Cours Aws

3.22 Comment fonctionnent les groupes de sécurité AWS

Les groupes de sécurité agissent comme un pare-feu virtuel pour gérer l'accès aux ports de nos instances EC2 : ils définissent quelles adresses IP (v4 ou v6) sont autorisées à se connecter, et contrôlent à la fois le trafic entrant et sortant. Chaque règle se définit par un type, un protocole, une plage de ports, une source et une description.

Concrètement : un ordinateur dont l'IP est autorisée par le groupe de sécurité sur le port 22 peut se connecter en SSH à notre instance. Un autre ordinateur dont l'IP n'est pas autorisée verra sa connexion refusée — l'instance EC2 ne recevra jamais les paquets, filtrés en amont. Par défaut, tout le trafic entrant est bloqué et tout le trafic sortant est autorisé.

Régionalité et bonnes pratiques

  • Pas liés à une seule instance : un même groupe de sécurité peut être affecté à plusieurs instances et ressources.
  • Régionaux : un groupe de sécurité ne s'applique qu'à une seule région.
  • Isolation : quand le trafic est bloqué, l'instance n'en est pas informée — c'est totalement transparent.
  • Bonne pratique : un groupe dédié SSH — plus simple à maintenir et à partager entre équipes, en y rajoutant les utilisateurs autorisés.

Astuce de diagnostic : si vous n'arrivez pas du tout à vous connecter à votre instance, c'est probablement un problème de groupe de sécurité (ports fermés, source non autorisée). Si vous arrivez à vous connecter mais que l'application ne répond pas correctement, c'est plutôt un problème côté application ou OS — puisque la traversée du groupe de sécurité est OK.

Cas avancé : on peut inclure un groupe de sécurité dans un autre, ce qui évite de dupliquer les règles. Si notre instance EC2 a un groupe de sécurité qui autorise le trafic provenant des groupes 1 et 2, alors n'importe quelle instance appartenant aux groupes 1 ou 2 pourra s'y connecter ; en revanche une instance du groupe 3 (non autorisé) ne le pourra pas. C'est très pratique pour gérer les communications inter-services dans une architecture cloud à plusieurs tiers.