Présentation de l’atelier
La sécurité constitue une priorité maximale pour Amazon Web Services (AWS). AWS fournit de nombreux outils et services afin de répondre à vos besoins de sécurité particuliers. Cet atelier présente une solution, parmi tant d’autres, qui permet de renforcer votre sécurité. Cet atelier aborde une méthode permettant de mettre à jour automatiquement vos groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) afin d’autoriser l’accès uniquement depuis Amazon CloudFront et AWS WAF. Définir des groupes de sécurité de cette manière vous permet d’empêcher les requêtes malveillantes de contourner les règles de sécurité AWS WAF et d’accéder directement à vos instances Amazon Elastic Compute Cloud (Amazon EC2).
Pour autoriser uniquement le trafic provenant de la plage d’IP CloudFront et AWS WAF, vous devez être au courant des changements d’IP AWS. AWS informe les utilisateurs des changements d’IP de service via une rubrique Amazon Simple Notification Service (Amazon SNS) publique qui fournit les plages d’IP de service au format JSON. Cet atelier présente une manière de mettre automatiquement à jour les groupes de sécurités avec ces nouvelles IP grâce à l’intégration entre Amazon SNS et AWS Lambda.
Thèmes abordés
À la fin de cet atelier, vous devez être en mesure d’effectuer les opérations suivantes :
- Créer des groupes de sécurité Amazon VPC.
- Créer une politique AWS Identity and Access Management (IAM).
- créer une fonction AWS Lambda ;
- Tester une fonction Lambda avec des exemples d’évènements.
- Abonner la fonction Lambda à une rubrique Amazon SNS.
Connaissances techniques préalables
Cet atelier s’adresse aux apprenants AWS. Pour réussir cet atelier, vous devez connaître les services AWS, dont Amazon EC2, les groupes de sécurité Amazon VPC, les rôles et les politiques IAM, et Amazon SNS. Vous devez être familiarisé avec la connexion et l’utilisation de la Console de gestion AWS.
Qu’est-ce qu’AWS Lambda ?
AWS Lambda est un service de calcul qui fournit une capacité de calcul redimensionnable dans le cloud pour faciliter l’informatique à l’échelle du web pour les développeurs. Chargez votre code sur Lambda, et le service l’exécute en votre nom à l’aide de l’infrastructure AWS. Lambda prend en charge plusieurs langages de codage : Node.js, Java ou Python.
Une fois que vous avez chargé votre code et créé une fonction Lambda, Lambda met en service et gère les serveurs qui exécutent le code. Dans cet atelier, Lambda est utilisé en tant que service de calcul guidé par un déclencheur pour exécuter votre code en réponse aux modifications apportées à un groupe de sécurité Amazon EC2. Le code de la fonction Lambda est fourni dans cet atelier.
Qu’est-ce qu’AWS CloudFormation ?
AWS CloudFormation permet aux développeurs et aux administrateurs système de créer et de gérer facilement un ensemble de ressources AWS liées entre elles, de les mettre en service et de les mettre à jour de manière ordonnée et prédictible.
Vous pouvez utiliser des exemples de modèles ou créer vos propres modèles pour décrire les ressources AWS, ainsi que les dépendances ou paramètres de runtime associés nécessaires à l’exécution de votre application. Vous n’avez pas besoin de déterminer l’ordre dans lequel les services AWS doivent être mis en service ni de connaître les subtilités du fonctionnement des dépendances. AWS CloudFormation s’en occupe pour vous.
Déployez et mettez à jour un modèle et la collection de ressources qui y est associée (appelée une pile) à l’aide de la console, d’AWS Command Line Interface (AWS CLI) ou des opérations d’API. AWS CloudFormation est disponible sans frais supplémentaires ; vous payez uniquement les ressources AWS nécessaires à l’exécution de votre application.
