupEgress (Outils AWS pour Windows

PowerShell)

Pour mettre à jour la description d'une règle de groupe de sécurité à l'aide de la ligne decommande

• update-security-group-rule-descriptions-ingress et update-security-group-rule-descriptions-egress (AWSCLI)

• Update-EC2SecurityGroupRuleIngressDescription et Update-EC2SecurityGroupRuleEgressDescription(Outils AWS pour Windows PowerShell)

Modification des groupes de sécurité d'une instanceAprès avoir lancé une instance dans un VPC, vous pouvez changer les groupes de sécurité qui sontassociés à l'instance. Vous pouvez changer les groupes de sécurité pour une instance lorsqu'elle est àl'état running ou stopped.

Note

Cette procédure modifie les groupes de sécurité qui sont associés à l'interface réseau principale(eth0) de l'instance. Pour modifier les groupes de sécurité pour d'autres interfaces réseau,consultez Changement du groupe de sécurité.

172


https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleIngressDescription.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleEgressDescription.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni_security_group


Pour modifier les groupes de sécurité d'une instance à l'aide de la console

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Instances.3. Ouvrez le menu contextuel (clic droit) de l'instance et choisissez Networking, Change Security Groups.4. Dans la boîte de dialogue Change Security Groups, sélectionnez un ou plusieurs groupes de sécurité

de la liste et choisissez Assign Security Groups.

Pour modifier les groupes de sécurité d'une instance à l'aide de la ligne de commande

• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (Outils AWS pour Windows PowerShell)

Suppression d'un groupe de sécuritéVous pouvez supprimer un groupe de sécurité uniquement si aucune instance (en cours d'exécutionou arrêtée) ne lui est affectée. Vous pouvez affecter les instances à un autre groupe de sécurité avantde supprimer le groupe de sécurité (consultez la section Modification des groupes de sécurité d'uneinstance (p. 172)). Vous ne pouvez pas supprimer un groupe de sécurité par défaut.

Si vous utilisez la console, vous pouvez supprimer plusieurs groupes de sécurité simultanément. Si vousutilisez la ligne de commande ou l'API, vous pouvez seulement supprimer les groupes de sécurité un parun.

Pour supprimer un groupe de sécurité à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, sélectionnez Groupes de sécurité.3. Sélectionnez un ou plusieurs groupes de sécurité, puis choisissez Actions du groupe de sécurité,

Supprimer le groupe de sécurité.4. Dans la boîte de dialogue Delete Security Group, choisissez Yes, Delete.

Pour supprimer un groupe de sécurité à l'aide de la ligne de commande

• delete-security-group (AWS CLI)• Remove-EC2SecurityGroup (Outils AWS pour Windows PowerShell)

Modification du groupe de sécurité 2009-07-15 par défautUn VPC créé à l'aide d'une API dont la version est antérieure au 01/01/2011 comporte le groupe desécurité 2009-07-15-default. Ce groupe de sécurité existe en plus du groupe de sécurité defaultqui est fourni en standard avec chaque VPC. Vous ne pouvez pas attacher une passerelle Internet à unVPC comportant le groupe de sécurité 2009-07-15-default. Par conséquent, vous devez supprimer cegroupe de sécurité avant d'attacher une passerelle Internet au VPC.

Note

Si vous avez affecté ce groupe de sécurité à des instances, vous devez affecter ces dernières àun groupe de sécurité différent avant de pouvoir supprimer le groupe de sécurité.

Pour supprimer le groupe de sécurité 2009-07-15-default

1. Assurez-vous que ce groupe de sécurité n'est affecté à aucune instance.

173


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html

Amazon Virtual Private Cloud Guide de l'utilisateurACL réseau

a. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.b. Dans le volet de navigation, choisissez Network Interfaces.c. Sélectionnez l'interface réseau pour l'instance de la liste, puis choisissez Change Security Groups,

Actions.d. Dans la boîte de dialogue Change Security Groups, sélectionnez un nouveau groupe de sécurité

de la liste, puis choisissez Save.

Lorsque vous modifiez le groupe de sécurité d'une instance, vous pouvez sélectionner plusieursgroupes de la liste. Les groupes de sécurité que vous sélectionnez remplacent les groupes desécurité en cours pour l'instance.

e. Répétez les étapes précédentes pour chaque instance.2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.3. Dans le panneau de navigation, sélectionnez Groupes de sécurité.4. Sélectionnez le groupe de sécurité 2009-07-15-default, puis choisissez Security Group Actions

(Actions de groupe de sécurité), Delete Security Group (Supprimer le groupe de sécurité).5. Dans la boîte de dialogue Delete Security Group, choisissez Yes, Delete.

ACL réseauUne liste de contrôle d'accès (ACL) réseau est une couche de sécurité facultative pour votre VPC, quifait office de pare-feu pour le contrôle du trafic entrant et sortant d'un ou plusieurs sous-réseaux. Vouspouvez définir des listes ACL réseau à l'aide de règles similaires à vos groupes de sécurité afin d'ajouterune couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre lesgroupes de sécurité et les listes ACL réseau, consultez la section Comparaison des groupes de sécurité etdes listes ACL réseau (p. 147).

Sommaire• Principes de base des listes ACL réseau (p. 174)• Règles des listes ACL réseau (p. 175)• Liste ACL réseau par défaut (p. 175)• Liste ACL réseau personnalisée (p. 177)• Listes ACL réseau personnalisées et autres services AWS (p. 182)• Ports éphémères (p. 182)• Détection de la MTU du chemin (p. 183)• Utilisation des listes ACL réseau (p. 183)• Exemple : Contrôle de l'accès aux instances dans un sous-réseau (p. 187)• Règles recommandées pour les scénarios d'assistant VPC (p. 191)

Principes de base des listes ACL réseauVous trouverez ci-dessous les principes de base à connaître concernant les listes ACL réseau :

• Votre VPC est automatiquement associé à une liste ACL réseau par défaut, que vous pouvez modifier.Par défaut, il autorise tout le trafic IPv4 entrant et sortant, ainsi que le trafic IPv6, le cas échéant.

• Vous pouvez créer une liste ACL réseau personnalisée et l'associer à un sous-réseau. Par défaut,chaque liste ACL réseau personnalisée refuse tout trafic entrant et sortant jusqu'à ce que vous ajoutiezdes règles.

174



Amazon Virtual Private Cloud Guide de l'utilisateurRègles des listes ACL réseau

• Chaque sous-réseau de votre VPC doit être associé à une liste ACL réseau. Si vous n'associez pasexplicitement un sous-réseau à une liste ACL réseau, le sous-réseau est automatiquement associé à laliste ACL réseau par défaut.

• Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Cependant, un sous-réseau nepeut être associé qu'à une seule liste ACL réseau à la fois. Lorsque vous associez une liste ACL réseauà un sous-réseau, l'association antérieure est supprimée.

• Une liste de contrôle d'accès réseau contient une liste numérotée de règles. Une liste ACL réseau estune liste numérotée de règles que nous évaluons dans l'ordre, en commençant par le numéro le plusbas, afin de déterminer si le trafic est autorisé depuis ou vers tout sous-réseau associé à la liste ACLréseau. Le numéro le plus élevé que vous pouvez utiliser pour une règle est le 32 766. Lorsque vouscréez des règles, nous vous recommandons de commencer par des incréments (par exemple, desincréments de 10 ou 100), de façon à pouvoir insérer de nouvelles règles par la suite si nécessaire.

• Une liste ACL réseau comporte des règles entrantes et sortantes distinctes, et chaque règle peutautoriser ou refuser le trafic.

• Les listes ACL réseau sont sans état, ce qui signifie que les réponses au trafic entrant autorisé sontsoumises aux règles du trafic sortant (et vice versa).

Il existe des quotas (limites) pour le nombre de listes ACL réseau par VPC et le nombre de règles par listeACL réseau. Pour plus d'informations, consultez Quotas Amazon VPC (p. 362).

Règles des listes ACL réseauVous pouvez ajouter des règles à la liste ACL réseau par défaut ou en supprimer. Vous pouvez égalementcréer des listes ACL réseau supplémentaires pour votre VPC. Lorsque vous ajoutez une règle à une listeACL réseau ou en supprimez, les modifications s'appliquent automatiquement aux sous-réseaux auxquelselle est associée.

Une règle d'une liste ACL réseau est composée des éléments suivants :

• Numéro de règle. les règles sont évaluées en commençant par la règle comportant le numéro le plusbas. Lorsqu'une règle correspond au trafic, elle s'applique même si une règle avec un numéro plus élevéla contredit.

• Type. Type de trafic ; par exemple, SSH. Vous pouvez également spécifier tout le trafic ou une plagepersonnalisée.

• Protocole. Vous pouvez spécifier n'importe quel protocole associé à un numéro de protocole standard.Pour plus d'informations, consultez la page Protocol Numbers. Si vous indiquez ICMP comme protocole,vous pouvez indiquer tout ou partie des types et codes ICMP.

• Plage de ports. Port d'écoute ou plage de ports pour le trafic. Par exemple, 80 pour le trafic HTTP.• Source. [Règles entrantes uniquement] Source du trafic (plage CIDR).• Destination. [Règles sortantes uniquement] Destination du trafic (plage CIDR).• Autoriser/Refuser. Indique s'il faut autoriser ou refuser le trafic spécifié.

Liste ACL réseau par défautLa liste ACL réseau par défaut est configurée pour autoriser l'ensemble du trafic à entrer et sortir des sous-réseaux auxquels elle est associée. Chaque liste ACL réseau inclut également une règle par défaut dontle numéro est un astérisque. Cette règle permet de s'assurer qu'un paquet sera refusé s'il ne correspond àaucune des autres règles numérotées. Vous ne pouvez pas modifier ni supprimer cette règle.

Voici un exemple de liste ACL réseau par défaut pour un VPC qui prend en charge IPv4 uniquement.

Entrant

175


Amazon Virtual Private Cloud Guide de l'utilisateurListe ACL réseau par défaut

Règle n° Type Protocole Plage de ports Source Autoriser/Refuser

100 Tout letrafic IPv4

Tous Tous 0.0.0.0/0 AUTORISER

* Tout letrafic IPv4

Tous Tous 0.0.0.0/0 REFUSER

Sortant

Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser




Tous Tous 0.0.0.0/0 REFUSER

Si vous créez un VPC avec un bloc d'adresse CIDR IPv6, ou si vous associez un bloc d'adresse CIDR IPv6à votre VPC existant, nous ajoutons automatiquement des règles qui autorisent tout le trafic IPv6 à entreret sortir de votre sous-réseau. Nous ajoutons également des règles dont les numéros sont des astérisques,ce qui garantit qu'un paquet est refusé s'il ne correspond à aucune des autres règles numérotées. Vousne pouvez pas modifier ou supprimer ces règles. Voici un exemple de liste ACL réseau par défaut pour unVPC qui prend en charge IPv4 et IPv6.

Note

Si vous avez modifié les règles entrantes de votre liste ACL réseau par défaut, nous n'ajoutonspas automatiquement de règle allow pour le trafic IPv6 entrant lorsque vous associez unbloc IPv6 à votre VPC. De même, si vous avez modifié les règles sortantes, nous n'ajoutons pasautomatiquement de règle allow pour le trafic IPv6 sortant.

Entrant

Règle n° Type Protocole Plage de ports Source Autoriser/Refuser




Tous Tous ::/0 AUTORISER

* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER


Tous Tous ::/0 REFUSER

Sortant

Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser

100 Tout le trafic Tous Tous 0.0.0.0/0 AUTORISER


Tous Tous ::/0 AUTORISER

176

Amazon Virtual Private Cloud Guide de l'utilisateurListe ACL réseau personnalisée

* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER


Tous Tous ::/0 REFUSER

Liste ACL réseau personnaliséeLe tableau suivant illustre un exemple de liste ACL réseau personnalisée pour un VPC qui prend en chargeIPv4 uniquement. Il inclut des règles autorisant le trafic HTTP et HTTPS entrant (règles entrantes 100et 110). Une règle sortante correspondante autorise les réponses à ce trafic entrant (règle sortante 120, quicouvre les ports éphémères 32768-65535). Pour savoir comment sélectionner la plage de ports éphémèresappropriée, consultez la section Ports éphémères (p. 182).

La liste ACL réseau inclut également des règles entrantes qui autorisent le trafic SSH et RDP dans le sous-réseau. La règle sortante 120 autorise les réponses à sortir du sous-réseau.

La liste ACL réseau inclut des règles sortantes (100 et 110) qui autorisent le trafic HTTP et HTTPSsortant du sous-réseau. Une règle entrante correspondante autorise les réponses à ce trafic sortant (règleentrante 140, qui couvre les ports éphémères 32768-65535).

Note

Chaque liste ACL réseau inclut une règle par défaut dont le numéro est un astérisque. Cette règlepermet de s'assurer qu'un paquet sera refusé s'il ne correspond à aucune des autres règles. Vousne pouvez pas modifier ni supprimer cette règle.

Entrant

Règle n° Type Protocole Plage deports

Source Autoriser/Refuser

Commentaires

100 HTTP TCP 80 0.0.0.0/0 AUTORISERAutorise le trafic HTTPentrant depuis n'importequelle adresse IPv4.

110 HTTPS TCP 443 0.0.0.0/0 AUTORISERAutorise le trafic HTTPSentrant depuis n'importequelle adresse IPv4.

120 SSH TCP 22 192.0.2.0/24 AUTORISERAutorise le trafic SSHentrant depuis laplage d'adresses IPv4publiques de votreréseau domestique (viala passerelle Internet).

130 RDP TCP 3389 192.0.2.0/24 AUTORISERAutorise le traficRDP entrant vers lesserveurs web depuis laplage d'adresses IPv4publiques de votreréseau domestique (viala passerelle Internet).

140 TCPpersonnalisé

TCP 32768/655350.0.0.0/0 AUTORISERAutorise le trafic IPv4de retour entrantdepuis Internet (pour

177


les demandes quiproviennent du sous-réseau).

Cette plage estuniquement à titred'exemple. Poursavoir commentsélectionner la plagede ports éphémèresappropriée, consultezla section Portséphémères (p. 182).

* Tout letrafic

Tous Tous 0.0.0.0/0 REFUSER Refuse l'ensemble dutrafic IPv4 entrant quin'est pas déjà géré parune règle précédente(non modifiable).

Sortant


Destination Autoriser/Refuser

Commentaires

100 HTTP TCP 80 0.0.0.0/0 AUTORISERAutorise le traficHTTP IPv4 sortantdu sous-réseau versInternet.

110 HTTPS TCP 443 0.0.0.0/0 AUTORISERAutorise le traficHTTPS IPv4 sortantdu sous-réseau versInternet.


TCP 32768/655350.0.0.0/0 AUTORISERAutorise lesréponses IPv4 sortantesaux clients sur Internet(par exemple, ladiffusion de pages webauprès des visiteurs desserveurs web dans lesous-réseau).


178


* Tout letrafic

Tous Tous 0.0.0.0/0 REFUSER Refuse l'ensemble dutrafic IPv4 sortant quin'est pas déjà géré parune règle précédente(non modifiable).

Lorsqu'un paquet arrive dans le sous-réseau, nous l'évaluons par rapport aux règles de trafic entrant de laliste ACL à laquelle le sous-réseau est associé (en commençant par le haut de la liste des règles, puis endescendant). Voici comment se produit l'évaluation si le paquet est destiné au port HTTPS (443). Le paquetne correspond pas à la première règle évaluée (règle 100). Il correspond à la deuxième (110), qui autorisele paquet dans le sous-réseau. Si le paquet avait été destiné au port 139 (NetBIOS), il ne correspond àaucune des règles et la règle * finit par refuser le paquet.

Vous pouvez ajouter une règle deny lorsque vous considérez que vous avez légitimement besoin d'ouvrirune grande plage de ports, mais que vous souhaitez refuser certains ports de cette plage. Dans le tableau,assurez-vous simplement de placer la règle deny avant celle qui autorise le trafic de la grande plage deports.

Vous ajoutez des règles allow en fonction de votre cas d'utilisation. Par exemple, vous pouvez ajouter unerègle qui autorise l'accès TCP et UDP sortant sur le port 53 pour la résolution DNS. Pour chaque règle quevous ajoutez, assurez-vous qu'il existe une règle entrante ou sortante correspondante qui autorise le traficde réponse.

Le tableau suivant présente le même exemple de liste ACL réseau personnalisée pour un VPC auquel estassocié un bloc d'adresse CIDR IPv6. Cette liste ACL réseau inclut des règles pour l'ensemble du traficHTTP et HTTPS IPv6. Dans ce cas, de nouvelles règles ont été insérées entre les règles existantes pourle trafic IPv4. Vous pouvez également ajouter les règles en tant que règles de nombre supérieur après lesrègles IPv4. Le trafic IPv4 est distinct du trafic IPv6 et, par conséquent, aucune des règles définies pour letrafic IPv4 ne s'applique au trafic IPv6.

Entrant



Commentaires

100 HTTP TCP 80 0.0.0.0/0 AUTORISERAutorise le trafic HTTPentrant depuis n'importequelle adresse IPv4.

105 HTTP TCP 80 ::/0 AUTORISERAutorise le trafic HTTPentrant depuis n'importequelle adresse IPv6.

110 HTTPS TCP 443 0.0.0.0/0 AUTORISERAutorise le trafic HTTPSentrant depuis n'importequelle adresse IPv4.

115 HTTPS TCP 443 ::/0 AUTORISERAutorise le trafic HTTPSentrant depuis n'importequelle adresse IPv6.

120 SSH TCP 22 192.0.2.0/24 AUTORISERAutorise le trafic SSHentrant depuis laplage d'adresses IPv4publiques de votreréseau domestique (viala passerelle Internet).

179


130 RDP TCP 3389 192.0.2.0/24 AUTORISERAutorise le traficRDP entrant vers lesserveurs web depuis laplage d'adresses IPv4publiques de votreréseau domestique (viala passerelle Internet).


TCP 32768/655350.0.0.0/0 AUTORISERAutorise le trafic IPv4de retour entrantdepuis Internet (pourles demandes quiproviennent du sous-réseau).



TCP 32768-65535::/0 AUTORISERAutorise le trafic IPv6de retour entrantdepuis Internet (pourles demandes quiproviennent du sous-réseau).


* Tout letrafic

Tous Tous 0.0.0.0/0 REFUSER Refuse l'ensemble dutrafic IPv4 entrant quin'est pas déjà géré parune règle précédente(non modifiable).

* Tout letrafic

Tous Tous ::/0 REFUSER Refuse l'ensemble dutrafic IPv6 entrant quin'est pas déjà géré parune règle précédente(non modifiable).

Sortant



Commentaires

180


100 HTTP TCP 80 0.0.0.0/0 AUTORISERAutorise le traficHTTP IPv4 sortantdu sous-réseau versInternet.

105 HTTP TCP 80 ::/0 AUTORISERAutorise le traficHTTP IPv6 sortantdu sous-réseau versInternet.

110 HTTPS TCP 443 0.0.0.0/0 AUTORISERAutorise le traficHTTPS IPv4 sortantdu sous-réseau versInternet.

115 HTTPS TCP 443 ::/0 AUTORISERAutorise le traficHTTPS IPv6 sortantdu sous-réseau versInternet.


TCP 32768/655350.0.0.0/0 AUTORISERAutorise lesréponses IPv4 sortantesaux clients sur Internet(par exemple, ladiffusion de pages webauprès des visiteurs desserveurs web dans lesous-réseau).



TCP 32768-65535::/0 AUTORISERAutorise lesréponses IPv6 sortantesaux clients sur Internet(par exemple, ladiffusion de pages webauprès des visiteurs desserveurs web du sous-réseau).


181

Amazon Virtual Private Cloud Guide de l'utilisateurListes ACL réseau personnalisées et autres services AWS

* Tout letrafic

Tous Tous 0.0.0.0/0 REFUSER Refuse l'ensemble dutrafic IPv4 sortant quin'est pas déjà géré parune règle précédente(non modifiable).

* Tout letrafic

Tous Tous ::/0 REFUSER Refuse l'ensemble dutrafic IPv6 sortant quin'est pas déjà géré parune règle précédente(non modifiable).

Pour obtenir plus d'exemples, consultez Règles recommandées pour les scénarios d'assistantVPC (p. 191).

Listes ACL réseau personnalisées et autres servicesAWSSi vous créez une ACL réseau personnalisée, sachez qu'elle peut affecter les ressources que vous créezavec d'autres services AWS.

Avec l'Elastic Load Balancing, si le sous-réseau de vos instances principales comporte une liste ACLréseau à laquelle vous avez ajouté une règle deny pour tout le trafic dont la source est 0.0.0.0/0 oule bloc CIDR du sous-réseau, votre équilibreur de charge ne peut pas effectuer de vérifications de l'étatsur les instances. Pour de plus amples informations sur les règles des listes ACL réseau recommandéespour vos équilibreurs de charge et vos instances principales, veuillez consulter Network ACLs for LoadBalancers in a VPC du Guide de l'utilisateur pour les Equilibreurs de charge classiques.

Ports éphémèresL'exemple de liste ACL réseau fourni dans la section précédente utilise la plage de ports éphémères32768-65535. Toutefois, vous pouvez choisir une plage différente pour vos listes ACL réseau, en fonctiondu type de client que vous utilisez ou avec lequel vous communiquez.

Le client qui initie la demande choisit la plage de ports éphémères, qui varie en fonction de son systèmed'exploitation.

• De nombreux noyaux Linux (y compris le noyau Amazon Linux) utilisent les ports 32768-61000.• Les demandes provenant d'Elastic Load Balancing utilisent les ports 1024-65535.• Les systèmes d'exploitation Windows exécutant Windows Server 2003 utilisent les ports 1025-5000.• Windows Server 2008 et les versions ultérieures utilisent les ports 49152-65535.• Une passerelle NAT utilise les ports 1024-65535.• Les fonctions AWS Lambda utilisent les ports 1024-65535.

Par exemple, si une demande arrive sur un serveur Web dans votre VPC en provenance d'un clientWindows XP sur Internet, votre liste ACL réseau doit comporter une règle sortante pour autoriser le traficdestiné aux ports 1025-5000.

Si une instance de votre VPC correspond au client initiant la demande, votre liste ACL réseau doitcomporter une règle entrante pour autoriser le trafic destiné aux ports éphémères propres à ce typed'instance (Amazon Linux, Windows Server 2008, etc.).

182

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-nacl

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-nacl

Amazon Virtual Private Cloud Guide de l'utilisateurDétection de la MTU du chemin

En pratique, pour couvrir les différents types de clients susceptibles d'initier du trafic vers des instancesdestinées au public dans votre VPC, vous pouvez ouvrir les ports éphémères 1024-65535. Toutefois, vouspouvez également ajouter des règles à la liste ACL afin de refuser le trafic sur tous les ports malveillantsinclus dans cette plage. Assurez-vous de placer les règles deny avant les règles allow qui ouvrent lagrande plage de ports éphémères.

Détection de la MTU du cheminLa détection de la MTU du chemin permet de déterminer la MTU du chemin entre deux appareils. La MTUdu chemin correspond à la taille maximum du paquet prise en charge sur le chemin entre l'hôte de départet l'hôte de destination. Si un hôte envoie un paquet dont la taille est plus importante que la MTU définiepour l'hôte destinataire ou que celle d'un appareil se trouvant sur le chemin, l'hôte ou l'appareil destinataireretourne le message ICMP suivant : Destination Unreachable: Fragmentation Needed andDon't Fragment was Set (Type 3, Code 4). Ce message demande à l'hôte initial de modifier la MTUjusqu'à ce que le paquet puisse être transmis.

Si l'unité de transmission maximale (MTU) entre les hôtes de vos sous-réseaux est différente, vous devezajouter la règle de liste ACL réseau suivante, à la fois entrante et sortante. Cela garantit que Path MTUDiscovery peut fonctionner correctement et empêcher la perte de paquets. Sélectionnez Custom ICMPRule (Règle ICMP personnalisée) pour le type et Destination Unreachable (Destination inaccessible),fragmentation required, and DF flag set (fragmentation requise et indicateur DF défini) pour la plage deports (type 3, code 4). Si vous utilisez la détermination d'itinéraire (traceroute), ajoutez également la règlesuivante : sélectionnez Custom ICMP Rule (Règle ICMP personnalisée) pour le type, et Time Exceeded(Temps dépassé), TTL expired transit (Transit TTL expiré) pour la plage de ports (type 11, code 0). Pourplus d'informations, consultez Unité de transmission maximale (MTU) réseau pour votre instance EC2 dansle Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Utilisation des listes ACL réseauLes tâches suivantes vous montrent comment utiliser les listes ACL réseau à l'aide de la console AmazonVPC.

Tâches• Identification des associations de listes ACL réseau (p. 183)• Création d'une liste ACL réseau (p. 184)• Ajout et suppression de règles (p. 184)• Association d'un sous-réseau à une liste ACL réseau (p. 185)• Dissociation d'une liste ACL réseau d'un sous-réseau (p. 185)• Modification de la liste ACL réseau d'un sous-réseau (p. 186)• Suppression d'une liste ACL réseau (p. 186)• Présentation des API et des commandes (p. 186)

Identification des associations de listes ACL réseauLa console Amazon VPC vous permet d'identifier la liste ACL réseau associée à un sous-réseau. Les listesACL réseau peuvent être associées à plusieurs sous-réseaux. Par conséquent, vous pouvez égalementidentifier les sous-réseaux associés à une liste ACL réseau.

Pour identifier la liste ACL réseau associée à un sous-réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets, puis sélectionnez le sous-réseau.

183

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html


Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation des listes ACL réseau

La liste ACL réseau associée au sous-réseau est incluse dans l'onglet Network ACL, avec les règlesde la liste ACL réseau.

Pour identifier les sous-réseaux associés à une liste ACL réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Network ACLs. La colonne Associated With indique le

nombre de sous-réseaux associés à chaque liste ACL réseau.3. Sélectionnez une liste ACL réseau.4. Dans le volet des détails, choisissez Subnet Associations (Associations de sous-réseau) afin d'afficher

les sous-réseaux associés à la liste ACL réseau.

Création d'une liste ACL réseauVous pouvez créer une liste ACL réseau personnalisée pour votre VPC. Par défaut, une liste ACL réseauque vous créez bloque l'ensemble du trafic entrant et sortant jusqu'à l'ajout de règles. De plus, elle n'estassociée à aucun sous-réseau tant que vous n'avez pas explicitement effectué cette opération.

Pour créer une liste ACL réseau

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Network ACLs.3. Sélectionnez Create Network ACL.4. Dans la boîte de dialogue Create Network ACL (Créer une liste ACL réseau), vous pouvez, le cas

échéant, nommer votre liste ACL réseau et sélectionner l'ID de votre VPC à partir de la liste VPC.Choisissez Yes, Create (Oui, Créer).

Ajout et suppression de règlesLorsque vous ajoutez une règle ou en supprimez une d'une liste ACL, tous les sous-réseaux qui y sontassociés sont concernés par la modification. Vous n'avez pas besoin de terminer et de relancer lesinstances du sous-réseau. Les modifications entrent en vigueur après une courte période.

Si vous utilisez l'API Amazon EC2 ou un outil de ligne de commande, vous ne pouvez pas modifier lesrègles. Vous ne pouvez ajouter et supprimer que des règles. Si vous utilisez la console Amazon VPC, vouspouvez modifier les entrées des règles existantes. La console supprime la règle existante et ajoute unenouvelle règle pour vous. Si vous souhaitez modifier la position d'une règle dans la liste ACL, vous devezen ajouter une nouvelle avec le numéro de votre choix, puis supprimer la règle d'origine.

Pour ajouter des règles à une liste ACL réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Network ACLs.3. Dans le volet des détails, choisissez l'onglet Inbound Rules ou Outbound Rules, en fonction du type de

règle que vous souhaitez ajouter, puis choisissez Edit.4. Dans Rule #, saisissez un numéro de règle (par exemple, 100). Ce numéro ne doit pas être déjà utilisé

dans la liste ACL réseau. Nous traitons les règles dans l'ordre, en commençant par le numéro le plusbas.

Nous vous recommandons de laisser un intervalle entre les numéros de règles (par exemple, 100,200, 300), plutôt que d'utiliser des numéros séquentiels (comme 101, 102, 103). Cela vous permettra

184





d'ajouter plus facilement une nouvelle règle, sans procéder à une nouvelle numérotation des règlesexistantes.

5. Sélectionnez une règle dans la liste Type. Par exemple, pour ajouter une règle pour HTTP, choisissezHTTP. Pour ajouter une règle autorisant l'ensemble du trafic TCP, sélectionnez All TCP. Pourcertaines de ces options (par exemple, HTTP), nous indiquons le port à votre place. Pour utiliser unprotocole non répertorié, choisissez Custom Protocol Rule.

6. (Facultatif) Si vous créez une règle d'un protocole personnalisé, sélectionnez le numéro et le nom duprotocole dans la liste Protocol. Pour plus d'informations, consultez la liste des numéros de protocolefournie par l'IANA.

7. (Facultatif) Si le protocole que vous avez sélectionné nécessite un numéro de port, saisissez cedernier ou la plage de ports (en les séparant par un tiret, par exemple 49152-65535).

8. Dans le champ Source ou Destination (selon qu'il s'agit d'une règle entrante ou sortante), saisissez laplage d'adresses CIDR à laquelle la règle s'applique.

9. Dans la liste Allow/Deny, sélectionnez ALLOW pour autoriser le trafic spécifié ou DENY pour lerefuser.

10. (Facultatif) Pour ajouter une autre règle, choisissez Add another rule et répétez les étapes 4 à 9 sinécessaire.

11. Lorsque vous avez terminé, choisissez Save.

Pour supprimer une règle d'une liste ACL réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.3. Dans le volet des détails, sélectionnez l'onglet Inbound Rules ou Outbound Rules, puis choisissez Edit.

Choisissez Remove pour la règle à supprimer, puis Save.

Association d'un sous-réseau à une liste ACL réseauPour appliquer les règles d'une liste ACL réseau à un sous-réseau spécifique, vous devez associer cedernier à la liste ACL réseau. Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux.Cependant, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau. Tout sous-réseau quin'est pas spécifiquement associé à une liste ACL spécifique est associé à la liste ACL réseau par défaut.

Pour associer un sous-réseau à une liste ACL réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.3. Dans le volet des détails, sous l'onglet Subnet Associations, choisissez Edit. Cochez la case Associate

pour le sous-réseau à associer à la liste ACL réseau, puis sélectionnez Save.

Dissociation d'une liste ACL réseau d'un sous-réseauVous pouvez dissocier une liste ACL réseau personnalisée d'un sous-réseau. Lorsque le sous-réseau a étédissocié de la liste ACL réseau personnalisée, il est alors automatiquement associé à la liste ACL réseaupar défaut.

Pour dissocier un sous-réseau d'une liste ACL réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.3. Dans le volet des détails, choisissez l'onglet Subnet Associations.

185







4. Sélectionnez Edit, puis décochez la case Associate correspondant au sous-réseau. Choisissez Save.

Modification de la liste ACL réseau d'un sous-réseauVous pouvez modifier la liste ACL réseau associée à un sous-réseau. Par exemple, lorsque vous créez unsous-réseau, il est initialement associé à la liste ACL réseau par défaut. Vous pouvez choisir de l'associer àune liste ACL réseau personnalisée que vous avez créée.

Après avoir modifié la liste ACL réseau d'un sous-réseau, vous n'avez pas à interrompre et relancer lesinstances du sous-réseau. Les modifications entrent en vigueur après une courte période.

Pour modifier l'association d'une liste ACL réseau à un sous-réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets, puis sélectionnez le sous-réseau.3. Sélectionnez l'onglet Network ACL, puis Edit.4. Dans la liste Change to (Remplacer par), sélectionnez la liste ACL réseau à associer au sous-réseau,

puis choisissez Save (Enregistrer).

Suppression d'une liste ACL réseauVous ne pouvez supprimer une liste ACL réseau que si elle n'est associée à aucun sous-réseau. Vous nepouvez pas supprimer la liste ACL réseau par défaut.

Pour supprimer une liste ACL réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Network ACLs.3. Sélectionnez la liste ACL réseau, puis choisissez Delete.4. Dans la boîte de dialogue de confirmation, choisissez Yes, Delete.

Présentation des API et des commandesVous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'un API.Pour plus d'informations sur les interfaces de ligne de commande et la liste des API disponibles, consultezAccès à Amazon VPC (p. 1).

Créer une liste ACL réseau pour votre VPC

• create-network-acl (AWS CLI)• New-EC2NetworkAcl (Outils AWS pour Windows PowerShell)

Décrire une ou plusieurs de vos listes ACL réseau

• describe-network-acls (AWS CLI)• Get-EC2NetworkAcl (Outils AWS pour Windows PowerShell)

Ajouter une règle à une liste ACL réseau

• create-network-acl-entry (AWS CLI)• New-EC2NetworkAclEntry (Outils AWS pour Windows PowerShell)

186



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html

Amazon Virtual Private Cloud Guide de l'utilisateurExemple : Contrôle de l'accès aux

instances dans un sous-réseau

Supprimer une règle d'une liste ACL réseau

• delete-network-acl-entry (AWS CLI)• Remove-EC2NetworkAclEntry (Outils AWS pour Windows PowerShell)

Remplacer une règle existante dans une liste ACL réseau

• replace-network-acl-entry (AWS CLI)• Set-EC2NetworkAclEntry (Outils AWS pour Windows PowerShell)

Remplacer une association de liste ACL réseau

• replace-network-acl-association (AWS CLI)• Set-EC2NetworkAclAssociation (Outils AWS pour Windows PowerShell)

Supprimer une liste ACL réseau

• delete-network-acl (AWS CLI)• Remove-EC2NetworkAcl (Outils AWS pour Windows PowerShell)

Exemple : Contrôle de l'accès aux instances dans unsous-réseauDans cet exemple, les instances de votre sous-réseau peuvent communiquer entre elles et sontaccessibles depuis un ordinateur distant fiable. L'ordinateur distant peut être un ordinateur de votre réseaulocal ou une instance d'un autre sous-réseau ou VPC. Vous l'utilisez pour vous connecter à vos instancesafin d'effectuer des tâches administratives. Vos règles de groupe de sécurité et de liste ACL réseauautorisent l'accès à partir de l'adresse IP de votre ordinateur distant (172.31.1.2/32). Le reste du traficprovenant d'Internet ou d'autres réseaux est refusé.

187

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html



Toutes les instances utilisent le même groupe de sécurité (sg-1a2b3c4d), avec les règles suivantes.

Règles entrantes

Type de protocole Protocole Plage de ports Source Commentaires

Tout le trafic Tous Tous sg-1a2b3c4d Autorise lesinstancesassociées à unmême groupede sécurité àcommuniquer entreelles.

SSH TCP 22 172.31.1.2/32 Autorise l'accèsSSH entrantdepuis l'ordinateurdistant. Sil'instance estun ordinateurWindows, cetterègle doit utiliserle protocole RDPpour le port 3389.

Règles sortantes

Type de protocole Protocole Plage de ports Destination Commentaires

Tout le trafic Tous Tous sg-1a2b3c4d Autorise lesinstancesassociées à unmême groupe

188



de sécurité àcommuniquer entreelles. Les groupesde sécurité sontavec état. Parconséquent, vousn'avez pas besoind'une règle quiautorise le traficde réponse pourles demandesentrantes.

Le sous-réseau est associé à une liste ACL réseau comportant les règles suivantes.

Règles entrantes



Commentaires

100 SSH TCP 22 172.31.1.2/32 AUTORISER Autorise letrafic entrantdepuisl'ordinateurdistant. Sil'instance estun ordinateurWindows,cette règledoit utiliser leprotocole RDPpour leport 3389.

* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse toutle reste dutrafic entrantqui necorrespondpas àla règleprécédente.

Règles sortantes



Commentaires


TCP 1024-65535 172.31.1.2/32 AUTORISER Autorise lesréponsessortantesversl'ordinateurdistant.Les listesACL réseausont sans

189



état. Parconséquent,cetterègle estrequise pourautoriserle trafic deréponsepour lesdemandesentrantes.

* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse toutle reste dutrafic sortantqui necorrespondpas àla règleprécédente.

Ce scénario vous offre la possibilité de modifier les groupes de sécurité ou les règles de groupe de sécuritépour vos instances, et de définir la liste ACL réseau comme la couche de défense des sauvegardes. Lesrègles ACL réseau s'appliquent à toutes les instances du sous-réseau. Si vous rendez accidentellementvos règles de groupe de sécurité trop permissives, les règles ACL réseau continuent d'autoriser l'accèsuniquement à partir de l'adresse IP unique. Par exemple, les règles suivantes sont plus permissives que lesrègles précédentes (elles autorisent l'accès SSH entrant depuis n'importe quelle adresse IP).

Règles entrantes

Type Protocole Plage de ports Source Commentaires

Tout le trafic Tous Tous sg-1a2b3c4d Autorise lesinstancesassociées à unmême groupede sécurité àcommuniquer entreelles.

SSH TCP 22 0.0.0.0/0 Autorise l'accèsSSH depuisn'importe quelleadresse IP.

Règles sortantes

Type Protocole Plage de ports Destination Commentaires

Tout le trafic Tous Tous 0.0.0.0/0 Autorise tout letrafic sortant.

Toutefois, seules les autres instances incluses dans le sous-réseau et votre ordinateur distant peuventaccéder à cette instance. Les règles des listes ACL réseau empêchent encore l'envoi de l'ensemble dutrafic entrant vers le sous-réseau, sauf à partir de votre ordinateur distant.

190

Amazon Virtual Private Cloud Guide de l'utilisateurRègles recommandées pour les scénarios d'assistant VPC

Règles recommandées pour les scénarios d'assistantVPCVous pouvez utiliser l'assistant VPC dans la console Amazon VPC pour implémenter des scénarioscourants pour Amazon VPC. Si vous implémentez ces scénarios comme décrit dans la documentation,vous utilisez la liste de contrôle d'accès (ACL) réseau par défaut, qui autorise tout le trafic entrant etsortant. Si vous avez besoin d'une couche supplémentaire de sécurité, vous pouvez créer une liste ACLréseau et ajouter des règles. Pour de plus amples informations, veuillez consulter Configurations del’assistant de la console Amazon VPC (p. 21).

Journaux de flux VPCLa fonctionnalité de journaux de flux VPC vous permet de capturer des informations sur le trafic IP circulantvers et depuis les interfaces réseau dans votre VPC. Les données des journaux de flux peuvent êtrepubliées dans Amazon CloudWatch Logs ou Amazon S3. Une fois que vous avez créé un journal de flux,vous pouvez extraire et afficher ses données dans la destination choisie.

Les journaux de flux peuvent vous aider pour de nombreuses tâches, par exemple :

• Diagnostiquer les règles de groupe de sécurité trop restrictives• Surveiller le trafic qui accède à votre instance• Déterminer la direction du trafic vers et depuis les interfaces réseau

Pour obtenir des exemples, consultez Exemples d'enregistrements de journaux de flux (p. 196).

Les données du journal de flux sont collectées en dehors du chemin d'accès de votre trafic réseau etn'affectent donc pas le débit réseau ou la latence. Vous pouvez créer ou supprimer des journaux de fluxsans risque d'impact sur les performances du réseau.

Des frais d'ingestion de données s'appliquent lorsque vous utilisez des journaux de flux. Des frais pour lesjournaux de flux sont facturés lorsque vous publiez des journaux de flux vers CloudWatch Logs. Des fraisde remise des journaux à Amazon S3 s'appliquent lorsque vous publiez des journaux de flux vers AmazonS3. Pour plus d'informations, consultez la page Tarification Amazon CloudWatch.

Sommaire• Principes de base des journaux de flux (p. 191)• Enregistrements de journaux de flux (p. 192)• Exemples d'enregistrements de journaux de flux (p. 196)• Limitations des journaux de flux (p. 200)• Publication des journaux de flux dans CloudWatch Logs (p. 201)• Publication des journaux de flux dans Amazon S3 (p. 206)• Utilisation des journaux de flux (p. 211)• Dépannage (p. 216)

Principes de base des journaux de fluxVous pouvez créer un journal de flux pour un VPC, un sous-réseau ou une interface réseau. Si vous créezun journal de flux pour un sous-réseau ou VPC, chaque interface réseau du sous-réseau ou du VPC estsurveillée.

191

cloudwatch/pricing

Amazon Virtual Private Cloud Guide de l'utilisateurEnregistrements de journaux de flux

Les données des journaux de flux pour une interface réseau surveillée sont enregistrées sous formed'enregistrements de journaux de flux. Il s'agit d'événements de journaux, composés de champsqui décrivent le flux de trafic. Pour plus d'informations, consultez Enregistrements de journaux deflux (p. 192).

Pour créer un journal de flux, vous spécifiez :

• La ressource pour laquelle vous souhaitez créer le journal de flux.• Le type de trafic à capturer (le trafic accepté, le trafic rejeté ou tout le trafic)• Les destinations où publier les données du journal de flux.

Vous pouvez appliquer des balises à vos journaux de flux. Chaque balise est constituée d'une clé et d'unevaleur facultative que vous définissez toutes deux. Les balises peuvent vous aider à organiser vos journauxde flux, par exemple par objectif ou par propriétaire.

Une fois que vous avez créé un journal de flux, plusieurs minutes peuvent s'écouler avant qu'il necommence à collecter et publier des données dans les destinations choisies. Les journaux de flux necapturent pas de flux de journaux en temps réel pour vos interfaces réseau. Pour plus d'informations,consultez Création d'un journal de flux (p. 212).

Si vous lancez d'autres instances dans votre sous-réseau après avoir créé un journal de flux pour votresous-réseau ou VPC, un nouveau flux de journaux (pour CloudWatch Logs) ou objet de fichier journal(pour Amazon S3) est créé pour chaque nouvelle interface réseau. Ceci a lieu dès qu'un trafic réseau estenregistré pour cette interface réseau.

Vous pouvez générer des journaux de flux pour les interfaces réseau créées par d'autres services AWS,par exemple :

• Elastic Load Balancing• Amazon RDS• Amazon ElastiCache• Amazon Redshift• Amazon WorkSpaces• Passerelles NAT• Passerelles de transit

Quel que soit le type d'interface réseau, vous devez utiliser la console Amazon EC2 ou l'API Amazon EC2afin der créer un journal de flux pour une interface réseau.

Si vous n'avez plus besoin d'un journal de flux, vous pouvez le supprimer. Dans ce cas, vous désactivezle service de journaux de flux pour la ressource, et aucun autre enregistrement de journal de flux n'estcréé ou publié dans CloudWatch Logs ou Amazon S3. La suppression du journal de flux n'entraîne pasla suppression des enregistrements de journaux de flux, ou des flux de journaux (pour CloudWatch Logs)ou objets de fichier journal (pour Amazon S3) existants pour une interface réseau. Pour supprimer un fluxde journaux existant, utilisez la console CloudWatch Logs. Pour supprimer des objets de fichier journalexistants, utilisez la console Amazon S3. Une fois que vous avez supprimé un journal de flux, plusieursminutes peuvent s'écouler avant qu'il ne cesse de collecter des données. Pour plus d'informations,consultez Suppression d'un journal de flux (p. 214).

Enregistrements de journaux de fluxUn enregistrement de journal de flux représente un flux de réseau dans votre VPC. Par défaut, chaqueenregistrement capture un flux de trafic IP réseau (caractérisé par un 5-tuple par interface réseau) qui seproduit dans un intervalle d'agrégation, également appelé fenêtre de capture.

192


Par défaut, l'enregistrement inclut des valeurs pour les différents composants du flux IP, y compris lasource, la destination et le protocole.

Lorsque vous créez un journal de flux, vous pouvez utiliser le format par défaut pour l'enregistrement dejournal de flux ou spécifier un format personnalisé.

Rubriques• Intervalle d'agrégation (p. 193)• Format par défaut (p. 193)• Format personnalisé (p. 193)• Champs disponibles (p. 193)

Intervalle d'agrégationL'intervalle d'agrégation est la période pendant laquelle un flux particulier est capturé et agrégé dansun enregistrement de journal de flux. Par défaut, l'intervalle d'agrégation maximal est de 10 minutes.Lorsque vous créez un journal de flux, vous pouvez spécifier un intervalle d'agrégation maximal d'uneminute. Les journaux de flux avec un intervalle d'agrégation maximal d'une minute produisent un volumed'enregistrements de journaux de flux plus élevé que ceux avec un intervalle d'agrégation maximal de10 minutes.

Lorsqu'une interface réseau est attachée à une instance basée sur Nitro, l'intervalle d'agrégation esttoujours d'une minute maximum, quel que soit l'intervalle d'agrégation maximal spécifié.

Une fois que les données sont capturées au cours d'un intervalle d'agrégation, un délai supplémentaire estnécessaire pour le traitement et la publication des données vers CloudWatch Logs ou Amazon S3. Jusqu'à5 minutes supplémentaires sont nécessaires pour publier vers CloudWatch Logs et jusqu'à 10 minutes pourpublier vers Amazon S3.

Format par défautPar défaut, le format d'une ligne de journal pour un enregistrement de journal de flux est une chaîneséparée par des espaces comportant l'ensemble champs suivants dans l'ordre ci-après.

<version> <account-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>

Pour plus d'informations sur les champs, consultez Champs disponibles (p. 193). Le format par défautcapture uniquement un sous-ensemble de tous les champs disponibles pour un enregistrement de journalde flux. Pour capturer tous les champs disponibles ou un sous-ensemble de champs différent, spécifiez unformat personnalisé. Vous ne pouvez pas personnaliser ou modifier le format par défaut.

Format personnaliséVous pouvez éventuellement spécifier un format personnalisé pour l'enregistrement de journal de flux. Pourun format personnalisé, vous spécifiez les champs à renvoyer dans l'enregistrement de journal de flux etl'ordre dans lequel ils doivent apparaître. Cela vous permet de créer des journaux de flux qui correspondentspécifiquement à vos besoins et d'ignorer les champs qui ne sont pas pertinents pour vous. Un formatpersonnalisé peut également vous aider à réduire la nécessité de faire appel à des processus distincts pourextraire des informations spécifiques des journaux de flux publiés. Vous pouvez spécifier n'importe quelnombre de champs de journal de flux disponibles, mais vous devez indiquer au moins un champ.

Champs disponiblesLe tableau suivant décrit tous les champs disponibles pour un enregistrement de journal de flux. La colonneVersion indique la version des journaux de flux VPC dans laquelle le champ a été introduit.

193

instance-types.html#ec2-nitro-instances


Champ Description Version

version Version des journaux de flux VPC Si vous utilisez le format pardéfaut, la version est 2. Si vous utilisez un format personnalisé,la version est la version la plus élevée parmi les champsspécifiés. Par exemple, si vous spécifiez uniquement deschamps issus de la version 2, la version est 2. Si vous spécifiezun mélange de champs des versions 2, 3 et 4, la version est 4.

2

account-id ID de compte AWS pour le journal de flux 2

interface-id ID de l'interface réseau pour laquelle le trafic est enregistré. 2

srcaddr Adresse source pour le trafic entrant, ou adresse IPv4 ou IPv6de l'interface réseau pour le trafic sortant sur l'interface réseau.L'adresse IPv4 de l'interface réseau correspond toujours à sonadresse IPv4 privée. Voir aussi pkt-srcaddr.

2

dstaddr Adresse de destination pour le trafic sortant, ou adresse IPv4ou IPv6 de l'interface réseau pour le trafic entrant sur l'interfaceréseau. L'adresse IPv4 de l'interface réseau correspond toujoursà son adresse IPv4 privée. Voir aussi pkt-dstaddr.

2

srcport Port source du trafic 2

dstport Port de destination du trafic 2

protocol Numéro de protocole IANA du trafic (pour plus d'informations,consultez la page Assigned Internet Protocol Numbers).

2

packets Nombre de paquets transférés pendant le flux. 2

bytes Nombre d'octets transférés pendant le flux. 2

start Heure, en secondes Unix, à laquelle le premier paquet du fluxa été reçu dans l'intervalle d'agrégation. Jusqu'à 60 secondespeuvent s'écouler après la transmission ou la réception dupaquet sur l'interface réseau.

2

end Heure, en secondes Unix, à laquelle le dernier paquet du fluxa été reçu dans l'intervalle d'agrégation. Jusqu'à 60 secondespeuvent s'écouler après la transmission ou la réception dupaquet sur l'interface réseau.

2

action Action associée au trafic :

• ACCEPT : le trafic enregistré a été autorisé par les groupes desécurité et les listes ACL réseau.

• REJECT : le trafic enregistré n'a pas été autorisé par lesgroupes de sécurité ou les listes ACL réseau.

2

log-status Statut de journalisation du journal de flux :

• OK : les données sont consignées normalement dans lesdestinations choisies.

• NODATA : il n'y a eu aucun trafic réseau depuis ou versl'interface réseau pendant l'intervalle d'agrégation.

2

194



Champ Description Version• SKIPDATA : certains enregistrements de journaux de flux ont

été ignorés pendant l'intervalle d'agrégation. Cela peut être dûà une contrainte de capacité interne ou à une erreur interne.

vpc-id ID du VPC qui contient l'interface réseau pour laquelle le traficest enregistré.

3

subnet-id ID du sous-réseau qui contient l'interface réseau pour laquelle letrafic est enregistré.

3

instance-id ID de l'instance associée à l'interface réseau pour laquelle letrafic est enregistré, si vous êtes propriétaire de l'instance.Renvoie un symbole « - » pour une interface réseau gérée pardemandeur, par exemple, l'interface réseau pour une passerelleNAT.

3

tcp-flags Valeur de masque de bits pour les indicateurs TCP suivants :

• SYN : 2• SYN-ACK : 18• FIN : 1• RST : 4

ACK est signalé uniquement lorsqu'il est accompagné de SYN.

Les indicateurs TCP peuvent être interrogés pendant l'intervalled'agrégation. Pour les connexions courtes, les indicateurspeuvent être définis sur la même ligne dans l'enregistrementde journal de flux, par exemple, 19 pour SYN-ACK et FIN, et 3pour SYN et FIN. Pour obtenir un exemple, consultez Séquenced'indicateur TCP (p. 198).

3

type Type de trafic : IPv4, IPv6 ou EFA. Pour de plus amplesinformations à propos de l'Elastic Fabric Adapter (EFA), veuillezconsulter Elastic Fabric Adapter.

3

pkt-srcaddr Adresse IP source (d'origine) du trafic au niveau du paquet.Utilisez ce champ avec le champ srcaddr pour faire la distinctionentre l'adresse IP d'une couche intermédiaire via laquelle lesflux transitent et l'adresse IP source d'origine du trafic. Parexemple, lorsque le trafic transite via une interface réseau pourune passerelle NAT (p. 199), ou lorsque l'adresse IP d'un poddans Amazon EKS est différente de l'adresse IP de l'interfaceréseau du nœud d'instance sur lequel le pod s'exécute (pour lacommunication dans un VPC).

3

pkt-dstaddr Adresse IP de destination (d'origine) du trafic au niveau dupaquet. Utilisez ce champ avec le champ dstaddr pour fairela distinction entre l'adresse IP d'une couche intermédiairevia laquelle le trafic transite et l'adresse IP de destinationfinale du trafic. Par exemple, lorsque le trafic transite via uneinterface réseau pour une passerelle NAT (p. 199), ou lorsquel'adresse IP d'un pod dans Amazon EKS est différente del'adresse IP de l'interface réseau du nœud d'instance sur lequelle pod s'exécute (pour la communication dans un VPC).

3

195

requester-managed-eni.html

requester-managed-eni.html

efa.html

Amazon Virtual Private Cloud Guide de l'utilisateurExemples d'enregistrements de journaux de flux

Champ Description Version

region Région contenant l'interface réseau pour laquelle le trafic estenregistré.

4

az-id ID de la zone de disponibilité qui contient l'interface réseau pourlaquelle le trafic est enregistré. Si le trafic provient d'un sous-emplacement, l'enregistrement affiche un symbole « - » pour cechamp.

4

sublocation-type Type de sous-emplacement renvoyé dans le champsublocation-id :

• wavelength• outpost• localzone

Si le trafic ne provient pas d'un sous-emplacement,l'enregistrement affiche un symbole « - » pour ce champ.

4

sublocation-id ID du sous-emplacement qui contient l'interface réseau pourlaquelle le trafic est enregistré. Si le trafic ne provient pas d'unsous-emplacement, l'enregistrement affiche un symbole « - »pour ce champ.

4

Note

Si un champ ne s'applique pas à un enregistrement spécifique, ce dernier affiche le symbole « - »pour cette entrée.

Exemples d'enregistrements de journaux de fluxVous trouverez ci-après des exemples d'enregistrements de flux de journal qui capturent des flux de traficspécifiques.

Pour plus d'informations sur le format des enregistrements de journaux de flux, consultez Enregistrementsde journaux de flux (p. 192).

Sommaire• Trafic accepté et rejeté (p. 196)• Aucune donnée et enregistrements ignorés (p. 197)• Règles de groupe de sécurité et de liste ACL réseau (p. 197)• Trafic IPv6 (p. 198)• Séquence d'indicateur TCP (p. 198)• Trafic via une passerelle NAT (p. 199)• Trafic via une passerelle de transit (p. 200)

Trafic accepté et rejetéVoici des exemples d'enregistrement de journal de flux par défaut.

Dans cet exemple, le trafic SSH (port de destination 22, protocole TCP) vers l'interface réseaueni-1235b8ca123456789 du compte 123456789010 a été autorisé.

196

wavelength/

outposts/latest/userguide/what-is-outposts.html

using-regions-availability-zones.html#concepts-local-zones


2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK

Dans cet exemple, le trafic RDP (port de destination 3389, protocole TCP) vers l'interface réseaueni-1235b8ca123456789 du compte 123456789010 a été rejeté.

2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK

Aucune donnée et enregistrements ignorésVoici des exemples d'enregistrement de journal de flux par défaut.

Dans cet exemple, aucune donnée n'a été enregistrée pendant l'intervalle d'agrégation.

2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA

Dans cet exemple, les enregistrements ont été ignorés pendant l'intervalle d'agrégation.

2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA

Règles de groupe de sécurité et de liste ACL réseauSi vous utilisez des journaux de flux pour diagnostiquer des règles de groupe de sécurité ou de liste ACLréseau trop restrictives ou permissives, déterminez si ces ressources sont avec ou sans état. Les groupesde sécurité sont avec état : cela signifie que les réponses au trafic autorisé sont également autorisées,même si les règles de votre groupe de sécurité ne l'autorisent pas. Inversement, les listes ACL réseau sontsans état. Par conséquent, les réponses au trafic autorisé sont soumises aux règles des listes ACL réseau.

Imaginons, par exemple, que vous utilisiez la commande ping depuis votre ordinateur personnel(dont l'adresse IP est 203.0.113.12) vers votre instance (l'adresse IP privée de l'interface réseau est172.31.16.139). Les règles de trafic entrant de votre groupe de sécurité autorisent le trafic ICMP,mais les règles sortantes n'autorisent pas ce trafic. Comme les groupes de sécurité sont avec état, leping de réponse provenant de votre instance est autorisé. Votre liste ACL réseau autorise le trafic ICMPentrant, mais pas le trafic ICMP sortant. Les listes ACL réseau étant « sans état », le ping de réponse estabandonné et n'atteint pas votre ordinateur personnel. Dans un journal de flux par défaut, cette informationest affichée sous la forme de deux enregistrements de journaux de flux :

• Un enregistrement ACCEPT pour le ping d'origine qui était autorisé par l'ACL réseau et le groupe desécurité, et donc autorisé à atteindre votre instance.

• Un enregistrement REJECT pour le ping de réponse qui l'ACL réseau a refusé.

2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK

2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK

Si votre ACL réseau autorise le trafic ICMP sortant, le journal de flux affiche deux enregistrements ACCEPT(un pour le ping d'origine et un pour le ping de réponse). Si votre groupe de sécurité refuse le trafic ICMP

197


entrant, le journal de flux affiche un seul enregistrement REJECT, car le trafic n'était pas autorisé à atteindrevotre instance.

Trafic IPv6Voici un exemple d'enregistrement de journal de flux par défaut. Dans cet exemple, le trafic SSH(port 22) entre l'adresse IPv6 2001:db8:1234:a100:8d6e:3477:df66:f105 et l'interface réseaueni-1235b8ca123456789 du compte 123456789010 a été autorisé.

2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK

Séquence d'indicateur TCPVoici un exemple de journal de flux personnalisé qui capture les champs suivants dans l'ordre ci-après.

version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status

Le champ tcp-flags peut vous aider à identifier la direction du trafic, par exemple, quel serveur a initiéla connexion. Dans les enregistrements suivants (à partir de 7:47:55 PM et jusqu'à 7:48:53 PM), deuxconnexions ont été démarrées par un client vers un serveur s'exécutant sur le port 5001. Deux indicateursSYN (2) ont été reçues par le serveur à partir du client depuis des ports source différents sur le client(43416 et 43418). Pour chaque indicateur SYN, un SYN-ACK a été envoyé depuis le serveur vers le client(18) sur le port correspondant.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK

Dans le deuxième intervalle d'agrégation, l'une des connexions qui a été établie pendant le flux précédentest désormais fermée. Le client a envoyé un indicateur FIN (1) au serveur pour la connexion sur le port43418. Le serveur a envoyé un indicateur au client sur le port 43418.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK

Pour des connexions courtes (par exemple, de quelques secondes) qui sont ouvertes et fermées aucours d'un seul intervalle d'agrégation, les indicateurs peuvent être définis sur la même ligne dansl'enregistrement de flux de journal pour le flux de trafic dans la même direction. Dans l'exemple suivant, laconnexion est établie et fermée au cours du même intervalle d'agrégation. Dans la première ligne, la valeurde l'indicateur TCP est 3, ce qui indique qu'un SYN et un message FIN ont été envoyés depuis le client

198


vers le serveur. Dans la deuxième ligne, la valeur de l'indicateur TCP est 19, ce qui indique qu'un SYN-ACK et un message FIN ont été envoyés depuis le serveur vers le client.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK

Trafic via une passerelle NATDans cet exemple, une instance dans un sous-réseau privé accède à Internet via une passerelle NATsituée dans un sous-réseau public.

Le journal de flux personnalisé suivant pour l'interface réseau de la passerelle NAT capture les champs ci-après dans l'ordre suivant.

instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr

Le journal de flux montre le flux de trafic depuis l'adresse IP de l'instance (10.0.1.5) via l'interface réseau dela passerelle NAT vers un hôte sur Internet (203.0.113.5). L'interface réseau de la passerelle NAT est uneinterface réseau gérée par demandeur. L'enregistrement de journal de flux affiche donc un symbole « - »pour le champ instance-id. La ligne suivante montre le trafic depuis l'instance source vers l'interfaceréseau de la passerelle NAT. Les valeurs pour les champs dstaddr et pkt-dstaddr sont différentes. Lechamp dstaddr affiche l'adresse IP privée de l'interface réseau de la passerelle NAT, et le champ pkt-dstaddr affiche l'adresse IP de destination finale de l'hôte sur Internet.

- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5

Les deux lignes suivantes montrent le trafic depuis l'interface réseau de la passerelle NAT vers l'hôte ciblesur Internet et le trafic de la réponse de l'hôte à l'interface réseau de la passerelle NAT.

- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220

La ligne suivante montre le trafic depuis l'interface réseau de la passerelle NAT vers l'instance source. Lesvaleurs pour les champs srcaddr et pkt-srcaddr sont différentes. Le champ srcaddr affiche l'adresseIP privée de l'interface réseau de la passerelle NAT, et le champ pkt-srcaddr affiche l'adresse IP del'hôte sur Internet.

- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5

Vous créez un autre journal de flux personnalisé à l'aide du même ensemble de champs que ci-dessus.Vous créez le journal de flux pour l'interface réseau de l'instance dans le sous-réseau privé. Dans ce cas,le champ instance-id renvoie l'ID de l'instance qui est associée à l'interface réseau, et il n'y a pasde différence entre les champs dstaddr et pkt-dstaddr, et les champs srcaddr et pkt-srcaddr.Contrairement à l'interface réseau pour la passerelle NAT, cette interface réseau n'est pas une interfaceréseau intermédiaire pour le trafic.

i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the interneti-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance

199

Amazon Virtual Private Cloud Guide de l'utilisateurLimitations des journaux de flux

Trafic via une passerelle de transitDans cet exemple, un client dans le VPC A se connecte à un serveur web dans le VPC B via une transitgateway. Le client et le serveur sont dans des zones de disponibilité différentes. Par conséquent, le traficarrives sur le serveur dans le VPC B à l'aide de eni-11111111111111111 et quitte le VPC B à l'aide deeni-22222222222222222.

Vous créez un journal de flux personnalisé pour le VPC B avec le format suivant.

version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status

Les lignes suivantes des enregistrements de journal de flux illustrent le flux de trafic sur l'interface réseaupour le serveur web. La première ligne est le trafic de la demande du client et la dernière ligne est le traficde la réponse du serveur web.

3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK...3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

La ligne suivante est le trafic de la demande sur eni-11111111111111111, une interface réseaugérée par demandeur pour la transit gateway dans le sous-réseau subnet-11111111aaaaaaaaa.L'enregistrement de journal de flux affiche donc un symbole « - » pour le champ instance-id. Le champsrcaddr affiche l'adresse IP privée de l'interface réseau de la transit gateway, et le champ pkt-srcaddraffiche l'adresse IP source du client dans le VPC A.

3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK

La ligne suivante est le trafic de la réponse sur eni-22222222222222222, une interface réseau géréepar demandeur pour la transit gateway dans le sous-réseau subnet-22222222bbbbbbbbb. Le champdstaddr affiche l'adresse IP privée de l'interface réseau de la transit gateway, et le champ pkt-dstaddraffiche l'adresse IP du client dans le VPC A.

3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

Limitations des journaux de fluxLorsque vous utilisez des journaux de flux, vous devez tenir compte des limitations suivantes :

• Vous ne pouvez pas activer les journaux de flux pour les interfaces réseau intégrées dans la plateformeEC2-Classic. Cela inclut les instances EC2-Classic qui ont été associées à un VPC via ClassicLink.

• Vous ne pouvez pas activer les journaux de flux pour les VPC qui sont appairés à votre VPC, sauf si leVPC pair est inclus dans votre compte.

• Une fois que vous avez créé un journal de flux, vous ne pouvez pas modifier sa configuration ou leformat d'enregistrement du journal de flux. Par exemple, vous ne pouvez pas associer un rôle IAMdifférent au journal de flux, ou ajouter ou supprimer des champs de l'enregistrement de journal de flux.En revanche, vous pouvez supprimer le journal de flux et en créer un autre avec la configuration requise.

200

Amazon Virtual Private Cloud Guide de l'utilisateurPublication dans CloudWatch Logs.

• Si votre interface réseau comporte plusieurs adresses IPv4 et que le trafic est envoyé vers une adresseIPv4 privée secondaire, le journal de flux affiche l'adresse IPv4 privée principale dans le champdstaddr. Pour capturer l'adresse IP de destination d'origine, créez un journal de flux avec le champpkt-dstaddr.

• Si le trafic est envoyé à une interface réseau et que la destination n'est pas l'une des adresses IP del'interface réseau, le journal de flux affiche l'adresse IPv4 privée principale dans le champ dstaddr.Pour capturer l'adresse IP de destination d'origine, créez un journal de flux avec le champ pkt-dstaddr.

• Si le trafic est envoyé depuis une interface réseau et que la source n'est pas l'une des adresses IP del'interface réseau, le journal de flux affiche l'adresse IPv4 privée principale dans le champ srcaddr.Pour capturer l'adresse IP source d'origine, créez un journal de flux avec le champ pkt-srcaddr.

• Si le trafic est envoyé par ou vers une interface réseau, les champs srcaddr et dstaddr du journalde flux affichent toujours l'adresse IPv4 privée principale, quelle que soit la source ou la destination dupaquet. Pour capturer la source ou la destination du paquet, créez un journal de flux avec les champspkt-srcaddr et pkt-dstaddr.

• Si vous créez un journal de flux dans une région lancée après le 20 mars 2019 (une régiond'acceptation), comme Asie-Pacifique (Hong Kong) ou Moyen-Orient (Bahreïn), le compartiment AmazonS3 de destination doit être dans la même région et dans le même compte AWS que le journal de flux.

• Si vous créez un journal de flux dans une région lancée avant le 20 mars 2019, le compartiment AmazonS3 de destination doit être dans la même région que le journal de flux ou dans une autre région introduiteavant le 20 mars 2019. Vous ne pouvez pas spécifier un compartiment Amazon S3 situé dans une régiond'acceptation.

• Lorsque votre interface réseau est attachée à une instance basée sur Nitro, l'intervalle d'agrégation esttoujours d'une minute maximum, quel que soit l'intervalle d'agrégation maximal spécifié.

Les journaux de flux ne capturent pas tout le trafic IP. Les types de trafic suivants ne sont pas consignés :

• Le trafic généré par des instances lorsqu'elles contactent le serveur DNS Amazon. Si vous utilisez votrepropre serveur DNS, tout le trafic vers ce dernier est consigné.

• Le trafic généré par une instance Windows pour l'activation de la licence Windows d'Amazon.• Le trafic depuis et vers 169.254.169.254 pour les métadonnées de l'instance.• Le trafic depuis et vers 169.254.169.123 pour Amazon Time Sync Service.• Le trafic DHCP.• Le trafic vers l'adresse IP réservée pour le routeur VPC par défaut. Pour plus d'informations, consultez

Dimensionnement des VPC et des sous-réseaux (p. 95).• Le trafic entre un point de terminaison d'interface et une interface réseau Équilibreur de charge

du réseau. Pour plus d'informations, consultez Services de points de terminaison de VPC (AWSPrivateLink) (p. 335).

Publication des journaux de flux dans CloudWatchLogsLes journaux de flux peuvent publier leurs données directement dans Amazon CloudWatch.

Lors de la publication dans CloudWatch Logs, les données des journaux de flux sont publiées dans ungroupe de journaux, et chaque interface réseau comporte un flux de journal unique dans le groupe dejournaux. Les flux de journaux contiennent des enregistrements de journaux de flux. Vous pouvez créerplusieurs journaux de flux qui publient des données dans le même groupe de journaux. Si la mêmeinterface réseau est présente dans un ou plusieurs journaux de flux d'un même groupe de journaux, elledispose d'un flux de journaux combiné. Si vous avez indiqué qu'un journal de flux doit capturer le trafic

201

rande-manage.html

rande-manage.html

instance-types.html#ec2-nitro-instances


refusé et que l'autre journal de flux doit capturer le trafic accepté, le flux de journaux combiné capturel'ensemble du trafic. Pour plus d'informations, consultez Enregistrements de journaux de flux (p. 192).

Dans CloudWatch Logs, le champ d'horodatage correspond à l'heure de début capturée dansl'enregistrement du journal de flux. Le champ ingestionTime indique la date et l'heure de réception del'enregistrement du journal de flux par CloudWatch Logs. Cet horodatage est ultérieur à l'heure de fincapturée dans l'enregistrement du journal de flux.

Sommaire• Rôles IAM pour la publication des journaux de flux dans CloudWatch Logs (p. 202)• Création d'un journal de flux publié dans CloudWatch Logs (p. 203)• Traitement des enregistrements de journaux de flux dans CloudWatch Logs (p. 205)

Rôles IAM pour la publication des journaux de flux dansCloudWatch LogsLe rôle IAM associé à votre journal de flux doit disposer d'autorisations suffisantes pour publier desjournaux de flux dans le groupe de journaux spécifié dans CloudWatch Logs. Le rôle IAM doit appartenir àvotre compte AWS.

La stratégie IAM liée à votre rôle IAM doit au moins inclure les autorisations suivantes :

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ]}

Assurez-vous également que votre rôle dispose d'une relation d'approbation qui permet au service dejournaux de flux d'assumer le rôle.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Les utilisateurs doivent également disposer d'autorisations pour utiliser l'action iam:PassRole pour le rôleIAM associé au journal de flux.

202


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ]}

Vous pouvez mettre à jour un rôle existant ou utiliser la procédure suivante pour créer un nouveau rôle àutiliser avec les journaux de flux.

Création d'un rôle de journaux de flux

Pour créer un rôle IAM pour les journaux de flux :

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.2. Dans le volet de navigation, choisissez Rôles, puis Create role.3. Choisissez EC2 comme service qui utilisera ce rôle. Pour Use case (Cas d'utilisation), choisissez EC2.

Choisissez Next: Permissions (Suivant : autorisations).4. Dans la page Attacher des stratégies d'autorisations, choisissez Next: Tags (Suivant : balises) et

ajoutez des balises si vous le souhaitez. Choisissez Next: Review (Suivant : vérifier).5. Entrez un nom pour votre rôle (par exemple, Flow-Logs-Role) et fournissez le cas échéant une

description. Sélectionnez Create role.6. Sélectionnez le nom de votre rôle. Pour Autorisations, choisissez Add inline policy (Ajouter une

stratégie en ligne), JSON.7. Copiez la première stratégie de Rôles IAM pour la publication des journaux de flux dans CloudWatch

Logs (p. 202) et collez-la dans la fenêtre. Choisissez Examiner une stratégie.8. Entrez un nom pour votre stratégie, puis choisissez Créer une stratégie.9. Sélectionnez le nom de votre rôle. Sous Relations d'approbation, choisissez Modifier la relation

d'approbation. Dans le document de stratégie existant, modifiez le service de ec2.amazonaws.com àvpc-flow-logs.amazonaws.com. Choisissez Update Trust Policy.

10. Sur la page Summary (Récapitulatif), notez l'ARN de votre rôle. Vous en avez besoin lors de lacréation de votre journal de flux.

Création d'un journal de flux publié dans CloudWatch LogsVous pouvez créer des journaux de flux pour vos VPC, sous-réseaux ou interfaces réseau.

Pour créer un journal de flux pour une interface réseau à l'aide de la console

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Network Interfaces.3. Sélectionnez une ou plusieurs interfaces réseau et choisissez Actions, puis Créer le journal de flux.4. Pour Filtre, spécifiez le type de données de trafic IP à journaliser. Choisissez Tout pour journaliser

le trafic accepté et refusé, Refusé pour enregistrer uniquement le trafic refusé ou Accepté pourenregistrer uniquement le trafic accepté.

5. Pour Maximum aggregation interval (Intervalle d'agrégation maximal), choisissez la période maximalependant laquelle un flux est capturé et agrégé dans un enregistrement de journal de flux.

6. Pour Destination, sélectionnez Envoyer à CloudWatch Logs.

203

https://console.aws.amazon.com/iam/



7. Pour Groupe de journaux de destination, saisissez le nom d'un groupe de journaux de CloudWatchLogs dans lequel les journaux de flux doivent être publiés. Si vous spécifiez le nom d'un groupe dejournaux qui n'existe pas, nous essayons de créer un groupe de journaux pour vous.

8. Pour Rôle IAM, spécifiez le nom du rôle ayant les autorisations de publier des journaux dansCloudWatch Logs.

9. Pour Format, spécifiez le format pour l'enregistrement de journal de flux.

• Pour utiliser le format d'enregistrement de journal de flux par défaut, choisissez AWS default format(Format par défaut AWS).

• Pour créer un format personnalisé, choisissez Custom format (Format personnalisé). Pour Logformat (Format des journaux), choisissez les champs à inclure dans l'enregistrement de journal deflux.

Tip

Pour créer un journal de flux personnalisé qui inclut les champs du format par défaut,choisissez d'abord AWS default format (Format par défaut AWS), copiez les champs dansFormat preview (Aperçu du forma), puis choisissez Custom format (Format personnalisé) etcollez les champs dans la zone de texte.

10. (Facultatif) Choisissez Ajouter une balise pour appliquer des balises au journal de flux.11. Sélectionnez Create.

Pour créer un journal de flux pour un VPC ou un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Vos VPC ou Sous-réseaux.3. Sélectionnez un ou plusieurs VPC ou sous-réseaux et choisissez Actions, puis Créer le journal de flux.4. Pour Filtre, spécifiez le type de données de trafic IP à journaliser. Choisissez Tout pour journaliser



6. Pour Destination, sélectionnez Envoyer à CloudWatch Logs.7. Pour Groupe de journaux de destination, saisissez le nom d'un groupe de journaux de CloudWatch

Logs dans lequel les journaux de flux doivent être publiés. Si vous spécifiez le nom d'un groupe dejournaux qui n'existe pas, nous essayons de créer un groupe de journaux pour vous.

8. Pour Rôle IAM, spécifiez le nom du rôle IAM ayant les autorisations de publier des journaux dansCloudWatch Logs.




Tip


10. (Facultatif) Choisissez Ajouter une balise pour appliquer des balises au journal de flux.

204



11. Sélectionnez Create.

Pour créer un journal de flux publié dans CloudWatch Logsà l'aide de l'outil de ligne de commande

Utilisez l'une des commandes suivantes.

• create-flow-logs (AWS CLI)• New-EC2FlowLogs (Outils AWS pour Windows PowerShell)• CreateFlowLogs (API de requête Amazon EC2)

L'exemple de l'AWS CLI suivant crée un journal de flux qui capture tout le trafic accepté pour le sous-réseau subnet-1a2b3c4d. Les journaux de flux sont livrés dans un groupe de journaux dans CloudWatchLogs appelé my-flow-logs, dans le compte 123456789101, à l'aide du rôle IAM publishFlowLogs.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Traitement des enregistrements de journaux de flux dansCloudWatch LogsVous pouvez utiliser les enregistrements de journaux de flux comme tout autre événement de journalcollecté par CloudWatch Logs. Pour plus d'informations sur la surveillance des données de journaux etdes filtres de métrique, consultez la page Searching and Filtering Log Data dans le Guide de l'utilisateurAmazon CloudWatch.

Exemple : Création d'une alarme et d'un filtre de métrique CloudWatch pour unjournal de flux

Dans cet exemple, vous avez un journal de flux pour eni-1a2b3c4d. Vous souhaitez créer une alarme quivous alerte si au moins 10 tentatives de connexion à votre instance via le port TCP 22 (SSH) sont refuséesdans un laps de temps d'une heure. Tout d'abord, vous devez créer un filtre de métrique qui correspondau modèle de trafic pour lequel créer l'alarme. Vous pouvez ensuite créer une alarme pour le filtre demétrique.

Pour créer un filtre de métrique pour le trafic SSH refusé et une alarme pour ce filtre :

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, sélectionnez Logs.3. Choisissez la valeur Metric Filters (Filtres de métrique) associée pour le groupe de journaux pour le

journal des flux, puis choisissez Add Metric Filter (Ajouter un filtre de métrique).4. Pour Modèle de filtre, fournissez les informations suivantes.

[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

5. Pour Sélectionner les données du journal à tester, sélectionnez le flux de journaux pour votre interfaceréseau. (Facultatif) Pour afficher les lignes de données des journaux qui correspondent au modèle defiltre, choisissez Tester le modèle. Lorsque vous êtes prêt, choisissez Assign Metric.

6. Indiquez le nom et l'espace de nom de la métrique, et assurez-vous que la valeur de la métrique estdéfinie sur 1. Lorsque vous avez terminé, choisissez Create Filter.

7. Dans le volet de navigation, choisissez Alarmes, puis Créer une alarme.8. Dans la section Custom Metrics, choisissez le namespace du filtre de métrique que vous avez créé.

205

ec2/create-flow-logs.html

items/New-EC2FlowLogs.html

API_CreateFlowLogs.html

MonitoringLogData.html

https://console.aws.amazon.com/cloudwatch/

Amazon Virtual Private Cloud Guide de l'utilisateurPublication dans Amazon S3.

Il peut s'écouler quelques minutes avant qu'une nouvelle métrique ne s'affiche dans la console.9. Sélectionnez le nom de la métrique que vous avez créée, puis choisissez Suivant.10. Saisissez un nom et une description pour l'alarme. Pour les champs s'adapte, choisissez >= et

saisissez 10. Pour le champ pour, laissez la valeur par défaut 1 pour les périodes qui se suivent.11. Pour Période, choisissez 1 heure. Pour Statistique, choisissez Somme. La statistique Sum vous permet

de vérifier que vous capturez le nombre total de points de données pour la période spécifiée.12. Dans la section Actions, vous pouvez choisir d'envoyer une notification à une liste existante. Vous

pouvez aussi créer une liste et saisir les adresses e-mail censées recevoir une notification en cas dedéclenchement de l'alarme. Lorsque vous avez terminé, choisissez Create Alarm.

Publication des journaux de flux dans Amazon S3Les journaux de flux peuvent publier leurs données dans Amazon S3.

Lors de la publication dans Amazon S3, les données des journaux de flux sont publiées dans uncompartiment Amazon S3 existant que vous spécifiez. Les enregistrements de journaux de flux pour toutesles interfaces réseau surveillées sont publiés dans une série d'objets de fichier journal qui sont stockésdans le compartiment. Si le journal de flux capture des données pour un VPC, il publie les enregistrementsde journaux de flux pour toutes les interfaces réseau dans le VPC sélectionné. Pour plus d'informations,consultez Enregistrements de journaux de flux (p. 192).

Pour créer un compartiment Amazon S3 à utiliser avec les journaux de flux, consultez Créer uncompartiment dans le Amazon Simple Storage Service Guide de mise en route.

Pour de plus amples informations sur la journalisation de plusieurs comptes, veuillez consulterJournalisation centralisée dans les environnements multi-comptes.

Sommaire• Fichiers journaux de flux (p. 206)• Stratégie IAM pour les mandataires IAM qui publient des journaux de flux sur Amazon S3 (p. 207)• Autorisations du compartiment Amazon S3 pour les journaux de flux (p. 207)• Stratégie de clé CMK obligatoire à utiliser avec les compartiments SSE-KMS (p. 209)• Autorisations pour les fichiers journaux Amazon S3 (p. 209)• Création d'un journal de flux publié dans Amazon S3 (p. 209)• Traitement des enregistrements de journaux de flux dans Amazon S3 (p. 211)

Fichiers journaux de fluxLes journaux de flux collectent les enregistrements de journaux de flux, les consolident dans des fichiersjournaux, puis publient les fichiers journaux dans le compartiment Amazon S3 à intervalles de 5 minutes.Chaque fichier journal contient des enregistrements de journaux de flux pour le trafic IP enregistré au coursdes cinq dernières minutes.

La taille maximale d'un fichier journal est de 75 Mo. Si le fichier journal atteint la limite maximale de tailleau cours de la période de 5 minutes, le journal de flux cesse de lui ajouter des enregistrements de journalde flux. Ensuite, il publie le journal de flux dans le compartiment Amazon S3, puis crée un nouveau fichierjournal.

Les fichiers journaux sont enregistrés dans le compartiment Amazon S3 spécifié à l'aide d'une structure dedossiers qui est déterminée par l'ID du journal de flux, sa région et leur date de création. La structure dedossiers du compartiment utilise le format suivant.

206

CreatingABucket.html

CreatingABucket.html

https://aws.amazon.com/blogs/architecture/central-logging-in-multi-account-environments/


bucket_ARN/optional_folder/AWSLogs/aws_account_id/vpcflowlogs/region/year/month/day/log_file_name.log.gz

De même, le nom du fichier journal est déterminé par son ID, sa région, ainsi que la date et l'heure de sacréation par le service de journaux de flux. Les noms de fichier utilisent le format suivant.

aws_account_id_vpcflowlogs_region_flow_log_id_timestamp_hash.log.gz

Note

L'horodatage utilise le format YYYYMMDDTHHmmZ.

Par exemple, vous trouverez ci-dessous la structure de dossiers et le nom d'un fichier journal pour unflux de journal créé par le compte AWS 123456789012, pour une ressource dans la région us-east-1,le June 20, 2018 à 16:20 UTC. Elle inclut les enregistrements de journal de flux pour 16:15:00 à16:19:59.

arn:aws:s3:::my-flow-log-bucket/AWSLogs/123456789012/vpcflowlogs/us-east-1/2018/06/20/123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz

Dans Amazon S3, le champ Dernière modification du fichier de journal de flux indique la date et l'heuredu téléchargement du fichier dans le compartiment Amazon S3. Cette heure est ultérieure à l'horodatageprésent dans le nom du fichier et tient compte du temps nécessaire pour télécharger le fichier dans lecompartiment Amazon S3.

Stratégie IAM pour les mandataires IAM qui publient des journauxde flux sur Amazon S3Un mandataire IAM de votre compte, tel qu'un utilisateur IAM, doit disposer d'autorisations suffisantes pourpublier des journaux de flux dans le compartiment Amazon S3. Cela inclut les autorisations permettant detravailler avec des actions logs: spécifiques pour créer et publier les journaux de flux. La stratégie IAMdoit inclure les autorisations suivantes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*" } ]}

Autorisations du compartiment Amazon S3 pour les journaux defluxPar défaut, les objets et les compartiments Amazon S3 qu'ils contiennent sont privés. Seul le propriétairedu compartiment peut accéder au compartiment et aux objets qui sont stockés dedans. Cependant, lepropriétaire du compartiment peut accorder des autorisations d'accès à d'autres ressources et à d'autresutilisateurs en créant une stratégie d'accès.

207


La stratégie de compartiment suivante donne au journal de flux l'autorisation de publier des journaux. Si lecompartiment dispose déjà d'une stratégie avec les autorisations suivantes, la stratégie est conservée tellequ'elle est.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket_name" } ]}

Si l'utilisateur qui crée le journal de flux possède le compartiment, dispose d'autorisationsPutBucketPolicy pour le compartiment et que le compartiment ne dispose pas d'une stratégie avec desautorisations de remise de journal suffisantes, nous attachons automatiquement la stratégie précédente aucompartiment. Cette stratégie remplace toute stratégie existante attachée au compartiment.

Si l'utilisateur qui crée le journal de flux n'est pas le propriétaire du compartiment ou ne dispose pas desautorisations GetBucketPolicy et PutBucketPolicy pour le compartiment, la création du journal deflux échoue. Dans ce cas, le propriétaire du compartiment doit ajouter manuellement la stratégie ci-dessusau compartiment et indiquer l'ID de compte AWS du créateur du journal de flux. Pour plus d'informations,consultez Comment ajouter une stratégie de compartiment S3 ? dans le Amazon Simple StorageService Guide de l'utilisateur de la console. Si le compartiment reçoit des journaux de flux de plusieurscomptes, ajoutez une entrée d'élément Resource à la déclaration de stratégie AWSLogDeliveryWritepour chaque compte. Par exemple, la stratégie de compartiment suivante permet aux comptes AWS123123123123 et 456456456456 de publier des journaux de flux dans un dossier nommé flow-logssitué dans un compartiment nommé log-bucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/123123123123/*", "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/456456456456/*" ], "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::log-bucket" }

208

add-bucket-policy.html


]}

Note

Nous vous recommandons d'accorder les autorisations AWSLogDeliveryAclCheck etAWSLogDeliveryWrite au principal du service de remise de journaux plutôt qu'à des ARN decompte AWS individuels.

Stratégie de clé CMK obligatoire à utiliser avec les compartimentsSSE-KMSSi vous avez activé le chiffrement côté serveur (SSE) pour votre compartiment Amazon S3 à l'aide de clésgérées par AWS KMS (SSE-KMS) avec une clé principale client gérée par le client (CMK), vous devezajouter ce qui suit à la stratégie de clé pour votre clé CMK de sorte que les journaux de flux puissent écriredes fichiers journaux dans le compartiment.

Note

Ajoutez ces éléments à la stratégie de votre clé CMK, et non à la stratégie de votre compartiment.

{ "Sid": "Allow VPC Flow Logs to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*"}

Autorisations pour les fichiers journaux Amazon S3Outre les stratégies de compartiment obligatoires, Amazon S3 utilise des listes de contrôle d'accès(ACL) pour gérer l'accès aux fichiers journaux créés par un journal de flux. Par défaut, le propriétaire ducompartiment dispose d'autorisations FULL_CONTROL sur chaque fichier journal. Si le propriétaire de lalivraison des journaux n'est pas le propriétaire du compartiment, il ne dispose d'aucune autorisation. Lecompte de livraison des journaux possède les autorisations READ et WRITE. Pour plus d'informations,consultez la section Présentation de la liste de contrôle d'accès (ACL) dans le Amazon Simple StorageService Manuel du développeur.

Création d'un journal de flux publié dans Amazon S3Après avoir créé et configuré votre compartiment Amazon S3, vous pouvez créer des journaux de flux pourvos VPC, sous-réseaux ou interfaces réseau.

Pour créer un journal de flux pour une interface réseau à l'aide de la console

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Network Interfaces.3. Sélectionnez une ou plusieurs interfaces réseau et choisissez Actions, puis Créer le journal de flux.

209

acl-overview.html



4. Pour Filtre, spécifiez le type de données de trafic IP à journaliser. Choisissez Tout pour journaliserle trafic accepté et refusé, Refusé pour enregistrer uniquement le trafic refusé ou Accepté pourenregistrer uniquement le trafic accepté.


6. Pour Destination, sélectionnez Envoyer dans un compartiment Amazon S3.7. Pour ARN du compartiment S3, indiquez l'Amazon Resource Name (ARN) d'un compartiment Amazon

S3 existant. Vous pouvez inclure un sous-dossier dans l'ARN du compartiment. Le compartiment nepeut pas utiliser AWSLogs comme nom de sous-dossier, car il s'agit d'un terme réservé.

Par exemple, pour spécifier un sous-dossier nommé my-logs dans un compartiment nommé my-bucket, utilisez l'ARN suivant :

arn:aws:s3:::my-bucket/my-logs/

Si vous êtes le propriétaire du compartiment, nous créons automatiquement une stratégie deressources et l'attachons au compartiment. Pour plus d'informations, consultez Autorisations ducompartiment Amazon S3 pour les journaux de flux (p. 207).




Tip



Pour créer un journal de flux pour un VPC ou un sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Vos VPC ou Sous-réseaux.3. Sélectionnez un ou plusieurs VPC ou sous-réseaux et choisissez Actions, puis Créer le journal de flux.4. Pour Filtre, spécifiez le type de données de trafic IP à journaliser. Choisissez Tout pour journaliser



6. Pour Destination, sélectionnez Envoyer dans un compartiment Amazon S3.7. Pour ARN du compartiment S3, indiquez l'Amazon Resource Name (ARN) d'un compartiment Amazon

S3 existant. Vous pouvez inclure un sous-dossier dans l'ARN du compartiment. Le compartiment nepeut pas utiliser AWSLogs comme nom de sous-dossier, car il s'agit d'un terme réservé.

Par exemple, pour spécifier un sous-dossier nommé my-logs dans un compartiment nommé my-bucket, utilisez l'ARN suivant :

arn:aws:s3:::my-bucket/my-logs/

210


Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation des journaux de flux

Si vous êtes le propriétaire du compartiment, nous créons automatiquement une stratégie deressources et l'attachons au compartiment. Pour plus d'informations, consultez Autorisations ducompartiment Amazon S3 pour les journaux de flux (p. 207).



• Pour créer un format personnalisé, choisissez Custom format (Format personnalisé). Pour Logformat (Format des journaux), choisissez chacun des champs à inclure dans l'enregistrement dejournal de flux.


Pour créer un journal de flux publié dans Amazon S3à l'aide de l'outil de ligne de commande

Utilisez l'une des commandes suivantes.

• create-flow-logs (AWS CLI)• New-EC2FlowLogs (Outils AWS pour Windows PowerShell)• CreateFlowLogs (API de requête Amazon EC2)

L'exemple de l'AWS CLI suivant crée un journal de flux qui capture tout le trafic pour le VPCvpc-00112233344556677 et livre les journaux de flux dans un compartiment Amazon S3 appelé flow-log-bucket. Le paramètre --log-format spécifie un format personnalisé pour les enregistrements dejournal de flux.

aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Traitement des enregistrements de journaux de flux dansAmazon S3Les fichiers journaux sont compressés. Si vous ouvrez les fichiers journaux à l'aide de la console AmazonS3, ils sont décompressés et les enregistrements de journaux de flux s'affichent. Si vous téléchargez lesfichiers, vous devez les décompresser pour afficher les enregistrements de journaux de flux.

Vous pouvez également interroger les enregistrements de journaux de flux dans les fichiers journauxà l'aide d'Amazon Athena. Amazon Athena est un service de requête interactif qui facilite l'analyse desdonnées dans Amazon S3 à l'aide de la syntaxe SQL standard. Pour plus d'informations, consultez lasection Interrogation des journaux Amazon VPC Flow Logs dans le Guide de l'utilisateur Amazon Athena.

Utilisation des journaux de fluxVous pouvez utiliser les journaux de flux à l'aide des consoles Amazon EC2, Amazon VPC, CloudWatch etAmazon S3.

Sommaire• Contrôle de l'utilisation des journaux de flux (p. 212)• Création d'un journal de flux (p. 212)

211


items/New-EC2FlowLogs.html


vpc-flow-logs.html


• Affichage des journaux de flux (p. 212)• Ajout ou suppression de balises pour les journaux de flux (p. 213)• Affichage des enregistrements de journaux de flux (p. 213)• Recherche d'enregistrements de journaux de flux (p. 214)• Suppression d'un journal de flux (p. 214)• Présentation des API et de l'interface de ligne de commande (CLI) (p. 215)

Contrôle de l'utilisation des journaux de fluxPar défaut, les utilisateurs IAM ne sont pas autorisés à utiliser des journaux de flux. Vous pouvez créer unestratégie d'utilisateur IAM qui autorise les utilisateurs à créer, décrire et supprimer des journaux de flux.Pour en savoir plus, consultez la section Attribution des autorisations requises pour les ressources AmazonEC2 aux utilisateurs IAM dans le Amazon EC2 API Reference.

Voici un exemple de stratégie qui accorde aux utilisateurs les autorisations complètes pour créer, décrire etsupprimer des journaux de flux.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ]}

Une configuration supplémentaire des autorisations et rôles IAM est requise, selon que la publicationest effectuée dans CloudWatch Logs ou Amazon S3. Pour plus d'informations, consultez Publicationdes journaux de flux dans CloudWatch Logs (p. 201) et Publication des journaux de flux dans AmazonS3 (p. 206).

Création d'un journal de fluxVous pouvez créer des journaux de flux pour vos VPC, sous-réseaux ou interfaces réseau. Les journaux deflux peuvent publier des données dans CloudWatch Logs ou Amazon S3.

Pour plus d'informations, consultez Création d'un journal de flux publié dans CloudWatch Logs (p. 203) etCréation d'un journal de flux publié dans Amazon S3 (p. 209).

Affichage des journaux de fluxPour consulter les informations sur vos fichiers journaux dans les consoles Amazon EC2 et Amazon VPC,accédez à l'onglet Flow Logs d'une ressource spécifique. Lorsque vous sélectionnez la ressource, tous lesjournaux de flux de cette ressource sont répertoriés. Les informations affichées incluent l'ID du journal deflux, sa configuration et des informations sur son état.

Pour afficher des informations sur les journaux de flux pour vos interfaces réseau :

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Network Interfaces.

212

ec2-api-permissions.html

ec2-api-permissions.html



3. Sélectionnez une interface réseau, puis choisissez Journaux de flux. Les informations sur les fichiersjournaux s'affichent dans l'onglet. La colonne Destination type (Type de destination) indique ladestination où les journaux de flux sont publiés.

Pour afficher des informations sur les journaux de flux pour vos VPC ou sous-réseaux :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Vos VPC ou Sous-réseaux.3. Sélectionnez votre VPC ou sous-réseau, puis choisissez Journaux de flux. Les informations sur les

fichiers journaux s'affichent dans l'onglet. La colonne Destination type (Type de destination) indique ladestination où les journaux de flux sont publiés.

Ajout ou suppression de balises pour les journaux de fluxVous pouvez ajouter ou supprimer des balises pour un journal de flux dans les consoles Amazon EC2 etAmazon VPC.

Pour ajouter ou supprimer des balises pour un journal de flux pour une interface réseau

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Network Interfaces.3. Sélectionnez une interface réseau, puis choisissez Journaux de flux.4. Choisissez Gérer les balises pour le journal de flux requis.5. Pour ajouter une nouvelle balise, choisissez Créer une balise. Pour supprimer une balise, choisissez le

bouton de suppression (x).6. Choisissez Enregistrer.

Pour ajouter ou supprimer des balises pour un journal de flux pour un VPC ou un sous-réseau

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Vos VPC ou Sous-réseaux.3. Sélectionnez votre VPC ou sous-réseau, puis choisissez Journaux de flux.4. Sélectionnez le journal de flux et choisissez Actions, Ajouter/Modifier des balises.5. Pour ajouter une nouvelle balise, choisissez Créer une balise. Pour supprimer une balise, choisissez le

bouton de suppression (x).6. Choisissez Enregistrer.

Affichage des enregistrements de journaux de fluxVous pouvez afficher vos enregistrements de journaux de flux à l'aide de la console CloudWatch Logsou Amazon S3, en fonction du type de destination choisi. Après la création du journal de flux, quelquesminutes peuvent s'écouler avant qu'il ne s'affiche dans la console.

Pour afficher les enregistrements de journaux de flux publiés dans CloudWatch Logs

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Journaux, puis sélectionnez le groupe de journaux contenant

votre journal de flux. Une liste de flux de journaux s'affiche pour chaque interface réseau.3. Sélectionnez le flux de journaux contenant l'ID de l'interface réseau pour laquelle afficher les

enregistrements de journaux de flux. Pour plus d'informations, consultez Enregistrements de journauxde flux (p. 192).

213






Pour afficher les enregistrements de journaux de flux publiés dans Amazon S3

1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.2. Pour Nom du compartiment, sélectionnez le compartiment dans lequel les journaux de flux sont

publiés.3. Pour Nom, cochez la case en regard du fichier journal. Dans le panneau de présentation de l'objet,

choisissez Télécharger.

Recherche d'enregistrements de journaux de fluxVous pouvez rechercher vos enregistrements de journaux de flux publiés dans CloudWatch Logs à l’aidede la console CloudWatch Logs. Vous pouvez utiliser des filtres de métrique pour filtrer les enregistrementsde journaux de flux. Les enregistrements de journaux de flux sont délimités par des espaces.

Pour rechercher des enregistrements de journaux de flux à l'aide de la console CloudWatch Logs

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Groupes de journaux, puis sélectionnez le groupe de journaux

contenant votre journal de flux. Une liste de flux de journaux s'affiche pour chaque interface réseau.3. Sélectionnez le flux de journaux individuel si vous connaissez l'interface réseau que vous recherchez.

Vous pouvez également choisir Rechercher groupe de journaux pour rechercher l'ensemble du groupede journaux. Cela peut prendre un certain temps s'il existe de nombreuses interfaces réseau dansvotre groupe de journaux, ou en fonction de la plage de temps que vous sélectionnez.

4. Pour les Événements de filtre, saisissez la chaîne suivante. Cela suppose que l'enregistrement dejournaux de flux utilise le format par défaut (p. 193).

[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

5. Modifiez le filtre selon vos besoins en spécifiant des valeurs pour les champs. Dans les exemplessuivants, le filtrage a lieu en fonction d’adresses IP source spécifiques.

[version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus][version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

Dans les exemples suivants, le filtrage a lieu par port de destination, le nombre d'octets et si le trafic aété rejeté.

[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus][version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]

Suppression d'un journal de fluxVous pouvez supprimer un journal de flux à l'aide des consoles Amazon EC2 et Amazon VPC.

Note

Ces procédures désactivent le service de journaux de flux pour la ressource concernée. Lasuppression d'un journal de flux n'entraîne pas la suppression des flux de journaux existants dansCloudWatch Logs ni des fichiers journaux dans Amazon S3. Les données des journaux de flux

214

https://console.aws.amazon.com/s3/

FilterAndPatternSyntax.html



existantes doivent être supprimées à l'aide de la console de service correspondante. En outre,la suppression d'un journal de flux publié dans Amazon S3 ne supprime pas les stratégies decompartiment et les listes de contrôle d'accès (ACL) des fichiers journaux.

Pour supprimer un journal de flux pour une interface réseau :

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Interfaces réseau, puis sélectionnez l'interface réseau.3. Cliquez sur Journaux de flux, puis choisissez le bouton de suppression (représenté par une croix) pour

le journal de flux à supprimer.4. Dans la boîte de dialogue de confirmation, choisissez Yes, Delete.

Pour supprimer un journal de flux pour un VPC ou un sous-réseau :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Vos VPC ou Sous-réseaux, puis sélectionnez la ressource.3. Cliquez sur Journaux de flux, puis choisissez le bouton de suppression (représenté par une croix) pour

le journal de flux à supprimer.4. Dans la boîte de dialogue de confirmation, choisissez Yes, Delete.

Présentation des API et de l'interface de ligne de commande(CLI)Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou de l'API.Pour plus d'informations sur les interfaces de ligne de commande et la liste des actions liées aux APIdisponibles, consultez Accès à Amazon VPC (p. 1).

Créer un journal de flux

• create-flow-logs (AWS CLI)• New-EC2FlowLog (Outils AWS pour Windows PowerShell)• CreateFlowLogs (API de requête Amazon EC2)

Décrire vos journaux de flux

• describe-flow-logs (AWS CLI)• Get-EC2FlowLog (Outils AWS pour Windows PowerShell)• DescribeFlowLogs (API de requête Amazon EC2)

Afficher vos enregistrements de journaux de flux (événements de journaux)

• get-log-events (AWS CLI)• Get-CWLLogEvent (Outils AWS pour Windows PowerShell)• GetLogEvents (API CloudWatch)

Supprimer un journal de flux

• delete-flow-logs (AWS CLI)• Remove-EC2FlowLog (Outils AWS pour Windows PowerShell)• DeleteFlowLogs (API de requête Amazon EC2)

215




items/New-EC2FlowLog.html


ec2/describe-flow-logs.html

items/Get-EC2FlowLog.html

API_DescribeFlowLogs.html

logs/get-log-events.html

items/Get-CWLLogEvent.html

API_GetLogEvents.html

ec2/delete-flow-logs.html

items/Remove-EC2FlowLog.html

API_DeleteFlowLogs.html


DépannageVoici des problèmes que vous pourriez rencontrer lors de l'utilisation des journaux de flux.

Problèmes• Enregistrements de journaux de flux incomplets (p. 216)• Le journal de flux est actif, mais il n'existe aucun enregistrement de journal de flux ni groupe de

journaux (p. 216)• Erreur : LogDestinationNotFoundException (p. 217)• Dépassement de la limite de la stratégie de compartiment Amazon S3 (p. 217)

Enregistrements de journaux de flux incompletsProblème

Vos enregistrements de journaux de flux sont incomplets ou ne sont plus publiés.

Cause

Il peut exister un problème de diffusion des journaux de flux au groupe de journaux CloudWatch Logs.

Solution

Dans la console Amazon EC2 ou Amazon VPC, cliquez sur l'onglet Journaux de flux de la ressourceconcernée. Pour plus d'informations, consultez Affichage des journaux de flux (p. 212). Le tableaudes journaux de flux affiche les erreurs dans la colonne Status. Vous pouvez aussi utiliser la commandedescribe-flow-logs, et vérifier la valeur qui s'affiche dans le champ DeliverLogsErrorMessage. L'unedes erreurs suivantes peut s'afficher :

• Rate limited : cette erreur peut se produire si une limitation CloudWatch Logs a été appliquée,lorsque le nombre d'enregistrements de journaux de flux pour une interface réseau est supérieur aunombre maximal d'enregistrements susceptibles d'être publiés au cours d'une période spécifique. Cetteerreur peut également se produire si vous avez atteint le quota du nombre de groupes de journauxCloudWatch Logs que vous pouvez créer. Pour plus d'informations, consultez Quotas du serviceCloudWatch dans le Guide de l'utilisateur Amazon CloudWatch.

• Access error : Cette erreur se produit dans les conditions suivantes :• Le rôle IAM associé à votre journal de flux ne dispose pas des autorisations suffisantes pour publier

des enregistrements de journal de flux dans le groupe de journaux CloudWatch.• Le rôle IAM n'a pas de relation d'approbation avec le service des journaux de flux.• La relation d'approbation ne spécifie pas le service des journaux de flux comme mandataire

Pour plus d'informations, consultez Rôles IAM pour la publication des journaux de flux dans CloudWatchLogs (p. 202).

• Unknown error : une erreur interne s'est produite dans le service de journaux de flux.

Le journal de flux est actif, mais il n'existe aucun enregistrementde journal de flux ni groupe de journauxProblème

Vous avez créé un journal de flux, et la console Amazon VPC ou Amazon EC2 l'affiche comme Active.Toutefois, vous ne voyez aucun flux de journal dans CloudWatch Logs, ni fichier journal dans votrecompartiment Amazon S3.

216

ec2/describe-flow-logs.html

cloudwatch_limits.html

cloudwatch_limits.html


Cause

Ce problème peut être dû à l'une des raisons suivantes :

• Le journal de flux est encore en cours de création. Dans certains cas, au moins dix minutes peuvents'écouler entre la création du journal de flux et la création du groupe de journaux ou l'affichage desdonnées.

• Aucun trafic n'a encore été enregistré pour vos interfaces réseau. Dans CloudWatch Logs, la création dugroupe de journaux n'est effectuée qu'après enregistrement du trafic.

Solution

Attendez quelques minutes que le groupe de journaux soit créé ou que le trafic soit enregistré.

Erreur : LogDestinationNotFoundExceptionProblème

Vous recevez le message d'erreur suivant lorsque vous essayez de créer un journal de flux :LogDestinationNotFoundException.

Cause

Vous risquez d'obtenir cette erreur lors de la création d'un journal de flux qui publie les données dans uncompartiment Amazon S3. Cette erreur indique que le compartiment S3 spécifié est introuvable.

Solution

Assurez-vous d'avoir spécifié l'ARN d'un compartiment S3 existant et que son format est correct.

Dépassement de la limite de la stratégie de compartimentAmazon S3Problème

Vous recevez le message d'erreur suivant lorsque vous essayez de créer un journal de flux :LogDestinationPermissionIssueException.

Cause

Les stratégies de compartiment Amazon S3 sont limitées à une taille de 20 Ko.

Chaque fois que vous créez un journal de flux publié dans un compartiment Amazon S3, nous ajoutonsautomatiquement l'ARN du compartiment spécifié, qui inclut le chemin du dossier contenant l'élémentResource dans la stratégie de compartiment.

Si vous créez plusieurs journaux de flux publiés dans le même compartiment, vous risquez de dépasser lalimite de la stratégie de compartiment.

Solution

Effectuez l'une des actions suivantes :

• Nettoyez la stratégie de compartiment en supprimant les entrées de journal de flux qui ne sont plusnécessaires.

• Accordez des autorisations pour le compartiment complet en remplaçant les entrées de journal de fluxindividuelles par ce qui suit.

217

Amazon Virtual Private Cloud Guide de l'utilisateurBonnes pratiques

arn:aws:s3:::bucket_name/*

Si vous accordez des autorisations pour le compartiment complet, les nouveaux abonnements de journalde flux n'ajoutent pas de nouvelles autorisations à la stratégie de compartiment.

Bonnes pratiques de sécurité pour votre VPCLes bonnes pratiques suivantes doivent être considérées comme des instructions générales et nereprésentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent nepas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utilesplutôt que comme des recommandations.

Voici les bonnes pratiques générales :

• Utilisez plusieurs déploiements de zones de disponibilité pour bénéficier d'une haute disponibilité.• Utilisez les groupes de sécurité et les listes ACL réseau. Pour plus d'informations, consultez Groupes de

sécurité pour votre VPC (p. 165) et ACL réseau (p. 174).• Utilisez les stratégies IAM pour contrôler l'accès.• Utilisez Amazon CloudWatch pour surveiller vos composants VPC et connexions VPN.• Utilisez les journaux de flux pour capturer des informations sur le trafic IP entrant et sortant sur les

interfaces réseau dans votre VPC. Pour plus d'informations, consultez Journaux de flux VPC (p. 191).

Ressources supplémentaires• Gérez l'accès aux ressources AWS et aux API à l'aide de la fédération d'identité, des utilisateurs IAM

et des rôles IAM. Définissez les stratégies et les procédures de gestion des informations d'identificationpour créer, distribuer, faire tourner et révoquer les informations d'identification de l'accès à AWS. Pourplus d’informations, consultez Bonnes pratiques IAM dans le IAM Guide de l'utilisateur.

• Pour obtenir des réponses aux questions fréquemment posées sur la sécurité des VPC, consultez laFAQ Amazon VPC.

218

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

https://aws.amazon.com/vpc/faqs/

Amazon Virtual Private Cloud Guide de l'utilisateurInterfaces réseau

Composants de mise en réseau deVPC

Vous pouvez utiliser les composants suivants pour configurer la mise en réseau dans votre VPC :

Composants de mise en réseau

• Interfaces réseau (p. 219)• Tables de routage (p. 220)• Passerelles Internet (p. 243)• Passerelles Internet de sortie uniquement (p. 249)• Jeux d'options DHCP (p. 281)• DNS (p. 287)• Adresses IP Elastic (p. 292)• NAT (p. 252)• Appairage de VPC (p. 292)• ClassicLink (p. 296)

Interfaces réseau ElasticUne interface réseau Elastic (appelée interface réseau dans cette documentation) est une interface réseauvirtuelle qui peut inclure les attributs suivants :

• une adresse IPv4 privée principale• une ou plusieurs adresses IPv4 privées secondaires• une adresse IP Elastic par adresse IPv4 privée• une adresse IPv4 publique, qui peut être attribuée automatiquement à l'interface réseau pour eth0

lorsque vous lancez une instance• une ou plusieurs adresses IPv6• Un ou plusieurs groupes de sécurité• Une adresse MAC• Un indicateur de vérification de source/destination• Une description

Vous pouvez créer une interface réseau, l'attacher à une instance, la détacher d'une instance et l'attacherà une autre instance. Les attributs d'une interface réseau la suivent lorsque celle-ci est attachée à uneinstance ou détachée d'une instance, puis rattachée à une autre instance. Lorsque vous déplacez uneinterface réseau d'une instance vers une autre, le trafic réseau est redirigé vers la nouvelle instance.

Chaque instance de votre VPC comporte une interface réseau Elastic par défaut (interface réseauprincipale) à laquelle on attribue une adresse IPv4 privée à partir de la plage d'adresses IPv4 de votreVPC. Vous ne pouvez pas détacher une interface réseau principale d'une instance. Vous pouvez créer etattacher une Network Interface supplémentaire dans n'importe quelle instance de votre VPC. Le nombred'interfaces réseau que vous pouvez attacher varie en fonction du type d'instance. Pour plus d'informations,consultez la section Adresses IP par interface réseau et par type d'instance dans le Amazon EC2 Guide del'utilisateur pour les instances Linux.

Il peut être utile d'attacher plusieurs Network Interfaces à une instance si vous souhaitez :

219


Amazon Virtual Private Cloud Guide de l'utilisateurTables de routage

• créer un réseau de gestion ;• utiliser des composants de réseau et de sécurité dans votre VPC ;• créer des instances à deux interfaces réseau avec des charges de travail/rôles sur des sous-réseaux

distincts ;• créer une solution haute disponibilité à faible coût.

Pour plus d'informations sur les interfaces réseau et pour obtenir des instructions sur la façon de les utiliservia la console Amazon EC2, consultez Elastic Network Interfaces (Interfaces réseau Elastic) dans leAmazon EC2 Guide de l'utilisateur pour les instances Linux.

Tables de routageUne table de routage contient un ensemble de règles, appelées routes, qui permettent de déterminer ladirection du trafic réseau à partir de votre sous-réseau ou de votre passerelle.

Sommaire• Concepts liés aux tables de routage (p. 220)• Fonctionnement des tables de routage (p. 221)• Priorité de route (p. 227)• Exemples d'options de routage (p. 228)• Utilisation des tables de routage (p. 235)

Concepts liés aux tables de routageVoici les concepts clés relatifs aux tables de routage :

• Table de routage principale - Table de routage associée automatiquement à votre VPC. Elle contrôle leroutage pour tous les sous-réseaux qui ne sont associés explicitement à aucune autre table de routage.

• Table de routage personnalisée - Table de routage que vous créez pour votre VPC.• Edge association : table de routage que vous utilisez pour acheminer le trafic VPC entrant vers une

appliance. Vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privévirtuel, et vous spécifiez l'interface réseau de votre appliance comme cible pour le trafic VPC.

• Association de table de routage - Association entre une table de routage et un sous-réseau, unepasserelle Internet ou une passerelle réseau privé virtuel.

• Table de routage de sous-réseau - Table de routage associée à un sous-réseau.• Table de routage de passerelle - Table de routage associée à une passerelle Internet ou à une

passerelle réseau privé virtuel.• Table de routage de passerelle locale - Table de routage associée à une passerelle locale Outposts.

Pour obtenir des informations sur les passerelles locales, veuillez consulter la section relative auxpasserelles locales dans le Guide de l'utilisateur AWS Outposts.

• Destination - Plage d'adresses IP vers laquelle vous souhaitez acheminer le trafic (CIDR de destination).Par exemple, un réseau d'entreprise externe avec un CIDR 172.16.0.0/12.

• Propagation - La propagation du routage permet à une passerelle réseau privé virtuel de propagerautomatiquement des routes vers les tables de routage. Cela signifie que vous n'avez pas besoin d'entrermanuellement des routes VPN dans vos tables de routage. Pour plus d'informations sur les d'options deroutage de VPN, consultez Options de routage Site-to-Site VPN dans le Guide de l’utilisateur Site-to-SiteVPN.

• Cible - Passerelle, interface réseau ou connexion par laquelle envoyer le trafic de destination ; parexemple, une passerelle Internet.

220


https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html

Amazon Virtual Private Cloud Guide de l'utilisateurFonctionnement des tables de routage

• Route locale - Route par défaut pour la communication au sein du VPC.

Pour obtenir des exemples d'options de routage, veuillez consulter the section called “Exemples d'optionsde routage” (p. 228).

Fonctionnement des tables de routageVotre VPC dispose d'un routeur implicite et vous utilisez les tables de routage pour contrôler où le traficréseau est dirigé. Chaque sous-réseau de votre VPC doit être associé à une table de routage, qui contrôlele routage pour ce sous-réseau (table de routage de sous-réseau). Vous pouvez associer explicitement unsous-réseau à une table de routage particulière. Sinon, le sous-réseau est implicitement associé à la tablede routage principale. Un sous-réseau peut être associé à une seule table de routage à la fois, mais vouspouvez associer plusieurs sous-réseaux à une même table de routage.

Vous pouvez éventuellement associer une table de routage à une passerelle Internet ou à une passerelleréseau privé virtuel (table de routage de passerelle). Cela vous permet de spécifier des règles de routagepour le trafic entrant qui pénètre dans votre VPC via la passerelle. Pour plus d'informations, consultezTables de routage de passerelle (p. 226).

Le nombre de tables de routage que vous pouvez créer par VPC est limité. Il existe également un quotapour le nombre de routes que vous pouvez ajouter par table de routage. Pour plus d'informations, consultezQuotas Amazon VPC (p. 362).

Rubriques• Routes (p. 221)• Table de routage principale (p. 222)• Tables de routage personnalisées (p. 223)• Association de la table de routage du sous-réseau (p. 223)• Tables de routage de passerelle (p. 226)

RoutesChaque route d'une table spécifie une destination et une cible. Par exemple, pour permettre à votre sous-réseau d'accéder à Internet via une passerelle Internet, ajoutez la route suivante dans votre table deroutage de sous-réseau.

Destination Target

0.0.0.0/0 igw-12345678901234567

La destination de la route est 0.0.0.0/0, qui représente toutes les adresses IPv4. La cible est lapasserelle Internet qui est attachée à votre VPC.

Les blocs d'adresse CIDR IPv4 et IPv6 sont traités séparément. Par exemple, une route dotée du CIDRde destination 0.0.0.0/0 n'inclut pas automatiquement toutes les adresses IPv6. Vous devez créer uneroute avec le CIDR de destination ::/0 pour toutes les adresses IPv6.

Chaque table de routage contient une route locale pour la communication au sein du VPC. Cetteroute est ajoutée par défaut à toutes les tables de routage. Si votre VPC est associé à plusieursblocs d'adresse CIDR IPv4, les tables de routage contiennent une route locale pour chaque blocd'adresse CIDR IPv4. Si vous avez associé un bloc d'adresse CIDR IPv6 avec votre VPC, les tables deroutage contiennent une route locale pour le bloc d'adresse CIDR IPv6. Vous ne pouvez pas modifier nisupprimer ces routes dans une table de routage de sous-réseau ou dans la table de routage principale.

221


Pour plus d'informations sur les routes et les routes locales dans une table de routage de passerelle,veuillez consulter Tables de routage de passerelle (p. 226).

Si votre table de routage contient plusieurs routes, nous utilisons la route la plus spécifique correspondantau trafic (correspondance de préfixe le plus long) pour déterminer comment router le trafic.

Dans l'exemple suivant, un bloc d'adresse CIDR IPv6 est associé à votre VPC. Dans votre table deroutage :

• Le trafic IPv6 destiné à rester dans le VPC (2001:db8:1234:1a00::/56) est couvert par la routeLocal et routé au sein du VPC.

• Les trafics IPv4 et IPv6 sont traités séparément. Par conséquent, tout le trafic IPv6 (à l'exception du traficau sein du VPC) est routé vers la passerelle Internet de sortie uniquement.

• Une route destinée au trafic IPv4 172.31.0.0/16 pointe vers une connexion d'appairage.• Une route destinée à tout le trafic IPv4 (0.0.0.0/0) pointe vers une passerelle Internet.• Une route destinée à tout le trafic IPv6 (::/0) pointe vers une passerelle Internet de sortie uniquement.

Destination Target

10.0.0.0/16 Locale

2001:db8:1234:1a00::/56 Locale

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

::/0 eigw-aabbccddee1122334

Table de routage principaleLorsque vous créez un VPC, il est automatiquement associé à une table de routage principale. La table deroutage principale contrôle le routage de tous les sous-réseaux qui ne sont pas associés explicitement àune autre table de routage. Dans la page Route Tables de la console Amazon VPC, vous pouvez consulterla table de routage principale d'un VPC en recherchant Yes dans la colonne Main.

Par défaut, lorsque vous créez un VPC personnalisé, la table de routage principale contient seulement uneroute locale. Lorsque vous utilisez l'assistant VPC dans la console pour créer un VPC personnalisé avecune passerelle NAT ou une passerelle réseau privé virtuel, l'assistant ajoute automatiquement des routes àla table de routage principale pour ces passerelles.

Vous pouvez ajouter, supprimer et modifier des routes dans la table de routage principale. Vous ne pouvezpas créer une route plus spécifique que la route locale. Vous ne pouvez pas supprimer la table de routageprincipale, mais vous pouvez la remplacer par une table de routage de sous-réseau personnalisée quevous avez créée. Vous ne pouvez pas définir une table de routage de passerelle comme table de routageprincipale.

Vous pouvez associer explicitement un sous-réseau à la table de routage principale, même s'il est déjàassocié implicitement. Vous pouvez procéder ainsi si vous changez la table faisant office de table deroutage principale. Lorsque vous changez la table faisant office de table de routage principale, cela changeégalement la table par défaut des nouveaux sous-réseaux ajoutés et des réseaux qui ne sont associésexplicitement à aucune autre table de routage. Pour plus d'informations, consultez Remplacement de latable de routage principale (p. 240).

222


Tables de routage personnaliséesPar défaut, une table de routage personnalisée est vide et vous pouvez y ajouter les routes dont vousavez besoin. Lorsque vous utilisez l'assistant VPC dans la console pour créer un VPC avec une passerelleInternet, l'assistant crée une table de routage personnalisée et ajoute une route à la passerelle Internet.Une façon de protéger votre VPC consiste à laisser la table de routage principale dans son état par défautd'origine. Ensuite, associez explicitement chaque nouveau sous-réseau que vous créez à l'une des tablesde routage personnalisées que vous avez créées. Vous êtes ainsi assuré de contrôler explicitement lafaçon dont chaque sous-réseau route le trafic.

Vous pouvez ajouter, supprimer et modifier des routes dans une table de routage personnalisée. Vouspouvez supprimer une table de routage personnalisée seulement si elle n'a aucune association.

Association de la table de routage du sous-réseauChaque sous-réseau de votre VPC doit être associé à une table de routage. Un sous-réseau peut êtreassocié explicitement à une table de routage personnalisée, ou associé implicitement ou explicitement àla table de routage principale. Pour de plus amples informations sur l'affichage des associations entre dessous-réseaux et une table de routage, veuillez consulter Comment déterminer les sous-réseaux et/ou lespasserelles explicitement associés à une table (p. 236).

Les sous-réseaux figurant dans des VPC associés à Outposts peuvent avoir un type de ciblesupplémentaire d'une passerelle locale. Il s'agit de la seule différence de routage par rapport aux sous-réseaux autres qu'Outposts.

Vous ne pouvez pas associer un sous-réseau à une table de routage si l'une des situations suivantess'applique :

• La table de routage contient une route existante plus spécifique que la route locale par défaut.• La cible de la route locale par défaut a été remplacée.

Exemple 1 : Associations implicite et explicite de sous-réseau

Le schéma ci-après illustre le routage pour un VPC comportant une passerelle Internet, une passerelleréseau privé virtuel, un sous-réseau public et un sous-réseau VPN unique. La table de routage principalecontient une route vers la passerelle réseau privé virtuel. Une table de routage personnalisée est associéeexplicitement au sous-réseau public. La table de routage personnalisée contient une route vers Internet(0.0.0.0/0) via la passerelle Internet.

223


Si vous créez un sous-réseau dans ce VPC, il est automatiquement associé implicitement à la tablede routage principale, qui route le trafic vers la passerelle réseau privé virtuel. Si vous définissez laconfiguration inverse (à savoir la table de routage principale avec la route vers la passerelle Internet et latable de routage personnalisée avec la route vers la passerelle réseau privé virtuel), un nouveau sous-réseau a automatiquement une route vers la passerelle Internet.

Exemple 2 : Remplacement de la table de routage principale

Vous pouvez apporter des modifications à la table de routage principale. Pour éviter toute interruption detrafic, nous vous recommandons de commencer par tester les changements de route à l'aide d'une table deroutage personnalisée. Une fois satisfait des résultats du test, vous pouvez remplacer la table de routageprincipale par la nouvelle table personnalisée.

Le schéma ci-après représente un VPC avec deux sous-réseaux qui sont implicitement associés à la tablede routage principale (Table de routage A) et une table de routage personnalisée (Table de routage B) quin'est associée à aucun sous-réseau.

224


Vous pouvez créer une association explicite entre le Sous-réseau 2 et la Table de routage B.

Après avoir testé la Table de routage B, vous pouvez la définir en tant que table de routage principale.Notez que le Sous-réseau 2 comporte toujours une association explicite à la Table de routage B, et leSous-réseau 1 comporte une association implicite à la Table de routage B, car il s'agit de la nouvelle tablede routage principale. La Table de routage A n'est plus utilisée.

Si vous dissociez le Sous-réseau 2 de la Table de routage B, il y a toujours une association implicite entrele Sous-réseau 2 et la Table de routage B. Si vous n'avez plus besoin de la Table de routage A, vouspouvez la supprimer.

225


Tables de routage de passerelleVous pouvez associer une table de routage à une passerelle Internet ou à une passerelle réseau privévirtuel. Lorsqu'une table de routage est associée à une passerelle, elle est appelée table de routage depasserelle. Vous pouvez créer une table de routage de passerelle pour bénéficier d'un contrôle précis duchemin de routage du trafic entrant dans votre VPC. Par exemple, vous pouvez intercepter le trafic entrantdans votre VPC via une passerelle Internet en redirigeant ce trafic vers une appliance middlebox (parexemple, une appliance de sécurité) dans votre VPC.

Une table de routage de passerelle prend en charge les routes dont la cible est local (route localepar défaut) ou une interface réseau Elastic (interface réseau) dans votre VPC attaché à votre appliancemiddlebox. Lorsque la cible est une interface réseau, les destinations suivantes sont autorisées :

• L'ensemble du bloc d'adresse CIDR IPv4 ou IPv6 de votre VPC. Dans ce cas, vous remplacez la cible dela route locale par défaut.

• L'ensemble du bloc d'adresse CIDR IPv4 ou IPv6 d'un sous-réseau dans votre VPC. Il s'agit d'une routeplus spécifique que la route locale par défaut.

Si vous remplacez la cible de la route locale dans une table de routage de passerelle par une interfaceréseau dans votre VPC, vous pourrez restaurer ultérieurement la cible local par défaut. Pour deplus amples informations, veuillez consulter Remplacement et restauration de la cible pour une routelocale (p. 242).

Dans la table de routage de passerelle suivante, le trafic destiné à un sous-réseau contenant le blocd'adresse CIDR 172.31.0.0/20 est routé vers une interface réseau spécifique. Le trafic destiné à toutautre sous-réseau du VPC utilise la route locale.

Destination Target

172.31.0.0/16 Locale

172.31.0.0/20 eni-id

Dans la table de routage de passerelle suivante, la cible de la route locale est remplacée par un IDd'interface réseau. Le trafic destiné à tous les sous-réseaux du VPC est routé vers cette interface réseau.

Destination Target

172.31.0.0/16 eni-id

226

Amazon Virtual Private Cloud Guide de l'utilisateurPriorité de route

Règles et considérations

Vous ne pouvez pas associer une table de routage à une passerelle si l'une des situations suivantess'applique :

• La table de routage contient des routes existantes avec des cibles autres qu'une interface réseau ou laroute locale par défaut.

• La table de routage contient des routes existantes vers des blocs d'adresse CIDR en dehors des plagesde votre VPC.

• La propagation du routage est activée pour la table de routage.

En outre, les règles et considérations suivantes s'appliquent :

• Vous ne pouvez pas ajouter de routes vers des blocs d'adresse CIDR en dehors des plages inclusesdans votre VPC, y compris vers des plages plus grandes que les blocs d'adresse CIDR individuels duVPC.

• Vous pouvez uniquement spécifier local ou une interface réseau en tant que cible. Vous ne pouvez passpécifier d'autres types de cibles, y compris les adresses IP des hôtes individuels.

• Vous ne pouvez pas utiliser une table de routage de passerelle pour contrôler ni intercepter le trafic endehors de votre VPC, tel que le trafic via une passerelle de transit attachée. Vous pouvez intercepter letrafic qui entre dans votre VPC et le rediriger vers une autre cible dans le même VPC uniquement.

• Pour vous assurer que le trafic atteint votre appliance middlebox, l'interface réseau cible doit êtreconnectée à une instance en cours d'exécution. Pour un trafic qui passe par une passerelle Internet,l'interface réseau cible doit également avoir une adresse IP publique.

• Lors de la configuration de votre appliance middlebox, prenez note des considérations relatives àl'appliance (p. 234).

• Lorsque vous acheminez le trafic via une appliance middlebox, le trafic de retour du sous-réseau dedestination doit être acheminé via la même appliance. Le routage asymétrique n'est pas pris en charge.

Pour obtenir un exemple de routage pour une appliance de sécurité, consultez Routage pour une appliancemiddlebox dans votre VPC (p. 233).

Priorité de routeNous utilisons la route la plus spécifique de votre table de routage qui correspond au trafic afin dedéterminer comment router le trafic (correspondance de préfixe le plus long).

Les routes vers des adresses IPv4 et IPv6 ou des blocs d'adresse CIDR sont indépendantes les unesdes autres. Nous utilisons la route la plus spécifique correspondant au trafic IPv4 ou au trafic IPv6 pourdéterminer comment router le trafic.

Par exemple, la table de routage de sous-réseau ci-après comporte une route pour le trafic Internet IPv4(0.0.0.0/0) qui pointe vers une passerelle Internet, et une route pour le trafic IPv4 (172.31.0.0/16) quipointe vers une connexion d'appairage (pcx-11223344556677889). Tout trafic en provenance du sous-réseau qui est destiné à la plage d'adresses IP 172.31.0.0/16 utilise la connexion d'appairage, car cetteroute est plus spécifique que la route vers la passerelle Internet. Tout trafic destiné à une cible au sein duVPC (10.0.0.0/16) est couvert par la route Local et, par conséquent, routé au sein du VPC. Tout autretrafic en provenance du sous-réseau utilise la passerelle Internet.

Destination Target

10.0.0.0/16 Locale

227

Amazon Virtual Private Cloud Guide de l'utilisateurExemples d'options de routage

Destination Target

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

Si vous avez associé une passerelle réseau privé virtuel à votre VPC et activé la propagation du routagesur votre table de routage de sous-réseau, les routes qui représentent votre connexion Site-to-Site VPNapparaissent automatiquement en tant que routes propagées dans votre table de routage. Si les routespropagées empiètent sur des routes statiques et que la correspondance de préfixe le plus long ne peutpas être appliquée, les routes statiques ont la priorité sur les routes propagées. Pour plus d’informations,consultez Tables de routage et priorité de route VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN.

Dans cet exemple, votre table de routage contient une route statique vers une passerelle Internet (quevous avez ajoutée manuellement) et une route propagée vers une passerelle réseau privé virtuel. Lesdeux routes ont pour destination : 172.31.0.0/24. Dans ce cas, tout le trafic destiné à l'adresse172.31.0.0/24 est routé vers la passerelle Internet. Il s'agit d'une route statique qui a donc priorité sur laroute propagée.

Destination Target

10.0.0.0/16 Locale

172.31.0.0/24 vgw-11223344556677889 (propagée)

172.31.0.0/24 igw-12345678901234567 (statique)

La même règle s'applique si votre table de routage contient une route statique vers l'un des élémentssuivants :

• Passerelle NAT• Interface réseau• ID d'instance• Point de terminaison d'un VPC de passerelle• Passerelle de transit• Connexion d'appairage de VPC

Si les destinations des routes statiques et propagées sont les mêmes, l'itinéraire statique a priorité.

Exemples d'options de routageLes rubriques ci-après décrivent le routage pour des passerelles ou des connexions spécifiques au sein devotre VPC.

Options• Routage vers une passerelle Internet (p. 229)• Routage vers un périphérique NAT (p. 229)• Routage vers une passerelle réseau privé virtuel (p. 230)• Routage vers une passerelle locale AWS Outposts (p. 230)• Routage vers une connexion d'appairage de VPC (p. 230)• Routage pour ClassicLink (p. 232)

228



• Routage vers un point de terminaison d'un VPC de passerelle (p. 232)• Routage vers une passerelle Internet de sortie uniquement (p. 232)• Routage pour une passerelle de transit (p. 233)• Routage pour une appliance middlebox dans votre VPC (p. 233)

Routage vers une passerelle InternetVous pouvez faire d'un sous-réseau un sous-réseau public en ajoutant une route dans votre table deroutage de sous-réseau vers une passerelle Internet. Pour ce faire, créez et attachez une passerelleInternet à votre VPC, puis ajoutez une route avec comme destination l'adresse 0.0.0.0/0 pour letrafic IPv4 ou l'adresse ::/0 pour le trafic IPv6, et comme cible l'ID de la passerelle Internet (igw-xxxxxxxxxxxxxxxxx).

Destination Target

0.0.0.0/0 igw-id

::/0 igw-id

Pour plus d'informations, consultez Passerelles Internet (p. 243).

Routage vers un périphérique NATPour permettre aux instances d'un sous-réseau privé de se connecter à Internet, vous pouvez créer unepasserelle NAT ou lancer une instance NAT dans un sous-réseau public. Ensuite, ajoutez une routepour la table de routage du sous-réseau privé afin de router le trafic Internet IPv4 (0.0.0.0/0) vers lepériphérique NAT.

Destination Target


Vous pouvez également créer des routes plus spécifiques vers d'autres cibles pour éviter des fraisinutiles de traitement de données liés à l'utilisation d'une passerelle NAT ou pour router un certain traficde manière privée. Dans l'exemple suivant, le trafic Amazon S3 (pl-xxxxxxxx ; plage d'adresses IPspécifique pour Amazon S3) est routé vers un point de terminaison d'un VPC de passerelle et le trafic10.25.0.0/16 est routé vers une connexion d'appairage de VPC. Les plages d'adresses IP pl-xxxxxxxx et10.25.0.0/16 sont plus spécifiques que 0.0.0.0/0. Lorsque des instances envoient du trafic à Amazon S3 ouau VPC homologue, le trafic est envoyé au point de terminaison de VPC de passerelle ou à la connexiond'appairage de VPC. Tout autre trafic est envoyé à la passerelle NAT.

Destination Target


pl-xxxxxxxx vpce-id

10.25.0.0/16 pcx-id

Pour plus d'informations, consultez Passerelles NAT (p. 253) et Instances NAT (p. 272). Lespériphériques NAT ne peuvent pas être utilisés pour le trafic IPv6.

229


Routage vers une passerelle réseau privé virtuelVous pouvez utiliser une connexion AWS Site-to-Site VPN pour permettre aux instances de votre VPC decommuniquer avec votre propre réseau. Pour ce faire, créez et attachez une passerelle réseau privé virtuelà votre VPC. Ensuite, ajoutez une route dans votre table de routage de sous-réseau avec la destination devotre réseau et une cible correspondant à la passerelle réseau privé virtuel (vgw-xxxxxxxxxxxxxxxxx).

Destination Target

10.0.0.0/16 vgw-id

Vous pouvez ensuite créer et configurer votre connexion Site-to-Site VPN. Pour plus d’informations,consultez Qu'est-ce qu'AWS Site-to-Site VPN ? et Tables de routage et priorité de route VPN dans le Guidede l'utilisateur AWS Site-to-Site VPN.

Actuellement, le trafic IPv6 via une connexion AWS Site-to-Site VPN n'est pas pris en charge. Toutefois,nous prenons en charge le trafic IPv6 acheminé via une passerelle réseau privé virtuel vers une connexionAWS Direct Connect. Pour plus d’informations, consultez le manuel AWS Direct Connect Guide del'utilisateur.

Routage vers une passerelle locale AWS OutpostsLes sous-réseaux qui se trouvent dans des VPC associés à AWS Outposts peuvent avoir un type de ciblesupplémentaire d'une passerelle locale. Considérez le cas où vous souhaitez que la passerelle locale routele trafic avec une adresse de destination 192.168.10.0/24 vers le réseau client. Pour ce faire, ajoutez laroute suivante avec le réseau de destination et une cible de la passerelle locale (lgw-xxxx).

Destination Target

192.168.10.0/24 lgw-id

2002:bc9:1234:1a00::/56 igw-id

Routage vers une connexion d'appairage de VPCUne connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permetd'acheminer le trafic entre ces derniers à l'aide d'adresses IPv4 privées. Les instances des deux VPCpeuvent communiquer entre elles comme si elles faisaient partie du même réseau.

Pour activer le routage du trafic entre des VPC dans une connexion d'appairage de VPC, vous devezajouter une route dans une ou plusieurs tables de routage de sous-réseau qui pointe vers la connexiond'appairage de VPC. Cela vous permet d'accéder à tout ou partie du bloc d'adresse CIDR de l'autre VPCdans la connexion d'appairage. De même, le propriétaire de l'autre VPC doit ajouter une route dans satable de routage de sous-réseau afin de router le trafic en retour vers votre VPC.

Par exemple, vous disposez d'une connexion d'appairage VPC (pcx-11223344556677889) entredeux VPC, avec les informations suivantes :

• VPC A : le bloc d'adresse CIDR est 10.0.0.0/16• VPC B : le bloc d'adresse CIDR est 172.31.0.0/16

Pour permettre le trafic entre les VPC et autoriser l'accès à l'intégralité du bloc d'adresse CIDR IPv4 dechaque VPC, la table de routage VPC A est configurée comme suit.

230






Destination Target

10.0.0.0/16 Locale

172.31.0.0/16 pcx-11223344556677889

La table de routage VPC B est configurée comme suit.

Destination Target

172.31.0.0/16 Locale

10.0.0.0/16 pcx-11223344556677889

Votre connexion d'appairage de VPC peut également prendre en charge la communication IPv6 entre lesinstances dans les VPC, si les VPC et les instances sont activés pour la communication IPv6. Pour plusd'informations, consultez VPC et sous-réseaux (p. 91). Pour activer le routage du trafic IPv6 entre les VPC,vous devez ajouter une route vers votre table de routage qui pointe vers la connexion d'appairage de VPCpour accéder à tout ou partie du bloc d'adresse CIDR IPv6 du VPC pair.

Par exemple, à l'aide de la même connexion d'appairage de VPC (pcx-11223344556677889) ci-dessus,supposez que les VPC disposent des informations suivantes :

• VPC A : le bloc d'adresse CIDR IPv6 est 2001:db8:1234:1a00::/56• VPC B : le bloc d'adresse CIDR IPv6 est 2001:db8:5678:2b00::/56

Pour activer la communication IPv6 via la connexion d'appairage de VPC, ajoutez la route suivante dans latable de routage de sous-réseau pour VPC A.

Destination Target

10.0.0.0/16 Locale

172.31.0.0/16 pcx-11223344556677889

2001:db8:5678:2b00::/56 pcx-11223344556677889

Ajoutez la route suivante dans la table de routage pour VPC B.

Destination Target

172.31.0.0/16 Locale

10.0.0.0/16 pcx-11223344556677889

2001:db8:1234:1a00::/56 pcx-11223344556677889

Pour plus d'informations sur les connexions d'appairage de VPC, consultez Amazon VPC Peering Guide.

231

https://docs.aws.amazon.com/vpc/latest/peering/


Routage pour ClassicLinkClassicLink est une fonction qui vous permet de lier une instance EC2-Classic à un VPC, ce qui permet lacommunication entre l'instance EC2-Classic et les instances du VPC à l'aide d'adresses IPv4 privées. Pourplus d'informations sur ClassicLink, consultez ClassicLink (p. 296).

Lorsque vous activez un VPC pour ClassicLink, une route est ajoutée dans toutes les tables de routagede sous-réseau avec comme destination l'adresse 10.0.0.0/8 et comme cible local. Cela permet lacommunication entre les instances du VPC et les instances EC2-Classic liées au VPC. Si vous ajoutezune autre table de routage à un VPC activé pour ClassicLink, elle reçoit automatiquement une route aveccomme destination l'adresse 10.0.0.0/8 et comme cible local. Si vous désactivez ClassicLink pour unVPC, cette route est supprimée automatiquement dans toutes les tables de routage du sous-réseau.

Si l'une de vos tables de routage de sous-réseau comporte des routes existantes pour les plagesd'adresses au sein du CIDR 10.0.0.0/8, vous ne pouvez pas activer votre VPC pour ClassicLink.Ceci n'inclut pas les routes locales pour les VPC avec les plages d'adresses IP 10.0.0.0/16 et10.1.0.0/16.

Si vous avez déjà activé un VPC pour ClassicLink, vous ne pourrez peut-être pas ajouter des routes plusspécifiques à vos tables de routage pour la plage d'adresses IP 10.0.0.0/8.

Si vous modifiez une connexion d'appairage VPC afin de permettre la communication entre lesinstances de votre VPC et une instance EC2-Classic qui est liée au VPC pair, une route statique estautomatiquement ajoutée à vos tables de routage avec comme destination l'adresse 10.0.0.0/8 etcomme cible local. Si vous modifiez une connexion d'appairage VPC afin de permettre la communicationentre une instance EC2-Classic local liée à votre VPC et des instances d'un VPC pair, vous devez ajoutermanuellement une route dans votre table de routage principale avec une destination du bloc d'adresseCIDR du VPC pair, ainsi qu'une cible de la connexion d'appairage VPC. L'instance EC2-Classic reposesur la table de routage principale pour l'acheminement vers le VPC pair. Pour plus d'informations, voirConfigurations avec ClassicLink dans le manuel Amazon VPC Peering Guide.

Routage vers un point de terminaison d'un VPC de passerelleUn point de terminaison de VPC de passerelle vous permet de créer une connexion privée entre votreVPC et un autre service AWS. Lorsque vous créez un point de terminaison de passerelle, vous spécifiezles tables de routage de sous-réseau dans votre VPC qui sont utilisées par le point de terminaisonde passerelle. Une route est automatiquement ajoutée pour chacune des tables de routage avec unedestination qui spécifie l'ID de liste des préfixes du service (pl-xxxxxxxx) et une cible avec l'ID point determinaison (vpce-xxxxxxxxxxxxxxxxx). Vous ne pouvez pas supprimer ou modifier explicitement laroute du point de terminaison, mais vous pouvez modifier les tables de routage qui sont utilisées par lepoint de terminaison.

Pour plus d'informations sur le routage des points de terminaison, et les implications pour les routes versles services AWS, voir Routage des points de terminaison de passerelle (p. 318).

Routage vers une passerelle Internet de sortie uniquementVous pouvez créer une passerelle Internet de sortie uniquement pour votre VPC afin de permettre auxinstances figurant dans un sous-réseau privé d'initier une communication sortante vers Internet, maisd'empêcher Internet d'établir des connexions avec les instances. Une passerelle Internet de sortieuniquement est utilisée pour le trafic IPv6 uniquement. Pour configurer le routage pour une passerelleInternet de sortie uniquement, ajoutez une route dans la table de routage du sous-réseau privé afin derouter le trafic Internet IPv6 (::/0) vers la passerelle Internet de sortie uniquement.

Destination Target

::/0 eigw-id

232

https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations-classiclink.html


Pour plus d'informations, consultez Passerelles Internet de sortie uniquement (p. 249).

Routage pour une passerelle de transitLorsque vous attachez un VPC à une transit gateway, vous devez ajouter une route dans votre table deroutage de sous-réseau pour le trafic à router via la transit gateway.

Examinez le scénario suivant, où nous disposons de trois VPC attachés à une transit gateway. Au sein d’untel scénario, tous les attachements sont associés à la table de routage transit gateway et propagé vers latable de routage transit gateway. Par conséquent, tous les attachements peuvent s’acheminer des paquets,la transit gateway servant de simple hub d’IP de couche 3.

Par exemple, vous disposez de deux VPC avec les informations suivantes :

• VPC A : 10.1.0.0/16, ID d’attachement tgw-attach-11111111111111111• VPC B : 10.2.0.0/16, ID d’attachement tgw-attach-22222222222222222

Pour permettre le trafic entre les VPC et autoriser l'accès à la transit gateway, la table de routage VPC Aest configurée comme suit.

Destination Cible

10.1.0.0/16 Locale

10.0.0.0/8 tgw-id

Voici un exemple des entrées de la table de routage de la transit gateway pour les attachements de VPC.

Destination Cible

10.1.0.0/16 tgw-attach-11111111111111111

10.2.0.0/16 tgw-attach-22222222222222222

Pour plus d'informations sur les tables de routage transit gateway, consultez Routage dans Passerelles detransit Amazon VPC.

Routage pour une appliance middlebox dans votre VPCVous pouvez intercepter le trafic qui entre dans votre VPC via une passerelle Internet ou une passerelleréseau privé virtuel en le dirigeant vers une appliance middlebox dans votre VPC. Vous pouvez configurerl'appliance en fonction de vos besoins. Par exemple, vous pouvez configurer une appliance de sécuritépour filtrer tout le trafic, ou une appliance d'accélération WAN. L'appliance est déployée en tant qu'instanceAmazon EC2 dans un sous-réseau de votre VPC et elle est représentée par une interface réseau Elastic(interface réseau) dans votre sous-réseau.

Pour router le trafic VPC entrant vers une appliance, vous associez une table de routage à lapasserelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votreappliance comme cible pour le trafic VPC. Pour plus d'informations, consultez Tables de routage depasserelle (p. 226). Vous pouvez également router le trafic sortant de votre sous-réseau vers uneappliance middlebox figurant dans un autre sous-réseau.

Note

Si vous avez activé la propagation du routage pour la table de routage de sous-réseau dedestination, vous devez tenir compte de la priorité de routage. Nous donnons la priorité à la route

233

https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#tgw-routing-overview


la plus spécifique, et, en cas de correspondance des routes, nous donnons la priorité aux routesstatiques plutôt qu'aux routes propagées. Vérifiez vos routes afin de vous assurer que le trafic estcorrectement routé et qu'il n'y a pas de conséquences inattendues si vous activez ou désactivez lapropagation de routage (par exemple, la propagation de routage est requise pour une connexionAWS Direct Connect prenant en charge les trames jumbo).

Considérations relatives aux appliances

Vous pouvez choisir une appliance tierce provenant d'AWS Marketplace ou configurer votre propreappliance. Lorsque vous créez ou configurez une appliance, prenez en compte les éléments suivants :

• L'appliance doit être configurée dans un sous-réseau distinct du trafic source ou de destination.• Vous devez désactiver la vérification origine/destination sur l'appliance. Pour de plus amples

informations, veuillez consulter Modification de la vérification de la source ou de la destination dans leAmazon EC2 Guide de l'utilisateur pour les instances Linux.

• Le chaînage de service n'est pas pris en charge.• Vous ne pouvez pas router le trafic entre les hôtes du même sous-réseau via une appliance.• Vous ne pouvez pas router le trafic entre des sous-réseaux via une appliance.• L'appliance n'est pas tenue d'effectuer la traduction d'adresses réseau (NAT).• Pour intercepter le trafic IPv6, vérifiez que vous configurez le VPC, le sous-réseau et l'appliance

pour IPv6. Pour plus d'informations, consultez Utilisation des VPC et des sous-réseaux (p. 101). Lespasserelles réseau privé virtuel ne prennent pas en charge le trafic IPv6.

Configuration du routage d'une appliance

Pour router le trafic entrant vers une appliance, créez une table de routage et ajoutez une route qui pointele trafic destiné à un sous-réseau vers l'interface réseau de l'appliance. Cette route est plus spécifiqueque la route locale de la table de routage. Associez cette table de routage à votre passerelle Internet oupasserelle réseau privé virtuel. La table de routage suivante route le trafic IPv4 destiné à un sous-réseauvers l'interface réseau de l'appliance.

Destination Target

10.0.0.0/16 Locale

10.0.1.0/24 eni-id

Vous pouvez également remplacer la cible de la route locale par l'interface réseau de l'appliance. Vouspouvez procéder ainsi pour vous assurer que tout le trafic est routé automatiquement vers l'appliance, ycompris le trafic destiné aux sous-réseaux que vous ajoutez ultérieurement dans votre VPC.

Destination Target

10.0.0.0/16 eni-id

Pour router le trafic de votre sous-réseau vers une appliance figurant dans un autre sous-réseau, ajoutezune route dans votre table de routage de sous-réseau afin de router le trafic vers l'interface réseau del'appliance. La destination doit être moins spécifique que la destination de la route locale. Par exemple,pour du trafic destiné à Internet, spécifiez 0.0.0.0/0 (toutes les adresses IPv4) comme destination.

234

https://aws.amazon.com/marketplace

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check

Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation des tables de routage

Destination Target

10.0.0.0/16 Locale

0.0.0.0/0 eni-id

Ensuite, dans la table de routage associée au sous-réseau de l'appliance, ajoutez une route pour router letrafic en retour vers la passerelle Internet ou la passerelle réseau privé virtuel.

Destination Target

10.0.0.0/16 Locale

0.0.0.0/0 igw-id

Vous pouvez appliquer la même configuration de routage pour le trafic IPv6. Par exemple, dans votre tablede routage de passerelle, vous pouvez remplacer la cible des routes locales IPv4 et IPv6 par l'interfaceréseau de l'appliance.

Destination Target

10.0.0.0/16 eni-id

2001:db8:1234:1a00::/56 eni-id

Dans le diagramme suivant, une appliance pare-feu est installée et configurée sur une instance AmazonEC2 du sous-réseau A de votre VPC. L'appliance inspecte tout le trafic entrant et sortant du VPC via lapasserelle Internet. La table de routage A est associée à la passerelle Internet. Le trafic destiné au sous-réseau B qui entre dans le VPC via la passerelle Internet est routé vers l'interface réseau de l'appliance(eni-11223344556677889). Tout le trafic qui quitte le sous-réseau B est également routé vers l'interfaceréseau de l'appliance.

L'exemple suivant a la même configuration que l'exemple précédent, mais il inclut le trafic IPv6. Le traficIPv6 destiné au sous-réseau B qui entre dans le VPC via la passerelle Internet est routé vers l'interfaceréseau de l'appliance (eni-11223344556677889). Tout le trafic (IPv4 et IPv6) qui quitte le sous-réseau Best également routé vers l'interface réseau de l'appliance.

Utilisation des tables de routageLes tâches suivantes vous montrent comment utiliser des tables de routage.

Note

Lorsque vous utilisez l'assistant VPC dans la console pour créer un VPC avec une passerelle,l'assistant met automatiquement à jour les tables de routage pour utiliser la passerelle. Si vousutilisez les outils de ligne de commande ou l'API pour configurer votre VPC, vous devez mettre àjour les tables vous-même.

Tâches• Comment déterminer la table de routage à laquelle est associé un sous-réseau (p. 236)

235


• Comment déterminer les sous-réseaux et/ou les passerelles explicitement associés à unetable (p. 236)

• Création d'une table de routage personnalisée (p. 237)• Ajout et suppression de routes d'une table de routage (p. 237)• Activation et désactivation de la propagation des routes (p. 238)• Association d'un sous-réseau à une table de routage (p. 239)• Modification de la table de routage d'un sous-réseau (p. 239)• Dissociation d'un sous-réseau d'une table de routage (p. 240)• Remplacement de la table de routage principale (p. 240)• Association d'une passerelle à une table de routage (p. 241)• Dissociation d'une passerelle d'une table de routage (p. 241)• Remplacement et restauration de la cible pour une route locale (p. 242)• Suppression d'une table de routage (p. 243)

Comment déterminer la table de routage à laquelle est associé unsous-réseauVous pouvez déterminer la table de routage à laquelle est associé un sous-réseau en examinant les détailsde sous-réseau sur la console Amazon VPC.

Pour déterminer la table de routage à laquelle est associé un sous-réseau

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets.3. Choisissez l'onglet Route Table afin d'afficher l'ID de table de routage et ses routes. S'il s'agit de la

table de routage principale, la console n'indique pas si l'association est implicite ou explicite. Pourdéterminer si l'association à la table de routage principale est explicite, voir Comment déterminer lessous-réseaux et/ou les passerelles explicitement associés à une table (p. 236).

Comment déterminer les sous-réseaux et/ou les passerellesexplicitement associés à une tableVous pouvez déterminer le nombre et la nature des sous-réseaux ou passerelles qui sont explicitementassociés à une table de routage.

La table de routage principale peut comporter des associations de sous-réseau explicites et implicites. Lestables de routage personnalisées comportent uniquement des associations explicites.

Les sous-réseaux qui ne sont pas explicitement associés à une table de routage comportent uneassociation implicite à la table de routage principale. Vous pouvez associer explicitement un sous-réseauà la table de routage principale. Pour un exemple de la raison pour laquelle vous pourriez le faire, veuillezconsulter Remplacement de la table de routage principale (p. 240).

Pour déterminer les sous-réseaux explicitement associés à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables.3. Affichez la colonne Explicit subnet association (Association de sous-réseau explicite) pour déterminer

les sous-réseaux explicitement associés.4. Sélectionnez la table de routage requise.

236




5. Dans le volet des détails, choisissez l'onglet Subnet Associations. Les sous-réseaux explicitementassociés à la table sont répertoriés sous l'onglet. Les sous-réseaux qui ne sont associés à aucunetable (et qui sont par conséquent implicitement associés à la table de routage principale) sontégalement répertoriés.

Pour déterminer les passerelles explicitement associées à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables.3. Affichez la colonne Edge associations (Associations périphériques) pour déterminer les passerelles

associées.4. Sélectionnez la table de routage requise.5. Dans le volet des détails, choisissez l'onglet Edge associations (Associations périphériques). Les

passerelles associées à la table de routage sont répertoriées.

Pour décrire une ou plusieurs tables de routage, et afficher leurs associations à l'aide de la lignede commande

• describe-route-tables (AWS CLI)• Get-EC2RouteTable (Outils AWS pour Windows PowerShell)

Création d'une table de routage personnaliséeVous pouvez créer une table de routage personnalisée pour votre VPC à partir de la console Amazon VPC.

Pour créer une table de routage personnalisée à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables.3. Choisissez Créer une table de routage.4. Pour Balise Nom, vous pouvez éventuellement fournir un nom pour votre table de routage. Cette étape

crée une balise avec une clé de Name et une valeur que vous spécifiez. Pour VPC, choisissez votreVPC, puis choisissez Créer.

Pour créer une table de routage personnalisée à l'aide de la ligne de commande

• créer une table de routage (AWS CLI)• New-EC2RouteTable (Outils AWS pour Windows PowerShell)

Ajout et suppression de routes d'une table de routageVous pouvez ajouter, supprimer et modifier des routes dans vos tables de routage. Vous pouvezuniquement modifier les routes que vous avez ajoutées.

Pour de plus amples informations sur l'utilisation de routes statiques pour une connexion Site-to-Site VPN,veuillez consulter Modification des routes statiques pour une connexion Site-to-Site VPN dans le Guide del'utilisateur AWS Site-to-Site VPN.

Pour modifier ou ajouter une route dans une table de routage à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

237


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RouteTable.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-edit-static-routes



2. Dans le panneau de navigation, choisissez Tables de routage et sélectionnez la table de routage.3. Choisissez Actions, Edit routes (Modifier les itinéraires).4. Pour ajouter une route, choisissez Add route (Ajouter une route). Pour Destination, entrez le bloc

d'adresse CIDR de destination ou une adresse IP unique.5. Pour modifier une route existante, pour Destination, remplacez le bloc d'adresse CIDR de destination

ou l'adresse IP unique. Pour Cible, choisissez une cible.6. Choisissez Save routes (Enregistrer les routes).

Pour ajouter une route dans une table de routage à l'aide de la ligne de commande

• create-route (AWS CLI)• New-EC2Route (Outils AWS pour Windows PowerShell)

Note

Si vous ajoutez une route à l'aide d'un outil de ligne de commande ou de l'API, le bloc d'adresseCIDR de destination est automatiquement ramené à sa forme canonique. Par exemple, si vousspécifiez 100.68.0.18/18 pour le bloc CIDR, nous créons une route avec un bloc d'adresseCIDR de destination de 100.68.0.0/18.

Pour remplacer une route existante dans une table de routage à l'aide de la ligne de commande

• replace-route (AWS CLI)• Set-EC2Route (Outils AWS pour Windows PowerShell)

Pour supprimer une route dans une table de routage à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le panneau de navigation, choisissez Tables de routage et sélectionnez la table de routage.3. Choisissez Actions, Edit routes (Modifier les itinéraires).4. Choisissez le bouton de suppression (x) à droite de la route que vous voulez supprimer.5. Choisissez Save routes (Enregistrer les itinéraires) lorsque vous avez terminé.

Pour supprimer une route d'une table de routage à l'aide de la ligne de commande

• delete-route (AWS CLI)• Remove-EC2Route (Outils AWS pour Windows PowerShell)

Activation et désactivation de la propagation des routesLa propagation du routage permet à une passerelle réseau privé virtuel de propager automatiquement desroutes vers les tables de routage. Cela signifie que vous n'avez pas besoin d'entrer manuellement desroutes VPN dans vos tables de routage. Vous pouvez activer ou désactiver la propagation du routage.

Pour plus d'informations sur les d'options de routage de VPN, consultez Options de routage Site-to-SiteVPN dans le Guide de l’utilisateur Site-to-Site VPN.

Pour activer la propagation de route avec la console


238

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Route.html





2. Dans le volet de navigation, choisissez Route Tables (Tables d'itinéraire), puis sélectionnez la tabled'itinéraire.

3. Choisissez Actions, Edit route propagation (Modifier la propagation des itinéraires).4. Sélectionnez la case à cocher Propagate (Propager) en regard de la passerelle réseau privé virtuel,

puis choisissez Save (Enregistrer).

Pour activer la propagation du routage à l'aide de la ligne de commande

• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (Outils AWS pour Windows PowerShell)

Pour désactiver la propagation de route avec la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables (Tables d'itinéraire), puis sélectionnez la table

d'itinéraire.3. Choisissez Actions, Edit route propagation (Modifier la propagation des itinéraires).4. Désélectionnez la case à cocher Propagate (Propager), puis choisissez Save (Enregistrer).

Pour désactiver la propagation du routage à l'aide de la ligne de commande

• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (Outils AWS pour Windows PowerShell)

Association d'un sous-réseau à une table de routagePour appliquer des routes de table de routage à un sous-réseau spécifique, vous devez associer la tablede routage au sous-réseau. Une table de routage peut être associée à plusieurs sous-réseaux. Toutefois,un sous-réseau peut être associé à une seule table de routage à la fois. Tout sous-réseau non associéexplicitement à une table est associé implicitement à la table de routage principale par défaut.

Pour associer une table de routage à un sous-réseau à l'aide de la console


d'itinéraire.3. Dans l'onglet Associations de sous-réseau, choisissez Edit subnet associations (Modifier les

associations de sous-réseau).4. Cochez la case Associate pour le sous-réseau à associer à la table de routage, puis sélectionnez

Save.

Pour associer un sous-réseau à une table de routage à l'aide de la ligne de commande

• associate-route-table (AWS CLI)• Register-EC2RouteTable (Outils AWS pour Windows PowerShell)

Modification de la table de routage d'un sous-réseauVous pouvez modifier la table de routage à laquelle est associé un sous-réseau.

239

https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2VgwRoutePropagation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2VgwRoutePropagation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2RouteTable.html


Pour modifier une association de table de routage et de sous-réseau à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets, puis sélectionnez le sous-réseau.3. Dans l'onglet Table de routage, choisissez Edit route table association (Modifier l'association de table

de routage).4. Dans la liste ID de table de routage, sélectionnez la nouvelle table de routage à laquelle associer le

sous-réseau, puis choisissez Enregistrer.

Pour modifier la table de routage associée à un sous-réseau à l'aide de la ligne de commande

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (Outils AWS pour Windows PowerShell)

Dissociation d'un sous-réseau d'une table de routageVous pouvez dissocier un sous-réseau d'une table de routage. Tant que vous n'associez pas le sous-réseau à une autre table de routage, il est associé implicitement à la table de routage principale.

Pour dissocier un sous-réseau d'une table de routage à l'aide de la console



associations de sous-réseau).4. Désélectionnez la case à cocher Associate en regard du sous-réseau, puis choisissez Save.

Pour dissocier un sous-réseau d'une table de routage à l'aide de la ligne de commande

• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (Outils AWS pour Windows PowerShell)

Remplacement de la table de routage principaleVous pouvez modifier la table de routage qui est la table de routage principale dans votre VPC.

Pour remplacer la table de routage principale à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables.3. Sélectionnez la table de routage de sous-réseau qui doit être la nouvelle table de routage principale,

puis choisissez Actions, Définir la table de routage principale.4. Dans la boîte de dialogue de confirmation, choisissez OK.

Pour remplacer la table de routage principale à l'aide de la ligne de commande

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (Outils AWS pour Windows PowerShell)

240


https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html


La procédure ci-après explique comment retirer une association explicite entre un sous-réseau et la tablede routage principale. Le résultat est une association implicite entre le sous-réseau et la table de routageprincipale. Le processus est identique à la dissociation d'un sous-réseau d'une table de routage.

Pour retirer une association explicite à la table de routage principale



associations de sous-réseau).4. Désélectionnez la case à cocher relative au sous-réseau, puis choisissez Enregistrer.

Association d'une passerelle à une table de routageVous pouvez associer une passerelle Internet ou une passerelle réseau privé virtuel à une table deroutage. Pour plus d'informations, consultez Tables de routage de passerelle (p. 226).

Pour associer une passerelle à une table de routage à l'aide de la console


d'itinéraire.3. Choisissez Actions, Edit edge associations (Modifier les associations périphériques).4. Choisissez Passerelles Internet ou Passerelles réseau privé virtuel pour afficher la liste des

passerelles.5. Choisissez la passerelle, puis Enregistrer.

Pour associer une passerelle à une table de routage à l'aide de l'AWS CLI

Utilisez la commande associate-route-table. L'exemple suivant associe la passerelle Internetigw-11aa22bb33cc44dd1 à la table de routage rtb-01234567890123456.

aws ec2 associate-route-table --route-table-id rtb-01234567890123456 --gateway-id igw-11aa22bb33cc44dd1

Dissociation d'une passerelle d'une table de routageVous pouvez dissocier une passerelle Internet ou une passerelle réseau privé virtuel d'une table deroutage.

Pour associer une passerelle à une table de routage à l'aide de la console


d'itinéraire.3. Choisissez Actions, Edit edge associations (Modifier les associations périphériques).4. Pour Associated gateways (Passerelles associées), choisissez le bouton de suppression (x) de la

passerelle à dissocier.5. Choisissez Enregistrer.

241



https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html



Pour dissocier une passerelle d'une table de routage à l'aide de la ligne de commande

• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (Outils AWS pour Windows PowerShell)

Remplacement et restauration de la cible pour une route localeVous pouvez modifier la cible de la route locale par défaut dans une table de routage depasserelle (p. 226) et spécifier à la place une interface réseau ou une instance figurant dans le mêmeVPC que la cible. Si vous remplacez la cible d'une route locale, vous pouvez la restaurer ultérieurementet rétablir la cible local par défaut. Si votre VPC a plusieurs blocs d'adresse CIDR (p. 96), vos tables deroutage ont plusieurs routes locales : une par bloc d'adresse CIDR. Vous pouvez remplacer ou restaurer lacible de chacune des routes locales si nécessaire.

Vous ne pouvez pas remplacer la cible pour une route locale dans une table de routage de sous-réseau.

Pour remplacer la cible d'une route locale à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables (Tables d'itinéraires), puis sélectionnez la table

d'itinéraire.3. Choisissez Actions, Edit routes (Modifier les itinéraires).4. Pour Cible, choisissez Interface réseau pour afficher la liste des interfaces réseau, puis choisissez

l'interface réseau.

Vous pouvez également choisir Instance pour afficher la liste des instances, puis choisir l'instance.5. Choisissez Save routes (Enregistrer les routes).

Pour restaurer la cible d'une route locale à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables (Tables d'itinéraires), puis sélectionnez la table

d'itinéraire.3. Choisissez Actions, Edit routes (Modifier les itinéraires).4. Pour Cible, choisissez local.5. Choisissez Save routes (Enregistrer les routes).

Pour remplacer la cible d'une route locale à l'aide de l'AWS CLI

Utilisez la commande replace-route. L'exemple suivant remplace la cible de la route locale pareni-11223344556677889.

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --network-interface-id eni-11223344556677889

Pour restaurer la cible d'une route locale à l'aide de l'AWS CLI

L'exemple suivant restaure la cible locale de la table de routage rtb-01234567890123456.

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --local-target

242

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html

Amazon Virtual Private Cloud Guide de l'utilisateurPasserelles Internet

Suppression d'une table de routageVous ne pouvez supprimer une table de routage que si elle n'est associée à aucun sous-réseau. Vous nepouvez pas supprimer la table de routage principale.

Pour supprimer une table de routage à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables.3. Sélectionnez la table de routage, puis choisissez Actions, Supprimer la table de routage.4. Dans la boîte de dialogue de confirmation, choisissez Supprimer la table de routage.

Pour supprimer une table de routage à l'aide de la ligne de commande

• delete-route-table (AWS CLI)• Remove-EC2RouteTable (Outils AWS pour Windows PowerShell)

Passerelles InternetUne passerelle Internet est un composant de VPC dimensionné horizontalement, redondant et hautementdisponible qui permet la communication entre votre VPC et Internet.

Une passerelle Internet a deux finalités : elle fournit une cible dans vos tables de routage VPC pour le traficroutable sur Internet et elle effectue la conversion d'adresse réseau (NAT) pour les instances auxquellesont été affectées des adresses IPv4 publiques.

Une passerelle Internet prend en charge le trafic IPv4 et IPv6. Elle ne génère pas de risques dedisponibilité ou de contraintes de bande passante sur votre trafic réseau.

Activation de l'accès InternetPour activer l'accès vers ou depuis Internet aux instances d'un sous-réseau dans un VPC, vous devezprocéder comme suit :

• Attachez une passerelle Internet à votre VPC.• Ajoutez une route à la table de routage de votre sous-réseau qui dirige le trafic lié à Internet vers la

passerelle Internet. Si un sous-réseau est associé à une table de routage comportant une route vers unepasserelle Internet, il est reconnu comme un sous-réseau public. Si un sous-réseau est associé à unetable de routage ne comportant pas de route vers une passerelle Internet, il est reconnu comme un sous-réseau privé.

• Assurez-vous que les instances dans votre sous-réseau ont une adresse IP globalement unique(adresse IPv4 publique, adresse IP Elastic ou adresse IPv6).

• Assurez-vous que les listes de contrôle d'accès et les règles des groupes de sécurité de votre réseauautorisent l'acheminement du trafic pertinent vers et en provenance de votre instance.

Dans votre table de routage de sous-réseau, vous pouvez spécifier une route pour la passerelle Internetvers toutes les destinations qui ne sont pas explicitement connues de la table de routage (0.0.0.0/0pour IPv4 ou ::/0 pour IPv6). Vous pouvez également définir la route vers une plage d'adresses IP plusrestreinte, par exemple, les adresses IPv4 publiques des points de terminaison publics de votre entrepriseen dehors de AWS, ou les adresses IP Elastic d'autres instances Amazon EC2 situées en dehors de votreVPC.

243


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2RouteTable.html

Amazon Virtual Private Cloud Guide de l'utilisateurActivation de l'accès Internet

Pour permettre la communication via Internet pour IPv4, votre instance doit comporter une adresse IPv4publique ou une adresse IP Elastic qui est associée à une adresse IPv4 privée sur votre instance. Votreinstance ne connaît que l'espace d'adresse IP privée (interne) défini au sein du VPC et du sous-réseau. Lapasserelle Internet fournit logiquement la relation NAT un-à-un sur le compte de votre instance, de sorteque lorsque le trafic quitte le sous-réseau de votre VPC et va sur Internet, le champ d'adresse de réponseest défini sur l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance, et non sur son adresseIP privée. Inversement, l'adresse de destination du trafic qui est destiné pour l'adresse IPv4 publique oul'adresse IP Elastic de votre instance est convertie en adresse IPv4 privée de l'instance avant que le traficne soit distribué au VPC.

Pour permettre la communication via Internet pour IPv6, votre VPC et un sous-réseau doivent avoir un blocd'adresse CIDR IPv6 associé et une adresse IPv6 doit être attribuée à votre instance à partir de la plage dusous-réseau. Les adresses IPv6 sont globalement uniques et par conséquent publiques par défaut.

Dans le diagramme suivant, le sous-réseau 1 du VPC est un sous-réseau public. Il est associé à une tablede routage personnalisée qui dirige l'ensemble du trafic IPv4 Internet entrant vers une passerelle Internet.L'instance a une adresse IP Elastic, ce qui permet la communication avec Internet.

Pour fournir un accès Internet à vos instances sans leur attribuer d'adresses IP publiques, vous pouvezutiliser un périphérique NAT à la place. Pour plus d'informations, consultez NAT (p. 252).

Accès Internet pour les VPC par défaut et personnalisés

Le tableau suivant fournit une vue d'ensemble qui indique si votre VPC est automatiquement associé auxcomposants requis pour l'accès Internet via IPv4 ou IPv6.

Composant VPC par défaut VPC personnalisé

Passerelle Internet Oui Oui, si vous avez créé le VPCà l'aide de la première ou de laseconde option dans l'AssistantVPC. Sinon, vous devez créer

244

Amazon Virtual Private Cloud Guide de l'utilisateurAjout d’une passerelle Internet à votre VPC

Composant VPC par défaut VPC personnaliséet attacher manuellement lapasserelle Internet.

Table de routage avec route versune passerelle Internet pour letrafic IPv4 (0.0.0.0/0)

Oui Oui, si vous avez créé le VPCà l'aide de la première ou de laseconde option dans l'AssistantVPC. Sinon, vous devez créer latable de routage manuellement etajouter le routage.

Table de routage avec route versune passerelle Internet pour letrafic IPv6 (::/0)

Non Oui, si vous avez créé le VPCà l'aide de la première ou de laseconde option dans l'AssistantVPC, et si vous avez spécifiél'option pour associer un blocd'adresse CIDR IPv6 avec leVPC. Sinon, vous devez créer latable de routage manuellement etajouter le routage.

Adresse IPv4 publique attribuéeautomatiquement à l'instancelancée dans le sous-réseau

Oui (sous-réseau par défaut) Non (sous-réseau personnalisé)

Adresse IPv6 attribuéeautomatiquement à l'instancelancée dans le sous-réseau

Non (sous-réseau par défaut) Non (sous-réseau personnalisé)

Pour plus d'informations sur les VPC par défaut, consultez VPC par défaut et sous-réseaux pardéfaut (p. 114). Pour plus d'informations sur l'utilisation de l'assistant VPC pour créer un VPC avec unepasserelle Internet, consultez VPC avec un sous-réseau public unique (p. 21) ou VPC avec des sous-réseaux publics et privés (NAT) (p. 29).

Pour plus d'informations sur l'adressage IP dans votre VPC et le contrôle de la façon dont les adressesIPv4 ou IPv6 publiques sont affectées aux instances, consultez Adressage IP dans votre VPC (p. 122).

Lorsque vous ajoutez un nouveau sous-réseau à votre VPC, vous devez définir le routage et la sécuritésouhaités pour ce sous-réseau.

Ajout d’une passerelle Internet à votre VPCLes informations suivantes décrivent comment créer manuellement un sous-réseau public et attacher unepasserelle Internet à votre VPC pour la prise en charge de l'accès Internet.

Tâches• Création d'un sous-réseau (p. 246)• Création et attachement d'une passerelle Internet (p. 246)• Création d'une table de routage personnalisée (p. 246)• Création d'un groupe de sécurité pour l'accès Internet (p. 247)• Ajout d'adresses IP Elastic (p. 247)• Détachement d'une passerelle Internet de votre VPC (p. 248)• Suppression d'une passerelle Internet (p. 248)• Présentation des API et des commandes (p. 248)

245


Création d'un sous-réseauPour ajouter un sous-réseau à votre VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Subnets, puis choisissez Create Subnet.3. Dans la boîte de dialogue Créer le sous-réseau (subnet), sélectionnez le VPC, la zone de disponibilité

et spécifiez le bloc d'adresse CIDR IPv4 pour le sous-réseau.4. (Facultatif, IPv6 uniquement) Pour IPv6 CIDR block, choisissez Specify a custom IPv6 CIDR.5. Choisissez Yes, Create.

Pour plus d'informations sur les sous-réseaux, consultez la section VPC et sous-réseaux (p. 91).

Création et attachement d'une passerelle InternetAprès avoir créé une passerelle Internet, attachez-la à votre VPC

Pour créer une passerelle Internet et l'attacher à votre VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Internet Gateways (Passerelles Internet), puis Create internet

gateway (Créer une passerelle Internet).3. Attribuez éventuellement un nom à votre passerelle Internet, puis choisissez Create (Créer).4. Sélectionnez la passerelle Internet que vous venez de créer, puis choisissez Actions, Attach to VPC

(Actions, Attacher au VPC).5. Sélectionnez le VPC dans la liste, puis choisissez Attach (Attacher).

Création d'une table de routage personnaliséeLorsque vous créez un sous-réseau, nous l'associons automatiquement à la table de routage principale devotre VPC. Par défaut, la table de routage principale ne contient pas de route vers une passerelle Internet.La procédure ci-après permet de créer une table de routage personnalisée avec une route qui envoie letrafic destiné à l'extérieur du VPC vers la passerelle Internet, puis l'associe à votre sous-réseau.

Pour créer une table de routage personnalisée

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables, puis Create Route Table.3. Dans la boîte de dialogue Create Route Table, nommez si vous le souhaitez votre table de routage,

puis sélectionnez votre VPC, puis choisissez Yes, Create.4. Sélectionnez la table de routage personnalisée que vous venez de créer. Le volet des détails affiche

des onglets pour utiliser ses routes, ses associations et la propagation du routage.5. Sur l'onglet Routes, choisissez Edit, Ajouter une autre route et ajoutez les routes suivantes si

nécessaire. Choisissez Save lorsque vous avez terminé.

• Pour le trafic IPv4, spécifiez 0.0.0.0/0 dans la zone Destination, puis sélectionnez l'ID depasserelle Internet dans la liste Target (Cible).

• Pour le trafic IPv6, spécifiez ::/0 dans la zone Destination, puis sélectionnez l'ID de passerelleInternet dans la liste Target (Cible).

6. Sous l'onglet Subnet Associations, choisissez Edit, sélectionnez la case à cocher Associate pour lesous-réseau, puis choisissez Save.

246





Pour plus d'informations, consultez Tables de routage (p. 220).

Création d'un groupe de sécurité pour l'accès InternetPar défaut, un groupe de sécurité VPC autorise tout le trafic sortant. Vous pouvez créer un nouveau groupede sécurité et ajouter des règles qui autorisent le trafic entrant à partir d'Internet. Vous pouvez ensuiteassocier le groupe de sécurité aux instances du sous-réseau public.

Pour créer un nouveau groupe de sécurité et l'associer à vos instances

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Security Groups, puis Create Security Group.3. Dans la boîte de dialogue Create Security Group, indiquez un nom pour le groupe de sécurité ainsi

qu'une description. Sélectionnez l'ID de votre VPC dans la liste VPC, puis choisissez Yes, Create.4. Sélectionnez le groupe de sécurité. Le volet des détails affiche les détails du groupe de sécurité, ainsi

que des onglets pour utiliser ses règles entrantes et sortantes.5. Sous l'onglet Inbound Rules, choisissez Edit. Choisissez Add Rule, puis entrez les informations

requises. Par exemple, sélectionnez HTTP ou HTTPS dans la liste Type et entrez la Source comme0.0.0.0/0 pour le trafic IPv4 ou ::/0 pour le trafic IPv6. Choisissez Save lorsque vous avezterminé.

6. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.7. Dans le panneau de navigation, choisissez Instances.8. Sélectionnez l'instance, choisissez Actions, puis Networking, et sélectionnez Change Security Groups.9. Dans la boîte de dialogue Change Security Groups, désélectionnez la case à cocher en regard du

groupe de sécurité actuellement sélectionné, puis sélectionnez-en un nouveau. Choisissez AssignSecurity Groups.

Pour plus d'informations, consultez Groupes de sécurité pour votre VPC (p. 165).

Ajout d'adresses IP ElasticAprès avoir lancé une instance dans le sous-réseau, vous devez lui affecter une adresse IP Elastic si vousvoulez qu'elle soit accessible depuis Internet via IPv4.

Note

Si vous avez affecté une adresse IPv4 publique à votre instance lors du lancement, votre instanceest accessible depuis Internet, et vous n'avez pas besoin de lui affecter une adresse IP Elastic.Pour plus d'informations sur l'adressage IP pour votre instance, consultez la section Adressage IPdans votre VPC (p. 122).

Pour allouer une adresse IP Elastic et l'affecter à une instance à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Choisissez Allouer une nouvelle adresse.4. Choisissez Allocate.

Note

Si votre compte prend en charge EC2-Classic, commencez par choisir VPC.5. Sélectionnez l'adresse IP Elastic dans la liste et choisissez Actions, puis Associate address.

247





6. Choisissez Instance ou Network interface, puis sélectionnez l'ID d'instance ou d'interface réseau.Sélectionnez l'adresse IP privée à laquelle associer l'adresse IP Elastic, puis choisissez Associate.

Pour plus d'informations, consultez Adresses IP Elastic (p. 292).

Détachement d'une passerelle Internet de votre VPCSi vous n'avez plus besoin d'un accès Internet pour les instances que vous lancez dans un VPCpersonnalisé, vous pouvez détacher une passerelle Internet d'un VPC. Vous ne pouvez pas détacher unepasserelle Internet si le VPC comporte des ressources avec des adresses IP publiques ou des adresses IPElastic associées.

Pour détacher une passerelle Internet

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs, puis l'adresse IP Elastic.3. Choisissez Actions, Disassociate address. Choisissez Dissocier l'adresse.4. Dans le panneau de navigation, choisissez Passerelles Internet.5. Sélectionnez la passerelle Internet, puis choisissez Actions, Detach from VPC (Actions, Détacher du

VPC).6. Dans la boîte de dialogue Detach from VPC (Détacher du VPC), choisissez Detach (Détacher).

Suppression d'une passerelle InternetSi vous n'avez plus besoin d'une passerelle Internet, vous pouvez la supprimer. Vous ne pouvez passupprimer une passerelle Internet si elle est encore attachée à un VPC.

Pour supprimer une passerelle Internet

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Internet Gateways.3. Sélectionnez la passerelle Internet, puis choisissez Actions, Delete internet gateway (Supprimer la

passerelle Internet).4. Dans la boîte de dialogue Delete internet Gateway (Supprimer la passerelle Internet), choisissez

Delete (Supprimer).

Présentation des API et des commandesVous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'une API.Pour plus d'informations sur les interfaces de ligne de commande et la liste des actions liées aux APIdisponibles, consultez Accès à Amazon VPC (p. 1).

Création d'une passerelle Internet

• create-internet-gateway (AWS CLI)• New-EC2InternetGateway (Outils AWS pour Windows PowerShell)

Attachement d'une passerelle Internet à un VPC

• attach-internet-gateway (AWS CLI)

248



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-internet-gateway.html

Amazon Virtual Private Cloud Guide de l'utilisateurPasserelles Internet de sortie uniquement

• Add-EC2InternetGateway (Outils AWS pour Windows PowerShell)

Description d'une passerelle Internet

• describe-internet-gateways (AWS CLI)• Get-EC2InternetGateway (Outils AWS pour Windows PowerShell)

Détachement d'une passerelle Internet d'un VPC

• detach-internet-gateway (AWS CLI)• Dismount-EC2InternetGateway (Outils AWS pour Windows PowerShell)

Suppression d'une passerelle Internet

• delete-internet-gateway (AWS CLI)• Remove-EC2InternetGateway (Outils AWS pour Windows PowerShell)

Passerelles Internet de sortie uniquementUne passerelle Internet de sortie uniquement est un composant de VPC dimensionnés horizontalement,redondant et hautement disponible qui permet la communication sortante via IPv6 des instances de votreVPC à Internet, et empêche Internet d'initier une connexion IPv6 avec vos instances.

Note

Une passerelle Internet de sortie doit être utilisée avec le trafic IPv6 uniquement. Pour activer lacommunication Internet sortante uniquement via IPv4, utilisez plutôt une passerelle NAT. Pourplus d'informations, consultez Passerelles NAT (p. 253).

Sommaire• Principes de base sur la passerelle Internet de sortie uniquement (p. 249)• Utilisation des passerelles Internet de sortie uniquement (p. 250)• Présentation des API et de l'interface de ligne de commande (CLI) (p. 252)

Principes de base sur la passerelle Internet de sortieuniquementUne instance de votre sous-réseau public peut se connecter à Internet via la passerelle Internet si ellecomporte une adresse IPv4 publique ou une adresse IPv6. De même, les ressources sur Internet peuventétablir une connexion à votre instance à l'aide de son adresse IPv4 publique ou de son adresse IPv6 ; parexemple, lorsque vous vous connectez à votre instance à l'aide de votre ordinateur local.

Les adresses IPv6 sont globalement uniques, et par conséquent publiques par défaut. Si vous souhaitezque votre instance puisse accéder à Internet, mais que vous voulez empêcher les ressources sur Internetd'initier la communication avec votre instance, vous pouvez utiliser une passerelle Internet de sortieuniquement. Pour ce faire, créez une passerelle Internet de sortie uniquement dans votre VPC, puisajoutez une route vers votre table de routage qui dirige tout le trafic IPv6 (::/0) ou une plage spécifique del'adresse IPv6 vers la passerelle Internet de sortie uniquement. Le trafic IPv6 du sous-réseau associé à latable de routage est acheminé vers la passerelle Internet de sortie uniquement.

249

https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2InternetGateway.html

Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation des passerelles Internet de sortie uniquement

Une passerelle Internet de sortie uniquement est avec état : elle transmet le trafic des instances du sous-réseau vers Internet ou d'autres services AWS, puis renvoie la réponse aux instances.

Une passerelle Internet de sortie uniquement présente les caractéristiques suivantes :

• Vous ne pouvez pas associer un groupe de sécurité à une passerelle Internet de sortie uniquement.Vous pouvez utiliser des groupes de sécurité pour vos instances dans le sous-réseau privé pourcontrôler le trafic à destination et en provenance de ces instances.

• Vous pouvez utiliser une liste ACL réseau pour contrôler le trafic à destination et en provenance du sous-réseau pour lequel la passerelle Internet de sortie uniquement achemine le trafic.

Dans le schéma suivant, un VPC comporte un bloc d'adresse CIDR IPv6, et un sous-réseau du VPCcomporte un bloc d'adresse CIDR IPv6. Une table de routage personnalisée est associée à Sous-réseau 1et dirige tout le trafic Internet IPv6 (::/0) vers une passerelle Internet de sortie uniquement du VPC.

Utilisation des passerelles Internet de sortieuniquementLes sections suivantes décrivent comment créer une passerelle Internet de sortie uniquement pour votresous-réseau privé, et configurer le routage du sous-réseau.

Création d'une passerelle Internet de sortie uniquementVous pouvez créer une passerelle Internet de sortie uniquement pour votre VPC à l'aide de la consoleAmazon VPC.

Pour créer une passerelle Internet de sortie uniquement

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Egress Only Internet Gateways.

250


Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation des passerelles Internet de sortie uniquement

3. Choisissez Create Egress Only Internet Gateway.4. Sélectionnez le VPC dans lequel créer la passerelle Internet de sortie uniquement. Sélectionnez Créer.

Affichage de votre passerelle Internet de sortie uniquementVous pouvez afficher les informations concernant votre passerelle Internet de sortie uniquement dans laconsole Amazon VPC.

Pour afficher les informations sur une passerelle Internet de sortie uniquement

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Egress Only Internet Gateways.3. Sélectionnez la passerelle Internet de sortie uniquement pour afficher ses informations dans le volet

des détails.

Création d'une table de routage personnaliséePour envoyer le trafic destiné à l'extérieur du VPC vers la passerelle Internet de sortie uniquement, vousdevez créer une table de routage personnalisée, ajouter une route qui envoie le trafic vers la passerelle,puis l'associer à votre sous-réseau.

Pour créer une table de routage personnalisée et ajouter une route à la passerelle Internet desortie uniquement

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Tables de routage, puis Créer une table de routage.3. Dans la boîte de dialogue Create Route Table, nommez si vous le souhaitez votre table de routage,

puis sélectionnez votre VPC, puis choisissez Yes, Create.4. Sélectionnez la table de routage personnalisée que vous venez de créer. Le volet des détails affiche

des onglets pour utiliser ses routes, ses associations et la propagation du routage.5. Sur l'onglet Routes, choisissez Edit (Modifier), spécifiez ::/0 dans la zone Destination, sélectionnez

l'ID de passerelle Internet de sortie uniquement dans la liste Target (Cible), puis choisissez Save(Enregistrer).

6. Sur l'onglet Associations de sous-réseau (subnet), choisissez Modifier, puis sélectionnez la case àcocher Associer pour le sous-réseau. Choisissez Save.

Sinon, vous pouvez ajouter une route vers une table de routage existante qui est associée à votre sous-réseau. Sélectionnez votre table de routage existante et suivez les étapes 5 et 6 ci-dessus pour ajouter uneroute vers la passerelle Internet de sortie uniquement.

Pour plus d'informations sur les tables de routage, consultez Tables de routage (p. 220).

Suppression d'une passerelle Internet de sortie uniquementSi vous n'avez plus besoin de passerelle Internet de sortie uniquement, vous pouvez la supprimer. Touteroute d'une table de routage qui pointe vers la passerelle Internet de sortie uniquement supprimée restedans un état blackhole tant que vous n'avez pas supprimé ni mis à jour manuellement la route.

Pour supprimer une passerelle Internet de sortie uniquement

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Egress Only Internet Gateways (Passerelles Internet de sortie

uniquement) et sélectionnez la passerelle Internet de sortie uniquement.

251




Amazon Virtual Private Cloud Guide de l'utilisateurPrésentation des API et de l'interface

de ligne de commande (CLI)

3. Sélectionnez Delete.4. Choisissez Delete Egress Only Internet Gateway dans la boîte de dialogue de confirmation.

Présentation des API et de l'interface de ligne decommande (CLI)Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'une API.Pour plus d'informations sur les interfaces de ligne de commande et la liste des actions liées aux APIdisponibles, consultez Accès à Amazon VPC (p. 1).

Création d'une passerelle Internet de sortie uniquement

• create-egress-only-internet-gateway (AWS CLI)• New-EC2EgressOnlyInternetGateway (Outils AWS pour Windows PowerShell)

Description d'une passerelle Internet de sortie uniquement

• describe-egress-only-internet-gateways (AWS CLI)• Get-EC2EgressOnlyInternetGatewayList (Outils AWS pour Windows PowerShell)

Suppression d'une passerelle Internet de sortie uniquement

• delete-egress-only-internet-gateway (AWS CLI)• Remove-EC2EgressOnlyInternetGateway (Outils AWS pour Windows PowerShell)

NATVous pouvez utiliser un périphérique NAT pour autoriser des instances dans un sous-réseau privé à seconnecter à Internet (par exemple, pour des mises à jour logicielles) ou à d'autres services AWS, maisempêcher Internet d'initier des connexions avec les instances. Un périphérique NAT transfère le traficdes instances dans le sous-réseau privé à Internet ou à d'autres services AWS et renvoie la réponse auxinstances. Quand le trafic est acheminé vers Internet, l'adresse IPv4 source est remplacée par l'adressedu périphérique NAT et de même, quand le trafic de la réponse va vers ces instances, le périphérique NATtraduit à nouveau l'adresse en adresses IPv4 privées de ces instances.

Les périphériques NAT ne sont pas pris en charge pour le trafic IPv6 ; —utilisez une passerelle Internetde sortie uniquement à la place. Pour plus d'informations, consultez Passerelles Internet de sortieuniquement (p. 249).

Note

Nous utilisons le terme NAT dans cette documentation pour suivre les pratiques informatiquescourantes, bien que le véritable rôle d'un périphérique NAT soit la traduction d'adresse et latraduction d'adresse port (PAT).

AWS offre deux types de périphériques NAT— : une passerelle NAT ou une instance NAT. Nousrecommandons les passerelles NAT puisqu'elles offrent une meilleure disponibilité et plus de bandepassante que les instances NAT. Le service de passerelle NAT est également un service géré qui nenécessite pas de tâches administratives. Une instance NAT est lancée depuis une AMI NAT. Vous pouvezchoisir d'utiliser une instance NAT à des fins spéciales.

• Passerelles NAT (p. 253)

252

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2EgressOnlyInternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-egress-only-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EgressOnlyInternetGatewayList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EgressOnlyInternetGateway.html

Amazon Virtual Private Cloud Guide de l'utilisateurPasserelles NAT

• Instances NAT (p. 272)• Comparaison des instances NAT et des passerelles NAT (p. 280)

Passerelles NATVous pouvez utiliser une passerelle de traduction d'adresses réseau (NAT) pour autoriser les instancesd'un sous-réseau privé à se connecter à Internet ou à d'autres services AWS, mais empêcher Internet delancer une connexion avec ces instances. Pour plus d'informations sur NAT, consultez NAT (p. 252).

La création et l'utilisation d'une passerelle NAT vous sont facturées dans votre compte. Des tarifss'appliquent au coût horaire et au traitement de données d'une passerelle NAT. Des frais Amazon EC2 sontégalement facturés pour le transfert de données. Pour plus d'informations, consultez Tarification AmazonVPC.

Les passerelles NAT ne sont pas prises en charge pour le trafic IPv6 ; utilisez une passerelle Internetde sortie uniquement à la place. Pour plus d'informations, consultez Passerelles Internet de sortieuniquement (p. 249).

Sommaire• Principes de base d'une passerelle NAT (p. 253)• Utilisation des passerelles NAT (p. 255)• Contrôle de l'utilisation de passerelles NAT (p. 259)• Balisage d'une passerelle NAT (p. 259)• Présentation des API et de l'interface de ligne de commande (CLI) (p. 259)• Surveillance des passerelles NAT à l'aide de Amazon CloudWatch (p. 260)• Résolution des problèmes de passerelles NAT (p. 265)

Principes de base d'une passerelle NATPour créer une passerelle NAT, vous devez spécifier le sous-réseau public dans lequel la passerelle NATdoit résider. Pour plus d'informations sur les sous-réseaux publics et privés, consultez Routage des sous-réseaux (p. 100). Vous devez également spécifier une adresse IP Elastic (EIP) (p. 292) à associer à lapasserelle NAT quand vous la créez. L'adresse IP Elastic ne peut pas être modifiée une fois qu'elle estassociée à la passerelle NAT. Après avoir créé une passerelle NAT, vous devez mettre à jour la table deroutage associée à un ou à plusieurs de vos sous-réseaux privés pour pointer le trafic lié à Internet vers lapasserelle NAT. Cela permet aux instances des sous-réseaux privés de communiquer avec Internet.

Chaque passerelle NAT est créée dans une zone de disponibilité spécifique et implémentée de manièreredondante dans cette zone. Vous disposez d'un quota de passerelles NAT que vous pouvez créer danschaque zone de disponibilité. Pour plus d'informations, consultez Quotas Amazon VPC (p. 362).

Note

Si vous avez des ressources dans plusieurs zones de disponibilité et qu'elles partagent unepasserelle NAT, si une panne affecte la zone de disponibilité de la passerelle NAT, les ressourcesdes autres zones de disponibilité perdent leur accès à Internet. Pour créer une architecture dezone de disponibilité indépendante, créez une passerelle NAT dans chaque zone de disponibilitéet configurez votre routage pour vous assurer que les ressources utilisent la passerelle NAT dansla même zone de disponibilité.

Si vous n'avez plus besoin d'une passerelle NAT, vous pouvez la supprimer. Supprimer une passerelleNAT dissocie son adresse IP Elastic mais ne libère pas l'adresse de votre compte.

Le graphique suivant illustre l'architecture du VPC avec une passerelle NAT. La table de routage principaleenvoie le trafic Internet sortant des instances du sous-réseau privé vers la passerelle NAT. La passerelle

253

http://aws.amazon.com/vpc/pricing/

http://aws.amazon.com/vpc/pricing/


NAT envoie le trafic vers la passerelle Internet en utilisant l'adresse IP Elastic de la passerelle NAT commeadresse IP source.

Limitations et règles appliquées aux passerelles NAT

Une passerelle NAT comporte les caractéristiques et limitations suivantes :

• Une passerelle NAT prend en charge jusqu'à 5 Gb/s de bande passante et est mise à l'échelleautomatiquement jusqu'à 45 Gb/s. Si vous avez besoin d'une augmentation supérieure, vous pouvezrépartir la charge de travail en répartissant vos ressources dans plusieurs sous-réseaux et en créant unepasserelle NAT dans chaque sous-réseau.

• Vous pouvez associer exactement une adresse IP Elastic à une passerelle NAT. Vous ne pouvez pasdissocier une adresse IP Elastic d'une passerelle NAT après qu'elle ait été créée. Si vous souhaitezutiliser une adresse IP Elastic différente pour votre passerelle NAT, vous devez créer une nouvellepasserelle NAT avec l'adresse requise, mettre à jour vos tables de routage, puis supprimer la passerelleNAT existante si vous n'en avez plus besoin.

• Une passerelle NAT prend en charge les protocoles suivants : TCP, UDP et ICMP.• Vous ne pouvez pas associer de groupe de sécurité à une passerelle NAT. Vous pouvez utiliser des

groupes de sécurité pour vos instances dans les sous-réseaux privés pour contrôler le trafic entrant etsortant de ces instances.

• Vous pouvez utiliser une liste ACL réseau pour contrôler le trafic entrant et sortant du sous-réseau danslequel la passerelle NAT est située. La liste ACL réseau s'applique au trafic de la passerelle NAT. Unepasserelle NAT utilise les ports 1024–65535. Pour plus d'informations, consultez ACL réseau (p. 174).

• Quand une passerelle NAT est créée, elle reçoit une interface réseau qui est automatiquement attribuéeà une adresse IP privée à partir de la plage d'adresses IP de votre sous-réseau. Vous pouvez voir

254


l'interface réseau de la passerelle NAT dans la console Amazon EC2. Pour plus d'informations, consultezAffichage des détails relatifs à une interface réseau. Vous ne pouvez pas modifier les attributs de cetteinterface réseau.

• Une connexion ClassicLink associée à votre VPC ne peut pas accéder à la passerelle NAT.• Vous ne pouvez pas acheminer de trafic vers une passerelle NAT via une connexion d'appairage de

VPC, une connexion Site-to-Site VPN ou AWS Direct Connect. Une passerelle NAT ne peut pas êtreutilisée par des ressources de l'autre côté de ces connexions.

• Une passerelle NAT peut prendre en charge jusqu'à 55,000 connexions simultanées pour chaquedestination unique. Cette limite existe également si vous créez environ 900 connexions par secondeavec une seule destination (environ 55 000 connexions par minute). Si l'adresse IP de destination, leport de destination ou le protocole (TCP/UDP/ICMP) change, vous pouvez créer 55 000 connexionssupplémentaires. Pour plus de 55 000 connexions, le risque d'erreur de connexion est plus élevé enraison des erreurs d'allocation de port. Ces erreurs peuvent être surveillées en affichant la métriqueErrorPortAllocation CloudWatch pour votre passerelle NAT. Pour plus d'informations, consultezSurveillance des passerelles NAT à l'aide de Amazon CloudWatch (p. 260).

Migration à partir d'une instance NAT

Si vous utilisez déjà une instance NAT, vous pouvez la remplacer avec une passerelle NAT. Pour ce faire,vous pouvez créer passerelle NAT dans le même sous-réseau que votre instance NAT, puis remplacer laroute existant dans votre table de routage qui pointe vers l'instance NAT par une route qui pointe vers lapasserelle NAT. Si vous souhaitez utiliser la même adresse IP Elastic pour la passerelle NAT que vousutilisez actuellement et pour votre instance NAT, vous devez d'abord dissocier l'adresse IP Elastic de votreinstance NAT, puis l'associer à votre passerelle NAT lors de la création de la passerelle.

Note

Si vous changez votre routage d'une instance NAT pour une passerelle NAT, ou si vous dissociezl'adresse IP Elastic de votre instance NAT, toutes les connexions en cours sont abandonnées etdoivent être rétablies. Assurez-vous de ne pas avoir de tâches importantes (ou toute autre tâchequi fonctionne via l'instance NAT) en cours d'exécution.

Bonne pratique lors de l'envoi de trafic à Amazon S3 ou à DynamoDB dans lamême région

Pour éviter les frais de traitement des données pour les passerelles NAT lors de l'accès à Amazon S3et DynamoDB se trouvant dans la même région, configurez un point de terminaison de passerelle etacheminez le trafic via ce dernier au lieu de la passerelle NAT. Il n'y a pas de frais pour l'utilisation d'unpoint de terminaison de passerelle. Pour plus d'informations, consultez Points de terminaison d'un VPC depasserelle (p. 316).

Utilisation des passerelles NATVous pouvez utiliser la console Amazon VPC pour créer, voir et supprimer une passerelle NAT. Vouspouvez également utiliser l'assistant Amazon VPC pour créer un VPC avec un sous-réseau public, unsous-réseau privé et une passerelle NAT. Pour plus d'informations, consultez VPC avec des sous-réseauxpublics et privés (NAT) (p. 29).

Tâches• Création d'une passerelle NAT (p. 256)• Mise à jour de votre table de routage (p. 256)• Suppression d'une passerelle NAT (p. 257)• Test d'une passerelle NAT (p. 257)

255

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#view_eni_details


Création d'une passerelle NAT

Pour créer une passerelle NAT, vous devez spécifier un sous-réseau et une adresse IP Elastic. Assurez-vous que l'adresse IP Elastic n'est actuellement associée à aucune instance ou interface réseau. Si vousmigrez d'une instance NAT vers une passerelle NAT et que vous voulez réutiliser l'adresse IP Elastic del'instance NAT, vous devez d'abord dissocier l'adresse de votre instance NAT.

Créer une passerelle NAT

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez NAT Gateways, Create NAT Gateway.3. Spécifiez le sous-réseau dans lequel créer la passerelle NAT et sélectionnez un ID d'allocation

d'adresse IP Elastic à associer à la passerelle NAT.4. (Facultatif) Ajoutez ou supprimez une balise.

[Ajouter une balise] Choisissez Ajouter une balise et procédez comme suit :

• Pour Clé, saisissez le nom de la clé.• Pour Value (Valeur), saisissez la valeur de la clé.

[Supprimer une balise] Choisissez le bouton de suppression (« x ») situé à la droite de la clé et de lavaleur de la balise.

5. Choisissez Créer une passerelle NAT.6. La passerelle NAT s'affiche dans la console. Après quelques instants, son statut change pour

Available, après quoi elle est prête à être utilisée.

Si le statut de la passerelle NAT devient Failed, alors il y a eu une erreur pendant la création. Pour plusd'informations, consultez La passerelle NAT passe en statut d'échec (p. 265).

Mise à jour de votre table de routage

Après avoir créé la passerelle NAT, vous devez mettre à jour les tables de routage afin que les sous-réseaux privés pointent le trafic Internet vers la passerelle NAT. Nous utilisons la route la plus spécifiquequi correspond au trafic afin de déterminer comment router le trafic (correspondance de préfixe le pluslong). Pour plus d'informations, consultez Priorité de route (p. 227).

Créer une route pour une passerelle NAT

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables.3. Sélectionnez la table de routage associée à votre sous-réseau privé et choisissez Routes, puis Edit.4. Choisissez Add another route. En regard de Destination, entrez 0.0.0.0/0. Pour Target,

sélectionnez l'ID de votre passerelle NAT.

Note

Si vous migrez l'utilisation d'une instance NAT, vous pouvez remplacer la route actuelle quipointe vers l'instance NAT par une route vers la passerelle NAT.

5. Choisissez Save.

Pour veiller à ce que votre passerelle NAT puisse accéder à Internet, la table de routage associée ausous-réseau dans lequel votre passerelle NAT réside doit inclure une route qui pointe le trafic Internetvers une passerelle Internet. Pour plus d'informations, consultez Création d'une table de routage

256




personnalisée (p. 246). Si vous supprimez une passerelle NAT, les routes de la passerelle NAT restenten statut blackhole jusqu'à ce que vous supprimiez ou mettiez les routes à jour. Pour plus d'informations,consultez Ajout et suppression de routes d'une table de routage (p. 237).

Suppression d'une passerelle NAT

Vous pouvez supprimer une passerelle NAT à l'aide de la console Amazon VPC. Après avoir supprimé unepasserelle NAT, son entrée reste visible dans la console Amazon VPC pendant un court laps de temps(généralement une heure), après quoi elle est automatiquement supprimée. Vous ne pouvez pas supprimercette entrée vous-même.

Supprimer une passerelle NAT

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez NAT Gateways.3. Sélectionnez la passerelle NAT, puis choisissez Actions , Delete NAT Gateway (Supprimer la

passerelle NAT).4. Dans la boîte de dialogue de confirmation, choisissez Delete NAT Gateway.

Test d'une passerelle NAT

Après avoir créé votre passerelle NAT et mis à jour vos tables de routage, vous pouvez effectuer un testping sur quelques adresses distantes sur Internet depuis une instance de votre sous-réseau privé pourtester sa connexion à Internet. Pour obtenir un exemple montrant la façon de procéder, consultez Test dela connexion Internet (p. 257).

Si vous ne pouvez pas vous connecter à Internet, vous pouvez également réaliser les tests suivants afin dedéterminer si le trafic Internet est acheminé via la passerelle NAT :

• Vous pouvez tracer la route du trafic d'une instance vers votre sous-réseau privé. Pour ce faire, exécutezla commande traceroute depuis une instance Linux dans votre sous-réseau privé. A la sortie, vousdevez voir l'adresse IP privée de la passerelle NAT dans un des sauts (il s'agit généralement du premiersaut).

• Utilisez un site Web ou un outil tiers qui affiche l'adresse IP source quand vous vous y connectez depuisune instance dans votre sous-réseau privé. L'adresse IP source doit être l'adresse IP Elastic de votrepasserelle NAT. Vous pouvez obtenir l'adresse IP Elastic et l'adresse IP privée de votre passerelle NATen consultant ses informations sur la page Passerelles NAT dans la console Amazon VPC.

Si les tests précédents échouent, consultez Résolution des problèmes de passerelles NAT (p. 265).

Test de la connexion Internet

L'exemple suivant montre comment tester si votre instance d'un sous-réseau privé peut se connecter àInternet.

1. Lancez une instance dans votre sous-réseau public (vous l'utiliserez comme hôte bastion). Pour plusd'informations, consultez Lancement d'une instance dans votre sous-réseau (p. 106). Dans l'assistantde lancement, assurez-vous de sélectionner une AMI Amazon Linux et d'assigner une adresse IPpublique à votre instance. Assurez-vous que les règles de votre groupe de sécurité autorisent le traficSSH entrant depuis la plage d'adresses IP pour votre réseau local, et le trafic SSH sortant vers la plaged'adresses IP de votre sous-réseau privé (vous pouvez également utiliser 0.0.0.0/0 pour le trafic SSHentrant et sortant pour ce test).

2. Lancez une instance dans votre sous-réseau privé. Dans l'assistant de lancement, assurez-vous desélectionner une AMI Amazon Linux. N'assignez pas d'adresse IP publique à votre instance. Assurez-vous que les règles de votre groupe de sécurité autorisent le trafic SSH entrant depuis l'adresse IP

257



privée de votre instance que vous avez lancée dans le sous-réseau public, et tout le trafic ICMP sortant.Vous devez choisir la même paire de clés que vous avez utilisée pour lancer votre instance dans unsous-réseau public.

3. Configurez le transfert de l'agent SSH sur votre ordinateur local et connectez-vous à votre hôtebastion dans le sous-réseau public. Pour plus d'informations, consultez Pour configurer le transfert del'agent SSH pour Linux ou macOS (p. 258) ou Configurer le transfert de l'agent SSH pour Windows(PuTTY) (p. 258).

4. Depuis votre hôte bastion, connectez-vous à votre instance du sous-réseau privé, puis testez laconnexion Internet depuis votre instance du sous-réseau privé. Pour plus d'informations, consultez Pourtester la connexion Internet (p. 258).

Pour configurer le transfert de l'agent SSH pour Linux ou macOS

1. Depuis votre machine locale, ajoutez votre clé privée à l'agent d'authentification.

Pour Linux, utilisez la commande suivante.

ssh-add -c mykeypair.pem

Pour macOS, utilisez la commande suivante.

ssh-add -K mykeypair.pem

2. Connectez-vous à votre instance dans le sous-réseau public à l'aide de l'option -A pour activer letransfert de l'agent SSH et utilisez l'adresse publique de l'instance, comme dans l'exemple suivant :

ssh -A [email protected]

Configurer le transfert de l'agent SSH pour Windows (PuTTY)

1. Téléchargez et installez Pageant depuis la PuTTY download page, s'il n'est pas déjà installé.2. Convertissez votre clé privée au format .ppk. Pour plus d'informations, consultez Conversion de votre

clé privée à l’aide de PuTTYgen dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.3. Démarrez Pageant, cliquez avec le bouton droit sur l'icône Pageant de la barre des tâches (il peut

être masqué) et choisissez Add Key. Sélectionnez le fichier .ppk que vous avez créé, entrez la phrasesecrète si nécessaire, puis choisissez Ouvrir.

4. Démarrez une session PuTTY et connectez-vous à votre instance dans le sous-réseau public à l'aidede son adresse IP publique. Pour plus d'informations, consultez Connexion à votre instance Linux.Dans la catégorie Auth, assurez-vous d'avoir sélectionné l'option Allow agent forwarding, puis laissezla zone Private key file for authentication vide.

Pour tester la connexion Internet

1. Depuis votre instance dans le sous-réseau public, connectez-vous à votre instance dans votre sous-réseau privé en utilisant son adresse IP privée, comme illustré dans l'exemple suivant.

ssh [email protected]

2. Depuis votre instance privée, vérifiez que vous pouvez vous connecter à Internet en exécutant lacommande ping pour un site web dont l'ICMP est activé.

ping ietf.org

258

http://www.chiark.greenend.org.uk/~sgtatham/putty/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-private-key


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-ssh


PING ietf.org (4.31.198.44) 56(84) bytes of data.64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms...

Appuyez sur Ctrl+C sur votre clavier pour annuler la commande ping. Si la commande ping échoue,consultez Les instances ne peuvent pas accéder à Internet (p. 268).

3. (Facultatif) Si vous n'avez plus besoin de vos instances, mettez-les hors service. Pour plusd'informations, consultez Résilier votre instance dans le Amazon EC2 Guide de l'utilisateur pour lesinstances Linux.

Contrôle de l'utilisation de passerelles NATPar défaut, les utilisateurs IAM ne sont pas autorisés à utiliser des passerelles NAT. Vous pouvezcréer une stratégie utilisateur IAM qui autorise les utilisateurs à créer, modifier, décrire et supprimerdes passerelles NAT. Pour le moment, nous ne prenons pas en charge de permissions au niveau desressources pour aucune des opérations de l'API ec2:*NatGateway*. Pour de plus amples informationssur les stratégies IAM pour Amazon VPC, veuillez consulter Identity and Access Management pourAmazon VPC (p. 148).

Balisage d'une passerelle NATVous pouvez baliser votre passerelle NAT afin de l'identifier ou de la classer en fonction des besoinsde votre organisation. Pour plus d'informations sur l'utilisation des balises, consultez Balisage de vosressources Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Les balises de répartition des coûts sont prises en charge pour les passerelles NAT. Par conséquent, vouspouvez également utiliser des balises pour organiser votre facture AWS et refléter votre propre structure decoût. Pour plus d’informations, consultez Utilisation des balises de répartition des coûts dans le AWS Billingand Cost Management Guide de l'utilisateur. Pour plus d'informations sur la configuration d'un rapportde répartition des coûts avec des balises, consultez le Rapport de répartition des coûts mensuel dans Àpropos de la facturation de compte AWS.

Présentation des API et de l'interface de ligne de commande(CLI)Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou de l'API.Pour plus d'informations sur les interfaces de ligne de commande et une liste des opérations de l'APIdisponibles, consultez Accès à Amazon VPC (p. 1).

Créer une passerelle NAT

• create-nat-gateway (AWS CLI)• New-EC2NatGateway (Outils AWS pour Windows PowerShell)• CreateNatGateway (API de requête Amazon EC2)

Baliser une passerelle NAT

• create-tags (AWS CLI)• New-EC2Tag (Outils AWS pour Windows PowerShell)• CreateTags (API de requête Amazon EC2)

259


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNatGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html


Décrire une passerelle NAT

• describe-nat-gateways (AWS CLI)• Get-EC2NatGateway (Outils AWS pour Windows PowerShell)• DescribeNatGateways (API de requête Amazon EC2)

Supprimer une passerelle NAT

• delete-nat-gateway (AWS CLI)• Remove-EC2NatGateway (Outils AWS pour Windows PowerShell)• DeleteNatGateway (API de requête Amazon EC2)

Surveillance des passerelles NAT à l'aide de AmazonCloudWatchVous pouvez surveiller votre passerelle NAT avec CloudWatch, qui recueille des informations de votrepasserelle NAT et crée des métriques lisibles presque en temps réel. Vous pouvez utiliser ces informationsafin de surveiller et de résoudre les problèmes de votre passerelle NAT. Les données de métriques de lapasserelle NAT sont fournies à la fréquence d'1 minute et les statistiques sont enregistrées pendant unepériode de 15 mois.

Pour plus d'informations sur Amazon CloudWatch, consultez le Guide de l'utilisateur Amazon CloudWatch.Pour plus d'informations sur la tarification, consultez laTarification Amazon CloudWatch.

Dimensions et métriques de la passerelle NAT

Les métriques suivantes sont disponibles pour vos passerelles NAT.

Métrique Description

ActiveConnectionCount Nombre total de connexions TCP activessimultanées via la passerelle NAT.

Une valeur équivalant à zéro indique qu'il n'y aaucune connexion active sur la passerelle NAT.

Unités : nombre

Statistics : la statistique la plus utile est Max.

BytesInFromDestination Nombre d'octets reçus par la passerelle NAT enprovenance de la destination.

Si la valeur de BytesOutToSource est inférieureà celle de BytesInFromDestination, certainesdonnées risquent d'être perdues lors du traitementde la passerelle NAT, ou le trafic risque d'êtrebloqué activement par la passerelle NAT.

Unités : octets

Statistics : la statistique la plus utile est Sum.

BytesInFromSource Nombre d'octets reçus par la passerelle NAT enprovenance des clients de votre VPC.

260

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNatGateways.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteNatGateway.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

http://aws.amazon.com/cloudwatch/pricing


Métrique DescriptionSi la valeur de BytesOutToDestination estinférieure à celle de BytesInFromSource,certaines données risquent d'être perdues lors dutraitement de la passerelle NAT.

Unités : octets


BytesOutToDestination Nombre d'octets envoyés à la destination via lapasserelle NAT.

Une valeur supérieure à zéro indique la présenced'un trafic vers Internet en provenance de clientsqui se trouvent derrière la passerelle NAT. Sila valeur de BytesOutToDestination estinférieure à celle de BytesInFromSource,certaines données risquent d'être perdues lors dutraitement de la passerelle NAT.

Unité : octets


BytesOutToSource Nombre d'octets envoyés aux clients de votre VPCvia la passerelle NAT.

Une valeur supérieure à zéro indique la présenced'un trafic en provenance d'Internet vers des clientsqui se trouvent derrière la passerelle NAT. Si lavaleur de BytesOutToSource est inférieure àcelle de BytesInFromDestination, certainesdonnées risquent d'être perdues lors du traitementde la passerelle NAT, ou le trafic risque d'êtrebloqué activement par la passerelle NAT.

Unités : octets


ConnectionAttemptCount Nombre de tentatives de connexion effectuées surla passerelle NAT.

Si la valeur de ConnectionEstablishedCountest inférieure à celle deConnectionAttemptCount, cela indique quedes clients se trouvant derrière la passerelle NATont tenté d'établir de nouvelles connexions qui n'ontpas abouti.

Unité : nombre


261



ConnectionEstablishedCount Nombre de connexions établies sur la passerelleNAT.

Si la valeur de ConnectionEstablishedCountest inférieure à celle deConnectionAttemptCount, cela indique quedes clients se trouvant derrière la passerelle NATont tenté d'établir de nouvelles connexions qui n'ontpas abouti.

Unité : nombre


ErrorPortAllocation Nombre de fois où la passerelle NAT n'a pas puallouer de port source.

Une valeur supérieure à zéro indique qu'un tropgrand nombre de connexions simultanées sontouvertes sur la passerelle NAT.

Unités : nombre


IdleTimeoutCount Nombre de connexions qui sont passées de l'étatactif à l'état inactif. Une connexion active passe àl'état inactif si elle a été fermée correctement et siaucune activité n'a eu lieu pendant les dernières350 secondes.

Une valeur supérieure à zéro indique que certainesconnexions sont passées à l'état inactif. Si la valeurde IdleTimeoutCount augmente, cela peutêtre le signe que des clients se trouvant derrièrela passerelle NAT ré-utilisent des connexionsobsolètes.

Unité : nombre


PacketsDropCount Nombre de paquets abandonnés par la passerelleNAT.

Une valeur supérieure à zéro peut indiquer laprésence d'un problème temporaire au niveaude la passerelle NAT. Si cette valeur est élevée,consultez le tableau de bord de l'état des servicesAWS.

Unités : nombre


262

http://status.aws.amazon.com/

http://status.aws.amazon.com/



PacketsInFromDestination Nombre de paquets reçus par la passerelle NAT enprovenance de la destination.

Si la valeur de PacketsOutToSourceest inférieure à celle dePacketsInFromDestination, certainesdonnées risquent d'être perdues lors du traitementde la passerelle NAT, ou le trafic risque d'êtrebloqué activement par la passerelle NAT.

Unité : nombre


PacketsInFromSource Nombre de paquets reçus par la passerelle NAT enprovenance des clients de votre VPC.

Si la valeur de PacketsOutToDestination estinférieure à celle de PacketsInFromSource,certaines données risquent d'être perdues lors dutraitement de la passerelle NAT.

Unité : nombre


PacketsOutToDestination Nombre de paquets envoyés à la destination via lapasserelle NAT.

Une valeur supérieure à zéro indique la présenced'un trafic vers Internet en provenance de clientsqui se trouvent derrière la passerelle NAT. Sila valeur de PacketsOutToDestination estinférieure à celle de PacketsInFromSource,certaines données risquent d'être perdues lors dutraitement de la passerelle NAT.

Unité : nombre


PacketsOutToSource Nombre de paquets envoyés aux clients de votreVPC via la passerelle NAT.

Une valeur supérieure à zéro indique la présenced'un trafic en provenance d'Internet vers des clientsqui se trouvent derrière la passerelle NAT. Si lavaleur de PacketsOutToSource est inférieure àcelle de PacketsInFromDestination, certainesdonnées risquent d'être perdues lors du traitementde la passerelle NAT, ou le trafic risque d'êtrebloqué activement par la passerelle NAT.

Unité : nombre


263


Pour filtrer les données de métriques, utilisez la dimension suivante.

Dimension Description

NatGatewayId Permet de filtrer les données en fonction de l'ID depasserelle NAT.

Affichage des métriques CloudWatch de la passerelle NAT

Les métriques de la passerelle NAT sont envoyées à CloudWatch chaque minute. Vous pouvez afficher lesmétriques de vos passerelles NAT en procédant comme suit.

Pour afficher des métriques à l'aide de la console CloudWatch

Les métriques sont d'abord regroupées par espace de noms de service, puis par les différentescombinaisons de dimension au sein de chaque espace de noms.

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Métriques.3. Sous Toutes les métriques, choisissez l'espace de nom de métrique Passerelle NAT.4. Pour afficher les métriques, sélectionnez la dimension de métrique.

Pour afficher les métriques à l'aide de l'AWS CLI

À l'invite de commande, utilisez la commande suivante pour répertorier les métriques disponibles pour leservice de passerelle NAT.

aws cloudwatch list-metrics --namespace "AWS/NATGateway"

Création d'alarmes CloudWatch pour surveiller une passerelle NAT

Vous pouvez créer une alarme CloudWatch qui envoie un message Amazon SNS lorsque l'alarme changed'état. Une alarme surveille une seule métrique pendant la période que vous spécifiez. Elle envoie unenotification à une rubrique Amazon SNS en fonction de la valeur de la métrique par rapport à un seuildonné sur un certain nombre de périodes.

Par exemple, vous pouvez créer une alarme qui surveille la quantité de trafic entrant dans lapasserelle NAT ou sortant de celle-ci. L'alarme suivante surveille la quantité de trafic sortant des clients devotre VPC via la passerelle NAT vers Internet. Elle envoie une notification lorsque le nombre d'octets atteintun seuil de 5 000 000 au cours d'une période de 15 minutes.

Pour créer une alarme pour votre trafic réseau sortant via la passerelle NAT

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Alarmes, puis Créer une alarme.3. Choisissez Passerelle NAT.4. Sélectionnez la passerelle NAT et la métriqueBytesOutToDestination, puis choisissez Suivant.5. Configurez l'alarme comme suit et choisissez Create Alarm une fois que vous avez terminé :

• Sous Alarm Threshold, indiquez un nom et une description pour votre alarme. Pour Whenever,choisissez >= et entrez 5000000. Entrez 1 pour les périodes consécutives.

264




• Sous Actions, sélectionnez une liste de notification existante, ou choisissez New list pour en créerune.

• Sous Alarm Preview, sélectionnez une période de 15 minutes et spécifiez la statistique Sum.

Vous pouvez créer une alarme qui surveille la métrique ErrorPortAllocation et envoie une notificationlorsque la valeur est supérieure à zéro (0) pendant trois périodes consécutives de 5 minutes.

Pour créer une alarme pour surveiller les erreurs d'attribution de port

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Alarmes, puis Créer une alarme.3. Choisissez Passerelle NAT.4. Sélectionnez la passerelle NAT et la métriqueErrorPortAllocation, puis choisissez Suivant.5. Configurez l'alarme comme suit et choisissez Create Alarm une fois que vous avez terminé :

• Sous Alarm Threshold, indiquez un nom et une description pour votre alarme. Pour Lorsque,choisissez > et entrez 0. Entrez 3 pour les périodes consécutives.

• Sous Actions, sélectionnez une liste de notification existante, ou choisissez New list pour en créerune.

• Sous Alarm Preview, sélectionnez une période de 5 minutes et spécifiez la statistique Maximum.

Pour plus d'exemples de création d'alarmes, consultez Création d'alarmes Amazon CloudWatch dans lemanuel Guide de l'utilisateur Amazon CloudWatch.

Résolution des problèmes de passerelles NATLes rubriques suivantes vous aident à résoudre des problèmes courants que vous pouvez rencontrerquand vous créez ou utilisez une passerelle NAT.

Problèmes• La passerelle NAT passe en statut d'échec (p. 265)• Quota d’adresses IP Elastic et de passerelles NAT (p. 267)• Zone de disponibilité non prise en charge (p. 268)• La passerelle NAT n'apparaît plus (p. 268)• La passerelle NAT ne répond pas à la commande ping (p. 268)• Les instances ne peuvent pas accéder à Internet (p. 268)• Échec de la connexion TCP à une destination (p. 269)• La sortie traceroute n'affiche pas l'adresse IP privée de la passerelle NAT (p. 270)• La connexion Internet est abandonnée après 350 secondes (p. 271)• La connexion IPsec ne peut pas être établie (p. 271)• Impossible d'établir de nouvelles connexions (p. 271)

La passerelle NAT passe en statut d'échec

Problème

Vous créez une passerelle NAT et obtenez le statut Failed.

Cause

265


https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html


Une erreur s'est produite lors de la création de la passerelle NAT. Le message d'erreur fournit la cause del'erreur.

Solution

Pour afficher le message d'erreur, accédez à la console Amazon VPC, puis choisissez NAT Gateways(Passerelles NAT). Sélectionnez votre passerelle NAT, puis affichez le message d'erreur Status (Statut)dans le volet des détails.

Le tableau ci-après répertorie les causes possibles de l'échec, comme mentionné dans la console AmazonVPC. Après avoir appliqué une des étapes correctives indiquées, vous pouvez à nouveau essayer de créerune passerelle NAT.

Note

Une passerelle NAT en échec est automatiquement supprimée après un court laps de temps(généralement d'environ une heure).

Erreur affichée Cause Solution

Le sous-réseau ne possède pasassez d'adresses libres pourcréer cette passerelle NAT

Le sous-réseau que vous avezspécifié ne possède aucuneadresse IP privée libre. Lapasserelle NAT nécessite uneinterface réseau avec uneadresse IP privée allouée à partirde la plage du sous-réseau.

Vérifiez le nombre d'adressesIP disponibles dans votresous-réseau en accédant àla page Sous-réseaux de laconsole Amazon VPC. Vouspouvez afficher les AvailableIPs (Adresses IP disponibles)dans le volet des détails devotre sous-réseau. Pour créerdes adresses IP libres dansvotre sous-réseau, vous pouvezsupprimer des interfaces réseauinutilisées ou mettre fin à desinstances dont vous n'avez pasbesoin.

Le réseau vpc-xxxxxxxx n'a pasde passerelle Internet attachée

Une passerelle NAT doit êtrecréée dans un VPC avec unepasserelle Internet.

Créez et attachez une passerelleInternet à votre VPC. Pourplus d'informations, consultezCréation et attachement d'unepasserelle Internet (p. 246).

L'adresse IP Elastic eipalloc-xxxxxxxx n'a pas pu êtreassociée à cette passerelle NAT

L'adresse IP Elastic que vousavez spécifiée n'existe pas ou n'apas pu être trouvée.

Vérifiez l'ID d'allocation del'adresse IP Elastic pour vousassurer de l'avoir entréecorrectement. Assurez-vousd'avoir spécifié une adresse IPElastic qui est dans la mêmerégion AWS que celle danslaquelle vous créez la passerelleNAT.

L'adresse IP Elastic eipalloc-xxxxxxxx est déjà associée

L'adresse IP Elastic que vousavez spécifiée est déjà associéeà une autre ressource, et ne peutêtre associée à la passerelleNAT.

Vérifiez les ressources associéesà l'adresse IP Elastic. Accédez àla page Elastic IPs (Adresses IPElastic) dans la console AmazonVPC et affichez les valeursspécifiées pour l'ID d'instance oul'ID d'interface réseau. Si vous

266


Erreur affichée Cause Solutionn'avez pas besoin de l'adresseIP Elastic pour cette ressource,vous pouvez la dissocier. Sinon,vous pouvez allouer une nouvelleadresse IP Elastic à votrecompte. Pour plus d'informations,consultez Utilisation d'adressesIP Elastic (p. 293).

L'interface réseau eni-xxxxxxxxcréée et utilisée en interne parcette passerelle NAT est en étatnon valide. Veuillez réessayer.

Il y a eu un problème lors dela création ou de l'utilisationde l'interface réseau pour lapasserelle NAT.

Vous ne pouvez pas résoudrecette erreur. Essayez de créerune nouvelle passerelle NAT.

Quota d’adresses IP Elastic et de passerelles NAT

Problème

Lorsque vous essayez d'allouer une adresse IP Elastic, vous obtenez l'erreur suivante.

The maximum number of addresses has been reached.

Lorsque vous essayez de créer une passerelle NAT, vous obtenez l'erreur suivante.

Performing this operation would exceed the limit of 5 NAT gateways

Cause

Il existe 2 causes possibles :

• Vous avez atteint le quota d'adresses IP Elastic pour votre compte de cette région.• Vous avez atteint le quota de passerelles NAT pour votre compte de cette zone de disponibilité.

Solution

Si vous avez atteint votre quota d'adresses IP Elastic, vous pouvez dissocier une adresse IP Elastic d'uneautre ressource. Vous pouvez aussi demander une augmentation du quota à l'aide du formulaire sur leslimites d'Amazon VPC.

Si vous avez atteint le quota de votre passerelle NAT, vous pouvez effectuer l'une des actions suivantes :

• Demandez une augmentation du quota à l'aide du formulaire sur les limites d’Amazon VPC . Le quotapar passerelle NAT est appliqué par zone de disponibilité.

• Vérifiez le statut de votre passerelle NAT. Un statut Pending, Available ou Deleting compte dansvotre quota. Si vous avez récemment supprimé une passerelle NAT, attendez quelques minutes pourque le statut passe de Deleting à Deleted. Puis essayez de créer une nouvelle passerelle NAT

• Si vous n'avez pas besoin que votre passerelle NAT soit dans une zone de disponibilité spécifique,essayez de créer une passerelle NAT dans une zone de disponibilité dans laquelle vous n'avez pasatteint votre quota.

Pour plus d'informations, consultez Quotas Amazon VPC (p. 362).

267

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=vpc




Zone de disponibilité non prise en charge

Problème

Lorsque vous essayez de créer une passerelle NAT, vous recevez l'erreur suivante :NotAvailableInZone.

Cause

Dans certains cas, vous essayez peut-être de créer la passerelle NAT dans une zone de disponibilitélimitée — à savoir, une zone dans laquelle votre capacité de développement est limitée.

Solution

Nous ne pouvons pas prendre en charge de passerelles NAT dans ces zones de disponibilité. Vous pouvezcréer une passerelle NAT dans une autre zone de disponibilité et l'utiliser pour des sous-réseaux privésdans la zone limitée. Vous pouvez également déplacer vos ressources vers une zone de disponibilité nonlimitée afin que vos ressources et votre passerelle NAT soient dans la même zone.

La passerelle NAT n'apparaît plus

Problème

Vous avez créé une passerelle NAT, mais elle n'est plus visible dans la console Amazon VPC.

Cause

Il y a peut-être eu une erreur quand votre passerelle NAT a été créée et elle a échoué. Une passerelleNAT avec Failed comme statut est visible dans la console Amazon VPC pendant un petit moment(généralement une heure). Puis, au bout d'une heure, elle est automatiquement supprimée.

Solution

Consultez les informations dans La passerelle NAT passe en statut d'échec (p. 265), et essayez de créerune nouvelle passerelle NAT.

La passerelle NAT ne répond pas à la commande ping

Problème

Si vous essayez d'effectuer un test ping de l'adresse IP Elastic ou de l'adresse IP privée de la passerelleNAT depuis Internet (par exemple, depuis votre ordinateur familial) ou depuis une instance de votre VPC,vous n'obtenez pas de réponse.

Cause

Une passerelle NAT fait uniquement passer du trafic depuis une instance d'un sous-réseau privé versInternet.

Solution

Pour tester si votre passerelle NAT fonctionne, consultez Test d'une passerelle NAT (p. 257).

Les instances ne peuvent pas accéder à Internet

Problème

Vous avez créé une passerelle NAT et suivi les étapes pour la tester, mais la commande ping échoue, ouvos instances du sous-réseau privé ne peuvent pas accéder à Internet.

268


Causes

L'origine du problème peut être l'une des causes suivantes :

• La passerelle NAT n'est pas prête à traiter le trafic.• Vos tables de routage ne sont pas configurées correctement.• Vos groupes de sécurité ou listes ACL réseau bloquent le trafic entrant ou sortant.• Vous utilisez un protocole non pris en charge.

Solution

Vérifiez les informations suivantes :

• Vérifiez que votre passerelle NAT est en état Available. Dans la console Amazon VPC, allez sur lapage NAT Gateways et consultez les informations du statut dans le volet des détails. Si la passerelleNAT est en état d'échec, il y a peut-être eu une erreur quand elle a été créée. Pour plus d'informations,consultez La passerelle NAT passe en statut d'échec (p. 265).

• Vérifiez que vous avez correctement configuré vos tables de routage:• La passerelle NAT doit être dans un sous-réseau public avec une table de routage qui route le trafic

Internet vers une passerelle Internet. Pour plus d'informations, consultez Création d'une table deroutage personnalisée (p. 246).

• Votre instance doit être dans un sous-réseau privé avec une table de routage qui route le traficInternet vers la passerelle NAT. Pour plus d'informations, consultez Mise à jour de votre table deroutage (p. 256).

• Vérifiez qu'aucune autre entrée de la table de routage achemine tout ou une partie du trafic Internetvers un autre périphérique au lieu de la passerelle NAT.

• Assurez-vous que les règles du groupe de sécurité pour votre instance privée autorisent le trafic Internetsortant. Afin que la commande ping fonctionne, les règles doivent également autoriser le trafic ICMPsortant.

Note

La passerelle NAT elle-même autorise le trafic sortant et le trafic reçu en réponse à unedemande sortante (elle est donc avec état).

• Assurez-vous que les listes ACL réseau qui sont associées au sous-réseau privé et aux sous-réseauxpublics n'ont pas de règles qui bloquent le trafic Internet entrant ou sortant. Afin que la commande pingfonctionne, les règles doivent également autoriser le trafic ICMP entrant et sortant.

Note

Vous pouvez autoriser les journaux de flux à vous aider à diagnostiquer les connexionsabandonnées à cause de la liste ACL réseau ou des règles du groupe de sécurité. Pour plusd'informations, consultez Journaux de flux VPC (p. 191).

• Si vous utilisez la commande ping, assurez-vous d'avoir effectué un test ping du site Web dont l'ICMPest activé. Si ICMP n'est pas activé, vous ne recevez pas de paquets de réponse. Pour le tester,exécutez la même commande ping depuis le terminal de la ligne de commande sur votre propreordinateur.

• Vérifiez que votre instance peut effectuer un test ping sur d'autres ressources ; par exemple, d'autresinstances dans le sous-réseau privé (en supposant que les règles du groupe de sécurité le permettent).

• Assurez-vous que votre connexion utilise uniquement un protocole TCP, UDP ou ICMP.

Échec de la connexion TCP à une destination

Problème

269


Certaines de vos vos connexions TCP entre des instances d'un sous-réseau privé et une destinationspécifique via une passerelle NAT ont réussi, mais d'autres ont échoué ou dépassé le délai.

Causes

L'origine du problème peut être l'une des causes suivantes :

• Le point de terminaison de destination répond avec des paquets TCP fragmentés. Une passerelle NATne prend pas en charge actuellement la fragmentation IP pour TCP ou ICMP. Pour plus d'informations,consultez Comparaison des instances NAT et des passerelles NAT (p. 280).

• L'option tcp_tw_recycle est activée sur le serveur distant, connu pour provoquer des problèmes encas de connexions multiples à partir d'un appareil NAT.

Solutions

Vérifiez si le point de terminaison vers lequel vous essayez de vous connecter répond avec des paquetsTCP fragmentés en procédant comme suit :

1. Utilisez une instance d'un sous-réseau public avec une adresse IP publique pour déclencher uneréponse assez large pour permettre une fragmentation depuis le point de terminaison spécifique.

2. Utiliser l'utilitaire tcpdump pour vérifier que le point de terminaison envoie des paquets fragmentés.

Important

Vous devez utiliser une instance d'un sous-réseau public pour effectuer ces contrôles. Vous nepouvez pas utiliser l'instance à partir de laquelle la connexion initiale échouait ou une instancedans un sous-réseau privé derrière une passerelle NAT ou une instance NAT.

Note

Les outils de diagnostic qui envoient ou reçoivent des paquets ICMP volumineux signaleront laperte de paquets. Par exemple, la commande ping -s 10000 example.com ne fonctionnepas derrière une passerelle NAT.

3. Si le point de terminaison envoie des paquets TCP fragmentés, vous pouvez utiliser une instance NATau lieu d'une passerelle NAT.

Si vous avez accès au serveur distant, vous pouvez vérifier si l'option tcp_tw_recycle est activée enprocédant comme suit :

1. Exécutez la commande suivante à partir du serveur.

cat /proc/sys/net/ipv4/tcp_tw_recycle

Si la sortie est 1, l'option tcp_tw_recycle est activée.2. Si tcp_tw_recycle est activé, nous recommandons de le désactiver. Si vous devez réutiliser des

connexions, tcp_tw_reuse est une option plus sûre.

Si vous n'avez pas accès au serveur distant, vous pouvez tester en désactivant temporairement l'optiontcp_timestamps sur une instance du sous-réseau privé. Puis connectez-vous à nouveau au serveurdistant. Si la connexion aboutit, il est probable que l'échec précédent était dû au fait que tcp_tw_recycleétait activé sur le serveur distant. Si possible, contactez le propriétaire du serveur distant pour vérifier sil'option est activée et demandez qu'elle soit désactivée.

La sortie traceroute n'affiche pas l'adresse IP privée de la passerelle NAT

Problème

270


Votre instance peut accéder à Internet, mais quand vous exécutez la commande traceroute, la sortien'affiche pas l'adresse IP privée de la passerelle NAT.

Cause

Dans ce cas, votre instance accède à Internet en utilisant une passerelle différente, comme une passerelleInternet.

Solution

Dans la table de routage du sous-réseau dans lequel se situe votre instance, vérifiez les informationssuivantes :

• Assurez-vous qu'une route envoie le trafic Internet vers la passerelle NAT.• Assurez-vous qu'il n'y a pas de route plus spécifique qui envoie du trafic Internet vers d'autres

périphériques, comme une passerelle réseau privé virtuel ou une passerelle Internet.

La connexion Internet est abandonnée après 350 secondes

Problème

Vos instances peuvent accéder à Internet, mais la connexion s'arrête après 350 secondes.

Cause

Si une connexion utilisant une passerelle NAT est inactive pendant 350 secondes ou plus, la connexionexpire.

Solution

Pour empêcher que la connexion soit interrompue, vous pouvez initier plus de trafic sur la connexion.Sinon, vous pouvez activer keepalive TCP sur l'instance avec une valeur inférieure à 350 secondes.

La connexion IPsec ne peut pas être établie

Problème

Vous ne pouvez pas établir de connexion IPsec vers une destination.

Cause

Les passerelles NAT ne prennent pas en charge le protocole IPsec pour le moment.

Solution

Vous pouvez utiliser NAT-Traversal (NAT-T) pour encapsuler le trafic IPsec dans UDP, qui est un protocolepris en charge pour les passerelles NAT. Veillez à tester votre configuration NAT-T et IPsec pour vérifierque votre trafic IPsec n'est pas supprimé.

Impossible d'établir de nouvelles connexions

Problème

Vous avez des connexions existantes vers une destination via une passerelle NAT, mais ne pouvez pasétablir de nouvelles connexions.

Cause

271

Amazon Virtual Private Cloud Guide de l'utilisateurInstances NAT

Vous avez peut-être atteint la limite de connexions simultanées pour une même passerelle NAT. Pour plusd'informations, consultez Limitations et règles appliquées aux passerelles NAT (p. 254). Si vos instancesdu sous-réseau privé créent un grand nombre de connexions, il se peut que vous ayez atteint cette limite.

Solution

Effectuez l'une des actions suivantes :

• Créez une passerelle NAT par zone de disponibilité et répartissez vos clients sur ces zones.• Créez des passerelles NAT supplémentaires dans le sous-réseau public et divisez vos clients sur

plusieurs sous-réseaux privés, chacun avec une route vers une passerelle NAT différente.• Limitez le nombre de connexions que vos clients peuvent créer vers la destination.• Utilisez la métrique IdleTimeoutCount (p. 260) dans CloudWatch pour surveiller les augmentations

des connexions inactives. Fermez les connexions inactives pour libérer de la capacité.

Instances NATVous pouvez utiliser une instance de traduction d'adresses réseau (NAT) dans un sous-réseau public ausein de votre VPC pour permettre aux instances du sous-réseau privé d'initier un trafic IPv4 sortant versInternet ou d'autres services AWS, mais empêcher les instances de recevoir du trafic entrant initié par unepersonne sur Internet.

Pour plus d'informations sur les sous-réseaux publics et privés, consultez Routage des sous-réseaux (p. 100). Pour plus d'informations sur NAT, consultez NAT (p. 252).

NAT n'est pas pris en charge pour le trafic IPv6— ; utilisez une passerelle Internet de sortie uniquement àla place. Pour plus d'informations, consultez Passerelles Internet de sortie uniquement (p. 249).

Note

Vous pouvez également utiliser une passerelle NAT, qui est un service NAT géré qui offreune meilleure disponibilité et une bande passante plus large, et qui demande moins d'effortadministratif. Pour les cas d'utilisation courants, nous vous recommandons d'utiliser unepasserelle NAT plutôt qu'une instance NAT. Pour plus d'informations, consultez PasserellesNAT (p. 253) et Comparaison des instances NAT et des passerelles NAT (p. 280).

Sommaire• Principes de base d'une instance NAT (p. 272)• Configuration de l'instance NAT (p. 274)• Création du groupe de sécurité NATSG (p. 275)• Désactivation des contrôles de source/destination (p. 277)• Mise à jour de la table de routage principale (p. 277)• Test de la configuration de votre instance NAT (p. 278)

Principes de base d'une instance NATLe graphique suivant illustre les principes de base d'une instance NAT. La table de routage principale estassociée au sous-réseau privé et envoie le trafic depuis les instances du sous-réseau privé vers l'instanceNAT dans le sous-réseau public. L'instance NAT envoie le trafic à la passerelle Internet pour le VPC. Letrafic est attribué à l'adresse IP Elastic de l'instance NAT. L'instance NAT spécifie un numéro de port élevépour la réponse ; si une réponse revient, l'instance NAT l'envoie à une instance dans le sous-réseau privéen fonction du numéro de port de la réponse.

272


Amazon fournit des AMI Linux Amazon qui sont configurées pour s'exécuter en tant qu'instances NAT. CesAMI comprennent la chaîne amzn-ami-vpc-nat dans leurs noms, afin que vous pussiez les chercherdans la console Amazon EC2.

Lorsque vous lancez une instance depuis une AMI NAT, la configuration suivante s'effectue sur l'instance :

• Le transfert IPv4 est activé et les redirections ICMP (Internet Control Message Protocol) sont désactivéesdans /etc/sysctl.d/10-nat-settings.conf

• Un script situé à /usr/sbin/configure-pat.sh s'exécute au startup et configure les masquesd'adresses IP iptables.

Note

Nous vous recommandons d'utiliser systématiquement la dernière version de l'AMI NAT afin debénéficier des mises à jour de la configuration.Nous vous recommandons de consulter Sécurité dans Amazon EC2 dans le Amazon EC2 Guidede l'utilisateur pour les instances Linux.Si vous ajoutez et supprimez des blocs d'adresse CIDR IPv4 secondaires sur votre VPC, veillezà utiliser la version d'AMI amzn-ami-vpc-nat-hvm-2017.03.1.20170623-x86_64-ebs ouultérieure.

273

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html


Le quota de votre instance NAT dépend du quota des instances pour la région. Pour plus d'informations,consultez la FAQ EC2. Pour une liste des AMI NAT disponibles, consultez AMI Amazon Linux.

Pour de plus amples informations sur la prise en charge d'Amazon Linux, veuillez consulter FAQ sur l'AMILinux Amazon

Configuration de l'instance NATVous pouvez utiliser l'assistant VPC pour configurer un VPC avec une instance NAT ; pour plusd'informations, consultez VPC avec des sous-réseaux publics et privés (NAT) (p. 29). L'assistant effectueun grand nombre des étapes de configuration pour vous, dont le lancement d'une instance NAT et laconfiguration du routage. Cependant, vous pouvez, selon vos préférences, créer et configurer un VPC etune instance NAT manuellement en suivant les étapes ci-dessous.

1. Créez un VPC avec deux sous-réseaux.

Note

Les étapes suivantes sont destinées à une création et à une configuration manuelles d'unVPC ; elles ne sont pas destinées à la création d'un VPC à l'aide de l'assistant VPC.

a. Créez un VPC (consultez Création d'un VPC (p. 102))b. Créez deux sous-réseaux (consultez Création d'un sous-réseau (p. 246))c. Attachez une passerelle Internet au VPC (consultez Création et attachement d'une passerelle

Internet (p. 246))d. Créez une table de routage personnalisée qui envoie du trafic destiné à l'extérieur du VPC vers

la passerelle Internet et associez-la à un sous-réseau, ce qui en fait un sous-réseau public(consultez Création d'une table de routage personnalisée (p. 246))

2. Créez le groupe de sécurité NATSG (consultez Création du groupe de sécurité NATSG (p. 275)).Vous spécifiez ce groupe de sécurité au moment de lancer l'instance NAT.

3. Lancez une instance dans votre sous-réseau public depuis une AMI qui a été configurée pours'exécuter en tant qu'instance NAT. Amazon fournit des AMI Linux Amazon qui sont configurées pours'exécuter en tant qu'instances NAT. Ces AMI comprennent la chaîne amzn-ami-vpc-nat dans leursnoms, afin que vous pussiez les chercher dans la console Amazon EC2.

a. Ouvrez la console Amazon EC2.b. Sur le tableau de bord, choisissez le bouton Launch Instance et exécutez l'assistant comme suit :

i. Sur la page Choose an Amazon Machine Image (AMI), sélectionnez la catégorie CommunityAMI et recherchez amzn-ami-vpc-nat. Dans la liste des résultats, chaque nom d'AMI inclutla version vous permettant de sélectionner l'AMI la plus récente, par exemple 2013.09.Choisissez Select.

ii. Sur la page Choose an Instance Type, sélectionnez le type d'instance, puis choisissez Next:Configure Instance Details.

iii. Sur la page Configure Instance Details, sélectionnez le VPC que vous avez créé dans la listeNetwork, puis votre sous-réseau public dans la liste Subnet.

iv. (Facultatif) Activez la case à cocher Public IP pour demander que votre instance NAT reçoiveune adresse IP publique. Si vous choisissez de ne pas attribuer d'adresse IP publiquemaintenant, vous pouvez allouer une adresse IP Elastic et l'assigner à votre instanceaprès son lancement. Pour plus d'informations sur l'attribution d'une adresse IP publiqueau lancement, consultez Attribution d'une adresse IPv4 publique lors du lancement d'uneinstance (p. 127). Choisissez Next: Add Storage.

v. Vous pouvez choisir d'ajouter du stockage à votre instance, et vous pouvez ajouter desbalises sur la page suivante. Choisissez Next: Configure Security Group une fois que vousavez terminé.

274

http://aws.amazon.com/ec2/faqs/#EC2_On-Demand_Instance_limits

http://aws.amazon.com/amazon-linux-ami/

https://aws.amazon.com/amazon-linux-ami/faqs/

https://aws.amazon.com/amazon-linux-ami/faqs/


vi. Sur la page Configure Security Group, sélectionnez l'option Select an existing security group,puis le groupe de sécurité NATSG que vous avez créé. Choisissez Review and Launch.

vii. Passez en revue les paramètres que vous avez choisis. Effectuez tous les changementsnécessaires, puis sélectionnez Launch pour choisir une paire de clés et lancer votre instance.

4. (Facultatif) Connectez-vous à l'instance NAT, faites toutes les modifications nécessaires, puis créezvotre propre AMI qui est configurée pour s'exécuter en tant qu'instance NAT. Vous pouvez utiliser cetteAMI la prochaine fois que vous avez besoin de lancer une instance NAT. Pour plus d'informations,consultez Création d'AMI d'Amazon EBS dans le Amazon EC2 Guide de l'utilisateur pour les instancesLinux.

5. Désactivez l'attribut SrcDestCheck pour l'instance NAT (consultez Désactivation des contrôles desource/destination (p. 277))

6. Si vous n'avez pas attribué d'adresse IP publique à votre instance NAT pendant le lancement (étape3), vous devez y associer une adresse IP Elastic.

a. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.b. Dans le volet de navigation, choisissez Elastic IPs, puis Allocate new address.c. Choisissez Allocate.d. Sélectionnez l'adresse IP Elastic dans la liste et choisissez Actions, Associate address.e. Sélectionnez la ressource d'interface réseau, puis sélectionnez l'interface réseau pour l'instance

NAT. Sélectionnez l'adresse à associer à l'adresse IP Elastic dans la liste Private IP, puischoisissez Associate.

7. Mettez à jour la table de routage principale pour envoyer du trafic vers l'instance NAT. Pour plusd'informations, consultez Mise à jour de la table de routage principale (p. 277).

Lancement d'une instance NAT à l'aide de la ligne de commande

Pour lancer une instance NAT dans votre sous-réseau, utilisez l'une des commandes suivantes. Pour plusd'informations, consultez Accès à Amazon VPC (p. 1).


Pour obtenir l'ID d'une AMI qui est configurée pour s'exécuter en tant qu'instance NAT, utilisez unecommande pour décrire les images et utilisez des filtres pour retourner uniquement les résultats des AMIqui appartiennent à Amazon, et qui ont la chaîne amzn-ami-vpc-nat dans leur nom. L'exemple suivantutilise l'AWS CLI :

aws ec2 describe-images --filter Name="owner-alias",Values="amazon" --filter Name="name",Values="amzn-ami-vpc-nat*"

Création du groupe de sécurité NATSGDéfinissez le groupe de sécurité NATSG comme décrit dans le tableau suivant pour permettre à votreinstance NAT de recevoir du trafic lié à Internet depuis des instances dans un sous-réseau privé, ainsi quedu trafic SSH depuis votre réseau. L'instance NAT peut également envoyer du trafic vers Internet pourpermettre aux instances du sous-réseau privé de recevoir des mises à jour logicielles.

NATSG : règles recommandées

Inbound

Source Protocol Port range Comments

275

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html





10.0.1.0/24 TCP 80 Autorisez le trafic HTTP entrantdepuis les serveurs dans le sous-réseau privé

10.0.1.0/24 TCP 443 Autorisez le trafic HTTPS entrantdepuis les serveurs dans le sous-réseau privé

Plage d'adresses IP publiques devotre réseau domestique

TCP 22 Autorisez l'accès SSH entrantvers l'instance NAT depuis votreréseau domestique (via la passerelleInternet)

Outbound

Destination Protocol Port range Comments

0.0.0.0/0 TCP 80 Autoriser l'accès à Internet de l'HTTPsortant

0.0.0.0/0 TCP 443 Autoriser l'accès HTTPS sortant àInternet

Créer le groupe de sécurité NATSG

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Security Groups, puis Create Security Group.3. Dans la boîte de dialogue Create Security Group, spécifiez NATSG comme nom du groupe de sécurité

et fournissez une description. Sélectionnez l'ID de votre VPC dans la liste VPC, puis choisissez Yes,Create.

4. Sélectionnez le groupe de sécurité NATSG que vous venez de créer. Le volet des détails affiche lesdétails du groupe de sécurité, ainsi que des onglets pour utiliser ses règles de trafic entrant et sortant.

5. Ajoutez des règles pour le trafic entrant à l'aide de l'onglet Inbound Rules comme suit :

a. Choisissez Edit.b. Choisissez Add another rule, et sélectionnez HTTP dans la liste Type. Dans le champ Source,

spécifiez la plage d'adresses IP de votre sous-réseau privé.c. Choisissez Add another rule, et sélectionnez HTTPS dans la liste Type. Dans le champ Source,

spécifiez la plage d'adresses IP de votre sous-réseau privé.d. Choisissez Add another rule, et sélectionnez SSH dans la liste Type. Dans le champ Source,

spécifiez la plage d'adresses IP publiques de votre réseau.e. Choisissez Save.

6. Ajoutez des règles pour le trafic sortant à l'aide de l'onglet Outbound Rules comme suit :

a. Choisissez Edit.b. Choisissez Add another rule, et sélectionnez HTTP dans la liste Type. Dans le champ Destination,

spécifiez 0.0.0.0/0c. Choisissez Add another rule, et sélectionnez HTTPS dans la liste Type. Dans le champ

Destination, spécifiez 0.0.0.0/0d. Choisissez Save.

Pour plus d'informations, consultez Groupes de sécurité pour votre VPC (p. 165).

276



Désactivation des contrôles de source/destinationChaque instance EC2 effectue des source/destination checks par défaut. Cela signifie que l'instance doitêtre la source ou la destination de tout trafic qu'elle envoie ou qu'elle reçoit. Cependant, une instance NATdoit pouvoir envoyer et recevoir du trafic quand elle n'est pas la source ni la destination. Par conséquent,vous devez désactiver les source/destination checks sur l'instance NAT.

Vous pouvez désactiver l'attribut SrcDestCheck pour une instance NAT qui est en cours d'exécution ouarrêtée à l'aide de la console ou de la ligne de commande.

Désactiver le source/destination checking à l'aide de la console

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Instances.3. Sélectionnez l'instance NAT, choisissez Actions, Mise en réseau, Change Source/Dest (Modifier

Source/Dest). Check.4. Pour l'instance NAT, vérifiez que cet attribut est désactivé. Dans le cas contraire, choisissez Yes,

Disable.5. Si l'instance NAT dispose d'une interface réseau secondaire, choisissez-la dans Interfaces réseau

dans l'onglet Description et choisissez l'ID d'interface pour accéder à la page des interfaces réseau.Choisissez Actions, Change Source/Dest (Modifier Source/Dest). Vérifiez, désactivez le paramètre etchoisissez Enregistrer.

Désactiver le source/destination checking à l'aide de la ligne de commande

Vous pouvez utiliser l'une des commandes suivantes. Pour plus d'informations, consultez Accès à AmazonVPC (p. 1).

• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (Outils AWS pour Windows PowerShell)

Mise à jour de la table de routage principaleLe sous-réseau privé dans votre VPC n'est pas associé à une table de routage personnalisée. Il utiliseradonc la table de routage principale. Par défaut, la table de routage principale permet aux instances dansvotre VPC de communiquer entre elles. Vous devez ajouter une route pour envoyer tout le reste du trafic dusous-réseau vers l'instance NAT.

Mettre à jour la table de routage principale

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables.3. Sélectionnez la table de routage principale pour votre VPC (la colonne Principale affiche Oui). Le volet

des détails affiche des onglets pour utiliser ses routes, ses associations et la propagation du routage.4. Dans l'onglet Routes, choisissez Edit, spécifiez 0.0.0.0/0 dans la boîte Destination, sélectionnez l'ID

d'instance de l'instance NAT dans la liste Target, puis choisissez Save.5. Dans l'onglet Subnet Associations (Associations de sous-réseau), choisissez Edit (Modifier), puis

activez la case à cocher Associate (Associer) pour le sous-réseau privé. Choisissez Save.

Pour plus d'informations, consultez Tables de routage (p. 220).

277


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html



Test de la configuration de votre instance NATAprès avoir lancé une instance NAT et suivi les étapes de configuration ci-dessus, vous pouvez réaliser untest pour vérifier si une instance dans votre sous-réseau privé peut accéder à Internet via l'instance NAT enutilisant l'instance NAT comme serveur bastion. Pour cela, mettez à jour les règles du groupe de sécuritéde votre instance NAT pour autoriser le trafic ICMP entrant et sortant et autoriser le trafic SSH sortant,lancez une instance dans votre sous-réseau privé, configurez le transfert de l'agent SSH pour accéder auxinstances dans votre sous-réseau privé, connectez-vous à votre instance puis testez la connexion Internet.

Mettre à jour le groupe de sécurité de votre instance NAT

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Trouvez le groupe de sécurité associé à votre instance NAT et choisissez Edit dans l'onglet Inbound.4. Choisissez Add Rule (Ajouter une règle), sélectionnez All ICMP - IPv4 (Tous les ICMP - IPv4) dans

la liste Type, puis Custom (Personnalisé) dans la liste Source. Entrez la plage d'adresses IP de votresous-réseau privé, par exemple 10.0.1.0/24. Choisissez Save.

5. Dans l'onglet Outbound, choisissez Edit.6. Choisissez Add Rule (Ajouter une règle), sélectionnez SSH dans la liste Type, puis Custom

(Personnalisé) dans la liste Destination. Entrez la plage d'adresses IP de votre sous-réseau privé, parexemple 10.0.1.0/24. Choisissez Save.

7. Choisissez Add Rule (Ajouter une règle), sélectionnez All ICMP - IPv4 (Tous les ICMP - IPv4) dans laliste Type, puis Custom (Personnalisé) dans la liste Destination. Entrez 0.0.0.0/0, puis choisissezSave.

Lancer une instance dans votre sous-réseau privé

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Instances.3. Lancez une instance dans votre sous-réseau privé. Pour plus d'informations, consultez Lancement

d'une instance dans votre sous-réseau (p. 106). Assurez-vous d'avoir configuré les options suivantesdans l'assistant de lancement, puis choisissez Launch :

• Sur la page Choose an Amazon Machine Image (AMI), sélectionnez une Amazon Linux AMI dans lacatégorie Quick Start.

• Sur la page Configure Instance Details, sélectionnez votre sous-réseau privé dans la liste Subnet etn'assignez pas d'adresse IP publique à votre instance.

• Sur la page Configure Security Group, assurez-vous que votre groupe de sécurité comprenne unerègle entrante qui autorise l'accès SSH depuis l'adresse IP privée de votre instance NAT ou depuisla plage d'adresses IP de votre sous-réseau public, et assurez-vous d'avoir une règle sortante quiautorise le trafic ICMP sortant.

• Dans la boîte de dialogue Select an existing key pair or create a new key pair, sélectionnez la mêmepaire de clés utilisée pour lancer l'instance NAT.

Configurer le transfert de l'agent SSH pour Linux ou OS X

1. Depuis votre machine locale, ajoutez votre clé privée à l'agent d'authentification.

Pour Linux, utilisez la commande suivante :

ssh-add -c mykeypair.pem

Pour OS X, utilisez la commande suivante :

278




ssh-add -K mykeypair.pem

2. Connectez-vous à votre instance NAT à l'aide de l'option -A pour activer le transfert de l'agent SSH,par exemple :

ssh -A [email protected]

Configurer le transfert de l'agent SSH pour Windows (PuTTY)

1. Téléchargez et installez Pageant depuis la PuTTY download page, s'il n'est pas déjà installé.2. Convertissez votre clé privée au format .ppk. Pour plus d'informations, consultez Conversion de votre

clé privée à l'aide de PuTTYgen.3. Démarrez Pageant, cliquez avec le bouton droit sur l'icône Pageant de la barre des tâches (il peut

être masqué) et choisissez Add Key. Sélectionnez le fichier .ppk que vous avez créé, entrez le mot depasse si nécessaire et choisissez Open.

4. Démarrez une session PuTTY pour vous connecter à votre instance NAT. Dans la catégorie Auth,assurez-vous d'avoir sélectionné l'option Allow agent forwarding, puis laissez le champ Private key filefor authentication vide.

Pour tester la connexion Internet

1. Vérifiez que votre instance NAT puisse communiquer avec Internet en exécutant la commande pingpour un site Web dont l'ICMP est activé ; par exemple :

ping ietf.org


Appuyez sur Ctrl+C sur votre clavier pour annuler la commande ping.2. Depuis votre instance NAT, connectez-vous à votre instance dans votre sous-réseau privé en utilisant

son adresse IP privée, par exemple :

ssh [email protected]

3. Depuis votre instance privée, vérifiez que vous pouvez vous connecter à Internet en exécutant lacommande ping :

ping ietf.org


Appuyez sur Ctrl+C sur votre clavier pour annuler la commande ping.

Si la commande ping échoue, vérifiez les informations suivantes :

279

http://www.chiark.greenend.org.uk/~sgtatham/putty/



Amazon Virtual Private Cloud Guide de l'utilisateurComparaison des instances NAT et des passerelles NAT

• Vérifiez que les règles du groupe de sécurité de votre instance NAT autorisent le trafic ICMP entrantdepuis votre sous-réseau privé. Si ce n'est pas le cas, votre instance NAT ne peut pas recevoir lacommande ping depuis votre instance privée.

• Vérifiez que vous avez correctement configuré vos tables de routage. Pour plus d'informations,consultez Mise à jour de la table de routage principale (p. 277).

• Assurez-vous d'avoir désactivé le source/destination checking pour votre instance NAT. Pour plusd'informations, consultez Désactivation des contrôles de source/destination (p. 277).

• Assurez-vous d'avoir effectué un test ping du site Web dont l'ICMP est activé. Si ce n'est pas le cas,vous ne recevez pas de paquets de réponse. Pour le tester, exécutez la même commande pingdepuis le terminal de la ligne de commande sur votre propre ordinateur.

4. (Facultatif) Mettez fin à votre instance privée si vous n'en n'avez plus besoin. Pour plus d'informations,consultez Résilier votre instance dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Comparaison des instances NAT et des passerellesNATVous trouverez ci-dessous un résumé de haut niveau des différences entre les instances NAT et lespasserelles NAT.

Attribut Passerelle NAT Instance NAT

DisponibilitéHautement disponible. Les passerelles NATdans chaque zone de disponibilité sontimplémentées de manière redondante. Créezune passerelle NAT dans chaque zone dedisponibilité pour assurer une architecture dezone indépendante.

Utilisez un script pour gérer le failover entreles instances.

Bandepassante

Peut être mis à l'échelle jusqu'à 45 Gb/s. Dépend de la bande passante du typed'instance.

MaintenanceGéré par AWS. Vous n'avez aucunemaintenance à réaliser.

Gérée par vous, par exemple, en installantdes mises à jour logicielles ou des correctifsde système d'exploitation sur l'instance.

PerformancesLe logiciel est optimisé pour gérer le traficNAT.

Une AMI Amazon Linux génériqueconfigurée pour exécuter NAT.

Coût Facturé en fonction du nombre de passerellesNAT que vous utilisez, de la durée de leurutilisation et de la quantité de données quevous envoyez via les passerelles NAT.

Facturé en fonction du nombre d'instancesNAT que vous utilisez, de la durée de leurutilisation et du type d'instance ainsi queleur taille.

Type ettaille

Offre homogène ; vous n'avez pas besoin dedécider du type ou de la taille.

Choisissez un type et une taille d'instanceadaptés à la charge de travail que vousprévoyez.

Adresses IPpubliques

Choisissez l'adresse IP Elastic à associer àune passerelle NAT lorsque vous la créez.

Utilisez une adresse IP Elastic ou uneadresse IP publique avec une instanceNAT. Vous pouvez modifier l'adresse IPpublique à tout moment en associant unenouvelle adresse IP Elastic à l'instance.

280


Amazon Virtual Private Cloud Guide de l'utilisateurJeux d'options DHCP

Attribut Passerelle NAT Instance NAT

Adresses IPprivées

Automatiquement sélectionnées dans la plaged'adresses IP du sous-réseau quand vouscréez la passerelle.

Assignation d'une adresse IP privéespécifique depuis la plage d'adresses IP dusous-réseau quand vous lancez l'instance.

Groupesdesécurité

Ils ne peuvent pas être associés à unepasserelle NAT. Vous pouvez associer desgroupes de sécurité avec vos ressourcesderrière la passerelle NAT pour contrôler letrafic entrant et sortant.

Associés à votre instance NAT et auxressources derrière l'instance NAT pourcontrôler le trafic entrant et sortant.

ACLréseau

Utilisez une liste ACL réseau pour contrôlerle trafic à destination et en provenance dusous-réseau dans lequel votre passerelle NATréside.

Utilisez une liste ACL réseau pour contrôlerle trafic à destination et en provenance dusous-réseau dans lequel votre instance NATréside.

Journauxde flux

Utilisez des journaux de flux pour capturer letrafic.

Utilisez des journaux de flux pour capturerle trafic.

Réacheminementde port

Non pris en charge. Personnalisez manuellement laconfiguration pour prendre en charge leréacheminement de port.

Serveursbastion

Non pris en charge. Utilisés comme un serveur bastion.

Métriquesdu trafic

Affichez les métriques CloudWatch pour lapasserelle NAT (p. 260).

Affichez les métriques CloudWatch pourl'instance.

Comportementen casd'expiration

Lorsqu'une connexion expire, une passerelleNAT retourne un paquet RST à toutes lesressources derrière la passerelle NAT quitentent de poursuivre la connexion (ellen'envoie pas de paquet FIN).

Lorsqu'une connexion expire, une instanceNAT envoie un paquet FIN aux ressourcesderrière l'instance NAT afin de fermer laconnexion.

Fragmentation IPPrend en charge la transmission de paquetsfragmentés IP pour le protocole UDP.

Ne prend pas en charge la fragmentation pourles protocoles TCP et ICMP. Les paquetsfragmentés pour ces protocoles serontsupprimés.

Prend en charge la reconstitution despaquets fragmentés IP pour les protocolesTCP, UDP et ICMP.

Jeux d'options DHCPLe protocole de configuration d'hôte dynamique (DHCP) offre une norme pour la transmissiond'informations de configuration à des hôtes sur un réseau TCP/IP. Le champ options d'un messageDHCP contient des paramètres de configuration, notamment le nom de domaine, le serveur de noms dedomaine et le type de nœud netbios.

Vous pouvez configurer des jeux d'options DHCP pour vos clouds privés virtuels (VPC).

Sommaire• Présentation des jeux d'options DHCP (p. 282)• Serveur Amazon DNS (p. 283)• Modification des options DHCP (p. 284)

281

Amazon Virtual Private Cloud Guide de l'utilisateurPrésentation des jeux d'options DHCP

• Utilisation de jeux d'options DHCP (p. 284)• Présentation des API et des commandes (p. 286)

Présentation des jeux d'options DHCPLes instances Amazon EC2 que vous lancez dans un VPC autre que le VPC par défaut sont privées pardéfaut. Aucune adresse IPv4 publique ne leur est attribuée, sauf si vous en attribuez une spécifiquementlors du lancement ou si vous modifiez l'attribut d'adresse IPv4 publique du sous-réseau. Par défaut,toutes les instances dans un VPC personnalisé reçoivent un nom d'hôte insolvable assigné par AWS (parexemple, ip-10-0-0-202). Vous pouvez assigner votre propre nom de domaine à vos instances et utiliserjusqu'à quatre de vos propres serveurs DNS. Pour ce faire, vous devez spécifier un jeu spécial d'optionsDHCP à utiliser avec le VPC.

Le tableau ci-après répertorie toutes les options prises en charge pour un jeu d'options DHCP. Vouspouvez spécifier uniquement les options dont vous avez besoin dans votre jeu d'options DHCP. Pour plusd'informations sur les options, consultez RFC 2132.

Nom d'option DHCP Description

domain-name-servers Les adresses IP de quatre serveurs de nom dedomaine au maximum ou AmazonProvidedDNS.Le jeu d'options DHCP par défaut spécifieAmazonProvidedDNS. Si plus d'un serveur de nomde domaine est spécifié, séparez-les avec desvirgules. Bien que vous puissiez spécifier jusqu'àquatre serveurs de nom de domaine, notez quecertains systèmes d'exploitation peuvent imposerdes limites plus basses.

Si vous souhaitez que votre instance reçoive unnom d'hôte DNS personnalisé comme spécifiédans domain-name, vous devez définir domain-name-servers sur un serveur DNS personnalisé.

Pour utiliser cette option, définissez-la surAmazonProvidedDNS ou sur des serveursde noms de domaine personnalisés. Si vousdéfinissez cette option sur les deux, le résultat peutprovoquer un comportement inattendu.

domain-name Si vous utilisez AmazonProvidedDNS dans larégion us-east-1, spécifiez ec2.internal.Si vous utilisez AmazonProvidedDNSdans une autre région, spécifiezregion.compute.internal (par exemple, ap-northeast-1.compute.internal). Sinon,spécifiez un nom de domaine (par exemple,example.com). Cette valeur est utilisée pourcompléter les noms d'hôte DNS non qualifié. Pourplus d'informations sur les noms d'hôte DNS et surla prise en charge DNS dans votre VPC, consultezUtilisation de DNS avec votre VPC (p. 287).

Important

Certains systèmes d'exploitation Linuxacceptent plusieurs noms de domaines

282


Amazon Virtual Private Cloud Guide de l'utilisateurServeur Amazon DNS

Nom d'option DHCP Descriptionséparés par des espaces. Cependant,d'autres systèmes d'exploitation Linuxet Windows traitent la valeur comme undomaine unique, ce qui donne lieu à uncomportement inattendu. Si votre jeud'options DHCP est associé à un VPCqui possède des instances avec plusieurssystèmes d'exploitation, spécifiez un seulnom de domaine.

ntp-servers Les adresses IP de quatre serveurs NTP (NetworkTime Protocol, protocole d'heure réseau) aumaximum. Pour en savoir plus, consultez lasection 8.3 sur la page RFC 2132. Le serviceAmazon Time Sync est disponible à l'adresse169.254.169.123. Pour plus d’informations,consultez Réglage de l’heure dans le Amazon EC2Guide de l'utilisateur pour les instances Linux.

netbios-name-servers Les adresses IP de quatre serveurs de nomNetBIOS au maximum.

netbios-node-type Le type de nœud NetBIOS (1, 2, 4 ou 8). Nousvous recommandons de spécifier 2 (point à pointou P-node). La diffusion et la multidiffusion nesont pas prises en charge pour l'instant. Pour plusd'informations sur ces types de nœud, consultez lasection 8.7 de la page RFC 2132 et la section 10de la page RFC 1001.

Serveur Amazon DNSLorsque vous créez un VPC, nous créons automatiquement un jeu d'options DHCP que nous associonsau VPC. Ce jeu comprend deux options : domain-name-servers=AmazonProvidedDNS et domain-name=domain-name-for-your-region. AmazonProvidedDNS est un serveur Amazon DNS et cetteoption active DNS pour des instances qui doivent communiquer via la passerelle Internet du VPC. Lachaîne AmazonProvidedDNS est mappée à un serveur DNS s'exécutant sur une adresse IP réservée à labase de la plage de réseau IPv4 VPC plus deux. Par exemple, le serveur DNS sur un réseau 10.0.0.0/16est situé à 10.0.0.2. Pour les VPC ayant plusieurs blocs d'adresse CIDR IPv4, l'adresse IP du serveur DNSse trouve dans le bloc d'adresse CIDR principal. Le serveur DNS ne réside pas au sein d'un sous-réseauou d'une zone de disponibilité spécifique d'un VPC.

Note

Il n'est pas possible de filtrer le trafic vers ou depuis un serveur DNS à l'aide de groupes desécurité ou de liste ACL réseau.

Lorsque vous lancez une instance dans un VPC, nous fournissons l'instance avec un nom d'hôte DNSprivé et un nom d'hôte DNS public si l'instance reçoit une adresse IPv4 publique. Si domain-name-servers dans vos options DHCP est défini sur AmazonProvidedDNS, le nom d'hôte DNS public prendrala forme ec2-public-ipv4-address.compute-1.amazonaws.com pour la région us-east-1 etec2-public-ipv4-address.region.compute.amazonaws.com pour les autres régions. Le nomd'hôte privé prendra la forme ip-private-ipv4-address.ec2.internal pour la région us-east-1 etip-private-ipv4-address.region.compute.internal pour les autres régions. Pour remplacer

283


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html



Amazon Virtual Private Cloud Guide de l'utilisateurModification des options DHCP

ces noms par des noms d'hôte DNS personnalisés, vous devez définir domain-name-servers sur unserveur DNS personnalisé.

Le serveur Amazon DNS dans votre VPC est utilisé pour résoudre les noms de domaine DNS quevous spécifiez dans une zone hébergée privée dans Route 53. Pour plus d’informations sur les zoneshébergées privées, consultez Utilisation des zones hébergées privées dans le Amazon Route 53 Manueldu développeur.

Les services qui utilisent l'infrastructure Hadoop, comme Amazon EMR, ont besoin d'instances pourrésoudre leurs propres noms de domaine complets (FQDN). Dans de tels cas, une résolution DNS peutéchouer si l'option domain-name-servers est définie comme valeur personnalisée. Pour garantir unerésolution DNS appropriée, pensez à ajouter un redirecteur conditionnel à votre serveur DNS pour fairesuivre les requêtes pour le domaine region-name.compute.internal vers le serveur Amazon DNS.Pour plus d'informations, consultez Configuration d'un VPC pour héberger des clusters dans le AmazonEMR Guide de gestion.

Note

Vous pouvez utiliser l'adresse IP 169.254.169.253 du serveur Amazon DNS, bien que certainsserveurs n'en permettent pas l'utilisation. Par exemple, Windows Server 2008 refuse l'utilisationd'un serveur DNS situé dans la plage de réseau 169.254.x.x.

Modification des options DHCPVous ne pouvez pas modifier un jeu d'options DHCP après l'avoir créé. Si vous voulez que votre VPCutilise un jeu différent d'options DHCP, vous devez créer un nouveau jeu et l'associer à votre VPC. Vouspouvez également configurer votre VPC pour ne pas utiliser d'options DHCP du tout.

Vous pouvez avoir plusieurs jeux d'options DHCP, mais vous ne pouvez associer qu'un seul jeu d'optionsDHCP à un VPC à la fois. Si vous supprimez un VPC, le jeu d'options DHCP défini et associé au VPC estdissocié de celui-ci.

Après avoir associé un nouveau jeu d'options DHCP à un VPC, toutes les instances existantes et toutesles nouvelles instances que vous lancez dans le VPC utilisent les nouvelles options. Vous n'avez pasbesoin de redémarrer ni de relancer les instances. Elles récupèrent automatiquement les changements enquelques heures, selon la fréquence à laquelle l'instance renouvelle son bail DHCP. Si vous le souhaitez,vous pouvez explicitement renouveler le bail grâce au système d'exploitation sur l'instance.

Utilisation de jeux d'options DHCPCette section vous montre comment utiliser des jeux d'options DHCP.

Tâches• Création d'un jeu d'options DHCP (p. 284)• Modification du jeu d'options DHCP utilisé par un VPC (p. 285)• Modification d'un VPC pour qu'il n'utilise pas d'options DHCP (p. 285)• Modification des balises d'un jeu d'options DHCP (p. 286)• Suppression d'un jeu d'options DHCP (p. 286)

Création d'un jeu d'options DHCPVous pouvez créer autant de jeux d'options DHCP supplémentaires que vous le souhaitez. Cependant,vous ne pouvez associer qu'un seul jeu d'options DHCP à la fois à un VPC. Après avoir créé un jeud'options DHCP, vous devez configurer votre VPC pour l'utiliser. Pour plus d'informations, consultezModification du jeu d'options DHCP utilisé par un VPC (p. 285).

284

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-host-job-flows.html

Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation de jeux d'options DHCP

Créer un jeu d'options DHCP

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez DHCP Options Sets, puis sélectionnez Create DHCP options

set.3. Dans la boîte de dialogue, entrez les valeurs des options que vous voulez utiliser, puis choisissez

Create DHCP options set (Créer le jeu d’options DHCP).

Important

Si votre VPC possède une passerelle Internet, assurez-vous de spécifier votre propre serveurDNS ou le serveur DNS d'Amazon (AmazonProvidedDNS) pour la valeur Domain nameservers (Serveurs de noms de domaine). Sinon, les instances qui doivent communiquer avecInternet n'auront pas accès au DNS.

Le nouveau jeu d'options DHCP apparaît dans votre liste d'options DHCP.4. Notez l'ID du nouveau jeu d'options DHCP (dopt-xxxxxxxx). Vous aurez besoin de cet ID pour associer

le nouveau jeu d'options à votre VPC.

Maintenant que vous avez créé un jeu d'options DHCP, vous devez l'associer à votre VPC pour que lesoptions prennent effet. Vous pouvez créer plusieurs jeux d'options DHCP, mais vous ne pouvez associerqu'un seul jeu d'options DHCP à la fois à votre VPC.

Modification du jeu d'options DHCP utilisé par un VPCVous pouvez modifier le jeu d'options DHCP que votre VPC utilise. Si vous souhaitez que les paramètresdu VPC n'utilisent pas les options DHCP, veuillez consulter Modification d'un VPC pour qu'il n'utilise pasd'options DHCP (p. 285).

Note

La procédure suivante part du principe que vous avez déjà créé le jeu d'options DHCP pour lequelvous voulez opter. Si ce n'est pas le cas, veuillez créer le jeu d'options maintenant. Pour plusd'informations, consultez Création d'un jeu d'options DHCP (p. 284).

Modifier le jeu d'options DHCP associé à un VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez le VPC, puis Actions , Edit DHCP options set (Actions, Modifier le jeu d'options DHCP).4. Dans la liste DHCP options set (Jeu d’options DHCP), sélectionnez un jeu d'options, puis choisissez

Save (Enregistrer).

Après avoir associé un nouveau jeu d'options DHCP au VPC, toutes les instances existantes et toutesles nouvelles instances que vous lancez dans ce VPC utilisent les nouvelles options. Vous n'avez pasbesoin de redémarrer ni de relancer les instances. Elles récupèrent automatiquement les changements enquelques heures, selon la fréquence à laquelle l'instance renouvelle son bail DHCP. Si vous le souhaitez,vous pouvez explicitement renouveler le bail grâce au système d'exploitation sur l'instance.

Modification d'un VPC pour qu'il n'utilise pas d'options DHCPVous pouvez configurer votre VPC afin qu'il n'utilise pas un jeu d'options DHCP.


285




Amazon Virtual Private Cloud Guide de l'utilisateurPrésentation des API et des commandes

2. Dans le panneau de navigation, sélectionnez Vos VPC.3. Sélectionnez le VPC, puis Actions, Edit DHCP options set (Actions, Modifier le jeu d'options DHCP).4. Dans la liste DHCP Options Set (Jeu d'options DHCP), sélectionnez No DHCP Options Set (Pas de jeu

d’options DHCP), puis choisissez Save (Enregistrer).

Vous n'avez pas besoin de redémarrer ni de relancer les instances. Elles récupèrent automatiquementles changements en quelques heures, selon la fréquence à laquelle l'instance renouvelle son bail DHCP.Si vous le souhaitez, vous pouvez explicitement renouveler le bail grâce au système d'exploitation surl'instance.

Modification des balises d'un jeu d'options DHCPVous pouvez ajouter des balises pour identifier facilement votre jeu d'options. Ajoutez une balise au jeud'options DHCP ou supprimez une balise du jeu d'options DHCP.

Pour modifier les balises d'un jeu d'options DHCP

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez DHCP Options Sets (Jeux d’options DHCP).3. Sélectionnez le jeu d'options DHCP, puis Actions, Manage tags (Actions, Gérer les balises).4. Ajoutez ou supprimez une balise.

[Ajouter une balise] Choisissez Add new tag (Ajouter une nouvelle balise), puis procédez comme suit :• Pour Clé, saisissez le nom de la clé.• Pour Valeur, saisissez la valeur clé.

[Supprimer une balise] En regard de la balise, choisissez Remove (Supprimer).5. Choisissez Enregistrer.

Suppression d'un jeu d'options DHCPQuand vous n'avez plus besoin d'un jeu d'options DHCP, utilisez la procédure suivante pour le supprimer.Assurez-vous de modifier les VPC qui utilisent ces options de sorte qu’ils fassent appel à un autre jeud'options ou à aucun jeu d’options. Pour de plus amples informations, veuillez consulter the section called“Modification du jeu d'options DHCP utilisé par un VPC” (p. 285) et the section called “Modification d'unVPC pour qu'il n'utilise pas d'options DHCP” (p. 285) .

Supprimer un jeu d'options DHCP

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez DHCP Options Sets.3. Sélectionnez le jeu d'options DHCP à supprimer, puis choisissez Actions, Delete DHCP options set

(Actions, supprimer le jeu d’options DHCP).4. Dans la boîte de dialogue de confirmation, entrez delete (supprimer), puis choisissez Delete DHCP

options set (Supprimer le jeu d’options DHCP).

Présentation des API et des commandesVous pouvez exécuter les tâches décrites sur cette rubrique à l'aide de la ligne de commande ou d'une API.Pour plus d'informations sur les interfaces de ligne de commande et la liste des API disponibles, consultezAccès à Amazon VPC (p. 1).

286



Amazon Virtual Private Cloud Guide de l'utilisateurDNS

Créer un jeu d'options DHCP pour votre VPC

• create-dhcp-options (AWS CLI)• New-EC2DhcpOption (Outils AWS pour Windows PowerShell)

Associer un jeu d'options DHCP au VPC spécifié, ou aucune option DHCP

• associate-dhcp-options (AWS CLI)• Register-EC2DhcpOption (Outils AWS pour Windows PowerShell)

Décrire un ou plusieurs jeux d'options DHCP

• describe-dhcp-options (AWS CLI)• Get-EC2DhcpOption (Outils AWS pour Windows PowerShell)

Supprimer un jeu d'options DHCP

• delete-dhcp-options (AWS CLI)• Remove-EC2DhcpOption (Outils AWS pour Windows PowerShell)

Utilisation de DNS avec votre VPCLe système de noms de domaine (DNS) est un standard permettant la résolution entre les noms utiliséssur Internet et les adresses IP correspondantes. Un nom d'hôte DNS est un nom attribué de façon uniqueet absolue à un ordinateur. Il est composé d'un nom d'hôte et d'un nom de domaine. Les serveurs DNSrésolvent les noms d'hôte DNS en adresses IP correspondantes.

Les adresses IPv4 publiques permettent de communiquer via Internet, tandis que les adresses IPv4privées permettent de communiquer au sein du réseau de l'instance (EC2-Classic ou VPC). Pour plusd'informations, consultez Adressage IP dans votre VPC (p. 122).

Nous fournissons un serveur DNS Amazon. Pour utiliser votre propre serveur DNS, créez un nouveau jeud'options DHCP pour votre VPC. Pour plus d'informations, consultez Jeux d'options DHCP (p. 281).

Sommaire• Noms d'hôte DNS (p. 287)• Prise en charge du DNS dans votre VPC (p. 288)• Quotas DNS (p. 289)• Affichage des noms d'hôte DNS pour votre instance EC2 (p. 289)• Affichage et mise à jour de la prise en charge de DNS pour votre VPC (p. 290)• Utilisation de zones hébergées privées (p. 291)

Noms d'hôte DNSLorsque vous lancez une instance dans un VPC par défaut, nous fournissons à l'instance des noms d'hôteDNS publics et privés qui correspondent aux adresses IPv4 publiques et privées de l'instance. Lorsquevous lancez une instance dans un VPC personnalisé, nous fournissons un nom d'hôte DNS privé del'instance et nous pouvons fournir un nom d'hôte DNS public, en fonction des attributs DNS (p. 288)que vous spécifiez pour le VPC et si votre instance dispose d'une adresse IPv4 publique. Pour plusd’informations, consultez Adresses IPv4 publiques et noms d'hôte DNS externes dans le Amazon EC2Guide de l'utilisateur pour les instances Linux.

287

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2DhcpOption.html


Amazon Virtual Private Cloud Guide de l'utilisateurPrise en charge du DNS dans votre VPC

Un nom d'hôte DNS privé (interne) fourni par Amazon résout l'adresse IPv4 privée de l'instance et prendla forme ip-private-ipv4-address.ec2.internal pour la région us-east-1, et ip-private-ipv4-address.region.compute.internal pour les autres régions (où private-ipv4-addresscorrespond à l’adresse IP de recherche inversée). Vous pouvez utiliser le nom d'hôte DNS privé pourles communications entre les instances du même réseau, mais il n'est pas possible de résoudre le nomd'hôte DNS en dehors du réseau sur lequel se trouve l'instance.

Un nom d'hôte DNS public (externe) prend la forme ec2-public-ipv4-address.compute-1.amazonaws.com pour la région us-east-1, et ec2-public-ipv4-address.region.compute.amazonaws.com pour les autres régions. Le DNS Amazon résout un nomd'hôte DNS public en adresse IPv4 publique de l'instance en dehors du réseau de cette dernière et nous larésolvons en adresse IPv4 privée de l'instance depuis son réseau.

Nous ne fournissons pas de noms d'hôte DNS pour les adresses IPv6.

Prise en charge du DNS dans votre VPCVotre VPC a des attributs qui déterminent si des instances lancées dans le VPC reçoivent des noms d’hôteDNS publics qui correspondent à leurs adresses IP publiques, et si la résolution DNS via le serveur DNSAmazon est prise en charge pour le VPC.

Attribut Description

enableDnsHostnames Indique si des instances avec des adresses IPpubliques ont des noms d’hôte DNS publicscorrespondants.

Si cet attribut est true, les instances dans le VPCobtiennent des noms d'hôte DNS publics, maisseulement si l'attribut enableDnsSupport estdéfini sur true.

enableDnsSupport Indique si la résolution DNS est prise en charge.

Si cet attribut est défini sur false, le serveur DNSfourni par Amazon qui résout les noms d'hôte DNSpublics en adresses IP n'est pas activé.

Si cet attribut est défini sur true, les requêtesenvoyées au serveur DNS fourni par Amazon àl'adresse IP 169.254.169.253 (ou à l'adresse IPréservée à la plage réseau IPv4 VPC, plus deux)aboutiront. Pour plus d'informations, consultezServeur Amazon DNS (p. 283).

Si les deux attributs sont définis sur true, les actions suivantes ont lieu :

• Les instances avec une adresse IP publique reçoivent les noms d’hôte DNS publics correspondants.• Le serveur DNS fourni par Amazon peut résoudre les noms d'hôte DNS privés fournis par Amazon.

Si les de ces deux attributs ou les deux sont définis sur false, les actions suivantes ont lieu :

• Les instances avec une adresse IP publique ne reçoivent pas les noms d’hôte DNS publicscorrespondants.

• Le serveur DNS fourni par Amazon ne peut pas résoudre les noms d'hôte DNS privés fournis parAmazon.

288

Amazon Virtual Private Cloud Guide de l'utilisateurQuotas DNS

• Les instances reçoivent des noms d’hôte DNS privés personnalisés si le jeu d’options DHCP (p. 281)contient un nom de domaine personnalisé. Si vous n'utilisez pas le serveur DNS fourni par Amazon, vosserveurs de noms de domaine personnalisés doivent résoudre le nom d'hôte si nécessaire.

Par défaut, les deux attributs sont définis sur true dans un VPC par défaut ou un VPC créé par l'assistantVPC. Par défaut, seul l’attribut enableDnsSupport est défini sur true dans un VPC créé d’une autremanière. Pour vérifier si votre VPC est activé pour ces attributs, consultez Affichage et mise à jour de laprise en charge de DNS pour votre VPC (p. 290).

Important

Si vous utilisez des noms de domaine DNS personnalisés définis dans une zone hébergée privéedans Amazon Route 53 ou un DNS privé avec des points de terminaison d’interface VCP (AWSPrivateLink), vous devez définir les attributs enableDnsHostnames et enableDnsSupport surtrue.

Le serveur DNS Amazon peut résoudre les noms d'hôtes DNS privés avec les adresses IPv4 privées pourtous les espaces d'adressage, y compris lorsque la plage d'adresses IPv4 de votre VPC se trouve endehors des plages d'adresses IPv4 privées spécifiées par RFC 1918.

Important

Si vous avez créé votre VPC avant octobre 2016, le serveur DNS Amazon ne résout pas lesnoms d'hôtes DNS privés si la plage d'adresses IPv4 de votre VPC se trouve en dehors desplages d'adresses IPv4 privées spécifiées par RFC 1918. Si vous souhaitez activer le serveurDNS d'Amazon afin de résoudre les noms d'hôtes DNS privés pour ces adresses, contactez AWSSupport.

Si vous activez les noms d'hôte DNS et la prise en charge de DNS dans un VPC qui ne les prenait pasen charge auparavant, une instance déjà lancée dans ce VPC obtient un nom d'hôte DNS public si elledispose d'une adresse IPv4 publique ou d'une adresse IP Elastic.

Quotas DNSChaque instance EC2 limite le nombre de paquets pouvant être envoyés au serveur DNS fourni parAmazon à 1024 paquets maximum par seconde et par interface réseau. Ce quota ne peut pas êtreaugmenté. Le nombre de requêtes DNS par seconde pris en charge par le serveur DNS fourni parAmazon dépend du type de requête, de la taille de la réponse et du protocole utilisé. Pour de plus amplesinformations sur les recommandations en matière d'architecture DNS scalable, veuillez consulter le livreblanc Hybrid Cloud DNS Solutions for Amazon VPC.

Affichage des noms d'hôte DNS pour votre instanceEC2Vous pouvez afficher les noms d'hôte DNS pour une instance en cours d'exécution ou une interface réseauà l'aide de la console Amazon EC2 ou de la ligne de commande.

Les champs DNS public (IPv4) et DNS privé sont disponibles lorsque les options DNS sont activées pour leVPC associé à l'instance. Pour de plus amples informations, veuillez consulter the section called “Prise encharge du DNS dans votre VPC” (p. 288).

InstancePour afficher les noms d'hôte DNS d'une instance à l'aide de la console :

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

289




https://d1.awsstatic.com/whitepapers/hybrid-cloud-dns-options-for-vpc.pdf


Amazon Virtual Private Cloud Guide de l'utilisateurAffichage et mise à jour de la priseen charge de DNS pour votre VPC

2. Dans le volet de navigation, choisissez Instances.3. Sélectionnez votre instance dans la liste.4. Dans le volet des détails, les noms d'hôte DNS s'affichent dans les champs Public DNS (IPv4) et

Private DNS, le cas échéant.

Pour afficher les noms d'hôte DNS d'une instance à l'aide de la ligne de commande :

Vous pouvez utilisez l'une des commandes suivantes. Pour obtenir plus d'informations sur les CLI(interface ligne de commande), consultez le didacticiel Accès à Amazon VPC (p. 1).

• describe-instances (AWS CLI)• Get-EC2Instance

Interface réseauPour afficher le nom d'hôte DNS privé d'une interface réseau à l'aide de la console :

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Network Interfaces.3. Dans la liste, sélectionnez l'interface réseau.4. Dans le volet des détails, le nom d'hôte DNS privé s'affiche dans le champ Private DNS (IPv4) (DNS

privé (IPv4)).

Pour afficher les noms d'hôte DNS d'une interface réseau à l'aide de la ligne de commande :


• describe-network-interfaces (AWS CLI)• Get-EC2NetworkInterface (Outils AWS pour Windows PowerShell)

Affichage et mise à jour de la prise en charge de DNSpour votre VPCVous pouvez afficher et mettre à jour les attributs de prise en charge DNS pour votre VPC au moyen de laconsole Amazon VPC.

Pour décrire et mettre à jour la prise en charge de DNS pour un VPC à l'aide de la console :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Your VPCs.3. Sélectionnez le VPC dans la liste.4. Passez en revue les informations de l'onglet Description. Dans cet exemple, les deux paramètres sont

activés.

5. Pour mettre à jour ces paramètres, choisissez Actions, puis Edit DNS Resolution ou Edit DNSHostnames. Dans la boîte de dialogue qui s'ouvre, choisissez Oui ou Non, puis Enregistrer.

290


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-interfaces.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkInterface.html


Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation de zones hébergées privées

Pour décrire et mettre à jour la prise en charge de DNS pour un VPC à l'aide de la ligne decommande :


• describe-vpc-attribute (AWS CLI)• Get-EC2VpcAttribute (Outils AWS pour Windows PowerShell)

Pour mettre à jour la prise en charge de DNS pour un VPC à l'aide de la ligne de commande :

Vous pouvez utiliser l'une des commandes suivantes. Pour obtenir plus d'informations sur les CLI (interfaceligne de commande), consultez le didacticiel Accès à Amazon VPC (p. 1).

• modify-vpc-attribute (AWS CLI)• Edit-EC2VpcAttribute (Outils AWS pour Windows PowerShell)

Utilisation de zones hébergées privéesSi vous souhaitez accéder aux ressources de votre VPC à l'aide de noms de domaine DNS personnalisés(comme example.com) au lieu d'utiliser des adresses IPv4 privées ou des noms d'hôte DNS privés fournispar AWS, vous pouvez créer une zone hébergée privée dans Route 53. Une zone hébergée privée estun conteneur qui comporte des informations sur la façon dont vous souhaitez acheminer le trafic pour undomaine et ses sous-domaines dans un ou plusieurs VPC, sans exposer vos ressources à Internet. Vouspouvez ensuite créer des jeux d'enregistrements de ressource Route 53, qui déterminent de quelle manièreRoute 53 répond aux requêtes pour votre domaine et vos sous-domaines. Par exemple, si vous souhaitezque les requêtes du navigateur pour exemple.com soient acheminées vers un serveur Web dans votreVPC, vous devez créer un enregistrement A dans votre zone hébergée privée et spécifier l'adresse IP dece serveur Web. Pour plus d’informations sur la création d'une zone hébergée privée, consultez Utilisationde zones hébergées privées dans le Amazon Route 53 Manuel du développeur.

Pour accéder aux ressources à l'aide de noms de domaine DNS personnalisés, vous devez être connectéà une instance au sein de votre VPC. À partir de votre instance, vous pouvez tester si la ressourceincluse dans votre zone hébergée privée est accessible depuis son nom DNS personnalisé, à l'aide dela commande ping (par exemple, ping mywebserver.example.com). Assurez-vous que les règlesde groupe de sécurité de votre instance autorisent le trafic ICMP entrant pour que la commande pingfonctionne.

Vous pouvez accéder à une zone hébergée privée à partir d'une instance EC2-Classic associée à votreVPC à l'aide de ClassicLink, à condition que la prise en charge de ClassicLink DNS soit activée dansvotre VPC. Pour plus d'informations, consultez Activation de la prise en charge de ClassicLink DNS dansle Amazon EC2 Guide de l'utilisateur pour les instances Linux. Sinon, les zones hébergées privées neprennent pas en charge les relations transitives en dehors du VPC. Par exemple, vous ne pouvez pasaccéder à vos ressources à l'aide de leurs noms DNS privés personnalisés depuis l'autre extrémité d'uneconnexion VPN. Pour plus d’informations, consultez Restrictions liées à ClassicLink dans le Amazon EC2Guide de l'utilisateur pour les instances Linux.

Important

Si vous utilisez des noms de domaine DNS personnalisés définis dans une zone hébergée privéedans Amazon Route 53, les attributs enableDnsHostnames et enableDnsSupport doivent êtredéfinis sur true.

291

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcAttribute.html



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-enable-dns-support

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-limitations

Amazon Virtual Private Cloud Guide de l'utilisateurAppairage de VPC

Appairage de VPCUne connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permet derouter le trafic entre ces derniers de manière privée. Les instances des deux VPC peuvent communiquerentre elles comme si elles se trouvaient dans le même réseau. Vous pouvez créer une connexiond'appairage de VPC entre vos propres VPC, avec un VPC situé dans un autre compte AWS ou avec unVPC au sein d'une autre région AWS.

AWS utilise l'infrastructure existante d'un VPC pour créer la connexion d'appairage de VPC. Il ne s'agitni d'une passerelle, ni d'une connexion AWS Site-to-Site VPN et elle ne repose pas sur un équipementmatériel distinct. Il n'y a donc pas de point unique de défaillance pour la communication, ni de gouletd'étranglement en termes de bande passante.

Pour plus d'informations sur l'utilisation de connexions d'appairage de VPC et pour des exemples descénarios dans lesquels vous pouvez utiliser une connexion d'appairage de VPC, consultez le manuelAmazon VPC Peering Guide.

Adresses IP ElasticUne adresse IP Elastic est une adresse IPv4 publique statique conçue pour le cloud computing dynamique.Vous pouvez associer une adresse IP Elastic à n'importe quelle instance ou interface réseau pour n'importequel VPC dans votre compte. Avec une adresse IP Elastic, vous pouvez contourner un problème dedéfaillance d'une instance en remappant rapidement l'adresse vers une autre instance de votre VPC.Veuillez noter que l'avantage d'associer une adresse IP Elastic à l'interface réseau au lieu de l'associerdirectement à l'instance est que vous pouvez déplacer tous les attributs de l'interface réseau d'une instancevers une autre en une seule étape.

Actuellement, nous ne prenons pas en charge les adresses IP Elastic pour IPv6.

Sommaire• Principes de base d'une adresse IP Elastic (p. 292)• Utilisation d'adresses IP Elastic (p. 293)• Présentation des API et de l'interface de ligne de commande (CLI) (p. 295)

Principes de base d'une adresse IP ElasticVous trouverez ci-dessous les principes de base à connaître concernant les adresses IP Elastic :

• Vous attribuez d'abord une adresse IP Elastic à utiliser dans un VPC, puis vous l'associez à une instancedans votre VPC (elle peut uniquement être assignée à une instance à la fois).

• Une adresse IP Elastic est une propriété des interfaces réseau. Vous pouvez associer une adresse IPElastic à une instance en mettant à jour l'interface réseau attachée à l'instance.

• Si vous associez une adresse IP Elastic à l'interface réseau eth0 de votre instance, son adresse IPv4publique actuelle (si elle en avait une) est libérée vers le pool d'adresses IP publiques EC2-VPC. Sivous dissociez l'adresse IP Elastic, l'interface réseau eth0 est automatiquement assignée à une nouvelleadresse IPv4 publique en quelques minutes. Cette règle ne s'applique pas si vous avez attaché uneseconde interface réseau à votre instance.

• Il existe des différences entre une adresse IP Elastic que vous utilisez dans un VPC et celle que vousutilisez dans EC2-Classic. Pour plus d’informations, consultez Différences entre EC2-Classic et VPCdans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

292


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#differences-ec2-classic-vpc

Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation d'adresses IP Elastic

• Vous pouvez déplacer une adresse IP Elastic d'une instance à une autre. L'instance peut être dans lemême VPC ou dans un autre VPC, mais pas dans EC2-Classic.

• Vos adresses IP Elastic restent associées à votre compte AWS jusqu'à ce que vous les libériezexplicitement.

• Pour garantir une utilisation efficace des adresses IP Elastic, nous imposons des frais horaires minimeslorsqu'elles ne sont pas associées à une instance en cours d'exécution ou quand elles sont associéesà une instance arrêtée ou à une interface réseau dissociée. Pendant que votre instance s'exécute,l'association d'une adresse IP Elastic à l'instance ne vous est pas facturée, contrairement à touteadresse IP Elastic supplémentaire associée à l'instance. Pour en savoir plus, consultez la pageTarification Amazon EC2.

• Votre limite est de cinq adresses IP Elastic ; pour vous aider à les conserver, vous pouvez utiliser unpériphérique NAT (voir NAT (p. 252)).

• Une adresse IP Elastic est accessible via la passerelle Internet d'un VPC. Si vous avez configuré uneconnexion AWS Site-to-Site VPN entre votre VPC et votre réseau, le trafic VPN traverse une passerelleréseau privé virtuel, et non une passerelle Internet, et ne peut donc pas accéder à l'adresse IP Elastic.

• Vous pouvez transférer une adresse IP Elastic que vous avez allouée pour une utilisation sur laplateforme EC2-Classic vers la plateforme VPC. Pour plus d’informations, consultez Migrating an ElasticIP address from EC2-Classic (Migration d’une adresse IP Elastic depuis EC2 Classic) dans le Guide del’utilisateur Amazon EC2.

• Vous pouvez baliser une adresse IP Elastic allouée pour être utilisée dans un VPC, mais les balises derépartition des coûts ne sont pas prises en charge. Si vous récupérez une adresse IP Elastic, les balisesne sont pas récupérées.

• Vous pouvez utiliser l'une des options suivantes pour les adresses IP élastiques :• Demander à Amazon de fournir les adresses IP Elastic. Lorsque vous sélectionnez cette option, vous

pouvez associer les adresses IP élastiques à un groupe de bordure réseau. C'est l'endroit à partirduquel nous annonçons le bloc CIDR. La définition du groupe de bordure réseau limite le bloc CIDR àce groupe.

• Utilisez vos propres adresses IP Pour plus d'informations sur l'introduction de vos propres adresses IP,consultez Apportez vos propres adresses IP (BYOIP) dans le Amazon EC2 Guide de l'utilisateur pourles instances Linux.

Utilisation d'adresses IP ElasticVous pouvez allouer une adresse IP Elastic, puis l'associer à une instance dans un VPC.

Allouer une adresse IP Elastic à utiliser dans un VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Choisissez Allouer une nouvelle adresse.4. Spécifiez les adresses IP Elastic.

Utilisez un pool d'adresses fourni par Amazon.

• Choisissez Amazon pool (Groupe Amazon).• Dans Groupe de bordure réseau, sélectionnez le groupe à partir duquel AWS publie les adresses IP.

Utilisez vos propres adresses.

• Choisissez Possédé par moi.• Dans Pool (Groupe), sélectionnez le pool que vous avez créé.

293

https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#migrating-eip

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#migrating-eip

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html


Amazon Virtual Private Cloud Guide de l'utilisateurUtilisation d'adresses IP Elastic

5. Choisissez Allocate.

Note

Si votre compte prend en charge EC2-Classic, commencez par choisir VPC.

Voir vos adresses IP Elastic

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Pour filtrer la liste affichée, commencez à taper une partie de l'adresse IP Elastic ou de l'ID de

l'instance à laquelle elle est assignée dans la zone de recherche.

Associer une adresse IP Elastic à une instance en cours d'exécution dans un VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Sélectionnez une adresse IP Elastic qui est allouée pour être utilisée avec un VPC (la colonne Scope a

une valeur de vpc), choisissez Actions, puis Associate address.4. Choisissez Instance ou Network interface, puis sélectionnez l'ID d'instance ou d'interface réseau.

Sélectionnez l'adresse IP privée à laquelle associer l'adresse IP Elastic. Choisissez Associate.

Note

Une interface réseau peut avoir plusieurs attributs, dont une adresse IP Elastic. Vous pouvezcréer une interface réseau et l'attacher à des instances de votre VPC, ou l'en détacher.Lorsqu'une adresse IP Elastic est considérée comme un attribut au lieu d'être associéedirectement à l'instance, vous avez la possibilité de transférer tous les attributs de l'interfaceréseau d'une instance vers une autre en une seule étape. Pour plus d'informations, consultezInterfaces réseau Elastic.

Après avoir associé l'adresse IP Elastic à votre instance, celle-ci reçoit un nom d'hôte DNS si les nomsd'hôte DNS sont activés. Pour plus d'informations, consultez Utilisation de DNS avec votre VPC (p. 287).

Vous pouvez appliquer des balises à votre adresse IP Elastic afin de l'identifier ou de la classer en fonctiondes besoins de votre organisation.

Pour baliser une adresse IP Elastic

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Sélectionnez l'adresse IP Elastic et choisissez Tags.4. Sélectionnez Add/Edit Tags, entrez les clés et valeurs de balises requises, puis choisissez Save.

Pour changer quelle instance est associée à une adresse IP Elastic, dissociez-la de l'instance à laquelleelle est actuellement associée, puis associez-la à la nouvelle instance dans le VPC.

Dissocier une adresse IP Elastic

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Sélectionnez l'adresse IP Elastic, choisissez Actions, puis Disassociate address.4. A l'invite, choisissez Disassociate address.

294






Amazon Virtual Private Cloud Guide de l'utilisateurPrésentation des API et de l'interface

de ligne de commande (CLI)

Si vous n'avez plus besoin d'une adresse IP Elastic, nous vous recommandons de la libérer (l'adresse nedoit pas être associée à une instance). Toute adresse IP Elastic allouée pour être utilisée avec un VPCmais qui n'est pas associée à une instance vous est facturée.

Libérer une adresse IP Elastic

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Elastic IPs.3. Sélectionnez l'adresse IP Elastic, choisissez Actions, puis Libérer des adresses.4. Lorsque vous y êtes invité, choisissez Libérer.

Si vous avez libéré une adresse IP Elastic, vous pouvez essayer de la récupérer. Vous ne pouvez pasrécupérer une adresse IP Elastic si celle-ci a été allouée à un autre compte AWS ou si cela entraîne undépassement du quota d'adresses IP Elastic.

Actuellement, il n'est possible de récupérer une adresse IP Elastic qu'à l'aide de l'API Amazon EC2 ou d'unoutil de ligne de commande.

Pour récupérer une adresse IP élastique à l'aide de l'AWS CLI

• Utilisez la commande allocate-address et précisez l'adresse IP à l'aide du paramètre --address.

aws ec2 allocate-address --domain vpc --address 203.0.113.3

Présentation des API et de l'interface de ligne decommande (CLI)Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'un API.Pour plus d'informations sur les interfaces de ligne de commande et la liste des API disponibles, consultezAccès à Amazon VPC (p. 1).

Acquérir une adresse IP Elastic

• allocate-address (AWS CLI)• New-EC2Address (Outils AWS pour Windows PowerShell)

Associer une adresse IP Elastic à une instance ou une interface réseau

• associate-address (AWS CLI)• Register-EC2Address (Outils AWS pour Windows PowerShell)

Décrire une ou plusieurs adresses IP Elastic

• describe-addresses (AWS CLI)• Get-EC2Address (Outils AWS pour Windows PowerShell)

Baliser une adresse IP Elastic

• create-tags (AWS CLI)• New-EC2Tag (Outils AWS pour Windows PowerShell)

295


https://docs.aws.amazon.com/cli/latest/reference/ec2/allocate-address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/allocate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Address.html


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html

Amazon Virtual Private Cloud Guide de l'utilisateurClassicLink

Dissocier une adresse IP Elastic

• disassociate-address (AWS CLI)• Unregister-EC2Address (Outils AWS pour Windows PowerShell)

Libérer une adresse IP Elastic

• release-address (AWS CLI)• Remove-EC2Address (Outils AWS pour Windows PowerShell)

ClassicLinkClassicLink vous permet de lier une instance EC2-Classic à un VPC de votre compte, au sein de la mêmerégion. Vous pouvez ainsi associer des groupes de sécurité VPC à l'instance EC2-Classic, ce qui permetla communication entre votre instance EC2-Classic et les instances de votre VPC à l'aide d'adresses IPv4privées. ClassicLink élimine la nécessité d'utiliser des adresses IPv4 publiques ou des adresses IP Elasticpour activer la communication entre des instances dans ces plates-formes. Pour plus d'informations sur lesadresses IPv4 publiques et privées, consultez Adressage IP dans votre VPC (p. 122).

ClassicLink est disponible pour tous les utilisateurs avec des comptes prenant en charge la plate-formeEC2-Classic et peut être utilisé avec n'importe quelle instance EC2-Classic.

Il n'y a pas frais supplémentaires pour ClassicLink. Des frais standards pour le transfert de données etl'utilisation en heures d'instance sont applicables.

Pour plus d'informations sur ClassicLink et sur la façon de l'utiliser, consultez les rubriques suivantes duGuide de l'utilisateur Amazon EC2 :

• Principes de base d’un ClassicLink• Limitations du ClassicLink• Utilisation de ClassicLink• Présentation des API et de l'interface de ligne de commande (CLI) du ClassicLink

296

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Address.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/release-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Address.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-basics

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-limitations

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#working-with-classiclink

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-api-cli

Amazon Virtual Private Cloud Guide de l'utilisateurConcepts des points de terminaison d’un VPC

Points de terminaison d'un VPC etservices de points de terminaisond’un VPC (AWS PrivateLink)

Un Point de terminaison d'un VPC permet une connexion privée entre votre VPC et les services AWS prisen charge ou les services de point de terminaison de VPC alimentés par AWS PrivateLink sans nécessiterune passerelle Internet, un périphérique NAT ou une connexion VPN ou une connexion AWS DirectConnect. Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avecles ressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon.

Les points de terminaison sont des périphériques virtuels. Il s'agit de composants VPC mis à l’à échellehorizontalement, redondants et hautement disponibles. Ils permettent la communication entre desinstances de votre VPC et de vos services sans imposer de risques de disponibilité ou de contraintes debande passante sur votre trafic réseau.

Concepts des points de terminaison d’un VPCLes concepts clés liés aux points de terminaison d’un VPC sont les suivants :

• Service de point de terminaison — Votre propre application dans votre VPC. D'autres mandataires AWSpeuvent créer une connexion à partir de leur VPC vers votre service de point de terminaison

• Point de terminaison de passerelle - Un point de terminaison de passerelle (p. 316) est une passerelleque vous spécifiez comme cible pour une route de votre table de routage, pour le trafic destiné à unservice AWS pris en charge.

• Point de terminaison d'interface - Un point de terminaison d'interface (p. 300) est une interface réseauElastic avec une adresse IP privée de la plage d'adresses IP de votre sous-réseau qui sert de pointd'entrée au trafic destiné à un service pris en charge.

Utilisation des points de terminaison d'un VPCVous pouvez créer, accéder et gérer des points de terminaison d’un VPC à l'aide de l'une des méthodessuivantes :

• AWS Management Console — Offre une interface web que vous pouvez utiliser pour accéder à vospoints de terminaison d’un VPC.

• AWS Command Line Interface (AWS CLI) — Fournit des commandes pour une large gamme de servicesAWS, notamment Amazon VPC. L'AWS CLI est prise en charge sur Windows, macOS et Linux. Pour deplus amples informations, veuillez consulter AWS Command Line Interface.

• SDK AWS — Fournissent des API spécifiques à la langue. Les kits SDK AWS prennent en chargela plupart des détails de connexion, notamment le calcul des signatures, le traitement des nouvellestentatives de demande et le traitement des erreurs. Pour plus d'informations, consultez SDK AWS.

• API de requête — Fournit des actions d'API de bas niveau appelées à l'aide de demandes HTTPS.L'utilisation de l'API de requête est le moyen le plus direct d'accéder à un Amazon VPC. Toutefois, il faut

297

https://aws.amazon.com/cli/

https://aws.amazon.com/tools/#SDKs

Amazon Virtual Private Cloud Guide de l'utilisateurPoints de terminaison d'un VPC

alors que votre application gère les détails de bas niveau, notamment la génération du hachage poursigner la demande et la gestion des erreurs. Pour plus d'informations, consultez le Amazon EC2 APIReference.

Points de terminaison d'un VPCUn Point de terminaison d'un VPC permet une connexion privée entre votre VPC et les services AWS prisen charge ou les services de point de terminaison de VPC alimentés par AWS PrivateLink sans nécessiterune passerelle Internet, un périphérique NAT ou une connexion VPN ou une connexion AWS DirectConnect. Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avecles ressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon.

Les points de terminaison sont des périphériques virtuels. Il s'agit de composants VPC mis à l’à échellehorizontalement, redondants et hautement disponibles. Ils permettent la communication entre desinstances de votre VPC et de vos services sans imposer de risques de disponibilité ou de contraintes debande passante sur votre trafic réseau.

Il existe deux types de Points de terminaison d'un VPC : les points de terminaison d'interface et les pointsde terminaison de passerelle. Créez le type de Point de terminaison d'un VPC requis par le service pris encharge.

Points de terminaison d'interface (alimentés par AWS PrivateLink)

Un point de terminaison d'interface (p. 300) est une interface réseau Elastic avec une adresse IP privéede la plage d'adresses IP de votre sous-réseau qui sert de point d'entrée au trafic destiné au service prisen charge. Les points de terminaison d'interface sont alimentés par AWS PrivateLink, une technologiequi vous permet d'accéder en privé aux services à l'aide d'adresses IP privées. AWS PrivateLink restreinttout le trafic réseau entre votre VPC et vos services au réseau Amazon. Vous n'avez pas besoin d'unepasserelle Internet, d'un périphérique NAT ni d'une passerelle réseau privé virtuel.

Les services suivants sont pris en charge :

• Amazon API Gateway• Amazon AppStream 2.0• AWS App Mesh• Application Auto Scaling• Amazon Athena• AWS Auto Scaling• Autorité de certification privée AWS Certificate Manager• Amazon Cloud Directory• AWS CloudFormation• AWS CloudTrail• Amazon CloudWatch• Amazon CloudWatch Events• Amazon CloudWatch Logs• AWS CodeBuild• AWS CodeCommit• AWS CodePipeline• AWS Config• AWS Data Exchange

298



https://aws.amazon.com/privatelink/

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/athena/latest/ug/interface-vpc-endpoint.html

https://docs.aws.amazon.com/autoscaling/plans/userguide/aws-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/clouddirectory/latest/developerguide/getting_started_using_vpc_endpoints.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-vpce-bucketnames.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/cloudwatch-events-and-interface-VPC.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/vpc-support.html#use-vpc-endpoints-with-codepipeline

https://docs.aws.amazon.com/config/latest/developerguide/config-VPC-endpoints.html

https://docs.aws.amazon.com/data-exchange/latest/userguide/vpc-interface-endpoints.html


• AWS DataSync• AWS Device Farm• Amazon EC2• Amazon EC2 Auto Scaling• AWS Elastic Beanstalk• Amazon Elastic File System• Elastic Load Balancing• Amazon Elastic Container Registry• Amazon Elastic Container Service• Amazon EMR• AWS Glue• AWS Key Management Service• Amazon Keyspaces (pour Apache Cassandra)• Amazon Kinesis Data Firehose• Amazon Kinesis Data Streams• AWS License Manager• Amazon Managed Blockchain• Amazon Quantum Ledger Database (Amazon QLDB)• API de données Amazon RDS• Amazon Rekognition• Amazon SageMaker et Amazon SageMaker Runtime• Bloc-notes Amazon SageMaker• AWS Secrets Manager• AWS Security Token Service• AWS Server Migration Service• AWS Service Catalog• Amazon Simple Email Service (Amazon SES)• Amazon SNS• Amazon SQS• AWS Step Functions• AWS Systems Manager• AWS Storage Gateway• AWS Transfer for SFTP• Amazon WorkSpaces• Services de point de terminaison (p. 335) hébergés par d'autres comptes AWS• Services Partenaires AWS Marketplace pris en charge

Points de terminaison de passerelle

Un point de terminaison de passerelle (p. 316) est une passerelle qque vous spécifiez comme cible pourune route de votre table de routage, pour le trafic destiné à un service AWS pris en charge. Les servicesAWS suivants sont pris en charge :

• Amazon S3

299

https://docs.aws.amazon.com/datasync/latest/userguide/datasync-in-vpc.html

https://docs.aws.amazon.com/devicefarm/latest/developerguide/amazon-vpc-endpoints.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html

https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-vpc-endpoints.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/vpc-vpce.html

https://docs.aws.amazon.com/efs/latest/ug/efs-vpc-endpoints.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/load-balancer-vpc-endpoints.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/interface-vpc-endpoint.html

https://docs.aws.amazon.com/glue/latest/dg/infrastructure-security.html

https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html

https://docs.aws.amazon.com/keyspaces/latest/devguide/vpc-endpoints.html

https://docs.aws.amazon.com/firehose/latest/dev/vpc-endpoint.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html

https://docs.aws.amazon.com/license-manager/latest/userguide/interface-vpc-endpoints.html

https://docs.aws.amazon.com/managed-blockchain/latest/managementguide/managed-blockchain-endpoints.html

https://docs.aws.amazon.com/qldb/latest/developerguide/vpc-endpoints.html#using-interface-vpc-endpoints

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/data-api.html#data-api.vpc-endpoint

https://docs.aws.amazon.com/rekognition/latest/dg/vpc.html

https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotation-network-rqmts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts_vpce.html

https://aws.amazon.com/server-migration-service

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/send-email-set-up-vpc-endpoints.html

https://docs.aws.amazon.com/sns/latest/dg/sns-vpc.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-internetwork-traffic-privacy.html#sqs-vpc-endpoints

https://docs.aws.amazon.com/step-functions/latest/dg/vpc-endpoints.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-setting-up-vpc.html

https://docs.aws.amazon.com/storagegateway/latest/userguide/gateway-private-link.html

https://docs.aws.amazon.com/transfer/latest/userguide/create-server-vpc.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/infrastructure-security.html#interface-vpc-endpoint

Amazon Virtual Private Cloud Guide de l'utilisateurPoints de terminaison d'interface

• DynamoDB

Pour afficher tous les noms de service AWS disponibles, veuillez consulter Affichage des noms de servicesAWS disponibles (p. 306).

Points de terminaison d'un VPC d’interface (AWSPrivateLink)Le point de terminaison d'un VPC d'interface (point de terminaison d'interface) vous permet de vousconnecter à des services alimentés par AWS PrivateLink. Ces services incluent certains services AWS,les services hébergés par d'autres clients et partenaires AWS dans leurs propres VPC (désignés commeservices de point de terminaison) et les services partenaires AWS Marketplace pris en charge. Lepropriétaire du service est le fournisseur du service, et vous, en tant que mandataire créant le point determinaison d'interface, vous êtes le consommateur du service.

Les services suivants sont pris en charge :

• Amazon API Gateway• Amazon AppStream 2.0• AWS App Mesh• Application Auto Scaling• Amazon Athena• AWS Auto Scaling• Autorité de certification privée AWS Certificate Manager• Amazon Cloud Directory• AWS CloudFormation• AWS CloudTrail• Amazon CloudWatch• Amazon CloudWatch Events• Amazon CloudWatch Logs• AWS CodeBuild• AWS CodeCommit• AWS CodePipeline• AWS Config• AWS Data Exchange• AWS DataSync• AWS Device Farm• Amazon EC2• Amazon EC2 Auto Scaling• AWS Elastic Beanstalk• Amazon Elastic File System• Elastic Load Balancing• Amazon Elastic Container Registry• Amazon Elastic Container Service• Amazon EMR

300

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/vpc-endpoints.html


https://docs.aws.amazon.com/athena/latest/ug/interface-vpc-endpoint.html


https://docs.aws.amazon.com/acm-pca/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/clouddirectory/latest/developerguide/getting_started_using_vpc_endpoints.html


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html



https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/vpc-support.html#use-vpc-endpoints-with-codepipeline

https://docs.aws.amazon.com/config/latest/developerguide/config-VPC-endpoints.html

https://docs.aws.amazon.com/data-exchange/latest/userguide/vpc-interface-endpoints.html

https://docs.aws.amazon.com/datasync/latest/userguide/datasync-in-vpc.html

https://docs.aws.amazon.com/devicefarm/latest/developerguide/amazon-vpc-endpoints.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html


https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/vpc-vpce.html

https://docs.aws.amazon.com/efs/latest/ug/efs-vpc-endpoints.html


https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/interface-vpc-endpoint.html


• AWS Glue• AWS Key Management Service• Amazon Keyspaces (pour Apache Cassandra)• Amazon Kinesis Data Firehose• Amazon Kinesis Data Streams• AWS License Manager• Amazon Managed Blockchain• Amazon Quantum Ledger Database (Amazon QLDB)• API de données Amazon RDS• Amazon Rekognition• Amazon SageMaker et Amazon SageMaker Runtime• Bloc-notes Amazon SageMaker• AWS Secrets Manager• AWS Security Token Service• AWS Server Migration Service• AWS Service Catalog• Amazon Simple Email Service (Amazon SES)• Amazon SNS• Amazon SQS• AWS Step Functions• AWS Systems Manager• AWS Storage Gateway• AWS Transfer for SFTP• Amazon WorkSpaces• Services de point de terminaison (p. 335) hébergés par d'autres comptes AWS• Services Partenaires AWS Marketplace pris en charge

Les étapes générales suivantes permettent de configurer un point de terminaison d'interface :

1. Choisissez le VPC dans lequel créer le point de terminaison d'interface et fournissez le nom du serviceAWS, le service du point de terminaison ou le service AWS Marketplace auquel vous êtes connecté.

2. Choisissez un sous-réseau de votre VPC pour utiliser le point de terminaison d'interface. Nous créonsune interface réseau du point de terminaison dans le sous-réseau. Vous pouvez spécifier plusieurs sous-réseaux dans différentes zones de disponibilité (telles que prises en charge par le service) afin de vousassurer que le point de terminaison de votre interface résiste aux défaillances des zones de disponibilité.Dans ce cas, nous créons une interface réseau du point de terminaison dans chaque sous-réseau quevous spécifiez.

Note

Un point de terminaison d'interface est une interface réseau gérée par demandeur. Vouspouvez l'afficher dans votre compte, mais vous ne pouvez pas la gérer vous-même. Pour plusd'informations, consultez Interfaces réseau Elastic.

3. Spécifiez les groupes de sécurité à associer à l'interface réseau du point de terminaison. Les règles desgroupes de sécurité contrôlent le trafic en direction de l'interface réseau du point de terminaison desressources de votre VPC. Si vous ne spécifiez pas de groupe de sécurité, nous associons le groupe desécurité par défaut pour le VPC.

301

https://docs.aws.amazon.com/glue/latest/dg/infrastructure-security.html

https://docs.aws.amazon.com/kms/latest/developerguide/kms-vpc-endpoint.html


https://docs.aws.amazon.com/firehose/latest/dev/vpc-endpoint.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html

https://docs.aws.amazon.com/license-manager/latest/userguide/interface-vpc-endpoints.html

https://docs.aws.amazon.com/managed-blockchain/latest/managementguide/managed-blockchain-endpoints.html

https://docs.aws.amazon.com/qldb/latest/developerguide/vpc-endpoints.html#using-interface-vpc-endpoints

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/data-api.html#data-api.vpc-endpoint


https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotation-network-rqmts.html


https://aws.amazon.com/server-migration-service

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/send-email-set-up-vpc-endpoints.html

https://docs.aws.amazon.com/sns/latest/dg/sns-vpc.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-internetwork-traffic-privacy.html#sqs-vpc-endpoints

https://docs.aws.amazon.com/step-functions/latest/dg/vpc-endpoints.html


https://docs.aws.amazon.com/storagegateway/latest/userguide/gateway-private-link.html

https://docs.aws.amazon.com/transfer/latest/userguide/create-server-vpc.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/infrastructure-security.html#interface-vpc-endpoint



4. (Facultatif ; services AWS et services partenaires AWS Marketplace uniquement) Activez le DNSprivé (p. 302) pour que le point de terminaison puisse vous permettre d'adresser des demandes auservice à l'aide de son nom d'hôte DNS par défaut.

Important

Le DNS privé est activé par défaut pour les points de terminaison créés pour des services AWSet des services partenaires AWS Marketplace.Le DNS privé est activé dans les autres sous-réseaux qui se trouvent dans les mêmes VPC etzone de disponibilité (ou zone locale).

5. Lorsque le fournisseur de service et le consommateur sont dans des comptes différents, consultezthe section called “Considérations sur les zones de disponibilité des points de terminaisond'interface” (p. 306) pour plus d’informations sur la façon d’utiliser les ID de zones de disponibilité pouridentifier la zone de disponibilité du point de terminaison d'interface.

6. Une fois que vous avez créé le point de terminaison d'interface, celui-ci est disponible pour utilisationquand il est accepté par le fournisseur de services. Le fournisseur de service doit configurer le servicepour qu'il accepte les demandes automatiquement ou manuellement. Les services AWS et les servicesAWS Marketplace acceptent généralement de manière automatique toutes les demandes de point determinaison. Pour plus d'informations sur le cycle de vie d'un point de terminaison, consultez Cycle devie du point de terminaison d'interface (p. 305).

Les services ne peuvent pas initier de demandes en direction des ressources de votre VPC via lepoint de terminaison. Un point de terminaison retourne uniquement les réponses au trafic initié depuisles ressources de votre VPC. Avant d'intégrer un service et un point de terminaison, consultez ladocumentation relative au point de terminaison de VPC spécifique au service pour prendre connaissancede toute configuration et limitation spécifiques au service.

Sommaire• DNS privé pour les points de terminaison d'interface (p. 302)• Propriétés et limites des points de terminaison d'interface (p. 304)• Connexion aux centres de données locaux (p. 305)• Cycle de vie du point de terminaison d'interface (p. 305)• Considérations sur les zones de disponibilité des points de terminaison d'interface (p. 306)• Tarification des points de terminaison d'interface (p. 306)• Affichage des noms de services AWS disponibles (p. 306)• Création d'un point de terminaison d'interface (p. 308)• Affichage de votre point de terminaison d'interface (p. 311)• Création et gestion d'une notification pour un point de terminaison d'interface (p. 312)• Accès à un service via un point de terminaison d'interface (p. 313)• Modification d'un point de terminaison d'interface (p. 314)

DNS privé pour les points de terminaison d'interfaceQuand vous créez un point de terminaison d'interface, nous générons des noms d'hôte DNS spécifiquesau point de terminaison que vous pouvez utiliser pour communiquer avec le service. Pour les servicesAWS et les services partenaires AWS Marketplace, l'option de DNS privé (activée par défaut) associe unezone hébergée privée à votre VPC. La zone hébergée contient un ensemble d'enregistrements pour lenom DNS par défaut du service (par exemple, ec2.us-east-1.amazonaws.com) qui se résout dansles adresses IP privées des interfaces réseau de point de terminaison de votre VPC. Vous pouvez ainsiadresser des demandes au service à l'aide de son nom d'hôte DNS par défaut au lieu des noms d'hôteDNS propres au point de terminaison. Par exemple, si vos applications existantes adressent des demandes

302


à un service AWS, elles peuvent continuer à le faire via le point de terminaison d'interface sans nécessiterde modifications de configuration.

Dans l'exemple illustré par le schéma suivant, il existe un point de terminaison d'interface pour AmazonKinesis Data Streams et une interface réseau de point de terminaison dans le sous-réseau 2. Le DNSprivé pour le point de terminaison d'interface n'est pas activé. Les tables de routage des sous-réseauxcomportent les routes suivantes.

Sous-réseau 1

Destination Cible

10.0.0.0/16 Locale

0.0.0.0/0 internet-gateway-id

Sous-réseau 2

Destination Cible

10.0.0.0/16 Locale

Les instances de l'un ou l'autre des sous-réseaux peuvent envoyer des demandes à Amazon KinesisData Streams via le point de terminaison d'interface à l'aide d'un nom d'hôte DNS spécifique au point determinaison. Les instances du sous-réseau 1 peuvent communiquer avec Amazon Kinesis Data Streamssur un espace d'adressage IP public dans la région AWS à l'aide du nom DNS par défaut.

Dans le diagramme suivant, le DNS privé du point de terminaison a été activé. Les instances de l'un oul'autre des sous-réseaux peuvent envoyer des demandes à Amazon Kinesis Data Streams via le point de

303


terminaison d'interface en utilisant le nom d'hôte DNS par défaut ou le nom d'hôte DNS spécifique au pointde terminaison.

Important

Pour utiliser les DNS privés, vous devez définir les attributs VPC suivants sur true :enableDnsHostnames et enableDnsSupport. Pour plus d'informations, consultez Affichageet mise à jour de la prise en charge de DNS pour votre VPC (p. 290). Les utilisateurs IAMdoivent avoir l'autorisation d'utiliser les zones hébergées. Pour plus d'informations, consultezAuthentification et contrôle d'accès pour Route 53.

Propriétés et limites des points de terminaison d'interfacePour utiliser les points de terminaison d'interface, vous devez être conscient des propriétés et limitationsactuelles :

• Pour chaque point de terminaison d'interface, vous ne pouvez choisir qu'un seul sous-réseau par zonede disponibilité.

• Certains services prennent en charge l'utilisation de stratégies de point de terminaison pour contrôlerl'accès au service. Pour de plus amples informations sur les services qui prennent en charge lesstratégies de point de terminaison, veuillez consulter the section called “Contrôle de l'accès aux servicesavec Points de terminaison d'un VPC” (p. 332).

• Certains services peuvent ne pas être disponibles dans toutes les zones de disponibilité via un point determinaison d'interface. Pour connaître les zones de disponibilité prises en charge, utilisez la commandedescribe-vpc-endpoint-services ou utilisez la console Amazon VPC. Pour plus d'informations, consultezCréation d'un point de terminaison d'interface (p. 308).

• Lorsque vous créez un point de terminaison d'interface, celui-ci est créé dans la zone de disponibilitémappée à votre compte et est indépendant des autres comptes. Lorsque le fournisseur de service etle consommateur sont dans des comptes différents, consultez the section called “Considérations sur

304

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/auth-and-access-control.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html


les zones de disponibilité des points de terminaison d'interface” (p. 306) pour plus d’informations surla façon d’utiliser les ID de zones de disponibilité pour identifier la zone de disponibilité du point determinaison d'interface.

• Lorsque le fournisseur de services et le consommateur ont des comptes différents et utilisent plusieurszones de disponibilité, et que le consommateur visualise les informations du service de point determinaison VPC, la réponse inclut uniquement les zones de disponibilité communes. Par exemple,lorsque le compte du fournisseur de services utilise les régions us-east-1a et us-east-1c et leconsommateur les régions us-east-1a et us-east-1b, la réponse inclut les services de point determinaison VPC dans la zone de disponibilité commune, us-east-1a.

• Par défaut, chaque point de terminaison d'interface peut prendre en charge une bande passante jusqu'à10 Gbits/s par zone de disponibilité et des pics allant jusqu’à 40 Gbits/s. Si votre application nécessitedes pics plus élevés ou un débit soutenu, contactez le support AWS.

• Si la liste ACL réseau de votre sous-réseau limite le trafic, vous pourriez ne pas pouvoir envoyer dutrafic via l'interface réseau du point de terminaison. Assurez-vous d'ajouter des règles appropriées quiautorisent le trafic vers et depuis le bloc d'adresse CIDR du sous-réseau.

• Assurez-vous que le groupe de sécurité associé à l'interface réseau du point de terminaison permetla communication entre l'interface réseau du point de terminaison et les ressources de votre VPC quicommuniquent avec le service. Si le groupe de sécurité restreint le trafic HTTPS entrant (port 443)provenant des ressources du VPC, il se peut que vous ne puissiez pas envoyer de trafic via l'interfaceréseau du point de terminaison.

• Un point de terminaison d'interface prend uniquement en charge le trafic TCP.• Quand vous créez un point de terminaison, vous pouvez lui attacher une stratégie de point de

terminaison qui contrôle l'accès au service auquel vous vous connectez. Pour de plus amplesinformations, consultez Bonnes pratiques en matière de stratégies et the section called “Contrôle del'accès aux services avec Points de terminaison d'un VPC” (p. 332).

• Vérifiez les limites spécifiques au service pour votre service de point de terminaison.• Les points de terminaison sont uniquement pris en charge dans une même région. Vous ne pouvez pas

créer un point de terminaison entre un VPC et un service situé dans une autre région.• Les points de terminaison prennent en charge le trafic IPv4 uniquement.• Vous ne pouvez pas transférer de point de terminaison d'un VPC à un autre, ou d'un service à un autre.• Vous êtes soumis à un quota pour le nombre de points de terminaison que vous pouvez créer par VPC.

Pour plus d'informations, consultez Points de terminaison d'un VPC (p. 366).

Connexion aux centres de données locauxVous pouvez utiliser les types de connexions suivants pour établir une connexion entre un point determinaison d'interface et votre centre de données sur site :

• AWS Direct Connect• AWS Site-to-Site VPN

Cycle de vie du point de terminaison d'interfaceUn point de terminaison d'interface passe par plusieurs étapes à partir du moment où vous le créez(la demande de connexion du point de terminaison). À chaque étape, il peut y avoir des actions que leconsommateur du service et le fournisseur du service peuvent prendre.

Les règles suivantes s'appliquent :

• Un fournisseur de service peut configurer son service pour qu'il accepte les demandes de point determinaison d'interface automatiquement ou manuellement. Les services AWS et les services AWS

305

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html#security_iam_service-with-iam-policy-best-practices




Marketplace acceptent généralement de manière automatique toutes les demandes de point determinaison.

• Un fournisseur de service ne peut pas supprimer le point de terminaison d'interface de son service.Seul le consommateur du service ayant demandé la connexion du point de terminaison d'interface peutsupprimer le point de terminaison d'interface.

• Un fournisseur de service peut rejeter le point de terminaison d'interface après l'avoir accepté(manuellement ou automatiquement) et qu'il se trouve dans l'état available.

Considérations sur les zones de disponibilité des points determinaison d'interfaceLorsque vous créez un point de terminaison d'interface, celui-ci est créé dans la zone de disponibilitémappée à votre compte et est indépendant des autres comptes. Lorsque le fournisseur de service et leconsommateur sont dans des comptes différents, utilisez l'ID de zone de disponibilité pour identifier defaçon unique et cohérente la zone de disponibilité du point de terminaison d'interface. Par exemple, use1-az1 est un ID de zone de disponibilité pour la région us-east-1, qui correspond au même emplacementdans chaque compte AWS. Pour plus d’informations sur les zones de disponibilité, consultez ID de zone dedisponibilité pour vos ressources dans le Guide de l'utilisateur AWS RAM ou utilisez describe-availability-zones.

Certains services peuvent ne pas être disponibles dans toutes les zones de disponibilité via un point determinaison d'interface. Vous pouvez utiliser les opérations suivantes pour déterminer quelles zones dedisponibilité sont prises en charge pour un service :

• describe-vpc-endpoint-services (AWS CLI)• DescribeVpcEndpointServices (API)• La console Amazon VPC lorsque vous créez un point de terminaison d'interface. Pour plus

d'informations, consultez the section called “Création d'un point de terminaison d'interface” (p. 308).

Tarification des points de terminaison d'interfaceLa création et l'utilisation d'un point de terminaison d'interface d'un service vous sont facturées. Les tarifsd'utilisation horaire et les tarifs de traitement des données s'appliquent. Pour de plus amples informationssur la tarification des points de terminaison d'interface, veuillez consulter Tarification AWS PrivateLink.Vous pouvez afficher le nombre total de points de terminaison d'interface à l'aide de la Console AmazonVPC ou de l'AWS CLI.

Affichage des noms de services AWS disponiblesVous pouvez obtenir une liste des noms de service AWS disponibles à l'aide de la console ou de la ligne decommande.

Console

Pour afficher les services AWS disponibles à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Points de terminaison, Créer un point de terminaison.3. Dans la section Nom du service, les services disponibles sont répertoriés.

306



https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-availability-zones.html


https://docs.aws.amazon.com/cli/latest/reference/ec2describe-vpc-endpoint-services.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServices.html

https://aws.amazon.com/privatelink/pricing/



Command line

Pour afficher les services AWS disponibles à l'aide de l'outil AWS CLI

• Utilisez la commande describe-vpc-endpoint-services pour obtenir la liste des servicesdisponibles. Dans le résultat retourné, prenez note du nom du service auquel se connecter. Lechamp ServiceType indique si vous vous connectez au service via un point de terminaisond'interface ou un point de terminaison de passerelle. Le champ ServiceName fournit le nom duservice.

aws ec2 describe-vpc-endpoint-services

{ "VpcEndpoints": [ { "VpcEndpointId": "vpce-08a979e28f97a9f7c", "VpcEndpointType": "Interface", "VpcId": "vpc-06e4ab6c6c3b23ae3", "ServiceName": "com.amazonaws.us-east-2.monitoring", "State": "available", "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}", "RouteTableIds": [], "SubnetIds": [ "subnet-0931fc2fa5f1cbe44" ], "Groups": [ { "GroupId": "sg-06e1d57ab87d8f182", "GroupName": "default" } ], "PrivateDnsEnabled": false, "RequesterManaged": false, "NetworkInterfaceIds": [ "eni-019b0bb3ede80ebfd" ], "DnsEntries": [ { "DnsName": "vpce-08a979e28f97a9f7c-4r5zme9n.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-08a979e28f97a9f7c-4r5zme9n-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" } ], "CreationTimestamp": "2019-06-04T19:10:37.000Z", "Tags": [], "OwnerId": "123456789012" } ]

Pour afficher les services AWS disponibles à l'aide de Outils AWS pour Windows PowerShell

• Get-EC2VpcEndpointService

307


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpointService.html


Pour afficher les services AWS disponibles à l'aide de l'API

• DescribeVpcEndpointServices

Création d'un point de terminaison d'interfacePour créer un point de terminaison d'interface, vous devez spécifier le VPC dans lequel vous voulez créerle point de terminaison d'interface et le service avec lequel vous voulez établir la connexion.

(Facultatif ; services AWS et services partenaires AWS Marketplace uniquement) Vous pouvezéventuellement activer le DNS privé (p. 302) pour que le point de terminaison puisse vous permettred'adresser des demandes au service à l'aide de son nom d'hôte DNS par défaut.

Important

Le DNS privé est activé par défaut pour les points de terminaison créés pour des services AWS etdes services partenaires AWS Marketplace.

Console

Pour créer le point de terminaison d'interface d'un service AWS à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Points de terminaison, Créer un point de terminaison.3. Pour Catégorie de service, assurez-vous que Services AWS est sélectionné.4. Pour Nom du service, choisissez le service auquel vous connectez. Pour Type, assurez-vous

qu'Interface soit indiqué.5. Complétez les informations suivantes, puis choisissez Créer un point de terminaison.

• Pour VPC, sélectionnez un VPC dans lequel créer le point de terminaison.• Pour Sous-réseaux, sélectionnez les sous-réseaux (zones de disponibilité) dans lesquels créer

les interfaces réseau du point de terminaison.

Certaines zones de disponibilité peuvent ne pas être prises en charge pour tous les servicesAWS.

• Pour activer un DNS privé pour le point de terminaison de VPC, cochez Enable Private DNSName (Activer le nom de DNS privé)

Cette option est activée par défaut. Pour utiliser l'option DNS privé, les attributs suivants devotre VPC doivent être définis sur true : enableDnsHostnames et enableDnsSupport.Pour plus d'informations, consultez Affichage et mise à jour de la prise en charge de DNS pourvotre VPC (p. 290).

• Pour Groupe de sécurité, sélectionnez les groupes de sécurité à associer aux interfaces réseaudu point de terminaison.

• (Facultatif) Ajoutez ou supprimez une balise.

[Ajouter une balise] Choisissez Ajouter une balise et procédez comme suit :• Pour Clé, saisissez le nom de la clé.• Pour Value (Valeur), saisissez la valeur de la clé.

[Supprimer une balise] Choisissez le bouton de suppression (« x ») situé à la droite de la clé etde la valeur de la balise.

Pour créer le point de terminaison d'interface d'un service de point de terminaison, vous devez avoir lenom du service auquel vous connectez. Le fournisseur du service peut vous fournir le nom.

308

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpointServices.html



Pour créer le point de terminaison d'interface d'un service de point de terminaison

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Points de terminaison, Créer un point de terminaison.3. Pour Catégorie de service, choisissez Rechercher un service par nom.4. Pour Nom du service, entrez le nom du service (par exemple, com.amazonaws.vpce.us-

east-1.vpce-svc-0e123abc123198abc) et choisissez Vérifier.5. Complétez les informations suivantes, puis choisissez Créer un point de terminaison.



Certaines zones de disponibilité peuvent ne pas être prises en charge pour le service.• Pour Groupe de sécurité, sélectionnez les groupes de sécurité à associer aux interfaces réseau

du point de terminaison.• (Facultatif) Ajoutez ou supprimez une balise.



Pour créer le point de terminaison d'interface d'un service partenaire AWS Marketplace

1. Accédez à la page PrivateLink sur AWS Marketplace et abonnez-vous à un service depuis unfournisseur SaaS (Software as a Service). Les services qui prennent en charge les points determinaison d'interface incluent une option pour se connecter via un point de terminaison.

2. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.3. Dans le volet de navigation, sélectionnez Points de terminaison, Créer un point de terminaison.4. Pour Catégorie de service, choisissez Vos services Marketplace.5. Choisissez le service AWS Marketplace auquel vous êtes inscrit.6. Complétez les informations suivantes, puis choisissez Créer un point de terminaison.



Certaines zones de disponibilité peuvent ne pas être prises en charge pour le service.• Pour Groupe de sécurité, sélectionnez les groupes de sécurité à associer aux interfaces réseau

du point de terminaison.• (Facultatif) Ajoutez ou supprimez une balise.



309


https://aws.amazon.com/marketplace/saas/privatelink



Command line

Pour créer un point de terminaison d'interface à l'aide de l'AWS CLI

1. Utilisez la commande describe-vpc-endpoint-services pour obtenir la liste des servicesdisponibles. Dans le résultat retourné, prenez note du nom du service auquel se connecter. Lechamp ServiceType indique si vous vous connectez au service via un point de terminaisond'interface ou un point de terminaison de passerelle. Le champ ServiceName fournit le nom duservice.

2. Pour créer un point de terminaison d'interface, utilisez la commande create-vpc-endpoint etspécifiez l'ID du VPC, le type de Point de terminaison d'un VPC (interface), le nom du service,les sous-réseaux qui utiliseront le point de terminaison et les groupes de sécurité à associer auxinterfaces réseau du point de terminaison.

L'exemple suivant crée un point de terminaison d'interface pour le service Elastic Load Balancing.

aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.us-east-1.elasticloadbalancing --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d

{ "VpcEndpoint": { "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}", "VpcId": "vpc-ec43eb89", "NetworkInterfaceIds": [ "eni-bf8aa46b" ], "SubnetIds": [ "subnet-abababab" ], "PrivateDnsEnabled": true, "State": "pending", "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing", "RouteTableIds": [], "Groups": [ { "GroupName": "default", "GroupId": "sg-1a2b3c4d" } ], "VpcEndpointId": "vpce-088d25a4bbf4a7abc", "VpcEndpointType": "Interface", "CreationTimestamp": "2017-09-05T20:14:41.240Z", "DnsEntries": [ { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7-us-east-1a.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z1K56Z6FNPJRR", "DnsName": "elasticloadbalancing.us-east-1.amazonaws.com" } ] }

310


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html


}

Sinon, l'exemple suivant crée un point de terminaison d'interface pour un service de point determinaison d'un autre compte AWS (le fournisseur de service vous communique le nom duservice de point de terminaison).

aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc --subnet-id subnet-abababab --security-group-id sg-1a2b3c4d

Dans le résultat retourné, notez les champs DnsName. Vous pouvez utiliser ces noms DNS pouraccéder au service AWS.

Pour décrire les services disponibles et créer un point de terminaison VPC à l'aide des OutilsAWS pour Windows PowerShell

• Get-EC2VpcEndpointService• New-EC2VpcEndpoint

Pour décrire les services disponibles et créer un point de terminaison VPC à l'aide de l'API

• DescribeVpcEndpointServices• CreateVpcEndpoint

Affichage de votre point de terminaison d'interfaceUne fois que vous avez créé un point de terminaison d'interface, vous pouvez afficher des informations àson sujet.

Console

Pour afficher les informations sur un point de terminaison d'interface à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez votre point de

terminaison d'interface.3. Pour afficher les informations sur le point de terminaison d'interface, choisissez Détails. Le champ

DNS affiche les noms DNS à utiliser pour accéder au service.4. Pour afficher les sous-réseaux dans lesquels le point de terminaison d'interface a été créé, ainsi

que l'ID de l'interface réseau du point de terminaison de chaque sous-réseau, choisissez Sous-réseaux.

5. Pour afficher les groupes de sécurité associés à l'interface réseau du point de terminaison,choisissez Groupe de sécurité.

Command line

Pour décrire votre point de terminaison d'interface à l'aide de l'AWS CLI

• Vous pouvez décrire votre point de terminaison à l'aide de la commande describe-vpc-endpoints.

aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-088d25a4bbf4a7abc

311


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpoint.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html


Pour décrire vos points de terminaison VPC à l'aide des Outils AWS pour PowerShell ou del'API

• Get-EC2VpcEndpoint (Outils pour Windows PowerShell)• DescribeVpcEndpoints (API de requête Amazon EC2)

Création et gestion d'une notification pour un point de terminaisond'interfaceVous pouvez créer une notification pour recevoir des alertes pour les événements spécifiques qui seproduisent sur le point de terminaison de votre interface. Par exemple, vous pouvez recevoir un e-mail quand le point de terminaison d'interface est accepté par le fournisseur du service. Pour créer unenotification, vous devez associer une rubrique Amazon SNS à la notification. Vous pouvez vous inscrire àla rubrique SNS pour recevoir une notification par e-mail quand un événement de point de terminaison seproduit.

La rubrique Amazon SNS que vous utilisez pour les notifications doit avoir une stratégie de rubrique quipermet à un service de point de terminaison de VPC d'Amazon de publier des notifications en votre nom.Veillez à inclure la déclaration suivante dans votre stratégie de rubrique. Pour de plus amples informations,veuillez consulter Identity and Access Management dans Amazon SNS dans le Amazon Simple NotificationService Manuel du développeur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}

Console

Pour créer une notification pour un point de terminaison d'interface


terminaison d'interface.3. Choisissez Actions, Créer une notification.4. Choisissez l'ARN de la rubrique SNS à associer à la notification.5. Pour Événements, sélectionnez les événements de point de terminaison pour lesquels vous

recevrez des notifications.6. Choisissez Créer une notification.

Après avoir créé une notification, vous pouvez modifier la rubrique SNS associée à cette dernière.Vous pouvez également spécifier différents événements de point de terminaison pour celle-ci.

Pour modifier une notification pour un service de point de terminaison


312

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpoints.html

https://docs.aws.amazon.com/sns/latest/dg/

https://docs.aws.amazon.com/sns/latest/dg/sns-authentication-and-access-control.html




2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez votre point determinaison d'interface.

3. Choisissez Actions, Modifier une notification.4. Spécifiez l'ARN de la rubrique SNS et modifiez les événements de point de terminaison comme

requis.5. Choisissez Modifier la notification.

Si vous n'avez plus besoin d'une notification, vous pouvez la supprimer.

Pour supprimer une notification


terminaison d'interface.3. Choisissez Actions, Supprimer une notification.4. Sélectionnez Oui, supprimer.

Command line

Pour créer et gérer une notification à l'aide de l'AWS CLI

1. Pour créer une notification pour un point de terminaison d'interface, utilisez la commande create-vpc-endpoint-connection-notification . Spécifiez l'ARN de la rubrique SNS, les événements ànotifier et l'ID du point de terminaison, comme indiqué dans l'exemple suivant.

aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:EndpointNotification --connection-events Accept Reject --vpc-endpoint-id vpce-123abc3420c1931d7

2. Pour afficher vos notifications, utilisez la commande describe-vpc-endpoint-connection-notifications.

aws ec2 describe-vpc-endpoint-connection-notifications

3. Pour modifier la rubrique SNS ou les événements de point de terminaison de la notification,utilisez la commande modify-vpc-endpoint-connection-notification.

aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic

4. Pour supprimer une notification, utilisez la commande delete-vpc-endpoint-connection-notifications.

aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc

Accès à un service via un point de terminaison d'interfaceUne fois que vous avez créé un point de terminaison d'interface, vous pouvez envoyer des demandes auservice pris en charge via une URL de point de terminaison. Vous pouvez utiliser les éléments suivants :

313


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-connection-notification.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connection-notifications.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-connection-notification.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-connection-notifications.html



• Si vous avez activé un DNS privé pour le point de terminaison (zone hébergée privée applicable auxservices AWS et aux services partenaires AWS Marketplace uniquement), le nom d'hôte DNS par défautdu service AWS de la région. Par exemple, ec2.us-east-1.amazonaws.com.

• Le nom d'hôte DNS régional propre au point de terminaison qui est généré pour le point determinaison d'interface. Le nom d'hôte inclut un identifiant de point de terminaison unique,un identifiant de service, la région et vpce.amazonaws.com dans son nom.. Par exemple,vpce-0fe5b17a0707d6abc-29p5708s.ec2.us-east-1.vpce.amazonaws.com.

• Le nom d'hôte DNS de la zone propre au point de terminaison qui est généré pour chaque zonede disponibilité dans laquelle le point de terminaison est disponible. Le nom d'hôte inclut la zonede disponibilité dans son nom. Par exemple, vpce-0fe5b17a0707d6abc-29p5708s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com. Vous pouvez utiliser cette option si votrearchitecture isole les zones de disponibilité (par exemple, pour contenir les défaillances ou réduire lescoûts de transfert de données régional).

Une demande vers un nom d'hôte DNS zonal est destiné à l'emplacement de zone de disponibilitécorrespondant dans le compte du fournisseur de services, qui peut ne pas avoir le même nom de zonede disponibilité que votre compte. Pour plus d’informations, consultez Concepts de régions et de zonesde disponibilité.

• Adresse IP privée de l'interface réseau du point de terminaison du VPC.

Pour obtenir les noms DNS régionaux et zonaux, veuillez consulter Affichage de votre point de terminaisond'interface (p. 311).

Par exemple, dans un sous-réseau où vous avez un point de terminaison d'interface vers Elastic LoadBalancing et pour lequel vous n'avez pas activé l'option DNS privé, utilisez la commande suivante de l'AWSCLI à partir d'une instance pour décrire vos équilibreurs de charge. La commande utilise le nom d'hôte DNSrégional propre au point de terminaison pour créer la demande via le point de terminaison d'interface.

aws elbv2 describe-load-balancers --endpoint-url https://vpce-0f89a33420c193abc-bluzidnv.elasticloadbalancing.us-east-1.vpce.amazonaws.com/

Si vous activez l'option DNS privé, vous n'avez pas à spécifier l'URL du point de terminaison dansla demande. L'AWS CLI utilise le point de terminaison par défaut du service AWS de la région(elasticloadbalancing.us-east-1.amazonaws.com).

Modification d'un point de terminaison d'interfaceVous pouvez modifier les attributs suivants d'un point de terminaison d'interface :

• Le sous-réseau où figure le point de terminaison d'interface• Les groupes de sécurité associés à l'interface réseau du point de terminaison• Les balises• L'option de DNS privé• La stratégie de point de terminaison (si elle est prise en charge par le service)

Si vous supprimez un sous-réseau du point de terminaison d'interface, l'interface réseau de point determinaison correspondante du sous-réseau est supprimée.

Console

Pour modifier les sous-réseaux d'un point de terminaison d'interface


314

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-regions-availability-zones




2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez le point determinaison d'interface.

3. Choisissez Actions, Gérer les sous-réseaux.4. Sélectionnez les sous-réseaux ou annulez leur sélection si nécessaire, puis choisissez Modifier

les sous-réseaux.

Pour ajouter ou supprimer les groupes de sécurité associés à un point de terminaisond'interface

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez le point de

terminaison d'interface.3. Choisissez Actions, Gérer les groupes de sécurité.4. Sélectionnez les groupes de sécurité ou annulez leur sélection si nécessaire, puis choisissez

Enregistrer.

Pour ajouter ou supprimer une balise de point de terminaison d’interface

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison).3. Sélectionnez le point de terminaison d’interface et choisissez Actions, Add/Edit Tags (Ajouter/

modifier des balises).4. Ajoutez ou supprimez une balise.

[Ajouter une balise] Choisissez Create tag (Créer une balise) et procédez comme suit :• Pour Key (Clé), saisissez le nom de la clé.• Pour Value (Valeur), saisissez la valeur de la clé.

[Supprimer une balise] Choisissez le bouton de suppression (« x ») situé à la droite de la clé et dela valeur de la balise.

Pour modifier l'option de DNS privé


terminaison d'interface.3. Choisissez Actions, Modifier les noms de DNS privés.4. Activez ou désactivez l'option si nécessaire, puis choisissez Modifier les noms de DNS privés.

Pour mettre à jour la stratégie de point de terminaison


terminaison d'interface.3. Choisissez Actions, Modifier une stratégie.4. Choisissez Accès complet pour autoriser un accès complet au service, ou choisissez Personnalisé

et spécifiez une stratégie personnalisée. Choisissez Save.

315





Amazon Virtual Private Cloud Guide de l'utilisateurPoints de terminaison de passerelle

Command line

Pour modifier un Point de terminaison d'un VPC à l'aide de l'AWS CLI

1. Utilisez la commande describe-vpc-endpoints pour obtenir l'ID de votre point de terminaisond'interface.

aws ec2 describe-vpc-endpoints

2. L'exemple suivant utilise la commande modify-vpc-endpoint pour ajouter le sous-réseau subnet-aabb1122 au point de terminaison d'interface.

aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-0fe5b17a0707d6abc --add-subnet-id subnet-aabb1122

Pour modifier un Point de terminaison d'un VPC à l'aide du kit Outils AWS pour WindowsPowerShell ou d'une API

• Edit-EC2VpcEndpoint (Outils AWS pour Windows PowerShell)• ModifyVpcEndpoint (API de requête Amazon EC2)

Pour ajouter ou supprimer une balise de Point de terminaison d'un VPC avec Outils AWS pourWindows PowerShell ou une API

• tag-resource (AWS CLI)• TagResource (Outils AWS pour Windows PowerShell)• untag-resource (AWS CLI)• TagResource (Outils AWS pour Windows PowerShell)

Points de terminaison d'un VPC de passerellePour créer et configurer un point de terminaison de passerelle, suivez ces étapes générales :

1. Spécifiez le VPC dans lequel créer le point de terminaison et le service auquel vous souhaitez vousconnecter. Un service est identifié par une liste de préfixes—, ou par le nom et l'ID d'un service pour unerégion. Un ID de liste des préfixes utilise le format pl-xxxxxxx et un nom de liste de préfixes utilise leformat « com.amazonaws.région.service ». Utilisez le nom de la liste des préfixes (nom de service)pour créer un point de terminaison.

2. Attachez une stratégie de point de terminaison à votre point de terminaison pour autoriser l'accès àcertains ou à tous les services auxquels vous vous connectez. Pour plus d'informations, consultezUtilisation des stratégies Point de terminaison d'un VPC (p. 333).

3. Spécifiez une ou plusieurs tables de routage dans lesquelles créer les itinéraires vers le service. Lestables de routage contrôlent l'acheminement du trafic entre votre VPC et l'autre service. Chaque sous-réseau associé à une de ces tables de routage a accès au point de terminaison, et le trafic entre lesinstances de ces sous-réseaux et le service est ensuite acheminé via le point de terminaison.

Dans le schéma suivant, les instances du sous-réseau 2 peuvent accéder à Amazon S3 via le point determinaison de passerelle.

316


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpoint.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/tag-resource.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_TagResource.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/untag-resource.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UntagResource.html


Vous pouvez créer plusieurs points de terminaison dans un seul VPC, par exemple, pour plusieursservices. Vous pouvez aussi créer plusieurs points de terminaison pour un seul service et vous pouvezutiliser différentes tables de routage pour imposer différentes stratégies d'accès depuis plusieurs sous-réseaux vers le même service.

Après avoir créé un point de terminaison, vous pouvez modifier la stratégie du point de terminaisonattachée à votre point de terminaison, et ajouter ou supprimer les tables de routage utilisées par le point determinaison.

Sommaire• Tarification des points de terminaison de passerelle (p. 317)• Routage des points de terminaison de passerelle (p. 318)• Limitations de point de terminaison de passerelle (p. 320)• Points de terminaison pour Amazon S3 (p. 320)• Points de terminaison pour Amazon DynamoDB (p. 326)• Création d'un point de terminaison de passerelle (p. 328)• Modification de votre groupe de sécurité (p. 330)• Modification d'un point de terminaison de passerelle (p. 331)• Ajout ou suppression de balises de point de terminaison de passerelle (p. 332)

Tarification des points de terminaison de passerelleIl n'y a pas de frais supplémentaires pour l'utilisation de points de terminaison de passerelle. Des fraisstandards s'appliquent pour le transfert de données et l'utilisation de ressources. Pour plus d'informationssur la tarification, consultez Tarification Amazon EC2.

317

http://aws.amazon.com/ec2/pricing/


Routage des points de terminaison de passerelleQuand vous créez ou modifiez un point de terminaison, vous spécifiez les tables de routage VPC qui sontutilisées pour accéder au service via le point de terminaison. Une route est automatiquement ajoutéepour chacune des tables de routage avec une destination qui spécifie l'ID de liste des préfixes du service(pl-xxxxxxxx) et une cible avec l'ID point de terminaison (vpce-xxxxxxxx). Par exemple :

Destination Target

10.0.0.0/16 Locale

pl-1a2b3c4d vpce-11bb22cc

L'ID de liste des préfixes représente logiquement la plage d'adresses IP publiques utilisée par leservice. Toutes les instances des sous-réseaux associés aux tables de routage spécifiées utilisentautomatiquement le point de terminaison pour accéder au service. Les sous-réseaux qui ne sont pasassociés aux tables de routage spécifiées n'utilisent pas le point de terminaison. Vous pouvez ainsi garderdes ressources dans d'autres sous-réseaux séparés de votre point de terminaison.

Pour voir la plage d'adresses IP publique actuelle pour un service, vous pouvez utiliser la commandedescribe-prefix-lists.

Note

La plage d'adresses IP publiques pour un service peut changer de temps en temps. Prenez encompte les implications avant d'effectuer le routage ou de prendre d'autres décisions selon laplage d'adresses IP actuelle pour un service.

Les règles suivantes s'appliquent :

• Vous pouvez avoir plusieurs routes de point de terminaison pour différents services dans une tablede routage, et vous pouvez avoir plusieurs routes de point de terminaison pour le même service dansdifférentes tables de routage. Mais vous ne pouvez pas avoir plusieurs routes de point de terminaisonpour le même service dans une seule table de routage. Par exemple, si vous avez deux points determinaison pour Amazon S3 dans votre VPC, vous ne pouvez pas créer de routes de point determinaison pour les deux points de terminaison de la même table de routage.

• Vous ne pouvez pas explicitement ajouter, modifier ou supprimer un itinéraire de point de terminaisondans votre table de routage en utilisant les API de la table de routage ni en utilisant la page de Tablesde routage de la console Amazon VPC. Vous pouvez uniquement ajouter une route de point determinaison en associant une table de routage à un point de terminaison. Vous pouvez modifier lepoint de terminaison (p. 331) pour changer les tables de routage qui sont associées à votre point determinaison.

• Une route du point de terminaison est automatiquement supprimée quand vous enlevez l'association dela table de routage depuis le point de terminaison (en modifiant le point de terminaison) ou quand voussupprimez votre point de terminaison.

Nous utilisons la route la plus spécifique qui correspond au trafic afin de déterminer comment router le trafic(correspondance de préfixe le plus long). Si vous avez un itinéraire existant dans votre table de routagepour tout le trafic Internet (0.0.0.0/0) qui pointe vers une passerelle Internet, l'itinéraire du point determinaison est prioritaire sur tout le trafic destiné au service, puisque la plage d'adresses IP pour le serviceest plus spécifique que 0.0.0.0/0. Tout le reste du trafic Internet va vers votre passerelle Internet, ycompris le trafic destiné au service dans d'autres régions.

Cependant, si vous avez des itinéraires plus spécifiques existants vers des plages d'adresses IP quipointent vers une passerelle Internet ou un périphérique NAT, ces itinéraires sont prioritaires. Si vousavez des routes existantes destinées à une plage d'adresses IP qui est identique à la plage d'adresses IPutilisée par le service, alors vos routes sont prioritaires.

318

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-prefix-lists.html


Exemple : une route de point de terminaison dans une table de routage

Dans ce scénario, vous avez un itinéraire existant dans votre table de routage pour tout le trafic Internet(0.0.0.0/0) qui pointe vers une passerelle Internet. Tout trafic sortant du sous-réseau destiné à un autreservice AWS utilise la passerelle Internet.

Destination Target

10.0.0.0/16 Locale

0.0.0.0/0 igw-1a2b3c4d

Vous pouvez créer un point de terminaison vers un service AWS pris en charge et associer votre table deroutage au point de terminaison. Une route de point de terminaison est automatiquement ajoutée à la tablede routage, avec comme destination pl-1a2b3c4d (en supposant que cela représente le service verslequel vous avez créé le point de terminaison). Maintenant, tout trafic du sous-réseau destiné à ce serviceAWS dans la même région va vers le point de terminaison et non vers la passerelle Internet. Tout autretrafic Internet va vers votre passerelle Internet, y compris le trafic destiné à d'autres services et destiné auservice AWS dans d'autres régions.

Destination Target

10.0.0.0/16 Locale

0.0.0.0/0 igw-1a2b3c4d


Exemple : ajustement de vos tables de routage pour les points de terminaison

Dans ce scénario, 54.123.165.0/24 se trouve dans la plage d'adresses IP Amazon S3 et vous avezconfiguré votre table de routage pour permettre aux instances de votre sous-réseau de communiqueravec les compartiments Amazon S3 via une passerelle Internet. Vous avez ajouté un itinéraire avec54.123.165.0/24 comme destination et la passerelle Internet comme cible. Vous créez ensuite unpoint de terminaison et associez cette table de routage au point de terminaison. Une route de point determinaison est automatiquement ajoutée à la table de routage. Vous utilisez ensuite la commandedescribe-prefix-lists pour voir la plage d'adresses IP pour Amazon S3. La plage est 54.123.160.0/19, cequi est moins spécifique que la plage qui pointe vers votre passerelle Internet. Cela signifie que tout traficdestiné à la plage d'adresses IP 54.123.165.0/24 continue d'utiliser la passerelle Internet, et n'utilisepas le point de terminaison (aussi longtemps qu'elle reste la plage d'adresses IP publiques pour AmazonS3).

Destination Target

10.0.0.0/16 Locale

54.123.165.0/24 igw-1a2b3c4d


Pour vous assurer que tout le trafic destiné à Amazon S3 dans la même région est acheminé via le pointde terminaison, vous devez ajuster les routes dans votre table de routage. Pour ce faire, vous pouvezsupprimer l'itinéraire vers la passerelle Internet. Maintenant, tout le trafic pour Amazon S3 dans la mêmerégion utilise le point de terminaison et le sous-réseau associé à votre table de routage est un sous-réseauprivé.

319



Destination Target

10.0.0.0/16 Locale


Limitations de point de terminaison de passerellePour utiliser les points de terminaison de passerelle, vous devez être conscient des limitations actuelles :

• Vous ne pouvez pas utiliser d'ID de liste des préfixes dans une règle sortante d'une liste ACL réseaupour autoriser ou refuser le trafic sortant au service spécifié dans un point de terminaison. Si vos règlesACL réseau limitent le trafic, vous devez spécifier le bloc d'adresses CIDR (plage d'adresses IP) pour leservice à la place. Vous pouvez toutefois utiliser un ID de liste des préfixes dans une règle de groupe desécurité sortant. Pour plus d'informations, consultez Groupes de sécurité (p. 334).

• Les points de terminaison sont uniquement pris en charge dans une même région. Vous ne pouvez pascréer un point de terminaison entre un VPC et un service situé dans une autre région.

• Les points de terminaison prennent en charge le trafic IPv4 uniquement.• Vous ne pouvez pas transférer de point de terminaison d'un VPC à un autre, ou d'un service à un autre.• Vous êtes soumis à un quota pour le nombre de points de terminaison que vous pouvez créer par VPC.

Pour plus d'informations, consultez Points de terminaison d'un VPC (p. 366).• Les connexions de point de terminaison ne peuvent être étendues à l'extérieur d'un VPC. Les ressources

de l'autre côté d'une connexion VPN, d'une connexion d'appairage de VPC, d'une connexion transitgateway, AWS Direct Connect ou ClassicLink de votre VPC ne peuvent pas utiliser le point determinaison pour communiquer avec les ressources du service du point de terminaison.

• Vous devez activer la résolution DNS dans votre VPC ou, si vous utilisez votre propre serveur DNS, vousdevez veiller à ce que les demandes DNS au service requis (par exemple, Amazon S3) soient résoluescorrectement en adresses IP gérées par AWS. Pour plus d'informations, consultez Utilisation de DNSavec votre VPC (p. 287) et AWS IP Address Ranges dans le manuel Référence générale d'Amazon WebServices.

• Vérifiez les limites spécifiques au service pour votre service de point de terminaison.

Pour plus d'informations sur les règles et limitations propres à Amazon S3, consultez Points de terminaisonpour Amazon S3 (p. 320).

Pour plus d'informations sur les règles et limitations propres à DynamoDB, consultez Points de terminaisonpour Amazon DynamoDB (p. 326).

Points de terminaison pour Amazon S3Si vous avez déjà configuré un accès à vos ressources Amazon S3 depuis votre VPC, vous pouvezcontinuer à utiliser des noms DNS Amazon S3 pour accéder à ces ressources après avoir configuré unpoint de terminaison. Cependant, veuillez noter ce qui suit :

• Votre point de terminaison a une politique qui contrôle l'utilisation du point de terminaison pour accéderaux ressources Amazon S3. La politique par défaut autorise l'accès à tout utilisateur ou service dans leVPC, en utilisant les informations d'identification de n'importe quel compte AWS, pour n'importe quelleressource Amazon S3, y compris les ressources Amazon S3 pour un compte AWS autre que le compteauquel le VPC est associé. Pour plus d'informations, consultez Contrôle de l'accès aux services avecPoints de terminaison d'un VPC (p. 332).

• Les adresses IPv4 source des instances de vos sous-réseaux concernés, telles que reçues par AmazonS3, passent d'adresses IPv4 publiques à adresses IPv4 privées de votre VPC. Un point de terminaisonchange de routes réseau et déconnecte les connexions TCP ouvertes. Les connexions précédentes

320

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html


qui utilisaient des adresses IPv4 publiques ne sont pas reprises. Nous vous recommandons de ne pasavoir de tâches importantes en cours d'exécution quand créez ou modifiez un point de terminaison et deréaliser un test pour vous assurer que votre logiciel puisse automatiquement se reconnecter à AmazonS3 après l'interruption de la connexion.

• Vous ne pouvez pas utiliser de stratégie IAM ou de compartiment pour autoriser l'accès depuis uneplage d'adresses CIDR IPv4 de VPC (la plage d'adresses IPv4 privées). Les blocs d'adresse CIDR duVPC peuvent se chevaucher ou être identiques, ce qui peut entraîner des résultats inattendus. Vousne pouvez donc pas utiliser la condition aws:SourceIp dans vos stratégies IAM pour des demandesà Amazon S3 via un point de terminaison d'un VPC. Cela s'applique aux stratégies IAM pour lesutilisateurs et les rôles, ainsi que n'importe quelle stratégie de compartiment. Si une instruction comprendla condition aws:SourceIp, la valeur ne correspondra à aucune adresse IP ou plage fournie. Au lieu decela, vous pouvez effectuer les actions suivantes :• Utilisez votre table de routage pour contrôler quelles instances peuvent accéder aux ressources dans

Amazon S3 via le point de terminaison.• Pour stratégies de compartiment, vous pouvez restreindre l'accès à un point de terminaison spécifique

ou à un VPC spécifique. Pour plus d'informations, consultez Utilisation de stratégies de compartimentAmazon S3 (p. 325).

• Les points de terminaison ne prennent pas en charge de demandes inter-régionales — pour le moment :assurez-vous d'avoir créé votre point de terminaison dans la même région que votre compartiment.Vous pouvez trouver l'emplacement de votre compartiment en utilisant la console Amazon S3 ou avecla commande get-bucket-location. Utilisez un point de terminaison Amazon S3 spécifique à une régionpour accéder à votre compartiment ; par exemple, mybucket.s3-us-west-2.amazonaws.com. Pourplus d'informations sur les points de terminaison spécifiques à une région pour Amazon S3, consultezAmazon Simple Storage Service (S3) dans le manuel Référence générale d'Amazon Web Services.Si vous utilisez l'AWS CLI pour effectuer des demandes à Amazon S3, configurez votre région pardéfaut comme la même région que votre compartiment, ou utilisez le paramètre --region dans vosdemandes.

Note

Traitez la région USA Standard d'Amazon S3 comme mappée à la région us-east-1.• Actuellement, les points de terminaison sont pris en charge pour le trafic IPv4 uniquement.

Avant d'utiliser les points de terminaison avec Amazon S3, veillez à lire les limites générales suivantes :Limitations de point de terminaison de passerelle (p. 320). Pour plus d'informations sur la création etl'affichage de compartiments S3, consultez Comment créer un compartiment S3 et Comment afficherles propriétés d'un compartiment S3 dans le Amazon Simple Storage Service Guide de l'utilisateur de laconsole.

Si vous utilisez d'autres services AWS dans votre VPC, ils peuvent utiliser des compartiments S3 pourcertaines tâches. Assurez-vous que votre stratégie de point de terminaison autorise un accès total àAmazon S3 (la stratégie par défaut), ou qu'elle autorise l'accès aux compartiments spécifiques utilisés parces services. Sinon, créez uniquement un point de terminaison dans un sous-réseau qui n'est utilisé paraucun de ces services, pour permettre aux services de continuer à accéder aux compartiments S3 à l'aided'adresses IP publiques.

Le tableau ci-après répertorie les services AWS qui peuvent être affectés par un point de terminaison et lesinformations spécifiques à chaque service.

Service AWS Remarque

Amazon AppStream 2.0 Votre politique de point de terminaison doitautoriser l'accès aux compartiments spécifiquesutilisés par AppStream 2.0 pour stocker le contenuutilisateur. Pour de plus amples informations,veuillez consulter Utilisation des points de

321

https://docs.aws.amazon.com/cli/latest/reference/s3api/get-bucket-location.html

https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/view-bucket-properties.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/view-bucket-properties.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-vpce-iam-policy.html


Service AWS Remarqueterminaison de VPC Amazon S3 pour les dossiersde base et la persistance des paramètresd'application dans le Guide d'administrationAmazon AppStream 2.0.

AWS CloudFormation Si vous avez des ressources dans votre VPC quidoivent répondre à une condition d'attente ou àune demande de ressource personnalisée, votrestratégie de point de terminaison doit au moinsautoriser l'accès aux compartiments spécifiquesqui sont utilisés par ces ressources. Pour deplus amples informations, veuillez consulterConfiguration des points de terminaison d'un VPCpour AWS CloudFormation.

CodeDeploy Votre politique de point de terminaison doitautoriser un accès total à Amazon S3, ou autoriserun accès à tout compartiment S3 que vous avezcréé pour vos déploiements CodeDeploy.

Elastic Beanstalk Votre stratégie de point de terminaisondoit au moins autoriser l'accès à tous lescompartiments S3 utilisés pour les applicationsElastic Beanstalk. Pour plus d'informations,consultez Using Elastic Beanstalk with Amazon S3dans le manuel AWS Elastic Beanstalk Manuel dudéveloppeur.

Amazon EMR Votre stratégie de point de terminaison doitautoriser l'accès aux référentiels Amazon Linuxet aux autres compartiments utilisés par AmazonEMR. Pour de plus amples informations, veuillezconsulter Stratégie Amazon S3 minimum pour unsous-réseau privé dans le Amazon EMR Guide degestion.

AWS OpsWorks Votre stratégie de point de terminaison doitau moins autoriser l'accès aux compartimentsspécifiques utilisés par AWS OpsWorks. Pour plusd'informations, consultez Running a Stack in a VPCdans le manuel AWS OpsWorks User Guide.

322






https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.S3.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/private-subnet-iampolicy.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/private-subnet-iampolicy.html

https://docs.aws.amazon.com/opsworks/latest/userguide/workingstacks-vpc.html


Service AWS Remarque

AWS Systems Manager Votre politique de point de terminaison doitautoriser l'accès aux compartiments Amazon S3utilisés par le Gestionnaire de correctifs pour lesopérations de référence de correctif dans votrerégion AWS. Ces compartiments contiennent lecode qui est extrait et exécuté sur des instancespar le service de référence de correctif. Pour deplus amples informations, veuillez consulter Créerun point de terminaison de VPC dans le Guide del'utilisateur AWS Systems Manager.

Pour obtenir la liste des autorisations decompartiment S3 requises par l'agent SSM pourses opérations, consultez Autorisations minimalesrelatives aux compartiments S3 pour l'agentSSM dans le Guide de l'utilisateur AWS SystemsManager.

Amazon Elastic Container Registry Votre stratégie de point de terminaison doitautoriser l'accès aux compartiments Amazon S3utilisés par Amazon ECR pour stocker les couchesd'image Docker. Pour de plus amples informations,veuillez consulter Autorisations de compartimentAmazon S3 minimales pour Amazon ECR dansle Amazon Elastic Container Registry Guide del'utilisateur.

Amazon WorkDocs Si vous utilisez un client Amazon WorkDocs dansAmazon WorkSpaces ou une instance EC2, votrepolitique de point de terminaison doit autoriser unaccès total à Amazon S3.

Amazon WorkSpaces Amazon WorkSpaces ne repose pas directementsur Amazon S3. Cependant, si vous offrezun accès Internet aux utilisateurs AmazonWorkSpaces, notez que les sites web, les e-mailsHTML et les services Internet d'autres sociétéspeuvent dépendre de Amazon S3. Assurez-vousque votre stratégie de point de terminaison autoriseun accès total à Amazon S3 pour permettre à cesservices de continuer à fonctionner correctement.

Le trafic entre votre VPC et les compartiments S3 ne quitte pas le réseau Amazon.

Utilisation des stratégies de point de terminaison pour Amazon S3

Voici des exemples de stratégies point de terminaison pour accéder à Amazon S3. Pour plusd'informations, consultez Utilisation des stratégies Point de terminaison d'un VPC (p. 333). Il appartientà l’utilisateur de déterminer les restrictions de stratégie répondant aux besoins métier. Par exemple, vouspouvez spécifier la région (« packages.us-west-1.amazonaws.com ») pour éviter tout nom de compartimentS3 ambigu.

323



https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-minimum-s3-permissions.html



https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-minimum-s3-perms.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/ecr-minimum-s3-perms.html


Important

Tous les types de stratégies (stratégies d'utilisateur IAM, stratégies de point de terminaison,stratégies de compartiment S3 et stratégies ACL Amazon S3, s'il y en a) doivent accorder lesautorisations nécessaires pour accéder à Amazon S3 pour réussir.

Example Exemple : restriction de l'accès à un compartiment spécifique

Vous pouvez créer une stratégie qui restreint l'accès uniquement à des compartiments S3 spécifiques. Cepoint est utile si d'autres services AWS dans votre VPC utilisent des compartiments S3. Voici un exemplede politique qui restreint l'accès à my_secure_bucket uniquement.

{ "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": "*", "Action": [ "s3:GetObject", "s3:PutObject" ], "Effect": "Allow", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"] } ]}

Example Exemple : autorisation d'accès aux référentiels AMI Amazon Linux

Les référentiels AMI Linux Amazon sont des compartiments Amazon S3 dans chaque région. Si vousvoulez que des instances dans votre VPC accèdent aux référentiels via un point de terminaison, créez unestratégie de point de terminaison qui autorise l'accès à ces compartiments.

La stratégie suivante accorde aux utilisateurs l'accès aux référentiels Amazon Linux.

{ "Statement": [ { "Sid": "AmazonLinuxAMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::packages.*.amazonaws.com/*", "arn:aws:s3:::repo.*.amazonaws.com/*" ] } ]}

La stratégie suivante accorde aux utilisateurs l'accès aux référentiels Amazon Linux 2.

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess",

324


"Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ]}

Utilisation de stratégies de compartiment Amazon S3

Vous pouvez utiliser des stratégies de compartiment pour contrôler l'accès aux compartiments de points determinaison spécifiques ou de VPC spécifiques.

Vous ne pouvez pas utiliser la condition aws:SourceIp dans vos stratégies de compartiment pour desdemandes à Amazon S3 via un point de terminaison d'un VPC. La condition ne correspondra à aucuneadresse IP ou plage d'adresses IP spécifiée et pourrait avoir un effet indésirable lorsque vous adressez desdemandes à un compartiment Amazon S3. Par exemple :

• Vous disposez d'une stratégie de compartiment avec un effet Deny et une condition NotIpAddressqui a pour but d'octroyer l'accès à partir d'une plage d'adresses IP unique ou limitée uniquement. Pourles demandes au compartiment via un point de terminaison, la condition NotIpAddress est toujoursremplie, et l'effet de l'instruction est appliqué, en supposant que d'autres contraintes de la stratégiecorrespondent. L'accès au compartiment est refusé.

• Vous disposez d'une stratégie de compartiment avec un effet Deny et une condition IpAddress qui apour but de refuser l'accès à une plage d'adresses IP unique ou limitée uniquement. Pour les demandesau compartiment via un point de terminaison, la condition n'est pas remplie, et l'instruction n'est pasappliquée. L'accès au compartiment est autorisé, en supposant qu'il existe des autres instructions quiautorisent l'accès sans condition IpAddress.

Ajustez votre stratégie de compartiment pour limiter l'accès à un VPC spécifique ou à un point determinaison de VPC spécifique à la place.

Pour plus d'informations sur les stratégies de compartiment pour Amazon S3, consultez Using BucketPolicies and User Policies dans le manuel Amazon Simple Storage Service Manuel du développeur.

Les stratégies suivantes sont des exemples de stratégies de compartiment qui limitent l'accès à unpoint de terminaison de VPC spécifique ou à un VPC spécifique. Pour permettre aux utilisateurs IAM detravailler avec des stratégies de compartiment, vous devez leur accorder l'autorisation d'utiliser les actionss3:GetBucketPolicy et s3:PutBucketPolicy.

Example Exemple : restriction de l'accès à un point de terminaison spécifique

Voici un exemple d'une stratégie de compartiment S3 qui autorise l'accès à un compartiment spécifique,my_secure_bucket, à partir du point de terminaison vpce-1a2b3c4d uniquement. La politiquerefuse tout accès au compartiment si le point de terminaison spécifié n'est pas utilisé. La conditionaws:sourceVpce est utilisée pour spécifier le point de terminaison. La condition aws:sourceVpcene requiert pas d'ARN pour la ressource du point de terminaison d'un VPC, uniquement l'ID point determinaison.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ {

325

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html


"Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ]}

Example Exemple : restriction de l'accès à un VPC spécifique

Vous pouvez créer une stratégie de compartiment qui restreint l'accès à un VPC spécifique en utilisant lacondition aws:sourceVpc. Ce point est utile si vous avez plusieurs points de terminaison configurés pourle même VPC et si vous voulez gérer l'accès à vos compartiments S3 pour tous vos points de terminaison.Voici un exemple de politique qui autorise le VPC vpc-111bbb22 à accéder à my_secure_bucket etses objets. La politique refuse tout accès au compartiment si le VPC spécifié n'est pas utilisé. La conditionaws:sourceVpc ne requiert pas d'ARN pour la ressource du VPC, uniquement l'ID du VPC.

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::my_secure_bucket", "arn:aws:s3:::my_secure_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ]}

Points de terminaison pour Amazon DynamoDBSi vous avez déjà configuré l'accès à vos tables DynamoDB depuis votre VPC, vous pouvez continuer àaccéder aux tables comme vous le feriez normalement après avoir configuré un point de terminaison depasserelle. Cependant, veuillez noter ce qui suit :

• Votre point de terminaison a une politique qui contrôle l'utilisation du point de terminaison pour accéderaux ressources DynamoDB. La stratégie par défaut autorise l'accès à n'importe quel utilisateur ouservice au sein du VPC à l'aide des informations d'identification de n'importe quel compte AWS vers desressources DynamoDB. Pour plus d'informations, consultez Contrôle de l'accès aux services avec Pointsde terminaison d'un VPC (p. 332).

• DynamoDB ne prend pas en charge les stratégies basées sur des ressources (par exemple, sur destables). L'accès à DynamoDB est contrôlé via la stratégie de point de terminaison et les stratégies IAMpour les différents utilisateurs et rôles IAM.

• Vous ne pouvez pas accéder à Amazon DynamoDB Flux via un point de terminaison de VPC.

326


• Les points de terminaison ne prennent pas en charge de demandes inter-régionales — pour le moment :assurez-vous d'avoir créé votre point de terminaison dans la même région que vos tables DynamoDB.

• Si vous utilisez AWS CloudTrail pour consigner les opérations DynamoDB, les fichiers journauxcontiennent l'adresse IP privée de l'instance EC2 dans le VPC et l'ID du point de terminaison pour lesactions effectuées via le point de terminaison.

• Les adresses IPv4 source des instances de vos sous-réseaux concernés passent d'adresses IPv4publiques à adresses IPv4 privées de votre VPC. Un point de terminaison change de routes réseau etdéconnecte les connexions TCP ouvertes. Les connexions précédentes qui utilisaient des adressesIPv4 publiques ne sont pas reprises. Nous vous recommandons de ne pas avoir de tâches importantesen cours d'exécution quand créez ou modifiez un point de terminaison et de réaliser un test pour vousassurer que votre logiciel puisse automatiquement se reconnecter à DynamoDB après l'interruption de laconnexion.

Avant d'utiliser les points de terminaison avec DynamoDB, veillez à lire les limites générales suivantes :Limitations de point de terminaison de passerelle (p. 320).

Pour de plus amples informations sur la création d'un point de terminaison VPC de passerelle, veuillezconsulter Points de terminaison d'un VPC de passerelle (p. 316).

Utilisation des stratégies de point de terminaison pour DynamoDB

Une stratégie de point de terminaison est une stratégie IAM que vous attachez à un point de terminaisonet qui permet d'autoriser l'accès à tout ou partie des services auxquels vous vous connectez. Voici desexemples de stratégies point de terminaison pour accéder à DynamoDB.

Important

Toutes les stratégies (stratégies utilisateur IAM et stratégies de point de terminaison) doiventaccorder les autorisations nécessaires pour que l'accès à DynamoDB réussisse.

Example Exemple : accès en lecture seule

Vous pouvez créer une stratégie qui limite les actions à uniquement afficher et décrire les tablesDynamoDB via le point de terminaison d'un VPC.

{ "Statement": [ { "Sid": "ReadOnly", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*" } ]}

Example Exemple : restreindre l'accès à une table spécifique

Vous pouvez créer une politique qui restreint l'accès à une table DynamoDB spécifique. Dans cet exemple,la stratégie de point de terminaison autorise l'accès à StockTable uniquement.

{

327


"Statement": [ { "Sid": "AccessToSpecificTable", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Effect": "Allow", "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/StockTable" } ]}

Utilisation de stratégies IAM pour contrôler l'accès à DynamoDB

Vous pouvez créer une stratégie IAM pour vos utilisateurs, groupes ou rôles IAM pour restreindre l'accèsaux tables DynamoDB à partir d'un point de terminaison d'un VPC spécifique uniquement. Pour ce faire,vous pouvez utiliser la clé de condition aws:sourceVpce pour la ressource de table dans votre stratégieIAM.

Pour plus d'informations sur la gestion de l'accès à DynamoDB, consultez Authentification et contrôled'accès pour Amazon DynamoDB dans le Amazon DynamoDB Guide du développeur.

Example Exemple : restreindre l'accès à partir d'un point de terminaison spécifique

Dans cet exemple, les utilisateurs sont pas autorisés à utiliser des tables DynamoDB, sauf si elles sontaccessibles via le point de terminaison vpce-11aa22bb.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificEndpoint", "Action": "dynamodb:*", "Effect": "Deny", "Resource": "arn:aws:dynamodb:region:account-id:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ]}

Création d'un point de terminaison de passerellePour créer un point de terminaison, vous devez spécifier le VPC dans lequel vous voulez créer le point determinaison et le service avec lequel vous voulez établir la connexion.

Pour créer un point de terminaison de passerelle à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Points de terminaison, Créer un point de terminaison.3. Pour Nom du service, choisissez le service auquel vous connectez. Pour créer un point de terminaison

de passerelle vers DynamoDB ou Amazon S3, assurez-vous que la colonne Type indique Passerelle.4. Complétez les informations suivantes, puis choisissez Créer un point de terminaison.

328

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/authentication-and-access-control.html

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/authentication-and-access-control.html



• Pour VPC, sélectionnez un VPC dans lequel créer le point de terminaison.• Pour Configurer les tables de routage, sélectionnez les tables de routage à utiliser par le point de

terminaison. Un itinéraire est automatiquement ajouté qui pointe le trafic destiné au service vers lepoint de terminaison des tables de routage sélectionnées.

• Pour Stratégie, choisissez le type de stratégie. Vous pouvez laisser l'option par défaut, FullAccess, pour autoriser un accès total au service. Vous pouvez également sélectionner Custom(Personnaliser) puis utiliser le générateur de stratégie AWS pour créer une stratégie personnaliséeou entrer votre propre stratégie dans la fenêtre de stratégie.

• (Facultatif) Ajoutez ou supprimez une balise.



Une fois que vous avez créé un point de terminaison d'interface, vous pouvez afficher des informations àson sujet.

Pour afficher les informations sur un point de terminaison de passerelle à l'aide de la console


terminaison.3. Pour afficher des informations sur le point de terminaison, choisissez Résumé. Vous pouvez obtenir le

nom de la liste des préfixes du service dans la zone Service.4. Pour afficher des informations sur les tables de routage utilisées par le point de terminaison, choisissez

Tables de routage.5. Pour afficher la stratégie IAM attachée à votre point de terminaison, choisissez Stratégie.

Note

L'onglet Stratégie affiche uniquement la stratégie du point de terminaison. Il n'affiche aucuneinformation sur les politiques IAM pour les utilisateurs IAM qui sont autorisés à utiliser despoints de terminaison. Il n'affiche pas non plus de stratégies spécifiques aux services ; parexemple, les stratégies de compartiment S3.

Pour créer et afficher un point de terminaison à l'aide de l'AWS CLI

1. Utilisez la commande describe-vpc-endpoint-services pour obtenir la liste des services disponibles.Dans le résultat retourné, prenez note du nom du service auquel vous voulez vous connecter.Le champ serviceType indique si vous vous connectez au service via un point de terminaisond'interface ou un point de terminaison de passerelle.

aws ec2 describe-vpc-endpoint-services

{ "serviceDetailSet": [ { "serviceType": [ { "serviceType": "Gateway" }

329




...

2. Pour créer un point de terminaison de passerelle (par exemple, vers Amazon S3), utilisez lacommande create-vpc-endpoint et spécifiez l'ID du VPC, le nom du service et les tables de routagequi utiliseront le point de terminaison. Vous pouvez, le cas échéant, utiliser le paramètre --policy-document pour spécifier une stratégie personnalisée afin de contrôler l'accès au service. Si leparamètre n,'est pas utilisé, nous lui attachons une stratégie par défaut pour vous qui autorise unaccès total au service.

aws ec2 create-vpc-endpoint --vpc-id vpc-1a2b3c4d --service-name com.amazonaws.us-east-1.s3 --route-table-ids rtb-11aa22bb

3. Décrivez votre point de terminaison à l'aide de la commande describe-vpc-endpoints.


Pour décrire les services disponibles à l'aide du kit Outils AWS pour Windows PowerShell ou del'API

• Get-EC2VpcEndpointService (Outils AWS pour Windows PowerShell)• DescribeVpcEndpointServices (API de requête Amazon EC2)

Pour créer un Point de terminaison d'un VPC à l'aide du kit Outils AWS pour Windows PowerShellou de l'API

• New-EC2VpcEndpoint (Outils AWS pour Windows PowerShell)• CreateVpcEndpoint (API de requête Amazon EC2)

Pour décrire vos Points de terminaison d'un VPC à l'aide du kit Outils AWS pour WindowsPowerShell ou de l'API

• Get-EC2VpcEndpoint (Outils AWS pour Windows PowerShell)• DescribeVpcEndpoints (API de requête Amazon EC2)

Modification de votre groupe de sécuritéSi le groupe de sécurité du VPC associé à votre instance restreint le trafic sortant, vous devez ajouter unerègle pour autoriser le trafic destiné au service AWS à quitter votre instance.

Pour ajouter une règle sortante pour un point de terminaison de passerelle

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Sélectionnez le groupe de sécurité de votre VPC, choisissez l'onglet Outbound Rules, puis Edit.4. Sélectionnez le type de trafic dans la liste Type et entrez la plage de ports, si nécessaire. Par exemple,

si vous utilisez votre instance pour récupérer des objets depuis Amazon S3, choisissez HTTPS dans laliste Type.

5. Pour Destination, commencez par saisir pl- pour afficher une liste des ID et des noms de listes depréfixes pour les services AWS disponibles. Choisissez l'ID de liste des préfixes pour le service AWSou saisissez-le.

6. Choisissez Save.

330

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html




https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpoint.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpoints.html



Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité pour votreVPC (p. 165).

Pour obtenir le nom de la liste des préfixes, l'ID et la plage d'adresses IP d'un service AWS à l'aidede la ligne de commande ou de l'API

• describe-prefix-lists (AWS CLI)• Get-EC2PrefixList (Outils AWS pour Windows PowerShell)• DescribePrefixLists (API de requête Amazon EC2)

Modification d'un point de terminaison de passerelleVous pouvez modifier un point de terminaison de passerelle en changeant ou en supprimant sa stratégie,et en ajoutant ou en supprimant les tables de routage utilisées par le point de terminaison.

Pour modifier la stratégie associée à un point de terminaison de passerelle


terminaison.3. Choisissez Actions, Modifier une stratégie.4. Vous pouvez choisir Accès complet pour autoriser un accès total. Vous pouvez également sélectionner

Custom (Personnaliser), puis utiliser le générateur de stratégie AWS pour créer une stratégiepersonnalisée ou entrer votre propre stratégie dans la fenêtre de stratégie. Lorsque vous avez terminé,sélectionnez Enregistrer.

Note

Il peut se passer quelques minutes avant que les changements de stratégie prennent effet.

Pour ajouter ou supprimer des tables de routage utilisées par un point de terminaison depasserelle


terminaison.3. Choisissez Actions, Gérer les tables de routage.4. Sélectionnez les tables de routage requises ou annulez leur sélection, puis choisissez Modify Route

Tables (Modifier les tables de routage).

Pour modifier un point de terminaison de passerelle à l'aide de l'AWS CLI

1. Utilisez la commande describe-vpc-endpoints pour obtenir l'ID de votre point de terminaison depasserelle.


2. L'exemple suivant utilise la commande modify-vpc-endpoint pour associer la table de routage rtb-aaa222bb au point de terminaison de passerelle et réinitialiser le document de stratégie.

aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-1a2b3c4d --add-route-table-ids rtb-aaa222bb --reset-policy

331


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2PrefixList.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribePrefixLists.html




https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html

Amazon Virtual Private Cloud Guide de l'utilisateurContrôle de l'accès aux services

avec Points de terminaison d'un VPC

Pour modifier un Point de terminaison d'un VPC à l'aide du kit Outils AWS pour WindowsPowerShell ou d'une API

• Edit-EC2VpcEndpoint (Outils AWS pour Windows PowerShell)• ModifyVpcEndpoint (API de requête Amazon EC2)

Ajout ou suppression de balises de point de terminaison depasserelleLes balises permettent d'identifier le point de terminaison de passerelle. Vous pouvez ajouter ou supprimerune balise.

Pour ajouter ou supprimer une balise de point de terminaison de passerelle

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Endpoints (Points de terminaison).3. Sélectionnez le point de terminaison de passerelle et choisissez Actions, Add/Edit Tags (Ajouter/

modifier des balises).4. Ajoutez ou supprimez une balise.



Pour ajouter ou supprimer une balise à l'aide de Outils AWS pour Windows PowerShell ou d'uneAPI

• create-tags (AWS CLI)• CreateTags (Outils AWS pour Windows PowerShell)• delete-tags (AWS CLI)• DeleteTags (Outils AWS pour Windows PowerShell)

Contrôle de l'accès aux services avec Points determinaison d'un VPCQuand vous créez un point de terminaison, vous pouvez lui attacher une stratégie de point de terminaisonqui contrôle l'accès au service auquel vous vous connectez. Les stratégies de point de terminaison doiventêtre écrites au format JSON. Tous les services ne prennent pas en charge les stratégies de point determinaison.

Si vous utilisez un point de terminaison pour Amazon S3, vous pouvez également utiliser des stratégiesde compartiment Amazon S3 pour contrôler l'accès aux compartiments depuis des points de terminaisonspécifiques ou des VPC spécifiques. Pour plus d'informations, consultez Utilisation de stratégies decompartiment Amazon S3 (p. 325).

Sommaire• Utilisation des stratégies Point de terminaison d'un VPC (p. 333)

332

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpoint.html




https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteTags.html



• Groupes de sécurité (p. 334)

Utilisation des stratégies Point de terminaison d'un VPCUne stratégie de Point de terminaison d'un VPC est une stratégie de ressource IAM que vous attachezà un point de terminaison quand vous créez ou modifiez le point de terminaison. Si vous n'attachez pasde stratégie quand vous créez un point de terminaison, nous lui attachons une stratégie par défaut pourvous qui autorise un accès total au service. Si un service ne prend pas en charge les stratégies de pointde terminaison, le point de terminaison permet un accès complet au service. Une stratégie de point determinaison n'annule pas et ne remplace pas les stratégies utilisateur IAM ou les stratégies propres auservice (par exemple, les stratégies de compartiment S3). Il s'agit d'une politique séparée qui contrôlel'accès depuis le point de terminaison jusqu'au service spécifié.

Vous ne pouvez pas attacher plus d'une stratégie à un point de terminaison. Toutefois, vous pouvezmodifier la stratégie à tout moment. Si vous modifiez une stratégie, il peut se passer quelques minutesavant que les changements ne prennent effet. Pour plus d'informations générales sur l'écriture depolitiques, consultez Overview of IAM Policies dans le manuel IAM Guide de l'utilisateur.

Votre stratégie de point de terminaison peut être comme n'importe quelle stratégie IAM ; cependant,veuillez noter ce qui suit :

• Seules les parties de la stratégie relatives au service spécifié fonctionnent. Vous ne pouvez pas utiliserde stratégie de point de terminaison pour autoriser les ressources dans votre VPC à exécuter d'autresactions ; par exemple, si vous ajoutez des actions EC2 à une stratégie de point de terminaison pourAmazon S3, elles n'ont aucun effet.

• Votre stratégie doit contenir un élément Principal. Pour de plus amples informations sur les points determinaison de passerelle connexes, veuillez consulter Stratégies de point de terminaison pour les pointsde terminaison de passerelle (p. 334).

• La taille d'une stratégie de point de terminaison ne peut pas dépasser 20 480 caractères (espacescompris).

Les services suivants prennent en charge les stratégies de point de terminaison suivantes :

• Amazon API Gateway• Application Auto Scaling• AWS Auto Scaling• Amazon CloudWatch• Amazon CloudWatch Events• Amazon CloudWatch Logs• AWS CodeBuild• AWS CodeCommit• Amazon EC2• Amazon EC2 Auto Scaling• AWS Elastic Beanstalk• Amazon Elastic File System• Elastic Load Balancing• Amazon Elastic Container Registry• Amazon EMR• Amazon Keyspaces (pour Apache Cassandra)

333

https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html


https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-vpc-endpoint-policies.html





https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#CloudWatchLogs-VPC-endpoint-policy

https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html#creating-vpc-endpoint-policy

https://docs.aws.amazon.com/codecommit/latest/userguide/codecommit-and-interface-VPC.html#create-vpc-endpoint-policy-for-codecommit

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy


https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/vpc-vpce.html#vpc-vpce.policy

https://docs.aws.amazon.com/efs/latest/ug/efs-vpc-endpoints.html#create-vpce-policy-efs


https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html#ecr-vpc-endpoint-policy

https://docs.aws.amazon.com/emr/latest/ManagementGuide/interface-vpc-endpoint.html#api-private-link-policy




• Amazon Kinesis Data Firehose• Amazon Kinesis Data Streams• AWS License Manager• Amazon Rekognition• Amazon SageMaker et Amazon SageMaker Runtime• Instance de bloc-notes Amazon SageMaker• AWS Secrets Manager• AWS Security Token Service• Amazon SNS• Amazon SQS• AWS Step Functions

Stratégies de point de terminaison pour les points de terminaison de passerelle

Pour les stratégies de point de terminaison appliquées aux points de terminaison de passerelle, vous nepouvez pas limiter l'élément Principal à un rôle ou un utilisateur IAM spécifique. Vous pouvez spécifier"*" pour accorder l'accès à tous les rôles et utilisateurs IAM. Si vous spécifiez Principal dans le format"AWS":"AWS-account-ID" ou "AWS":"arn:aws:iam::AWS-account-ID:root", l'accès est octroyéuniquement à l'utilisateur racine du compte AWS, non à tous les utilisateurs et rôles IAM pour le compte.

Pour limiter l'utilisation du point de terminaison de passerelle à un mandataire spécifique, vous pouvezutiliser l'élément Condition dans votre stratégie de point de terminaison et spécifier la clé de conditionAWS:PrincipalArn, par exemple :

"Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser" }}

Pour consulter des exemples de stratégies de point de terminaison pour Amazon S3 et DynamoDB,reportez-vous aux rubriques suivantes :

• Utilisation des stratégies de point de terminaison pour Amazon S3 (p. 323)• Utilisation des stratégies de point de terminaison pour DynamoDB (p. 327)

Groupes de sécuritéPar défaut, les groupes de sécurité Amazon VPC autorisent tout le trafic sortant, à moins que vous ayezrestreint l'accès sortant de manière spécifique.

Lorsque vous créez un point de terminaison d'interface, vous pouvez associer les groupes de sécuritéà l'interface réseau de point de terminaison créée dans votre VPC. Si vous ne spécifiez pas un groupede sécurité, le groupe de sécurité par défaut de votre VPC est automatiquement associé à l'interfaceréseau du point de terminaison. Vous devez vous assurer que les règles du groupe de sécurité autorisentla communication entre l'interface réseau du point de terminaison et les ressources de votre VPC quicommuniquent avec le service.

Pour un point de terminaison de passerelle, si les règles sortantes de votre groupe de sécurité sontrestreintes, vous devez ajouter une règle qui autorise le trafic sortant depuis votre VPC vers le servicespécifié dans votre point de terminaison. Dans ce but, vous pouvez utiliser l'ID de liste des préfixes du

334

https://docs.aws.amazon.com/firehose/latest/dev/vpc.html

https://docs.aws.amazon.com/streams/latest/dev/vpc.html#interface-vpc-endpoints-policies

https://docs.aws.amazon.com/license-manager/latest/userguide/interface-vpc-endpoints.html#create-vpce-policy


https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html#api-private-link-policy

https://docs.aws.amazon.com/sagemaker/latest/dg/notebook-interface-endpoint.html#nbi-private-link-policy

https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html#vpc-endpoint-policy


https://docs.aws.amazon.com/sns/latest/dg/sns-vpc-endpoint-policy.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-internetwork-traffic-privacy.html#sqs-vpc-endpoint-policy

https://docs.aws.amazon.com/step-functions/latest/dg/vpc-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn

Amazon Virtual Private Cloud Guide de l'utilisateurSuppression d'un Point de terminaison d'un VPC

service comme destination de la règle sortante. Pour plus d'informations, consultez Modification de votregroupe de sécurité (p. 330).

Suppression d'un Point de terminaison d'un VPCSi vous n'avez plus besoin d'un point de terminaison, vous pouvez le supprimer. La suppression d'un pointde terminaison de passerelle supprime entraîne aussi celle des itinéraires du point de terminaison dansles tables de routage qui étaient utilisées par le point de terminaison, sans affecter les groupes de sécuritéassociés au VPC dans lequel le point de terminaison réside. La suppression d'un point de terminaisond'interface supprime aussi les interfaces réseau du point de terminaison.

Supprimer un point de terminaison


terminaison.3. Choisissez Actions, Supprimer le point de terminaison.4. Dans le message de confirmation, sélectionnez Oui, supprimer.

Pour supprimer un Point de terminaison d'un VPC

• delete-vpc-endpoints (AWS CLI)• Remove-EC2VpcEndpoint (Outils AWS pour Windows PowerShell)• DeleteVpcEndpoints (API de requête Amazon EC2)

Services de points de terminaison de VPC (AWSPrivateLink)

Vous pouvez créer votre propre application dans votre VPC et la configurer comme service à technologieAWS PrivateLink (appelé service de point de terminaison). D'autres mandataires AWS peuvent créerune connexion de leur VPC à votre service de point de terminaison à l'aide d'un point de terminaison deVPC d'interface (p. 300). Vous êtes le fournisseur du service et les mandataires AWS qui créent desconnexions à votre service sont les consommateurs du service.

Sommaire• Présentation (p. 336)• Considérations sur les zones de disponibilité de service de point de terminaison (p. 338)• Noms DNS d’un service de point de terminaison (p. 338)• Connexion aux centres de données locaux (p. 305)• Accès aux services via une connexion d'appairage de VPC (p. 339)• Utilisation du protocole proxy pour les informations de connexion (p. 339)• Restrictions de services de point de terminaison (p. 339)• Création d'une configuration de service de point de terminaison de VPC (p. 340)• Ajout et suppression d'autorisations pour votre service de point de terminaison (p. 342)• Modification des Équilibreur de charge du réseau et des paramètres d'acceptation (p. 343)• Acceptation et refus des demandes de connexion de point de terminaison d'interface (p. 344)

335


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpoints.html


• Création et gestion d'une notification pour un service de point de terminaison (p. 345)• Ajout ou suppression des balises d’un service de point de terminaison de VPC (p. 348)• Suppression d'une configuration de service de point de terminaison (p. 348)

PrésentationLes étapes générales suivantes permettent de créer un service de point de terminaison.

1. Créez un Équilibreur de charge du réseau pour votre application dans votre VPC et configurez-le pourchaque sous-réseau (zone de disponibilité) dans lequel le service doit être disponible. L'équilibreur decharge reçoit les demandes des consommateurs du service et les achemine vers votre service. Pourplus d'informations, consultez Premiers pas avec les équilibreurs de charge réseau dans le Guide del'utilisateur pour les Équilibreurs de charge du réseau. Nous vous recommandons de configurer votreservice dans toutes les zones de disponibilité de la région.

2. Créez une configuration de service de point de terminaison d'un VPC et spécifiez votre Équilibreur decharge du réseau.

La procédure générale suivante permet aux consommateurs de service de se connecter à votre service.

1. Accordez des autorisations à des consommateurs de service spécifiques (comptes AWS, utilisateursIAM et rôles IAM) de créer une connexion à votre service de point de terminaison.

2. Un consommateur de service ayant les autorisations crée un point de terminaison d'interface pour votreservice, le cas échéant dans chaque zone de disponibilité dans laquelle vous avez configuré votreservice.

3. Pour activer la connexion, acceptez la demande de connexion de point de terminaison d'interface.Par défaut, les demandes de connexion doivent être acceptées manuellement. Toutefois, vouspouvez configurer les paramètres d'acceptation pour votre point de terminaison de façon à accepterautomatiquement les demandes de connexion.

La combinaison des autorisations et des paramètres d'acceptation peut vous aider à contrôler lesconsommateurs de service (mandataires AWS principals) qui peuvent accéder à votre service. Parexemple, vous pouvez accorder des autorisations à des mandataires sélectionnés auxquels vous faitesconfiance et accepter automatiquement toutes les demandes de connexion, ou accorder des autorisationsà un groupe plus vaste de mandataires et accepter manuellement les demandes de connexion spécifiquesauxquelles vous faites confiance.

Dans le schéma suivant, le propriétaire de compte du VPC B est un fournisseur de service et il a un servicequi s'exécute sur les instances du sous-réseau B. Le propriétaire de compte du VPC B a un point determinaison de service (vpce-svc-1234) avec un Équilibreur de charge du réseau associé qui pointe versles instances du sous-réseau B comme cibles. Les instances du sous-réseau A du VPC A utilisent un pointde terminaison d'interface pour accéder aux services du sous-réseau B.

336

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html


À des fins de faible latence et de tolérance aux pannes, nous recommandons d'utiliser un Équilibreurde charge du réseau avec des cibles dans chaque zone de disponibilité de la région AWS. Pour vousaider à atteindre une haute disponibilité pour les consommateurs de service qui utilisent des noms d'hôteDNS zonaux (p. 313) pour accéder au service, vous pouvez activer l'équilibrage de charge entre zones.L'équilibrage de charge entre zones permet à l'équilibreur de charge de répartir le trafic entre les ciblesenregistrées dans toutes les zones de disponibilité activées. Pour plus d'informations, consultez Équilibragede charge entre zones dans le manuel Guide de l'utilisateur pour les Équilibreurs de charge du réseau.Des frais de transfert de données régional peuvent être appliqués à votre compte lorsque vous activezl'équilibrage de charge entre zones.

Dans le diagramme suivant, le propriétaire du VPC B est le fournisseur de services et celui-ci a configuréun Équilibreur de charge du réseau avec des cibles dans deux zones de disponibilité différentes.Le consommateur du service (VPC A) a créé des points de terminaison d'interface dans les mêmesdeux zones de disponibilité de son VPC. Les demandes vers le service depuis des instances du VPC Apeuvent utiliser l'un ou l'autre des points de terminaison d'interface.

337

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing

Amazon Virtual Private Cloud Guide de l'utilisateurConsidérations sur les zones de disponibilité

de service de point de terminaison

Considérations sur les zones de disponibilité deservice de point de terminaisonLorsque vous créez un service de point de terminaison, celui-ci est créé dans la zone de disponibilitémappée à votre compte et est indépendant des autres comptes. Lorsque le fournisseur de service et leconsommateur sont dans des comptes différents, utilisez l'ID de zone de disponibilité pour identifier defaçon unique et cohérente la zone de disponibilité du service de point de terminaison. Par exemple, use1-az1 est l'ID de zone de disponibilité de la région us-east-1 et est mappé au même emplacement danschaque compte AWS. Pour plus d’informations sur les zones de disponibilité, consultez ID de zone dedisponibilité pour vos ressources dans le Guide de l'utilisateur AWS RAM ou utilisez describe-availability-zones.

Lorsque le fournisseur de services et le consommateur ont des comptes différents et utilisent plusieurszones de disponibilité, et que le consommateur visualise les informations du service de point determinaison VPC, la réponse inclut uniquement les zones de disponibilité communes. Par exemple, lorsquele compte du fournisseur de services utilise les régions us-east-1a et us-east-1c et le consommateurles régions us-east-1a et us-east-1b, la réponse inclut les services de point de terminaison VPC dansla zone de disponibilité commune, us-east-1a.

Noms DNS d’un service de point de terminaisonQuand vous créez un service de point de terminaison d’un VPC, AWS génère des noms d'hôte DNSspécifiques au point de terminaison que vous pouvez utiliser pour communiquer avec le service. Ces nomsincluent l'ID du point de terminaison du VPC, le nom de la zone de disponibilité et le Nom de la région, parexemple, vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com. Par défaut, vosconsommateurs accèdent au service avec ce nom DNS et doivent généralement modifier la configurationde l'application.

Si le service de point de terminaison est pour un service AWS ou un service disponible dans le MarketplaceAWS, il existe un nom DNS par défaut. Pour les autres services, le fournisseur de services peut configurerun nom DNS privé, afin que les consommateurs puissent accéder au service à l'aide d'un nom DNSexistant sans apporter de modifications à leurs applications. Pour de plus amples informations, consultezthe section called “Noms DNS privés pour les services de point de terminaison” (p. 351).

338





Amazon Virtual Private Cloud Guide de l'utilisateurConnexion aux centres de données locaux

Les fournisseurs de services peuvent utiliser la clé de contexte de conditionec2:VpceServicePrivateDnsName dans une déclaration de stratégie IAM pour contrôler quels noms DNSprivés peuvent être créés. Pour plus d'informations, consultez Actions définies par Amazon EC2 dans lasection IAM Guide de l'utilisateur.

Exigences relatives aux noms DNS privésLes fournisseurs de services peuvent spécifier un nom DNS privé pour un service de point de terminaisonnouveau ou existant. Pour utiliser un nom DNS privé, activez la fonctionnalité, puis spécifiez un nom DNSprivé. Avant que les consommateurs puissent utiliser le nom DNS privé, vous devez vérifier que vous avezle contrôle du domaine/sous-domaine. Vous pouvez lancer une vérification de propriété de domaine àl'aide la Console Amazon VPC ou de l’API. Une fois la vérification de la propriété du domaine terminée, lesconsommateurs accèdent au point de terminaison à l'aide du nom DNS privé.

Connexion aux centres de données locauxVous pouvez utiliser les types de connexions suivants pour établir une connexion entre un point determinaison d'interface et votre centre de données sur site :

• AWS Direct Connect• AWS Site-to-Site VPN

Accès aux services via une connexion d'appairage deVPCVous pouvez utiliser une connexion d'appairage de VPC avec un point de terminaison de VPC pourautoriser un accès privé aux consommateurs sur l’ensemble de la connexion d'appairage de VPC. Pourplus d'informations, consultez Exemples : Services utilisant AWS PrivateLink et l’appairage de VPC (p. 72).

Utilisation du protocole proxy pour les informations deconnexionUn Équilibreur de charge du réseau propose des adresses IP source à votre application (votre service).Quand les consommateurs du service envoient du trafic à votre service via un point de terminaisond'interface, les adresses IP source fournies à votre application sont les adresses IP privées des nœudsÉquilibreur de charge du réseau et pas les adresses IP des consommateurs du service.

Si vous avez besoin des adresses IP des consommateurs du service et de leurs ID de point de terminaisond'interface correspondants, activez le protocole proxy sur votre équilibreur de charge et obtenez lesadresses IP clients à partir de l'en-tête du protocole proxy. Pour plus d'informations, consultez Protocoleproxy dans le manuel Guide de l'utilisateur pour les Équilibreurs de charge du réseau.

Restrictions de services de point de terminaisonPour utiliser les services de points de terminaison, vous devez être conscient des règles et limitationsactuelles :

• Un service de point de terminaison prend uniquement en charge le trafic IPv4 sur TCP.• Les consommateurs de services peuvent utiliser les noms d'hôtes DNS spécifiques au point de

terminaison pour accéder au service de point de terminaison, ou le nom DNS privé.

339


https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol

Amazon Virtual Private Cloud Guide de l'utilisateurCréation d'une configuration de service

de point de terminaison de VPC

• Si un service de point de terminaison est associé à plusieurs Équilibreur de charge du réseau, pour unezone de disponibilité spécifique, un point de terminaison d'interface établit une connexion avec un seuléquilibreur de charge.

• Pour le service de point de terminaison, l'équilibreur de charge réseau associé peut prendre encharge 55 000 connexions simultanées ou environ 55 000 connexions par minute sur chaque cibleunique (adresse IP et port). Si vous dépassez ce nombre de connexions, il y a plus de risque d'erreursd'attribution de port. Pour résoudre les erreurs d'attribution de port, ajoutez davantage de cibles augroupe cible. Pour de plus amples informations sur les groupes cibles Équilibreur de charge du réseau,veuillez consulter Groupes cibles pour vos équilibreurs de charge réseau et Enregistrement de ciblesauprès de votre groupe cible dans le Guide de l'utilisateur pour les Équilibreurs de charge du réseau.

• Les zones de disponibilité de votre compte peuvent ne pas mapper vers les mêmes emplacements queles zones de disponibilité d’un autre compte. Par exemple, votre zone de disponibilité us-east-1apeut se trouver dans un emplacement différent us-east-1a de celui d'un autre compte. Pour de plusamples informations, veuillez consulter Concepts de régions et de zones de disponibilité. Lorsque vousconfigurez un service de point de terminaison, celui-ci est configuré dans les zones de disponibilitécomme mappé à votre compte.

• Vérifiez les limites spécifiques au service pour votre service de point de terminaison.• Examinez les bonnes pratiques en matière de sécurité et les exemples pour les services de point de

terminaison. Pour de plus amples informations, consultez les Bonnes pratiques en matière de stratégieset the section called “Contrôle de l'accès aux services avec Points de terminaison d'un VPC” (p. 332).

Création d'une configuration de service de point determinaison de VPCVous pouvez créer une configuration de service de point de terminaison à l'aide de la console AmazonVPC ou de la ligne de commande. Avant de commencer, assurez-vous d'avoir créé un ou plusieursÉquilibreur de charge du réseau dans le VPC de votre service. Pour plus d'informations, consultezPremiers pas avec les équilibreurs de charge réseau dans le Guide de l'utilisateur pour les Équilibreurs decharge du réseau.

Dans votre configuration, vous pouvez éventuellement spécifier que les demandes de connexion de pointde terminaison d'interface à votre service doivent être acceptées manuellement par vous. Vous pouvezcréer une notification (p. 345) pour recevoir des alertes en cas de demandes de connexion. Si vousn'acceptez pas une connexion, les consommateurs de service ne peuvent pas accéder à votre service.

Note

Quels que soient les paramètres d'acceptation, les consommateurs de service doivent égalementdisposer d'autorisations (p. 342) pour créer une connexion à votre service.

Après avoir créé une configuration de service de point de terminaison, vous devez ajouter des autorisationspour autoriser les consommateurs du service à créer des points de terminaison d'interface à votre service.

Console

Pour créer un service de point de terminaison à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Services de points de terminaison, Créer un service de

point de terminaison.3. Pour Associer les équilibreurs de charge réseau, sélectionnez les Équilibreur de charge du réseau

à associer au service du point de terminaison.4. Pour Requiert l'acceptation du point de terminaison, activez la case à cocher pour accepter

manuellement les demandes de connexion à votre service. Si vous ne sélectionnez pas cetteoption, les connexions de point de terminaison sont automatiquement acceptées.

340

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-policy-examples.html#security_iam_service-with-iam-policy-best-practices

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html


Amazon Virtual Private Cloud Guide de l'utilisateurCréation d'une configuration de service

de point de terminaison de VPC

5. Pour associer un nom DNS privé au service, sélectionnez Enable private DNS name (Activer lenom DNS privé) puis, pourPrivate DNS name (Nom DNS privé=), entrez le nom DNS privé.

6. (Facultatif) Ajoutez ou supprimez une balise.

[Ajouter une balise] Choisissez Ajouter une balise et procédez comme suit :

• Pour Clé, saisissez le nom de la clé.• Pour Value (Valeur), saisissez la valeur de la clé.


7. Choisissez Créer un service.

AWS CLI

Pour créer un service de point de terminaison l'aide de l'AWS CLI

Utilisez la commande create-vpc-endpoint-service-configuration et spécifiez un ou plusieurs ARN pourvos Équilibreur de charge du réseau. Vous pouvez éventuellement spécifier si une acceptation estrequise pour la connexion à votre service et si le service a un nom DNS privé.

aws ec2 create-vpc-endpoint-service-configuration --network-load-balancer-arns arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532 --acceptance-required --privateDnsName exampleservice.com

{ "ServiceConfiguration": { "ServiceType": [ { "ServiceType": "Interface" } ], "NetworkLoadBalancerArns": [ "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532" ], "ServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-03d5ebb7d9579a2b3", "ServiceState": "Available", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3", "PrivateDnsName: "exampleService.com", "AcceptanceRequired": true, "AvailabilityZones": [ "us-east-1d" ], "BaseEndpointDnsNames": [ "vpce-svc-03d5ebb7d9579a2b3.us-east-1.vpce.amazonaws.com" ] }}

Outils AWS pour Windows PowerShell

Utilisez New-EC2VpcEndpointServiceConfiguration.API

Utilisez CreateVpcEndpointServiceConfiguration.

341

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpointServiceConfiguration.html

Amazon Virtual Private Cloud Guide de l'utilisateurAjout et suppression d'autorisations pour

votre service de point de terminaison

Ajout et suppression d'autorisations pour votre servicede point de terminaisonAprès avoir créé votre configuration de service de point de terminaison, vous pouvez contrôler quelsconsommateurs de service peuvent créer un point de terminaison d'interface pour se connecter à votreservice. Les consommateurs de service sont les IAMmandataires —(utilisateurs IAM, rôles IAM et comptesAWS). Pour ajouter ou supprimer des autorisations pour un mandataire, vous avez besoin de son AmazonResource Name (ARN).

• Pour un compte AWS (et parc conséquent tous les mandataires du compte), le format de l'ARN estarn:aws:iam::aws-account-id:root.

• Pour un utilisateur IAM spécifique, le format de l'ARN est arn:aws:iam::aws-account-id:user/user-name.

• Pour un rôle IAM spécifique, le format de l'ARN est arn:aws:iam::aws-account-id:role/role-name.

Note

Si vous définissez l'autorisation sur « n'importe qui peut accéder » et que vous définissez lemodèle d'acceptation sur « accepter toutes les demandes », alors vous venez de rendre votre NLBpublique. Étant donné qu'il est facile d'obtenir un compte AWS, il n'y a aucune restriction pratiquequant à l'accès à votre NLB même s'il n'a pas d'adresse IP publique.

Console

Pour ajouter ou supprimer des autorisations à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Services de points de terminaison, puis sélectionnez votre

service de point de terminaison.3. Choisissez Actions, Ajouter des mandataires à la liste blanche.4. Spécifiez l'ARN du mandataire pour lequel vous ajoutez les autorisations. Pour ajouter d'autres

mandataires, choisissez Ajouter un mandataire. Pour supprimer un mandataire, sélectionnezl'icône en forme de croix à côté de l'entrée.

Note

Spécifiez * pour ajouter des autorisations pour tous les mandataires. Cela permet auxautres mandataires de tous les comptes AWS de créer un point de terminaison d'interfaceà votre service de point de terminaison.

5. Choisissez Ajouter à la liste blanche des mandataires.6. Pour supprimer un mandataire, sélectionnez-le dans la liste et choisissez Supprimer.

AWS CLI

Pour ajouter des autorisations pour votre service de point de terminaison, utilisez la commande modify-vpc-endpoint-service-permissions et utilisez le paramètre --add-allowed-principals pour ajouterun ou plusieurs ARN pour les mandataires.

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --add-allowed-principals '["arn:aws:iam::123456789012:root"]'

Pour afficher les autorisations que vous avez ajoutées pour votre service de point de terminaison,utilisez la commande describe-vpc-endpoint-service-permissions.

342



https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-permissions.html

Amazon Virtual Private Cloud Guide de l'utilisateurModification des Équilibreur de charge duréseau et des paramètres d'acceptation

aws ec2 describe-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3

{ "AllowedPrincipals": [ { "PrincipalType": "Account", "Principal": "arn:aws:iam::123456789012:root" } ]}

Pour supprimer des autorisations pour votre service de point de terminaison, utilisez la commandemodify-vpc-endpoint-service-permissions et utilisez le paramètre --remove-allowed-principalspour supprimer un ou plusieurs ARN pour les mandataires.

aws ec2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-03d5ebb7d9579a2b3 --remove-allowed-principals '["arn:aws:iam::123456789012:root"]'


Utilisez Edit-EC2EndpointServicePermission.API

Utilisez ModifyVpcEndpointServicePermissions.

Modification des Équilibreur de charge du réseau etdes paramètres d'acceptationVous pouvez modifier votre configuration de service de point de terminaison en modifiant les Équilibreur decharge du réseau associés au service de point de terminaison et en spécifiant si l'acceptation est requiseou pas pour que les demandes se connectent à votre service de point de terminaison.

Vous ne pouvez pas dissocier un équilibreur de charge s'il y a des points de terminaison d'interfaceassociés à votre service de point de terminaison.

Console

Pour modifier les équilibreurs de charge réseau de votre service de point de terminaison àl'aide de la console


service de point de terminaison.3. Choisissez Actions, Associer/Dissocier des équilibreurs de charge du réseau.4. Sélectionnez les équilibreurs de charge ou annulez leur sélection si nécessaire, puis choisissez

Enregistrer.

Pour modifier le paramètre d'acceptation à l'aide de la console


service de point de terminaison.

343


https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2EndpointServicePermission.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointServicePermissions.html



Amazon Virtual Private Cloud Guide de l'utilisateurAcceptation et refus des demandes de

connexion de point de terminaison d'interface

3. Choisissez Actions, Modifier le paramètre d'acceptation du point de terminaison.4. Cochez ou décochez Requiert l'acceptation du point de terminaison, puis choisissez Modifier.

AWS CLI

Pour modifier les équilibreurs de charge de votre service de point de terminaison, utilisez la commandemodify-vpc-endpoint-service-configuration et utilisez le paramètre --add-network-load-balancer-arn ou --remove-network-load-balancer-arn.

aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --remove-network-load-balancer-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/nlb-vpce/e94221227f1ba532

Pour modifier si l'acceptation est requise, utilisez la commande modify-vpc-endpoint-service-configuration et spécifiez --acceptance-required ou --no-acceptance-required.

aws ec2 modify-vpc-endpoint-service-configuration --service-id vpce-svc-09222513e6e77dc86 --no-acceptance-required


Utilisez Edit-EC2VpcEndpointServiceConfiguration.API

Utilisez ModifyVPCEndPointServiceConfiguration.

Acceptation et refus des demandes de connexion depoint de terminaison d'interfaceAprès avoir créé un service de point de terminaison, les consommateurs de service auxquels vousavez ajouté l'autorisation peuvent créer un point de terminaison d'interface pour se connecter à votreservice. Pour plus d'informations sur la création d'un point de terminaison d'interface, consultez Points determinaison d'un VPC d’interface (AWS PrivateLink) (p. 300).

Si vous avez spécifié que l'acceptation est obligatoire pour les demandes de connexion, vous devezaccepter ou rejeter manuellement les demandes de connexion de point de terminaison d'interfaceadressées à votre service de point de terminaison. Une fois qu'un point de terminaison d'interface estaccepté, il devient available.

Vous pouvez rejeter une connexion de point de terminaison d'interface une fois qu'il est dans l'étatavailable.

Console

Pour accepter ou refuser une demande de connexion à l'aide de la console


service de point de terminaison.3. L'onglet Connexions de point de terminaison répertorie les connexions de point de terminaison qui

sont dans l'attente de votre approbation. Sélectionnez le point de terminaison, choisissez Actions,

344

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-configuration.html



https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointServiceConfiguration.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointServiceConfiguration.html


Amazon Virtual Private Cloud Guide de l'utilisateurCréation et gestion d'une notification

pour un service de point de terminaison

puis choisissez Accepter une demande de connexion d'un point de terminaison pour accepter laconnexion ou Refuser une demande de connexion de point de terminaison pour la refuser.

AWS CLI

Pour afficher les connexions de point de terminaison en attente d'acceptation, utilisez la commandedescribe-vpc-endpoint-connections et filtrez sur l'état pendingAcceptance.

aws ec2 describe-vpc-endpoint-connections --filters Name=vpc-endpoint-state,Values=pendingAcceptance

{ "VpcEndpointConnections": [ { "VpcEndpointId": "vpce-0c1308d7312217abc", "ServiceId": "vpce-svc-03d5ebb7d9579a2b3", "CreationTimestamp": "2017-11-30T10:00:24.350Z", "VpcEndpointState": "pendingAcceptance", "VpcEndpointOwner": "123456789012" } ]}

Pour accepter une demande de connexion de point de terminaison, utilisez la commande accept-vpc-endpoint-connections et spécifiez l'ID de point de terminaison et l'ID de service de point determinaison.

aws ec2 accept-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc

Pour refuser une demande de connexion de point de terminaison, utilisez la commande reject-vpc-endpoint-connections.

aws ec2 reject-vpc-endpoint-connections --service-id vpce-svc-03d5ebb7d9579a2b3 --vpc-endpoint-ids vpce-0c1308d7312217abc


Utilisez Confirm-EC2EndpointConnection et Deny-EC2EndpointConnection.API

Utilisez AcceptVpcEndpointConnections et RejectVpcEndpointConnections.

Création et gestion d'une notification pour un servicede point de terminaisonVous pouvez créer une notification pour recevoir des alertes pour les événements spécifiques qui seproduisent sur les points de terminaison attachés à votre service de point de terminaison. Par exemple,vous pouvez recevoir un e-mail quand une demande de point de terminaison est acceptée ou rejetéepour votre service de point de terminaison. Pour créer une notification, vous devez associer une rubriqueAmazon SNS à la notification. Vous pouvez vous inscrire à la rubrique SNS pour recevoir une notificationpar e-mail quand un événement de point de terminaison se produit. Pour plus d'informations, consultez laAmazon Simple Notification Service Manuel du développeur.

345

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-connections.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-endpoint-connections.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-endpoint-connections.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Confirm-EC2EndpointConnection.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2EndpointConnection.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-AcceptVpcEndpointConnections.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-RejectVpcEndpointConnections.html

https://docs.aws.amazon.com/sns/latest/dg/



La rubrique Amazon SNS que vous utilisez pour les notifications doit avoir une stratégie de rubriquequi permet au service de point de terminaison de VPC d'Amazon de publier des notifications en votrenom. Veillez à inclure la déclaration suivante dans votre stratégie de rubrique. Pour plus d'informations,consultez Gestion des accès à vos rubriques Amazon SNS dans le Amazon Simple Notification ServiceManuel du développeur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ]}

Console

Pour créer une notification pour un service de point de terminaison


service de point de terminaison.3. Choisissez Notifications, Créer une notification.4. Choisissez l'ARN de la rubrique SNS à associer à la notification.5. Pour Événements, sélectionnez les événements de point de terminaison pour lesquels vous

recevrez des notifications.6. Choisissez Créer une notification.

Après avoir créé une notification, vous pouvez modifier la rubrique SNS associée à cette dernière.Vous pouvez également spécifier différents événements de point de terminaison pour celle-ci.

Pour modifier une notification pour un service de point de terminaison


service de point de terminaison.3. Choisissez Notifications, Actions, Modifier une notification.4. Spécifiez l'ARN de la rubrique SNS, et sélectionnez les événements de point de terminaison ou

annulez-les comme requis.5. Choisissez Modifier la notification.

Si vous n'avez plus besoin d'une notification, vous pouvez la supprimer.

Pour supprimer une notification


service de point de terminaison.3. Choisissez Notifications, Actions, Supprimer une notification.

346

https://docs.aws.amazon.com/sns/latest/dg/AccessPolicyLanguage.html






4. Sélectionnez Oui, supprimer.

AWS CLI

Pour créer et gérer une notification à l'aide de l'AWS CLI

1. Pour créer une notification pour un service de point de terminaison, utilisez la commande create-vpc-endpoint-connection-notification et spécifiez l'ARN de la rubrique SNS, les événements ànotifier et l'ID du service de point de terminaison

aws ec2 create-vpc-endpoint-connection-notification --connection-notification-arn arn:aws:sns:us-east-2:123456789012:VpceNotification --connection-events Connect Accept Delete Reject --service-id vpce-svc-1237881c0d25a3abc

{ "ConnectionNotification": { "ConnectionNotificationState": "Enabled", "ConnectionNotificationType": "Topic", "ServiceId": "vpce-svc-1237881c0d25a3abc", "ConnectionEvents": [ "Reject", "Accept", "Delete", "Connect" ], "ConnectionNotificationId": "vpce-nfn-008776de7e03f5abc", "ConnectionNotificationArn": "arn:aws:sns:us-east-2:123456789012:VpceNotification" }}

2. Pour afficher vos notifications, utilisez la commande describe-vpc-endpoint-connection-notifications :

aws ec2 describe-vpc-endpoint-connection-notifications

3. Pour modifier la rubrique SNS ou les événements de point de terminaison de la notification,utilisez la commande modify-vpc-endpoint-connection-notification.

aws ec2 modify-vpc-endpoint-connection-notification --connection-notification-id vpce-nfn-008776de7e03f5abc --connection-events Accept Reject --connection-notification-arn arn:aws:sns:us-east-2:123456789012:mytopic

4. Pour supprimer une notification, utilisez la commande delete-vpc-endpoint-connection-notifications.

aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification-ids vpce-nfn-008776de7e03f5abc


Utilisez New-EC2VpcEndpointConnectionNotification, Get-EC2EndpointConnectionNotification, Edit-EC2VpcEndpointConnectionNotification et Remove-EC2EndpointConnectionNotification.

API

Utilisez CreateVpcEndpointConnectionNotification, DescribeVpcEndpointConnectionNotifications,ModifyVpcEndpointConnectionNotification et DeleteVpcEndpointConnectionNotifications.

347





https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-connection-notification.html



https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DescribeVpcEndpointConnectionNotifications.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-ModifyVpcEndpointConnectionNotification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpointConnectionNotifications.html

Amazon Virtual Private Cloud Guide de l'utilisateurAjout ou suppression des balises d’un

service de point de terminaison de VPC

Ajout ou suppression des balises d’un service de pointde terminaison de VPCLes balises permettent d'identifier un service de point de terminaison de VPC. Vous pouvez ajouter ousupprimer une balise.

Console

Pour ajouter ou supprimer une balise d’un service de point de terminaison de VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Endpoint Services (Services de point de terminaison.3. Sélectionnez le service de point de terminaison de VPC et choisissez Actions, Add/Edit Tags

(Ajouter/modifier des balises).4. Ajoutez ou supprimez une balise.




Utilisez CreateTags et DeleteTags.

Pour accepter une demande de connexion de point de terminaison, utilisez la commande accept-vpc-endpoint-connections et spécifiez l'ID de point de terminaison et l'ID de service de point determinaison.

API

Utilisez create-tags et delete-tags.

Suppression d'une configuration de service de point determinaisonVous pouvez supprimer une configuration de service de point de terminaison. La suppression d'uneconfiguration ne supprime pas l'application hébergée dans votre VPC ou les équilibreurs de chargeassociés.

Avant de supprimer la configuration du service de point de terminaison, vous devez refuser les pointsde terminaison VPC available ou pending-acceptance qui sont attachés au service. Pour plusd'informations, consultez Acceptation et refus des demandes de connexion de point de terminaisond'interface (p. 344).

Console

Pour supprimer une configuration de service de point de terminaison à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Services de points de terminaison, puis sélectionnez le

service.

348



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteTags.html




https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html



3. Choisissez Actions, Delete.4. Sélectionnez Oui, supprimer.

AWS CLI

Pour supprimer une configuration de service de point de terminaison à l'aide de l'AWS CLI

• Utilisez la commande delete-vpc-endpoint-service-configurations et spécifiez l'ID du service.

aws ec2 delete-vpc-endpoint-service-configurations --service-ids vpce-svc-03d5ebb7d9579a2b3


Utilisez Remove-EC2EndpointServiceConfiguration.API

Utilisez DeleteVpcEndpointServiceConfigurations.

Identity and Access Management pour les servicesPoints de terminaison d'un VPC et Point determinaison d'un VPC

Utilisez IAM pour gérer l'accès aux services Points de terminaison d'un VPC et Points de terminaison d'unVPC.

Contrôle de l'utilisation des Points de terminaison d'un VPC

Par défaut, les utilisateurs IAM ne sont pas autorisés à utiliser des points de terminaison. Vous pouvezcréer une stratégie d'utilisateur IAM qui autorise les utilisateurs à créer, modifier, décrire et supprimer despoints de terminaison. Voici un exemple de.

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action":"ec2:*VpcEndpoint*", "Resource":"*" } ]}

Pour plus d'informations sur le contrôle de l'accès aux services avec des points de terminaison deVPC, consultez the section called “Contrôle de l'accès aux services avec Points de terminaison d'unVPC” (p. 332).

Contrôle de la création de Points de terminaison d'un VPC en fonction du propriétaire du service

Vous pouvez utiliser la clé de condition ec2:VpceServiceOwner pour contrôler quel point de terminaisonVPC peut être créé en fonction du propriétaire du service (amazon, aws-marketplace ou aws-account-id). Dans l'exemple suivant, vous pouvez créer des Points de terminaison d'un VPC seulement

349

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint-service-configurations.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EndpointServiceConfiguration.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-DeleteVpcEndpointServiceConfigurations.html


quand le propriétaire du service est amazon. Pour utiliser cet exemple, remplacez l'ID de compte, lepropriétaire du service et la région (sauf si vous êtes dans la région us-east-1).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceOwner": [ "amazon" ] } } } ]}

Contrôle des noms DNS privés pouvant être spécifiés pour les services de point de terminaison de VPC

Vous pouvez utiliser la clé de condition ec2:VpceServicePrivateDnsName pour contrôler quel servicede point de terminaison de VPC peut être modifié ou créé en fonction du nom DNS privé associé au servicede point de terminaison VPC. Dans l'exemple suivant, vous pouvez créer un service Point de terminaisond'un VPC seulement quand le nom DNS privé est example.com. Pour utiliser cet exemple, remplacez l'IDde compte, le nom DNS privé et la région (sauf si vous êtes dans la région us-east-1).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServiceConfiguration", "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint-service/*" ], "Condition": { "StringEquals": { "ec2:VpceServicePrivateDnsName": [ "example.com" ] } } } ]}

Contrôle des noms de services pouvant être spécifiés pour les services de point de terminaison de VPC

Vous pouvez utiliser la clé de condition ec2:VpceServiceName pour contrôler quel Point de terminaisond'un VPC peut être créé en fonction du nom du service de point de terminaison de VPC. Dans l'exemplesuivant, vous pouvez créer un Point de terminaison d'un VPC seulement quand le nom de service estcom.amazonaws.us-east-1.s3. Pour utiliser cet exemple, remplacez l'ID de compte, le nom de serviceet la région (sauf si vous êtes dans la région us-east-1).

350

Amazon Virtual Private Cloud Guide de l'utilisateurNoms DNS privés pour les services de point de terminaison

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:us-east-1:accountId:vpc-endpoint/*" ], "Condition": { "StringEquals": { "ec2:VpceServiceName": [ "com.amazonaws.us-east-1.s3" ] } } } ]}

Noms DNS privés pour les services de point determinaison

Quand vous créez le service de point de terminaison d'un VPC, AWS génère des noms d'hôte DNSspécifiques au point de terminaison que vous pouvez utiliser pour communiquer avec le service. Ces nomsincluent l'ID du point de terminaison du VPC, le nom de la zone de disponibilité et le nom de la région : parexemple, vpce-1234-abcdev-us-east-1.vpce-svc-123345.us-east-1.vpce.amazonaws.com. Par défaut, vosconsommateurs accèdent au service avec ce nom DNS et doivent généralement modifier la configurationde l'application.

Si le service de point de terminaison est pour un service AWS ou un service disponible dans AWSMarketplace, il existe un nom DNS par défaut. Pour les autres services, le fournisseur de services peutconfigurer un nom DNS privé, afin que les consommateurs puissent accéder au service à l'aide d'un nomDNS existant sans apporter de modifications à leurs applications. Pour plus d'informations, consultez thesection called “Services de points de terminaison de VPC (AWS PrivateLink)” (p. 335).

Les fournisseurs de services peuvent spécifier un nom DNS privé pour un service de point de terminaisonnouveau ou existant. Pour utiliser un nom DNS privé, activez la fonctionnalité, puis spécifiez un nom DNSprivé. Avant que les consommateurs puissent utiliser le nom DNS privé, vous devez vérifier que vous avezle contrôle du domaine/sous-domaine. Vous pouvez lancer une vérification de propriété de domaine àl'aide la Console Amazon VPC ou de l’API. Une fois la vérification de la propriété du domaine terminée, lesconsommateurs accèdent au point de terminaison à l'aide du nom DNS privé.

Note

Pour vérifier le domaine, vous devez disposer d'un nom hébergé public ou d'un fournisseur DNSpublic.

La procédure de haut niveau est la suivante :

1. Ajoutez un nom DNS privé. Pour plus d'informations, consultez the section called “Création d'uneconfiguration de service de point de terminaison de VPC” (p. 340) ou the section called “Modificationd'un nom DNS privé d’un service de point de terminaison existant” (p. 354).

2. Notez la Domain verification value (Valeur de vérification de domaine ) et le Domain verification name(Nom de vérification de domaine) dont vous avez besoin pour les enregistrements du serveur DNS.

351

Amazon Virtual Private Cloud Guide de l'utilisateurObservations relatives à la vérification du nom de domaine

Pour de plus amples informations, veuillez consulter the section called “Affichage de la configurationdu nom DNS privé du service de point de terminaison” (p. 355).

3. Ajoutez un enregistrement au serveur DNS. Pour plus d'informations, consultez the section called“Vérification du nom DNS privé du service de point de terminaison d’un VPC” (p. 353).

4. Vérifiez le nom DNS privé. Pour plus d'informations, consultez the section called “Lancement manuelde la vérification du domaine de nom DNS privé du service de point de terminaison” (p. 355).

Vous pouvez gérer le processus de vérification à l'aide de la console Amazon VPC ou de l'API AmazonVPC.

• the section called “Vérification du nom DNS privé du service de point de terminaison d’un VPC” (p. 353)• the section called “Modification d'un nom DNS privé d’un service de point de terminaison

existant” (p. 354)• the section called “Suppression d'un nom DNS privé du service de point de terminaison” (p. 356)• the section called “Affichage de la configuration du nom DNS privé du service de point de

terminaison” (p. 355)• Enregistrements TXT de vérification de nom de domaine DNS privé Amazon VPC (p. 357)

Observations relatives à la vérification du nom dedomaineNotez les points importants suivants concernant la vérification de propriété de domaine :

• Un consommateur peut uniquement utiliser le nom DNS privé pour accéder au service de point determinaison lorsque l'état de la vérification est verified (vérifié).

• Si le statut de vérification passe de verified (vérifié) à pendingVerification (vérification en attente), oufailed (échec), les connexions consommateur existantes sont maintenues, mais toute nouvelle demandede connexion est refusée.

Important

Pour les fournisseurs de services qui sont préoccupés par les connexions aux servicesde point de terminaison qui ne sont plus dans l'état verified (vérifié) nous recommandonsd'utiliser DescribeVPCendpoints pour vérifier périodiquement l'état de vérification. Nous vousrecommandons d'effectuer cette vérification au moins une fois par jour.

• Un service de point de terminaison ne peut avoir qu'un seul nom DNS privé.• Vous pouvez spécifier un nom DNS privé pour un service de point de terminaison nouveau ou existant.• Vous pouvez utiliser uniquement des serveurs de noms de domaine public.• Vous pouvez utiliser des caractères génériques dans les noms de domaine, par exemple

« *.myexampleservice.com ».• Vous devez effectuer une vérification de propriété de domaine séparée pour chaque service de point de

terminaison.• Vous pouvez vérifier le domaine d'un sous-domaine. Par exemple, vous pouvez vérifier example.com,

au lieu de a.example.com. Comme indiqué dans la spécification RFC 1034, chaque étiquette DNS peutcomporter jusqu'à 63 caractères et l'ensemble du nom de domaine ne doit pas dépasser une longueurtotale de 255 caractères.

Si vous ajoutez un sous-domaine supplémentaire, vous devez vérifier le sous-domaine ou le domaine.Par exemple, disons que vous aviez un a.example.com et vérifié example.com. Vous ajoutez maintenantb.example.com en tant que nom DNS privé. Vous devez vérifier example.com ou b.example.com avantque vos consommateurs puissent utiliser ce nom.

352

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html

https://tools.ietf.org/html/rfc1034#section-3.6

Amazon Virtual Private Cloud Guide de l'utilisateurVérification du nom DNS privé du service

de point de terminaison d’un VPC

• Les noms de domaine doivent être en minuscules.

Vérification du nom DNS privé du service de point determinaison d’un VPCVotre domaine est associé à un ensemble d'enregistrements de système de noms de domaine (DNS) quevous gérez via votre fournisseur DNS. Un enregistrement TXT est un type d'enregistrement DNS qui fournitdes informations supplémentaires sur votre domaine. Chaque enregistrement TXT est constitué d'un nomet d'une valeur.

Lorsque vous lancez la vérification de propriété de domaine à l'aide de la console Console Amazon VPCou de l'API, nous vous fournissons le nom et la valeur à utiliser pour l'enregistrement TXT. Par exemple, sivotre domaine est myexampleservice.com, les paramètres d'enregistrement TXT que nous générons serontsimilaires à l'exemple suivant :

Enregistrement TXT du nom DNS privé du point de terminaison

Nom de vérification dedomaine

Tapez Valeur de vérification de domaine

_vpce:aksldja21i1 TXT vpce:asjdakjshd78126eu21

Ajoutez un enregistrement TXT au serveur DNS de votre domaine en utilisant le Domain verificationname (Nom de vérification de domaine) et la Domain verification value (Valeur de vérification dedomaine)spécifiés. La vérification de propriété de domaine est terminée lorsque nous détectons l'existencede l'enregistrement TXT dans les paramètres DNS de votre domaine.

Si votre fournisseur DNS n'autorise pas les traits de soulignement dans les noms d'enregistrements DNS,vous pouvez omettre _aksldja21i1 du Domain verification name (Nom de vérification de domaine). Dansce cas, pour l'exemple précédent, le nom de l'enregistrement TXT serait myexampleservice.com au lieu de_vpce:aksldja21i1.myexampleservice.com.

Ajout d'un enregistrement TXT au serveur DNS de votre domaineLa procédure d'ajout d'enregistrements TXT au serveur DNS de votre domaine dépend de l'entitéqui fournit votre service DNS. Votre fournisseur DNS peut être Amazon Route 53 ou un autre bureaud'enregistrement de nom de domaine. Cette section fournit les procédures d'ajout d'un enregistrement TXTà Route 53, ainsi que les procédures génériques qui s'appliquent à d'autres fournisseurs DNS.

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Choisissez Endpoint Services (Services de point de terminaison).3. Sélectionnez le service de point de terminaison.4. Dans l'onglet Details (Détails), notez les valeurs affichées en regard de Domain verification value

(Valeur de vérification de domaine) et Domain verification name (Nom de vérification de domaine).5. Si Route 53 fournit le service DNS pour le domaine que vous vérifiez, et que vous êtes connecté à

AWS Management Console sous le même compte que celui que vous utilisez pour Route 53, nousvous offrons la possibilité de mettre à jour immédiatement votre serveur DNS depuis la consoleAmazon VPC.

Si vous utilisez un autre fournisseur DNS, les procédures de mise à jour des enregistrements DNSvarient en fonction du DNS ou du fournisseur d'hébergement web que vous utilisez. Le tableauci-dessous répertorie les liens menant à la documentation proposée pour plusieurs fournisseurscourants. Cette liste n'est pas exhaustive et l’inclusion dans cette liste ne constitue ni une approbation

353


Amazon Virtual Private Cloud Guide de l'utilisateurModification d'un nom DNS privé d’un

service de point de terminaison existant

ni une recommandation vis-à-vis des produits ou services de l’entreprise. Si votre fournisseur n'estpas répertorié dans le tableau, vous pouvez probablement utiliser le domaine avec des points determinaison.

Fournisseur DNS/d’hébergement Lien vers la documentation

GoDaddy Ajout d’un enregistrement TXT (lien externe)

Dreamhost How do I add custom DNS records?(Comment ajouter des enregistrements DNSpersonnalisés ?) (lien externe)

Cloudflare Gestion des enregistrements DNS dansCloudFlare (lien externe)

HostGator Manage DNS Records with HostGator/eNom (Gérer des enregistrements DNS avecHostGator/eNom) (lien externe)

Namecheap How do I add TXT/SPF/DKIM/DMARC recordsfor my domain? (Comment ajouter desenregistrements TXT/SPF/DKIM/DMARC pourmon domaine ?) (lien externe)

Names.co.uk Changing your domains DNS Settings (Modifiervos paramètres DNS de domaine) (lien externe)

Wix Ajout ou mise à jour des enregistrements TXTdans votre compte Wix (lien externe)

Lorsque la vérification est terminée, l'état du domaine dans la console Amazon VPC passe de Pending(En attente) à Verified (Vérifié).

6. Vous pouvez désormais utiliser le nom de domaine privé pour le service de point de terminaison duVPC.

Si les paramètres DNS ne sont pas correctement mis à jour, le domaine affiche l’état failed (échec) sousl'onglet Details (Détails). Si cela se produit, effectuez les étapes indiquées sur la page de dépannage dethe section called “Résolution des problèmes courants de vérification de domaine” (p. 358). Après avoirvérifié que votre enregistrement TXT a été créé correctement, relancez l'opération.

Modification d'un nom DNS privé d’un service de pointde terminaison existantVous pouvez modifier le nom DNS privé du service de point de terminaison pour un service de point determinaison nouveau ou existant.

Pour modifier un nom DNS privé d'un service de point de terminaison à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Endpoint Services (Services de point de terminaison.3. Sélectionnez le service de point de terminaison, puis choisissez Actions, Modifiy private DNS name

(Modifier le nom DNS privé).4. Sélectionnez Enable private DNS name (Activer le nom DNS privé), puis, pour Private DNS name

(Nom DNS privé), saisissez le nom DNS privé.

354

https://www.godaddy.com/help/add-a-txt-record-19232

https://help.dreamhost.com/hc/en-us/articles/215414867-How-do-I-add-custom-DNS-records-

https://support.cloudflare.com/hc/en-us/articles/360019093151

https://support.cloudflare.com/hc/en-us/articles/360019093151

https://support.hostgator.com/articles/hosting-guide/lets-get-started/dns-name-servers/manage-dns-records-with-hostgatorenom

https://support.hostgator.com/articles/hosting-guide/lets-get-started/dns-name-servers/manage-dns-records-with-hostgatorenom

https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain

https://www.namecheap.com/support/knowledgebase/article.aspx/317/2237/how-do-i-add-txtspfdkimdmarc-records-for-my-domain

https://www.names.co.uk/support/1156-changing_your_domains_dns_settings.html

https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account

https://support.wix.com/en/article/adding-or-updating-txt-records-in-your-wix-account


Amazon Virtual Private Cloud Guide de l'utilisateurAffichage de la configuration du nom DNSprivé du service de point de terminaison

5. Sélectionnez Modify.

Après avoir mis à jour le nom, faites de même pour l'entrée pour le domaine sur votre serveur DNS. Nousinterrogeons automatiquement le serveur DNS pour vérifier que l'enregistrement existe sur le serveur.Les mises à jour d'enregistrement DNS peuvent prendre jusqu'à 48 heures, mais sont souvent appliquéesbeaucoup plus rapidement. Pour plus d'informations, consultez the section called “Enregistrements TXT devérification de nom de domaine DNS privé” (p. 357) et the section called “Vérification du nom DNS privédu service de point de terminaison d’un VPC” (p. 353).

Pour modifier le nom DNS privé du service de point de terminaison à l'aide de l'API ou de l’AWSCLI

• modify-vpc-endpoint-service-configuration• ModifyVpcEndpointServiceConfiguration

Affichage de la configuration du nom DNS privé duservice de point de terminaisonVous pouvez afficher le nom DNS privé du service de point de terminaison pour un service de point determinaison.

Console

Pour afficher une configuration de nom DNS privé d'un service de point de terminaison à l'aidede la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Services de points de terminaison, puis sélectionnez le

service de point de terminaison.3. L'onglet Détails (Détails) affiche les informations suivantes pour la vérification de propriété de

domaine DNS privé :

• Domain verification status (Statut de vérification du domaine) : l’état de la vérification.• Domain verification type (Type de vérification du domaine : type de vérification.• Domain verification value (Valeur de vérification du domaine) : valeur DNS.• Domain verification name (Nom de vérification de domaine) : nom du sous-domaine

d'enregistrement.

AWS CLI

Utilisez describe-vpc-endpoint-service-configurations.API

Utilisez DescribeVpcEndpointServiceConfigurations.

Lancement manuel de la vérification du domaine denom DNS privé du service de point de terminaisonLe fournisseur de services doit prouver qu'il est le propriétaire du domaine de nom DNS privé, avant queles consommateurs puissent utiliser le nom DNS privé.

355


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServiceConfiguration.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-service-configurations.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html

Amazon Virtual Private Cloud Guide de l'utilisateurSuppression d'un nom DNS privédu service de point de terminaison

Console

Pour lancer le processus de vérification du domaine de nom DNS privé à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Endpoint Services (Services de point de terminaison.3. Sélectionnez le service de point de terminaison, puis choisissez Actions, Verify domain owernship

for Private DNS Name (Vérifier la propriété du domaine pour le nom DNS privé).4. Choisissez Vérifier.

Si les paramètres DNS ne sont pas correctement mis à jour, le domaine affiche l'état failed(échec) dans l'onglet Details (Détails). Si cela se produit, effectuez les étapes indiquées sur lapage de dépannage de the section called “Résolution des problèmes courants de vérification dedomaine” (p. 358).

AWS CLI

Utilisez start-vpc-endpoint-service-private-dns-verification.API

Utilisez StartVpcEndpointServicePrivateDnsVerification.

Suppression d'un nom DNS privé du service de pointde terminaisonVous pouvez supprimer le nom DNS privé du service de point de terminaison uniquement lorsqu’il n'y aaucune connexion au service.

Console

Pour supprimer un nom DNS privé du service de point de terminaison à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, sélectionnez Endpoint Services (Services de point de terminaison.3. Sélectionnez le service de point de terminaison, puis choisissez Actions, Modifiy private DNS

name (Modifier le nom DNS privé).4. Effacez Enable private DNS name (Activer nom DNS privé), puis Private DNS name (Nom DNS

privé).5. Sélectionnez Modify.

AWS CLI

Utilisez modify-vpc-endpoint-service-configuration.API

Utilisez ModifyVpcEndpointServiceConfiguration.

356


https://docs.aws.amazon.com/cli/latest/reference/ec2/startVpcEndpointServicePrivateDnsVerification.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartVpcEndpointServicePrivateDnsVerification.html



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServiceConfiguration.html

Amazon Virtual Private Cloud Guide de l'utilisateurEnregistrements TXT de vérification

de nom de domaine DNS privé

Enregistrements TXT de vérification de nom dedomaine DNS privé Amazon VPCVotre domaine est associé à un ensemble d'enregistrements de système de noms de domaine (DNS) quevous gérez via votre fournisseur DNS. Un enregistrement TXT est un type d'enregistrement DNS qui fournitdes informations supplémentaires sur votre domaine. Chaque enregistrement TXT est constitué d'un nomet d'une valeur.

Lorsque vous lancez la vérification de propriété de domaine à l'aide de la Console Amazon VPC ou del'API, nous vous fournissons le nom et la valeur à utiliser pour l'enregistrement TXT. Par exemple, si votredomaine est myexampleservice.com, les paramètres d'enregistrement TXT que génère Amazon VPCseront similaires à l'exemple suivant :

Enregistrement TXT du nom DNS privé du point de terminaison

Nom de vérification dedomaine

Tapez Valeur de vérification de domaine

_vpce:aksldja21i1.myexampleservice.comTXT vpce:asjdakjshd78126eu21

Ajoutez un enregistrement TXT au serveur DNS de votre domaine en utilisant les champs Domainverification name (Nom de vérification de domaine) et Domain verification value (Valeur de vérification dedomaine). La vérification de propriété de domaine Amazon VPC est terminée lorsque Amazon VPC détectel'existence de l'enregistrement TXT dans les paramètres DNS de votre domaine.

Si votre fournisseur DNS n'autorise pas l'utilisation de traits de soulignement dans les nomsd'enregistrements DNS, vous pouvez utiliser le nom de domaine comme nom de vérification de domaine.Dans ce cas, pour l'exemple précédent, le nom de l'enregistrement TXT serait myexampleservice.com.

Vous trouverez des informations de dépannage et des instructions sur la manière de contrôler vosparamètres de vérification de propriété de domaine dans Résolution des problèmes courants de vérificationde domaine DNS privé (p. 358).

Amazon Route 53

La procédure d'ajout d'enregistrements TXT au serveur DNS de votre domaine dépend de l'entitéqui fournit votre service DNS. Votre fournisseur DNS peut être Amazon Route 53 ou un autre bureaud'enregistrement de nom de domaine. Cette section fournit les procédures d'ajout d'un enregistrementTXT à Route 53, ainsi que les procédures génériques qui s'appliquent à d'autres fournisseurs DNS.

Pour ajouter un enregistrement TXT à l'enregistrement DNS de votre domaine géré parRoute 53

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Choisissez Endpoint Services (Services de point de terminaison).3. Sélectionnez le service de point de terminaison.4. Dans l'onglet Details (Détails), notez les valeurs affichées en regard de Domain verification value

(Valeur de vérification de domaine) et Domain verification name (Nom de vérification de domaine).5. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.6. Dans le volet de navigation, choisissez Hosted Zones.7. Sélectionnez le domaine auquel vous souhaitez ajouter un enregistrement TXT, puis choisissez

Go to Record Sets (Accéder aux jeux d'enregistrements).8. Choisissez Create Record Set.9. Dans le volet Create Record Set (Créer un jeu d'enregistrements), effectuez les sélections

suivantes :

357


https://console.aws.amazon.com/route53/

Amazon Virtual Private Cloud Guide de l'utilisateurRésolution des problèmes courants

de vérification de domaine

a. Dans Name (Nom), saisissez le Domain verification name (Nom de vérification de domaine)du service de point de terminaison à partir de la Amazon VPC console.

b. Pour Type, choisissez TXT – Text (Texte).c. Pour TTL (seconds) (TTL (secondes)), saisissez 1800.d. Pour Value (Valeur), saisissez la Domain verification value (Valeur de vérification de

domaine) à partir de la console Amazon VPC.e. Sélectionnez Create.

10. Sous l'onglet Details (Détails) de la page Endpoint Services (Services de point de terminaison)de la console Amazon VPC, vérifiez la valeur dans la colonne Domain verification status(État de vérification de domaine) à côté du point de terminaison. Si le statut est « pendingverification » (vérification en attente), patientez quelques minutes, puis choisissez refresh(actualiser). Répétez ce processus jusqu'à ce que la valeur de la colonne d'état soit « verified ».Vous pouvez lancer manuellement le processus de vérification. Pour plus d’informations,consultez the section called “Lancement manuel de la vérification du domaine de nom DNS privédu service de point de terminaison” (p. 355).

Generic procedures for other DNS providers

La procédure d'ajout d'enregistrements TXT aux configurations DNS varie d'un fournisseur à l'autre.Pour les étapes spécifiques, consultez la documentation de votre fournisseur DNS. La procédure decette section donne une vue d'ensemble élémentaire des mesures que vous prenez lors de l'ajout d'unenregistrement TXT à la configuration DNS de votre domaine.

Pour ajouter un enregistrement TXT au serveur DNS de votre domaine (procédure générale)

1. Accédez au site web de votre fournisseur DNS. Si vous n'êtes pas certain du fournisseur DNS quisert votre domaine, essayez de le rechercher à l'aide d'un service Whois gratuit.

2. Sur le site web du fournisseur, connectez-vous à votre compte.3. Recherchez la page permettant de mettre à jour les enregistrements DNS de votre domaine. Cette

page contient souvent un nom comme DNS Records, DNS Zone File ou Advanced DNS. En casde doute, consultez la documentation du fournisseur.

4. Ajoutez un enregistrement TXT avec le nom et la valeur fournis par AWS.

Important

Certains fournisseurs DNS ajoutent automatiquement le nom de domaine à la fin desenregistrements DNS. L'ajout d'un enregistrement contenant déjà le nom de domaine(par exemple, _pmBGN/7Mjnf.example.com) peut entraîner la duplication du nom dedomaine (par exemple, _pmBGN/7Mjnfexample.com.example.com). Pour éviter laduplication du nom de domaine, ajoutez un point à la fin du nom de domaine dansl'enregistrement DNS. Cela permettra d'indiquer à votre fournisseur DNS que le nomd'enregistrements est complet (autrement dit, qu'il ne dépend plus du nom de domaine) etde l'empêcher d'ajouter un nom de domaine supplémentaire.

5. Enregistrez vos modifications. Les mises à jour d'enregistrement DNS peuvent prendre jusqu'à 48heures, mais sont souvent appliquées beaucoup plus rapidement.

Résolution des problèmes courants de vérification dedomaine DNS privéPour vérifier un nom de domaine DNS privé du service de point de terminaison avec Amazon VPC, vouslancez le processus à l'aide de la console Amazon VPC ou de l'API. Cette section contient des informationsqui peuvent vous aider à résoudre les problèmes liés au processus de vérification.

358

http://www.google.com/search?aq=f&hl=en&q=whois+free&btnG=Search



Problèmes courants de vérification de domaineSi vous tentez de vérifier un domaine et que vous rencontrez des problèmes, examinez les causespossibles et les solutions ci-dessous.

• Vous essayez de vérifier un domaine dont vous n’êtes pas le propriétaire. Vous ne pouvez pas vérifier undomaine à moins d’en être le propriétaire.

• Votre fournisseur DNS n'autorise pas les traits de soulignement dans les noms d'enregistrements TXT.Certains fournisseurs DNS ne vous permettent pas d'inclure le caractère de soulignement dans les nomsd'enregistrements DNS de votre domaine. Si c'est le cas de votre fournisseur, vous pouvez omettre_amazonvpc du nom de l'enregistrement TXT.

• Votre fournisseur DNS a ajouté le nom de domaine à la fin de l'enregistrement TXT. Certainsfournisseurs DNS ajoutent automatiquement le nom de votre domaine au nom d'attribut del'enregistrement TXT. Par exemple, si vous créez un enregistrement où le nom d'attribut est_amazonvpc.example.com, le fournisseur peut ajouter le nom de domaine, ce qui donne_amazonvpc.example.com.example.com. Pour éviter la duplication du nom de domaine, ajoutez unpoint à la fin du nom de domaine lorsque vous créez l'enregistrement TXT. Cette étape indique à votrefournisseur DNS qu'il n'est pas nécessaire d'ajouter le nom de domaine à l'enregistrement TXT.

• Votre fournisseur DNS a modifié la valeur d'enregistrement DNS. Certains fournisseurs modifientautomatiquement les valeurs d'enregistrement DNS pour n'utiliser que des lettres minuscules. Nousvérifions uniquement votre domaine lorsqu'il détecte un enregistrement de vérification dont la valeurd'attribut correspond exactement à celle que nous avons fournie lorsque vous avez lancé le processusde vérification de propriété de domaine. Si le fournisseur DNS pour votre domaine modifie les valeurs devotre enregistrement TXT pour utiliser uniquement des lettres minuscules, contactez le fournisseur DNSpour obtenir plus d'aide.

• Vous souhaitez vérifier plusieurs fois le même domaine. Vous devrez peut-être vérifier votre domaineplusieurs fois parce que vous envoyez dans différentes régions AWS ou parce que vous utilisez le mêmedomaine pour envoyer à partir de plusieurs comptes AWS. Si votre fournisseur DNS ne vous autorisepas à avoir plusieurs enregistrements TXT avec le même nom d'attribut, vous pouvez quand-mêmevérifier deux domaines. Si votre fournisseur DNS le permet, vous pouvez affecter plusieurs valeursd'attribut au même enregistrement TXT. Par exemple, si votre DNS est géré par Amazon Route 53, vouspouvez définir plusieurs valeurs pour le même enregistrement TXT, en exécutant les étapes suivantes :1. Dans la console Route 53, choisissez l'enregistrement TXT que vous avez créé lorsque vous avez

vérifié votre domaine dans la première région.2. Dans la zoneValue (Valeur), allez à la fin de la valeur d'attribut existante, puis appuyez sur Entrée.3. Ajoutez la valeur d'attribut de la région supplémentaire, puis enregistrez le jeu d'enregistrements.

Si votre fournisseur DNS ne vous permet pas d'affecter plusieurs valeurs au même enregistrementTXT, vous pouvez vérifier le domaine une fois avec la valeur dans le nom d'attribut de l'enregistrementTXT et une autre fois avec la valeur supprimée du nom d'attribut. Par exemple, vous vérifiez avec« _asnbcdasd », puis avec « asnbcdasd ». L'inconvénient de cette solution est que vous ne pouvezvérifier le même domaine que deux fois.

Comment vérifier les paramètres de vérification de domaineVous pouvez vérifier que l’enregistrement TXT de vérification de propriété de votre domaine DNS privéest publié correctement sur votre serveur DNS selon la procédure suivante. Cette procédure utilise l'outilnslookup, disponible pour Windows et Linux. Sous Linux, vous pouvez également utiliser dig.

Les commandes dans ces instructions sont exécutées sous Windows 7, et le domaine que nous utilisonscomme exemple est example.com.

Dans cette procédure, vous trouvez d'abord les serveurs DNS qui servent votre domaine, puis interrogezces serveurs pour afficher les enregistrements TXT. Vous interrogez les serveurs DNS qui servent votre

359

http://en.wikipedia.org/wiki/Nslookup

http://en.wikipedia.org/wiki/Dig_(command)



domaine, car ces serveurs contiennent les dernières informations concernant votre domaine et qui peuventprendre du temps à être propagées vers d'autres serveurs DNS.

Pour vérifier que votre enregistrement TXT de vérification de propriété de domaine est publié survotre serveur DNS

1. Trouvez les serveurs de noms de votre domaine en effectuant les étapes suivantes.

a. Accédez à la ligne de commande. Pour obtenir la ligne de commande sur Windows 7, choisissezStart (Démarrer), puis saisissez cmd. Sur les systèmes d'exploitation Linux, ouvrez une fenêtre determinal.

b. Dans l'invite de commande, saisissez ce qui suit, où <domain> est votre domaine.

nslookup -type=NS <domain>

Par exemple, si votre domaine était example.com, la commande ressemblerait à la suivante.

nslookup -type=NS example.com

Le résultat de la commande présente les serveurs de noms qui servent votre domaine. Vousinterrogerez l'un de ces serveurs à l'étape suivante.

2. Vérifiez que l'enregistrement TXT est correctement publié en effectuant les étapes suivantes.

a. Dans l'invite de commande, saisissez ce qui suit, où <domain> est votre domaine, et <nameserver> est l'un des serveurs de noms que vous avez trouvé à l'étape 1.

nslookup -type=TXT _aksldja21i1.<domain> <name server>

Dans notre exemple _aksldja21i1.example.com, si nous trouvions un serveur de noms appeléns1.name-server.net à l'étape 1, nous saisirions ce qui suit.

nslookup -type=TXT _aksldja21i1.example.com ns1.name-server.net

b. Dans le résultat de la commande, vérifiez que la chaîne qui suit text = correspond à la valeurTXT qui s'affiche lorsque vous choisissez le domaine dans la liste des identités de la consoleAmazon VPC.

Dans notre exemple, nous recherchons un enregistrement TXT sous _aksldja21i1.example.comavec la valeur asjdakjshd78126eu21. Si l'enregistrement est correctement publié, lacommande doit générer le résultat suivant.

_aksldja21i1.example.com text = "asjdakjshd78126eu21"

360


Connexions VPNVous pouvez connecter votre Amazon VPC à des réseaux et utilisateurs distants en utilisant les options deconnectivité VPN suivantes.

Option de connectivitéVPN

Description

AWS Site-to-Site VPN Vous pouvez créer une connexion VPN IPsec entre votre VPC et votreréseau distant. Du côté AWS de la connexion Site-to-Site VPN, unepasserelle réseau privée virtuelle fournit deux points de terminaison VPN(tunnels) pour un basculement automatique. Vous configurez votre passerelleclient du côté distant de la connexion Site-to-Site VPN. Pour de plus amplesinformations, veuillez consulter le Guide de l'utilisateur AWS Site-to-Site VPN.

AWS Client VPN AWS Client VPN est un service VPN géré, basé sur le client, qui vous permetd'accéder de façon sécurisée à vos ressources AWS et à votre réseau local.Avec AWS Client VPN, vous configurez un point de terminaison auquelvos utilisateurs peuvent se connecter pour établir une session VPN TLSsécurisée. Cela permet aux clients d'accéder à des ressources dans AWS ouà un réseau local à partir de n'importe quel endroit en utilisant un client VPNbasé sur OpenVPN. Pour de plus amples informations, veuillez consulter leGuide de l'administrateur AWS Client VPN.

AWS VPN CloudHub Si vous avez plus d'un réseau distant (par exemple, plusieurs succursales),vous pouvez créer plusieurs connexions AWS Site-to-Site VPN via votrepasserelle réseau privé virtuel pour permettre la communication entre cesréseaux. Pour de plus amples informations, veuillez consulter Apport d'unecommunication sécurisée entre les sites à l'aide du VPN CloudHub dans leGuide de l'utilisateur AWS Site-to-Site VPN.

Appliance VPN logicielletierce

Vous pouvez créer une connexion VPN vers votre réseau distant en utilisantune instance Amazon EC2 dans votre VPC qui exécute une appliance VPNlogicielle tierce. AWS ne fournit ni ne gère aucune appliance VPN logicielletierce ; cependant, vous pouvez choisir parmi une large gamme de produitsproposés par nos partenaires et les communautés Open Source. Voustrouverez des appliances VPN logicielles tierces sur AWS Marketplace.

Vous pouvez aussi utiliser AWS Direct Connect pour établir une connexion privée dédiée depuis un réseaudistant vers votre VPC. Vous pouvez combiner cette connexion à un AWS Site-to-Site VPN pour créer uneconnexion à chiffrement IPsec. Pour plus d'informations, consultez Qu'est-ce que AWS Direct Connect?dans le AWS Direct Connect Guide de l'utilisateur.

361



https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

https://aws.amazon.com/marketplace/search/results/ref=brs_navgno_search_box?searchTerms=vpn

https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html

Amazon Virtual Private Cloud Guide de l'utilisateurVPC et sous-réseaux

Quotas Amazon VPCLes tableaux suivants indiquent les quotas, auparavant appelés limites, pour les ressources Amazon VPCpar région pour votre compte AWS. Sauf indication contraire, vous pouvez demander une augmentationpour ces quotas. Pour certains de ces quotas, vous pouvez consulter votre quota actuel à l'aide de la pageLimits (Restrictions) de la console Amazon EC2.

Si vous demandez d'augmenter un quota s'appliquant par ressource, nous l'augmentons pour toutes lesressources de la région.

VPC et sous-réseauxRessource Par

défautCommentaires

VPC par région 5 Le quota des passerelles Internet parrégion y est directement lié. L'augmentationde ce quota augmente le quota sur lespasserelles Internet par région dans lesmêmes proportions.

Vous pouvez avoir des centaines de VPCpar région en fonction de vos besoins,même si le quota par défaut est de 5 VPCpar région.

Sous-réseaux par VPC 200 -

Blocs d'adresse CIDR IPv4 par VPC 5 Ce bloc d'adresse CIDR principal et tous lesblocs d'adresse CIDR secondaires sont prisen compte dans ce quota. Ce quota peutêtre augmenté jusqu'à 50 au maximum.

Blocs d'adresse CIDR IPv6 par VPC 1 Ce quota ne peut pas être augmenté.

DNSChaque instance EC2 limite le nombre de paquets pouvant être envoyés au serveur DNS fourni parAmazon à 1024 paquets maximum par seconde et par interface réseau. Ce quota ne peut pas êtreaugmenté. Le nombre de requêtes DNS par seconde pris en charge par le serveur DNS fourni parAmazon dépend du type de requête, de la taille de la réponse et du protocole utilisé. Pour de plus amplesinformations sur les recommandations en matière d'architecture DNS scalable, veuillez consulter le livreblanc Hybrid Cloud DNS Solutions for Amazon VPC.

Adresses IP Elastic (IPv4)Ressource Par défaut Commentaires

Adresses IP Elastic par région 5 Il s'agit du quota du nombre d'adresses IPElastic à utiliser dans EC2-VPC. Pour les

362


https://d1.awsstatic.com/whitepapers/hybrid-cloud-dns-options-for-vpc.pdf

Amazon Virtual Private Cloud Guide de l'utilisateurPasserelles

Ressource Par défaut Commentairesadresses IP Elastic à utiliser dans EC2-Classic, consultez Points de terminaison etquotas Amazon Elastic Compute Cloud dansla section Référence générale d'AmazonWeb Services.

Ce quota s'applique aux VPC de compteAWS individuels et aux VPC partagés.

PasserellesRessource Par défaut Commentaires

Passerelles client par région - Pour plus d'informations, consultez Quotasdu service Site-to-Site VPN dans le Guidede l'utilisateur AWS Site-to-Site VPN.

Passerelles Internet de sortie uniquement parrégion

5 Ce quota est directement corrélé avec lequota des VPC par région. Pour augmenterce quota, augmentez le quota des VPCpar région. Vous ne pouvez attacherqu'une seule passerelle Internet de sortieuniquement à un VPC à la fois.

Passerelles Internet par région 5 Ce quota est directement corrélé avec lequota des VPC par région. Pour augmenterce quota, augmentez le quota des VPC parrégion. Une seule passerelle Internet peutêtre attachée à un VPC à la fois.

Passerelles NAT par zone de disponibilité 5 Une passerelle NAT en état pending,active ou deleting compte dans votrequota.

Passerelles réseau privé virtuel par région - Pour plus d'informations, consultez Quotasdu service Site-to-Site VPN dans le Guidede l'utilisateur AWS Site-to-Site VPN.

ACL réseauRessource Par défaut Commentaires

Listes ACL réseau par VPC 200 Vous pouvez associer une liste ACL réseauà un ou plusieurs sous-réseaux dans unVPC. Ce quota n'est pas la même que lenombre de règles par liste ACL réseau.

Règles par liste ACL réseau 20 Il s'agit du quota unilatéral pour une listeACL réseau unique. Ce quota est appliquéséparément pour les règles IPv4 et IPv6 ;

363

https://docs.aws.amazon.com/general/latest/gr/ec2-service.html

https://docs.aws.amazon.com/general/latest/gr/ec2-service.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html




Amazon Virtual Private Cloud Guide de l'utilisateurInterfaces réseau

Ressource Par défaut Commentairespar exemple, vous pouvez avoir 20 règles detrafic entrant pour le trafic IPv4 et 20 règlesde trafic entrant pour le trafic IPv6. Cequota inclut les règles de refus par défaut(numéro de règle 32767 pour IPv4 et 32768pour IPv6, ou astérisque* dans la consoleAmazon VPC).

Ce quota peut être augmenté jusqu’à 40au maximum ; cependant, la performancedu réseau risque d'être affectée parl'augmentation de la charge de travail pourtraiter les règles supplémentaires.

Interfaces réseau

Ressource Par défaut Commentaires

Interfaces réseau par instance - Ce quota varie selon le type d'instance. Pourplus d'informations, consultez IP AddressesPer ENI Per Instance Type.

Interfaces réseau par région 5000 Ce quota s'applique aux VPC de compteAWS individuels et aux VPC partagés.

Tables de routage


Tables de routage par VPC 200 La table de routage principale est prise encompte dans ce quota.

Routes par table de routage (routes nonpropagées)

50 Vous pouvez augmenter ce quota jusqu'àun maximum de 1000 ; cependant, laperformance du réseau risque d'êtreaffectée. Ce quota est appliqué séparémentpour les routes IPv4 et les routes IPv6.

Pour de meilleures performances, sivous avez plus de 125 routes, nous vousrecommandons de paginer les appels pourdécrire vos tables de routage.

Routes publiées par BGP par table deroutage (routes propagées)

100 Ce quota ne peut pas être augmenté. Sivous avez besoin de plus de 100 préfixes,publiez une route par défaut.

364



Amazon Virtual Private Cloud Guide de l'utilisateurGroupes de sécurité

Groupes de sécuritéRessource Par défaut Commentaires

Groupes de sécurité VPC par région 2500 Ce quota s'applique aux VPC de compteAWS individuels et aux VPC partagés.

Si vous augmentez ce quota pour avoirplus de 5 000 groupes de sécurité dansune région, nous vous recommandonsde paginer les appels afin de décrire vosgroupes de sécurité pour de meilleuresperformances.

Règles de trafic entrant ou sortant par groupede sécurité

60 Vous pouvez avoir 60 règles pour le traficentrant et 60 règles pour le trafic sortantpar groupe de sécurité (pour un totalde 120 règles). Ce quota est appliquéséparément pour les règles IPv4 et IPv6 ;par exemple, un groupe de sécurité peutavoir 60 règles de trafic entrant pour le traficIPv4 et 60 règles de trafic entrant pour letrafic IPv6. Une règle qui fait référence àun ID de groupe de sécurité ou de liste depréfixe est comptabilisée comme une règlepour IPv4 et une règle pour IPv6.

Une modification de quota s'applique à lafois aux règles entrantes et sortantes. Cequota est multiplié par le quota pour lesgroupes de sécurité par interface réseaune peut pas être supérieure à 1000. Parexemple, si vous augmentez ce quotajusqu’à 100, nous réduisons le quota pourvotre nombre de groupes de sécurité parinterface réseau à 10.

Groupes de sécurité par interface réseau 5 Le maximum est 15. Ce quota est appliquéséparément pour les règles IPv4 et IPv6.Le quota pour les groupes de sécurité parinterface réseau multipliée par le quota pourles règles par groupe de sécurité ne peutpas excéder 1 000. Par exemple, si vousvoulez augmenter ce quota jusqu’à 10, nousréduisons le quota pour votre nombre derègles par groupe de sécurité à 100.

Connexions d'appairage de VPCRessource Par défaut Commentaires

Connexions d'appairage de VPC actives parVPC

50 Le quota maximum est de 125 connexionsd'appairage par VPC. Le nombre d'entrées

365


Ressource Par défaut Commentairespar table de routage doit être augmenté enconséquence ; cependant, la performancedu réseau risque d'être affectée.

Demandes de connexion d'appairage de VPCen attente

25 Il s'agit du quota pour le nombre dedemandes de connexion d'appairage deVPC en attente que vous avez demandédepuis votre compte.

Date d'expiration pour une demande deconnexion d'appairage de VPC non acceptée

1 semaine(168 heures)

Ce quota ne peut pas être augmenté.

Points de terminaison d'un VPC


Points de terminaison VPC de passerelle parrégion

20 Vous ne pouvez pas avoir plus de 255 pointsde terminaison de passerelle par VPC.

Points de terminaison d'un VPC d'interfacepar VPC

50 Ce quota correspond au nombre maximalde points de terminaison dans un VPC.Pour augmenter ce quota, contactez AWSSupport.

Taille de stratégie de point de terminaison deVPC

20 480 caractères(espacesblancscompris)

Ce quota ne peut pas être augmenté.

Connexions AWS Site-to-Site VPNPour plus d'informations, consultez Quotas du service Site-to-Site VPN dans le Guide de l'utilisateur AWSSite-to-Site VPN.

Partage de VPCTous les quotas de VPC standard s'appliquent à un VPC partagé.


Nombre de comptes distincts avec lesquelsun VPC peut être partagé

100 Il s’agit du quota pour le nombre de comptesparticipants distincts avec lesquels les sous-réseaux d’un VPC peuvent être partagés.Il s’agit d’un quota par VPC s’appliquant àtous les sous-réseaux partagés dans unVPC. Pour augmenter ce quota, contactezAWS Support.

366


Amazon Virtual Private Cloud Guide de l'utilisateurPartage de VPC

Ressource Par défaut CommentairesLes propriétaires de VPC peuvent afficherles interfaces réseau et les groupes desécurité attachés aux ressources desparticipants. Par conséquent, AWS vousrecommande de paginer vos appelsd'API DescribeSecurityGroups etDescribeNetworkInterfaces avant dedemander l'augmentation de ce quota.

Nombre de sous-réseaux qui peuvent êtrepartagés avec un compte

100 Il s’agit du quota maximum pour le nombrede sous-réseaux pouvant être partagésavec un compte AWS. Pour augmenterce quota, contactez AWS Support. AWSvous recommande de paginer vos appelsd’API DescribeSecurityGroups etDescribeSubnets avant de demanderl’augmentation de ce quota.

367


Historique du documentLe tableau ci-après décrit les modifications importantes dans chaque édition du Amazon VPC Guide del'utilisateur et du Amazon VPC Peering Guide.

update-history-change update-history-description update-history-date

Améliorations des journaux deflux

De nouveaux champs dejournal de flux sont disponibleset vous pouvez spécifier unformat personnalisé pour lesjournaux de flux qui publient dansCloudWatch Logs.

May 4, 2020

Prise en charge du balisage pourles journaux de flux

Vous pouvez ajouter des balisesà vos journaux de flux.

March 16, 2020

Baliser lors de la création d'unepasserelle NAT

Vous pouvez ajouter unebalise lorsque vous créez unepasserelle NAT.

March 9, 2020

Clés de condition pour les pointsde terminaison de VPC et lesservices de point de terminaison

Vous pouvez utiliser des clésde condition EC2 pour contrôlerl'accès aux points de terminaisonde VPC et aux services de pointde terminaison.

March 6, 2020

Balise lors de la création d'unpoint de terminaison de VPCet d'un service de point determinaison de VPC

Vous pouvez ajouter une baliselorsque vous créez un pointde terminaison de VPC ou unservice de point de terminaisonde VPC.

February 5, 2020

Intervalle d'agrégation maximumpour les journaux de flux

Vous pouvez spécifier la périodemaximale pendant laquelle unflux est capturé et agrégé dansun enregistrement de journal deflux.

February 4, 2020

Configuration du groupe debordure réseau

Vous pouvez configurer desgroupes de bordure réseau pourvos VPC à partir de la consoleAmazon VPC.

January 22, 2020

Nom de DNS privé Vous pouvez désormais accéderaux services basés sur AWSPrivateLink en privé depuisvotre VPC à l'aide de noms DNSprivés.

January 6, 2020

Tables de routage de passerelle Vous pouvez associer une tablede routage à une passerelleet acheminer le trafic VPCentrant vers une interface réseauspécifique de votre VPC.

December 3, 2019

368

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html


https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating




https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html




https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-aggregration-interval

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-aggregration-interval

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#vpc-associate-ipv6-cidr

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#vpc-associate-ipv6-cidr

https://docs.aws.amazon.com/vpc/latest/userguide/verify-domains.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#gateway-route-table


Améliorations des journaux deflux

Vous pouvez spécifier un formatpersonnalisé pour votre journalde flux et choisir les champsqui sont renvoyés dans lesenregistrements du journal deflux.

September 11, 2019

Appairage inter-région La résolution des noms d'hôteDNS est prise en charge pourles connexions d'appairage VPCinter-région de la région Asie-Pacifique (Hong Kong).

August 26, 2019

AWS Site-to-Site VPN AWS Managed VPN estdésormais connu sous le nomd'AWS Site-to-Site VPN.

December 18, 2018

Partage VPC Vous pouvez partager les sous-réseaux se trouvant dans lemême VPC avec plusieurscomptes au sein de la mêmeorganisation AWS.

November 27, 2018

Appairage inter-région Vous pouvez créer uneconnexion d'appairage de VPCentre des VPC situés dans desrégions AWS différentes.

November 29, 2017

Services de points determinaison de VPC

Vous pouvez créer votre propreservice AWS PrivateLink dansun VPC et permettre à d'autrescomptes et utilisateurs AWS dese connecter à votre service viaun point de terminaison de VPCd'interface.

November 28, 2017

Créer un sous-réseau par défaut Vous pouvez créer un sous-réseau par défaut dans une zonede disponibilité qui n'en comportepas un.

November 9, 2017

Points de terminaison d'un VPCd'interface pour les services AWS

Vous pouvez créer un point determinaison d'interface pour vousconnecter de façon privée àcertains services AWS. Un pointde terminaison d'interface estune interface réseau avec uneadresse IP privée qui sert depoint d'entrée au trafic destiné auservice.

November 8, 2017

Prise en charge du balisage pourles passerelles NAT

Vous pouvez baliser votrepasserelle NAT.

September 7, 2017

Métriques Amazon CloudWatchpour les passerelles NAT

Vous pouvez consulter lesmétriques CloudWatch de votrepasserelle NAT.

September 7, 2017

369





https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html


https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html

https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#create-default-subnet

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-tagging

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-tagging

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html


Descriptions des règles desgroupes de sécurité

Vous pouvez ajouter desdescriptions aux règles desgroupes de sécurité.

August 31, 2017

Blocs d'adresse CIDR IPv4 pourvotre VPC

Vous pouvez ajouter plusieursblocs d'adresse CIDR IPv4 àvotre VPC.

August 29, 2017

Points de terminaison VPC pourDynamoDB

Vous pouvez accéder à AmazonDynamoDB depuis votre VPC àl'aide de points de terminaisonVPC.

August 16, 2017

Récupération d'adresses IPElastic

Si vous avez libéré une adresseIP Elastic, vous pouvez essayerde la récupérer.

August 11, 2017

Création d'un VPC par défaut Si vous supprimez votre VPC pardéfaut, vous pouvez en recréerun.

July 27, 2017

Prise en charge d'IPv6 Vous pouvez associer un blocd'adresse CIDR IPv6 à votre VPCet attribuer des adresses IPv6aux ressources de votre VPC.

December 1, 2016

Support de la résolution DNSpour les plages d'adresses IPnon RFC 1918 (p. 368)

Le serveur DNS d'Amazon peutdésormais résoudre les nomsd'hôtes DNS privés avec desadresses IP privées pour tous lesespaces d'adresses.

October 24, 2016

Prise en charge de larésolution DNS pour l'appairagede VPC

Vous pouvez activer unVPC local pour résoudre lesnoms d'hôte DNS publics enadresses IP privées lorsqu'il estinterrogé à partir d'instances duVPC homologue.

July 28, 2016

Règles du groupe de sécuritéobsolètes

Vous pouvez déterminer si votregroupe de sécurité est référencédans les règles d'un groupe desécurité d'un VPC pair, de mêmequ'identifier les règles du groupede sécurité obsolètes.

May 12, 2016

Utilisation de ClassicLink sur uneconnexion d'appairage de VPC

Vous pouvez modifier votreconnexion d'appairage de VPCpour autoriser les instancesEC2-Classic liées locales àcommuniquer avec des instancesdans un VPC pair ou vice versa.

April 26, 2016

370

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#create-default-vpc

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#modify-peering-connections








Passerelles NAT Vous pouvez créer unepasserelle NAT dans un sous-réseau public et permettre auxinstances d'un sous-réseau privéd'initier un trafic sortant versInternet ou d'autres servicesAWS.

December 17, 2015

Journaux de flux VPC Vous pouvez créer un journalde flux pour capturer desinformations sur le trafic IPcirculant vers et depuis lesinterfaces réseau dans votreVPC.

June 10, 2015

Points de terminaison d'un VPC Un point de terminaison vouspermet de créer une connexionprivée entre votre VPC et unautre service AWS sans avoirbesoin d'accéder à Internet,via une connexion VPN, uneinstance NAT ou via AWS DirectConnect.

May 11, 2015

ClassicLink ClassicLink vous permet de reliervotre instance EC2-Classic àun VPC de votre compte. Vouspouvez associer des groupesde sécurité VPC à l'instanceEC2-Classic en permettantla communication entre votreinstance EC2-Classic et desinstances de votre VPC à l'aided'adresses IP privées.

January 7, 2015

Utilisation de zones hébergéesprivées

Vous pouvez accéder auxressources de votre VPC àl'aide de noms de domaineDNS personnalisés que vousdéfinissez dans une zonehébergée privée dans Route 53.

November 5, 2014

Modifier l'attribut del'adressage IP public d'un sous-réseau

Vous pouvez modifier l'attributd'adressage IP public de votresous-réseau afin d'indiquer siles instances lancées dans cesous-réseau doivent recevoir uneadresse IP publique.

June 21, 2014

Appairage de VPC Vous pouvez créer uneconnexion d'appairage VPC entredeux VPC, permettant ainsi auxinstances situées dans chaqueVPC de communiquer entre ellesà l'aide d'adresses IP privées.

March 24, 2014

371

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html



https://docs.aws.amazon.com/vpc/latest/userguide/vpc-classiclink.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip





Attribution d'une adresse IPpublique

Pour attribuer une adresse IPv4publique à une instance lors dulancement

August 20, 2013

Activation des noms d'hôte DNSet désactivation de la résolutionDNS

Vous pouvez modifier les valeurspar défaut du VPC, désactiverla résolution DNS et activer lesnoms d'hôte DNS.

March 11, 2013

VPC Everywhere (p. 368) Ajout de la prise en charge duVPC dans cinq régions AWS, desVPC dans plusieurs zones dedisponibilité, de plusieurs VPCpar compte AWS et de plusieursconnexions VPN par VPC.

August 3, 2011

Instances dédiées (p. 368) Les instances dédiées sont desinstances Amazon EC2 lancéesdans votre cloud privé virtuel(VPC) et qui s'exécutent sur unmatériel dédié à un seul client.

March 27, 2011

372

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-public-ip

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-public-ip

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html



Amazon Virtual Private Cloud · 2020-05-06 · Amazon Virtual Private Cloud Guide de l'utilisateur...

Documents

Transcript of Amazon Virtual Private Cloud · 2020-05-06 · Amazon Virtual Private Cloud Guide de l'utilisateur...