Comment ajouter un groupe de sécurité à une instance EC2 en cours d'exécution?


81

Une instance Amazon EC2 est en cours d'exécution et j'aimerais ajouter un autre groupe de sécurité à cette instance, puis supprimer le groupe de sécurité actuel de cette instance. Est-ce possible?


Juste pour ajouter quelques informations supplémentaires. Nous avons deux instances jointes à deux groupes de sécurité. Nous voulons séparer ceci et dédier un groupe de sécurité par instance.
Geo

Réponses:


52

Mise à jour 2015-02-27:

C'est maintenant possible, voir la réponse ci-dessous .

Ancienne réponse:

La FAQ d'Amazon indique qu'il n'est pas possible de définir un groupe de sécurité n'importe où, mais au moment du lancement.


1
Merci, cette question me manque lorsque je parcourais la FAQ. Merci encore.
Geo

2
Cette réponse est obsolète. Vous pouvez maintenant modifier les groupes de sécurité EC2 VPC. Voir la réponse @hanxue ci-dessous.
Diego F. Durán

Besoin de mettre à jour !! Voir la réponse ci-dessous
Axe

78

Mise à jour : à partir de janvier 2014, vous pouvez désormais modifier les groupes de sécurité pour exécuter les instances AWS EC2.

Console AWS

Il suffit de cliquer avec le bouton droit sur une instance et de cliquer sur Change Security Group

Changer de groupe de sécurité

Ajoutez / supprimez des groupes de sécurité selon vos besoins et cliquez Assign Security Groupslorsque vous avez terminé

Sélectionnez les groupes de sécurité


Ligne de commande EC2

Utilisez la commande suivante:

ec2-modify-instance-attribute <instance-id> --group-id <group-id>

Ligne de commande AWS

Utilisez la commande suivante:

aws ec2 modify-instance-attribute --instance-id i-12345 --groups sg-12345 sg-67890

Notez que vous devez spécifier tous les groupes de sécurité auxquels vous souhaitez associer l'instance.


5
L'option "Modifier les groupes de sécurité" est présente dans le menu mais désactivée. J'utilise la région ap-south-2.
Alastair Irvine

4
cela ne s'applique actuellement qu'aux instances de VPC. les groupes de sécurité auxquels une instance non-VPC appartient appartiennent / sont fixes / immuables et sont définis lors de son premier lancement. la seule façon de les modifier est de créer un ensemble à partir de l'instance existante et de relancer une nouvelle instance à l'aide de l'ami fourni.
ives

1
Que se passe-t-il si le groupe de sécurité que je viens de créer ne figure pas dans le Change Security Groupsmodal?
Jtheletter

Cette option peut uniquement être disponible à l'intérieur d'un VPC. Les comptes AWS plus anciens créés avant l'utilisation de vpc et disposant d'instances s'exécutant en mode classique EC2 ne pourront pas en tirer parti.
cgseller

Il est déroutant de constater que la CLI n'utilise pas de listes séparées par des virgules comme dans beaucoup d'autres endroits.
user67327 le

7

Il est maintenant possible de faire cela. Cliquez sur le menu Actions et sélectionnez Modifier les groupes de sécurité - Sélectionnez les groupes de sécurité que vous souhaitez utiliser.


3
Seulement dans les VPC, je crois.
ceejayoz

Il semble que oui. L'option "Modifier les groupes de sécurité" est présente dans le menu mais désactivée pour les instances non-VPC.
Alastair Irvine

1
Que se passe-t-il si le groupe de sécurité que je viens de créer ne figure pas dans le modal Modifier les groupes de sécurité?
Jtheletter

5
  1. Créez une image AMI à partir de l'instance que vous souhaitez déplacer vers un autre groupe de sécurité.
  2. Lancez une nouvelle instance à l'aide de cette image. Nous pouvons maintenant affecter cette nouvelle instance à un groupe de sécurité différent.
  3. Jeter l'instance précédente.

Cela nécessite des temps d'arrêt sur votre instance. Il peut y avoir d'autres options disponibles en utilisant l'API.


5

Comme le dit Towo, vous ne pouvez modifier aucun groupe de sécurité d’une instance, sauf le moment du lancement.

Sauf si vous utilisez un VPC où les groupes de sécurité diffèrent des groupes de sécurité EC2.

Cette page décrit les différences entre les groupes de sécurité EC2 et VPC.

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html

Par conséquent, si vous avez besoin des fonctionnalités supplémentaires des groupes de VPC (changement de groupe, contrôle du trafic entrant / généré, etc.), vous pouvez consulter les fonctionnalités supplémentaires fournies par les VPC.


Bienvenue sur Server Fault! Bien que cela puisse théoriquement répondre à la question, il serait préférable d’inclure ici les parties essentielles de la réponse et de fournir le lien à titre de référence.
Scott Pack

1

En date du 24 novembre 2016, la réponse donnée par @hanxue est exacte mais non complète. Il existe deux types d'instances dans AWS: les instances du cloud privé appelées instances vpc et les instances publiques appelées Ec2 Classic. Vous ne pouvez modifier que les groupes de sécurité d'instances VPC, mais pas EC2-classic. Aws capture d'écran de la documentation officielle que vous aimeriez voir. docs tu aimerais voir

les différences par rapport à la documentation officielle AWS


0

Si vous utilisez boto3, vous devez appeler modify_attribute et transmettre une liste d' identifiants de groupe.

http://boto3.readthedocs.io/en/latest/reference/services/ec2.html#EC2.Instance.modify_attribute

response = instance.modify_attribute(Groups=['string'])

Groups (list) --
  [EC2-VPC] Changes the security groups of the instance. You must 
  specify at least one security group, even if it's just the default 
  security group for the VPC. You must specify the security group ID,
  not the security group name.

-2

Toutefois, conformément à cette FAQ "modifiez les paramètres du groupe de sécurité actuel - ce qui affectera toutes les instances exécutées dans le groupe spécifique", vous pouvez modifier progressivement la redéfinition des instances existantes. Alors que j'essaie maintenant pour mon scénario via la console EC2, tous mes enregistrements ont été effacés!

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.