Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connexions d’appairage de VPC
<a name="working-with-vpc-peering"></a>

L’appairage de VPC vous permet de connecter deux VPC situés dans la même région ou dans des régions AWS différentes. Cela permet aux instances d’un VPC de communiquer avec les instances de l’autre VPC comme si elles faisaient toutes partie du même réseau.

L’appairage de VPC crée un itinéraire réseau direct entre les deux VPC à l’aide d’adresses IPv4 ou d’adresses IPv6 privées. Le trafic envoyé entre les VPC connectés ne passe ni par Internet, ni par une connexion VPN ou ni par une connexion AWS Direct Connect. Cela fait de l’appairage de VPC un moyen sécurisé de partager des ressources, telles que des bases de données ou des serveurs web, au-delà des limites du VPC.

Pour établir une connexion d’appairage de VPC, vous devez créer une demande de connexion d’appairage à partir d’un VPC, et le propriétaire de l’autre VPC doit accepter la demande. Une fois la connexion établie, vous pouvez mettre à jour vos tables de routage pour acheminer le trafic entre les VPC. Cela permet aux instances d’un VPC d’accéder aux ressources de l’autre VPC.

L’appairage de VPC est un outil important pour créer des architectures multi-VPC et partager des ressources au-delà des limites organisationnelles d’AWS. Cela fournit un moyen simple et à faible latence de connecter des VPC sans la complexité liée à la configuration d’un VPN ou d’un autre service réseau.

Utilisez les procédures suivantes pour créer et utiliser des connexions d'appairage de VPC.

**Topics**
+ [Créer une connexion d'appairage de VPC](create-vpc-peering-connection.md)
+ [Accepter ou rejeter une connexion d’appairage de VPC](accept-vpc-peering-connection.md)
+ [Mise à jour de vos tables de routage pour une connexion d'appairage de VPC](vpc-peering-routing.md)
+ [Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs](vpc-peering-security-groups.md)
+ [Activation de la résolution DNS pour une connexion d’appairage de VPC](vpc-peering-dns.md)
+ [Suppression d'une connexion d'appairage de VPC](delete-vpc-peering-connection.md)
+ [Dépannage d'une connexion d'appairage de VPC](troubleshoot-vpc-peering-connections.md)

# Créer une connexion d'appairage de VPC
<a name="create-vpc-peering-connection"></a>

Pour créer une connexion d'appairage de VPC, créez d'abord une demande d'appairage avec un autre VPC. Pour activer la demande, le propriétaire du VPC accepteur doit accepter la demande. Les connexions d’appairage prises en charge sont les suivantes :
+ Connexions d’appairage entre des VPC situés dans le même compte et la même région
+ Connexions d’appairage entre des VPC situés dans le même compte et dans des régions différentes
+ Connexions d’appairage entre des VPC situés dans des comptes différents et dans la même région
+ Connexions d’appairage entre des VPC situés dans des comptes différents et des régions différentes

Dans le cadre d’une connexion d’appairage de VPC entre régions, la demande doit être effectuée à partir de la région du VPC demandeur, et la demande doit être acceptée à partir de la région du VPC accepteur. Pour de plus amples informations, consultez [Accepter ou rejeter une connexion d’appairage de VPC](accept-vpc-peering-connection.md).

**Topics**
+ [Prérequis](#vpc-peering-connection-prerequisites)
+ [Création d’une connexion d’appairage à l’aide de la console](#create-vpc-peering-connection-console)
+ [Création d’une connexion d’appairage à l’aide de la ligne de commande](#create-vpc-peering-connection-command-line)

## Prérequis
<a name="vpc-peering-connection-prerequisites"></a>
+ Consultez les [limites](vpc-peering-basics.md#vpc-peering-limitations) des connexions d’appairage de VPC.
+ Assurez-vous que les VPC n’ont pas de blocs CIDR IPv4 qui se chevauchent. Si c'est le cas, le statut de la connexion d'appairage de VPC devient immédiatement `failed`. Cette limitation s'applique même si les VPC disposent de blocs d'adresses CIDR IPv6 uniques.

## Création d’une connexion d’appairage à l’aide de la console
<a name="create-vpc-peering-connection-console"></a>

Utilisez la procédure suivante pour créer une connexion d’appairage de VPC.

**Pour créer une connexion d’appairage à l’aide de la console**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Peering connections** (Connexions d'appairage).

1. Choisissez **Create peering connection** (Créer une connexion d'appairage).

1. (Facultatif) Dans **Nom**, spécifiez un nom pour la connexion d’appairage de VPC. Cette action crée une balise avec la clé Name et la valeur que vous spécifiez.

1. Dans **ID du VPC (demandeur)**, sélectionnez un VPC à partir du compte actuel.

1. Sous **Sélectionner un autre VPC auquel s’appairer**, effectuez les actions suivantes :

   1. Dans **Compte**, si l’objectif est de s’appairer à un VPC dans un autre compte, sélectionnez **Un autre compte** et saisissez l’ID du compte. Sinon, conservez **Mon compte**.

   1. Dans **Région**, si l’objectif est de s’appairer à un VPC dans une autre région, sélectionnez **Une autre région** et choisissez la région. Sinon, conservez **Cette région**.

   1. Dans **ID de VPC (accepteur)**, sélectionnez un VPC à partir du compte et de la région spécifiés.

1. (Facultatif) Pour ajouter une identification, choisissez **Add new tag** (Ajouter une identification) et saisissez la clé et la valeur de l'identification.

1. Choisissez **Create peering connection** (Créer une connexion d'appairage).

1. Le propriétaire du compte de l’accepteur doit accepter la connexion d’appairage. Pour de plus amples informations, consultez [Accepter ou rejeter une connexion d’appairage de VPC](accept-vpc-peering-connection.md).

1. Mettez à jour les tables de routage pour les deux VPC afin de permettre la communication entre eux. Pour de plus amples informations, consultez [Mise à jour de vos tables de routage pour une connexion d'appairage de VPC](vpc-peering-routing.md).

## Création d’une connexion d’appairage à l’aide de la ligne de commande
<a name="create-vpc-peering-connection-command-line"></a>

Vous pouvez créer une connexion d'appairage de VPC à l'aide des commandes suivantes :
+ [create-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-peering-connection.html) (AWS CLI)
+ [New-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Accepter ou rejeter une connexion d’appairage de VPC
<a name="accept-vpc-peering-connection"></a>

Une connexion d'appairage de VPC en état `pending-acceptance` doit être acceptée par le propriétaire du VPC accepteur pour être activée. Pour plus d'informations sur l'état de la connexion d'appairage `Deleted`, consultez [Cycle de vie d'une connexion d'appairage de VPC](vpc-peering-basics.md#vpc-peering-lifecycle). Vous ne pouvez pas accepter une demande de connexion d’appairage de VPC que vous avez envoyée dans un autre compte AWS. Pour créer une connexion d’appairage de VPC entre des VPC situés dans le même compte AWS, vous pouvez créer et accepter la demande vous-même.

Vous pouvez rejeter toute demande de connexion d'appairage de VPC que vous avez reçue en état `pending-acceptance`. Vous devriez uniquement accepter les connexions d'appairage de VPC de Comptes AWS que vous connaissez et auxquels vous faites confiance. Vous pouvez rejeter toute demande indésirable. Pour plus d'informations sur l'état de la connexion d'appairage `Rejected`, consultez [Cycle de vie d'une connexion d'appairage de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

**Important**  
N'acceptez pas de connexions d'appairage de VPC de comptes AWS que vous ne connaissez pas. Un utilisateur malveillant peut vous avoir envoyé une demande de connexion d'appairage de VPC pour obtenir un accès réseau non autorisé à votre VPC. Cette méthode est appelée « peer phishing » ou hameçonnage de pairs. Vous pouvez sans problème rejeter les demandes de connexion d'appairage de VPC indésirables sans courir le risque que le demandeur puisse accéder aux informations sur votre compte AWS ou votre VPC. Pour de plus amples informations, consultez [Accepter ou rejeter une connexion d’appairage de VPC](#accept-vpc-peering-connection). Vous pouvez également ignorer la demande et la laisser expirer ; par défaut, les demandes expirent après 7 jours.

**Pour accepter ou refuser une connexion d’appairage à l’aide de la console**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Utilisez le sélecteur de région pour choisir la région du VPC accepteur.

1. Dans le volet de navigation, choisissez **Peering connections** (Connexions d'appairage). 

1. Pour rejeter une connexion d’appairage, sélectionnez la connexion d’appairage de VPC, puis choisissez **Actions**, **Rejeter la demande**. Lorsque vous êtes invité à confirmer l'opération, choisissez **Rejeter la demande**.

1. Pour accepter une connexion d’appairage, sélectionnez la connexion d’appairage de VPC en attente (état `pending-acceptance`), puis choisissez **Actions**, **Accepter la demande**. Pour plus d'informations sur les états du cycle de vie d'une connexion d'appairage, consultez [Cycle de vie d'une connexion d'appairage de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

   S’il n’y a aucune connexion d’appairage de VPC en attente, vérifiez que vous avez sélectionné la région du VPC accepteur.

1. Lorsque vous êtes invité à confirmer l'opération, choisissez **Accepter la demande**.

1. Choisissez **Modifier mes tables de routage maintenant** pour ajouter une route à la table de routage de VPC et pouvoir envoyer et recevoir du trafic via la connexion d'appairage. Pour de plus amples informations, consultez [Mise à jour de vos tables de routage pour une connexion d'appairage de VPC](vpc-peering-routing.md).

**Pour accepter une connexion d’appairage à l’aide de la ligne de commande**
+ [accept-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-vpc-peering-connection.html) (AWS CLI)
+ [Approve-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Approve-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

**Pour refuser une connexion d’appairage à l’aide de la ligne de commande**
+ [reject-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-vpc-peering-connection.html) (AWS CLI)
+ [Deny-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Deny-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Mise à jour de vos tables de routage pour une connexion d'appairage de VPC
<a name="vpc-peering-routing"></a>

Pour permettre le trafic IPv4 privé entre des instances dans des VPC appairés, vous devez ajouter un acheminement aux tables de routage associées aux sous-réseaux des deux instances. La destination du routage est le bloc d'adresse CIDR (ou une partie du bloc d'adresse CIDR) du VPC pair et la cible est l'ID de la connexion d'appairage de VPC. Pour plus d'informations, consultez [Configuration des tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) dans le *Guide de l'utilisateur d'Amazon VPC*.

Voici un exemple des tables de routage qui permettent la communication entre les instances de deux VPC pairs, VPC A et VPC B. Chaque table comporte un acheminement local et un acheminement qui envoie le trafic du VPC pair à la connexion d'appairage de VPC.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/peering/vpc-peering-routing.html)

De même, si les VPC de la connexion d'appairage de VPC disposent de blocs d'adresse CIDR IPv6 associés, vous pouvez ajouter des routages qui permettent de communiquer avec le VPC pair via IPv6.

Pour plus d'informations sur les configurations de tables de routages prises en charge pour les connexions d'appairage de VPC, consultez la page [Configurations courantes de connexion d’appairage de VPC](peering-configurations.md).

**Considérations**
+ Si vous avez un VPC appairé à plusieurs VPC qui ont des blocs d'adresse CIDR IPv4 se chevauchant ou identiques, assurez-vous que vos tables de routage sont configurées pour éviter d'envoyer le trafic de réponse sortant de votre VPC vers le mauvais VPC. Pour le moment, AWS ne prend pas en charge de recherche par chemin inverse Unicast dans les connexions d'appairage de VPC qui vérifie l'adresse IP source des paquets et qui renvoie les paquets de réponse vers la source. Pour de plus amples informations, consultez [Routage pour le trafic de la réponse](peering-configurations-partial-access.md#peering-incorrect-response-routing).
+ Votre compte a un [quota](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) sur le nombre d'entrées que vous pouvez ajouter par table de routage. Si le nombre de connexions d'appairage de VPC dans votre VPC dépasse le quota d'entrée de la table de routage pour une même table de routage, pensez à utiliser plusieurs sous-réseaux qui sont chacun associés à une table de routage personnalisée.
+ Vous pouvez ajouter une route pour une connexion d'appairage de VPC présentant l'état `pending-acceptance`. Cependant, l'acheminement a un état de `blackhole`, et n'a aucun effet tant que la connexion d'appairage de VPC n'est pas dans l'état `active`.

**Pour ajouter une route IPv4 pour une connexion d'appairage de VPC**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Route tables** (Tables de routage).

1. Sélectionnez la case à cocher à côté de la table de routage associée au sous-réseau dans lequel votre instance réside.

   Si vous n'avez pas de table de routage explicitement associée à ce sous-réseau, la table de routage principale du VPC lui est implicitement associée.

1. Choisissez **Actions**, **Modifier les routes**.

1. Choisissez **Ajouter une route**.

1. Dans le champ **Destination**, entrez la plage d'adresses IPv4 vers laquelle le trafic réseau de la connexion d'appairage de VPC doit être dirigé. Vous pouvez spécifier l'ensemble du bloc d'adresse CIDR IPv4 du VPC pair, une plage spécifique ou une adresse IPv4 individuelle, telle que l'adresse IP de l'instance avec laquelle communiquer. Par exemple, si le bloc d'adresse CIDR du VPC pair est `10.0.0.0/16`, vous pouvez spécifier une partie `10.0.0.0/24` ou une adresse IP spécifique `10.0.0.7/32`.

1. Pour **Cible**, sélectionnez la connexion d'appairage de VPC.

1. Sélectionnez **Enregistrer les modifications**.

Le propriétaire du VPC pair doit également effectuer ces étapes pour ajouter une route pour rediriger le trafic vers votre VPC via la connexion d'appairage de VPC.

Si vous disposez de ressources dans différentes régions AWS qui utilisent des adresses IPv6, vous pouvez créer une connexion d'appairage entre régions. Vous pouvez ensuite ajouter une route IPv6 pour communiquer entre les ressources.

**Pour ajouter une route IPv6 pour une connexion d'appairage de VPC**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Route tables** (Tables de routage).

1. Sélectionnez la case à cocher à côté de la table de routage associée au sous-réseau dans lequel votre instance réside.
**Note**  
Si vous n'avez pas de table de routage associée à ce sous-réseau, sélectionnez la table de routage principale pour le VPC, puisque le sous-réseau utilise ensuite cette table de routage par défaut. 

1. Choisissez **Actions**, **Modifier les routes**.

1. Choisissez **Ajouter une route**.

1. Dans le champ **Destination**, entrez la plage d'adresses IPv6 du VPC pair. Vous pouvez spécifier l'ensemble du bloc d'adresse CIDR IPv6 du VPC pair, une plage spécifique ou une adresse IPv6 individuelle. Par exemple, si le bloc d'adresse CIDR du VPC pair est `2001:db8:1234:1a00::/56`, vous pouvez spécifier une partie `2001:db8:1234:1a00::/64` ou une adresse IP spécifique `2001:db8:1234:1a00::123/128`.

1. Pour **Cible**, sélectionnez la connexion d'appairage de VPC.

1. Sélectionnez **Enregistrer les modifications**.

Pour plus d'informations, consultez [Tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) dans le *Guide de l’utilisateur Amazon VPC*.

**Pour ajouter ou remplacer une route à l’aide de la ligne de commande**
+ [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) et [replace-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html) (AWS CLI)
+ [New-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html) et [Set-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html) (AWS Tools for Windows PowerShell)

# Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs
<a name="vpc-peering-security-groups"></a>

Vous pouvez mettre à jour les règles entrantes ou sortantes pour les groupes de sécurité de votre VPC pour référencer les groupes de sécurité du VPC appairé. Cette étape autorise le trafic vers et depuis les instances associées au groupe de sécurité référencé dans le VPC appairé.

**Note**  
Les groupes de sécurité d’un VPC pair ne s’affichent pas dans la console pour que vous puissiez les sélectionner.

**Prérequis**
+ Pour référencer un groupe de sécurité dans un VPC pair, la connexion d'appairage de VPC doit être à l'état `active`.
+ Le VPC pair peut être un VPC dans votre compte ou un VPC dans un autre compte AWS. Pour référencer un groupe de sécurité qui se trouve dans un autre compte AWS mais dans la même région, incluez le numéro de compte avec l’ID du groupe de sécurité. Par exemple, `123456789012/sg-1a2b3c4d`.
+ Vous ne pouvez pas faire référence au groupe de sécurité d’un VPC pair qui se trouve dans une autre région. À la place, utilisez le bloc CIDR du VPC pair.
+ Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via une appliance middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l’adresse IP privée de l’autre instance ou la plage d’adresses CIDR du sous-réseau qui contient l’autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.

**Pour mettre à jour les règles de votre groupe de sécurité à l'aide de la console**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Security groups** (Groupes de sécurité).

1. Sélectionnez le groupe de sécurité et effectuez l’une des actions suivantes :
   + Pour modifier les règles entrantes, sélectionnez **Actions**, **Modifier les règles entrantes**.
   + Pour modifier les règles sortantes, sélectionnez **Actions**, **Modifier les règles sortantes**.

1. Pour ajouter une règle, choisissez **Ajouter une règle** et spécifiez le type, le protocole et la plage de ports. Pour **Source** (règle entrante) ou **Destination** (règle sortante), effectuez l’une des opérations suivantes :
   + Pour un VPC pair dans le même compte et dans la même région, saisissez l’ID du groupe de sécurité.
   + Pour un VPC pair situé dans un compte différent mais dans la même région, saisissez l’ID du compte et l’ID du groupe de sécurité, séparés par une barre oblique (par exemple, `123456789012/sg-1a2b3c4d`).
   + Pour un VPC pair dans une autre région, saisissez le bloc d’adresse CIDR du VPC pair.

1. Pour modifier une règle existante, modifiez ses valeurs (par exemple, la source ou la description).

1. Pour supprimer une règle, cliquez sur **Supprimer** à côté de la règle.

1. Sélectionnez **Enregistrer les règles**.

**Pour mettre à jour les règles entrantes à l'aide de la ligne de commande**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) et [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) et [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)

Par exemple, pour mettre à jour votre groupe de sécurité `sg-aaaa1111` pour autoriser un accès entrant sur HTTP depuis `sg-bbbb2222` pour un VPC pair, utilisez la commande d’interface de ligne de commande qui suit. Si le VPC pair se trouve dans la même région mais sur un compte différent, ajoutez le `--group-owner` *aws-account-id*.

```
aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222
```

**Pour mettre à jour les règles sortantes à l'aide de la ligne de commande**
+ [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) et [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) et [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) (AWS Tools for Windows PowerShell)

Après avoir mis à jour les règles du groupe de sécurité, utilisez la commande [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html) pour afficher le groupe de sécurité référencé dans vos règles de groupe de sécurité. 

## Identification de vos groupes de sécurité référencés
<a name="vpc-peering-referenced-groups"></a>

Pour déterminer si votre groupe de sécurité est référencé dans les règles d'un groupe de sécurité dans un VPC pair, vous pouvez utiliser l'une des commandes suivantes pour un ou pour plusieurs groupes de sécurité dans votre compte.
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)

Dans l'exemple suivant, la réponse indique que le groupe de sécurité `sg-bbbb2222` est référencé par un groupe de sécurité dans le VPC `vpc-aaaaaaaa` :

```
aws ec2 describe-security-group-references --group-id sg-bbbb2222
```

```
{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}
```

Si la connexion d'appairage de VPC est supprimée, ou si le propriétaire du VPC pair supprime le groupe de sécurité référencé, la règle du groupe de sécurité devient caduque. 

## Afficher et supprimer des règles du groupe de sécurité obsolètes
<a name="vpc-peering-stale-groups"></a>

Une règle de groupe de sécurité obsolète est une règle qui référence un groupe de sécurité supprimé dans le même VPC ou dans un VPC pair, ou qui référence un groupe de sécurité dans un VPC pair pour lequel la connexion d'appairage de VPC a été supprimée. Lorsqu'une règle du groupe de sécurité devient obsolète, elle n'est pas automatiquement supprimée de votre groupe de sécurité et vous devez la supprimer manuellement. Si une règle du groupe de sécurité est obsolète parce que la connexion d'appairage de VPC a été supprimée, elle ne sera plus marquée comme obsolète si vous créez une connexion d'appairage de VPC avec les mêmes VPC.

Vous pouvez afficher et supprimer les règles du groupe de sécurité obsolètes pour un VPC à l'aide de la console Amazon VPC.

**Pour afficher et supprimer des règles du groupe de sécurité obsolètes**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le panneau de navigation, choisissez **Security groups** (Groupes de sécurité).

1. Choisissez **Actions (Actions)**, **Manage stale rules** (Gestion les règles obsolètes).

1. Pour**VPC**, choisissez le VPC dont les règles sont obsolètes.

1. Choisissez **Modifier**.

1. Choisissez le bouton **Supprimer** à la droite de la règle à supprimer. Choisissez **Prévisualiser les modifications**, **Enregistrer les règles**.

**Pour décrire vos règles de groupes de sécurité obsolètes à l’aide de la ligne de commande**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)

Dans l'exemple suivant, le VPC A `(vpc-aaaaaaaa`) et le VPC B étaient appairés, et la connexion d'appairage de VPC a été supprimée. Votre groupe de sécurité `sg-aaaa1111` dans le VPC A référence `sg-bbbb2222` dans le VPC B. Quand vous exécutez la commande `describe-stale-security-groups` pour votre VPC, la réponse indique que le groupe de sécurité `sg-aaaa1111` possède une règle SSH obsolète qui référence `sg-bbbb2222`.

```
aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
```

```
{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}
```

Une fois que vous avez identifié les règles du groupe de sécurité obsolètes, vous pouvez les supprimer à l'aide des commandes [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) ou [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html).

# Activation de la résolution DNS pour une connexion d’appairage de VPC
<a name="vpc-peering-dns"></a>

Les paramètres DNS d’une connexion d’appairage de VPC déterminent la manière dont les noms d’hôte DNS publics sont résolus pour les demandes qui transitent par la connexion d’appairage de VPC. Si une instance EC2 d’un côté d’une connexion d’appairage de VPC envoie une demande à une instance EC2 de l’autre côté en utilisant le nom d’hôte DNS IPv4 public de l’instance, le nom d’hôte DNS est résolu comme suit.

**Résolution DNS désactivée (valeur par défaut)**  
Le nom d’hôte DNS IPv4 public est résolu en l’adresse IPv4 publique de l’instance.

**Résolution DNS activée**  
Le nom d’hôte DNS IPv4 public est résolu en l’adresse IPv4 privée de l’instance.

**Prérequis**
+ Les deux VPC doit être activés pour les noms d'hôte DNS et la résolution DNS. Pour plus d’informations, consultez [DNS attributes for your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/AmazonDNS-concepts.html#vpc-dns-support) (Attributs DNS pour votre VPC) dans le *Guide de l’utilisateur d’Amazon VPC*.
+ L’état de la connexion d’appairage doit être `active`. Vous ne pouvez pas activer la résolution DNS lorsque vous créez une connexion d’appairage.
+ Le propriétaire du VPC demandeur doit modifier les options d’appairage du VPC demandeur, et le propriétaire du VPC accepteur doit modifier les options d’appairage du VPC accepteur. Si les VPC se situent dans le même compte, vous pouvez activer la résolution DNS pour les VPC demandeur et accepteur en même temps. Cela fonctionne pour les connexions d’appairage de VPC dans la même région et entre régions.

**Pour activer la résolution DNS dans le cadre d’une connexion d’appairage à l’aide de la console**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Peering connections** (Connexions d'appairage).

1. Sélectionnez la connexion d'appairage de VPC.

1. Sélectionnez **Actions**, **Modifier les paramètres DNS**.

1. Pour activer la résolution DNS dans le cadre de demandes provenant du VPC demandeur, sélectionnez **Résolution du DNS demandeur**, **Autoriser le VPC accepteur à résoudre le DNS du VPC demandeur**.

1. Pour assurer la résolution DNS dans le cadre de demandes provenant du VPC accepteur, sélectionnez **Résolution du DNS accepteur**, **Autoriser le VPC demandeur à résoudre le DNS du VPC accepteur**.

1. Sélectionnez **Enregistrer les modifications**.

**Pour activer la résolution DNS à l’aide de la ligne de commande**
+ [modify-vpc-peering-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-peering-connection-options.html) (AWS CLI)
+ [Edit-EC2VpcPeeringConnectionOption](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcPeeringConnectionOption.html) (AWS Tools for Windows PowerShell)

**Pour décrire les options de connexion d’appairage de VPC à l’aide de la ligne de commande**
+ [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html) (AWS CLI)
+ [Get-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Suppression d'une connexion d'appairage de VPC
<a name="delete-vpc-peering-connection"></a>

Chaque propriétaire d'un VPC dans une connexion d'appairage peut supprimer la connexion d'appairage de VPC à tout moment. Vous pouvez également supprimer une connexion d'appairage de VPC que vous avez demandée et qui est toujours en état `pending-acceptance`.

Vous ne pouvez pas supprimer la connexion d'appairage de VPC lorsque la connexion d'appairage de VPC est dans l'état `rejected`. Nous supprimons automatiquement la connexion pour vous. 

La suppression d'un VPC de la console Amazon VPC; qui fait partie d'une connexion d'appairage de VPC active, supprime également la connexion d'appairage de VPC. Si vous avez demandé une connexion d'appairage de VPC avec un VPC dans un autre compte et que vous supprimez votre VPC avant que l'autre partie ait accepté la demande, la connexion d'appairage de VPC est également supprimée. Vous ne pouvez pas supprimer un VPC pour lequel vous avez une demande `pending-acceptance` d'un VPC dans un autre compte. Vous devez d'abord rejeter la demande de connexion d'appairage de VPC.

Lorsque vous supprimez une connexion d'appairage, l'état est défini sur `Deleting`, puis sur `Deleted`. Une fois que vous avez supprimé une connexion, elle ne peut être ni acceptée, ni refusée, ni modifiée. Pour plus d'informations sur la durée de visibilité de la connexion d'appairage, consultez [Cycle de vie d'une connexion d'appairage de VPC](vpc-peering-basics.md#vpc-peering-lifecycle).

**Supprimer une connexion d'appairage de VPC**

1. Ouvrez la console Amazon VPC à l'adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Dans le volet de navigation, choisissez **Peering connections** (Connexions d'appairage).

1. Sélectionnez la connexion d'appairage de VPC.

1. Choisissez **Actions**, **Delete peering connection** (Supprimer la connexion d'appairage).

1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.

**Pour supprimer une connexion d’appairage de VPC à l’aide de la ligne de commande**
+ [delete-vpc-peering-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-peering-connection.html) (AWS CLI)
+ [Remove-EC2VpcPeeringConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcPeeringConnection.html) (AWS Tools for Windows PowerShell)

# Dépannage d'une connexion d'appairage de VPC
<a name="troubleshoot-vpc-peering-connections"></a>

Si vous rencontrez des difficultés pour vous connecter à une ressource dans un VPC à partir d'une ressource dans un VPC pair, procédez comme suit :
+ Pour chaque ressource dans chaque VPC, vérifiez que la table de routage de son sous-réseau contient un acheminement qui envoie le trafic destiné au VPC pair vers la connexion d'appairage de VPC. Cela garantit que le trafic réseau peut circuler correctement entre les deux VPC. Pour de plus amples informations, consultez [Mise à jour des tables de routage](vpc-peering-routing.md).
+ Pour toutes les instances EC2 impliquées, vérifiez que les groupes de sécurité de ces instances autorisent le trafic entrant et sortant provenant du VPC pair. Les règles des groupes de sécurité contrôlent le trafic autorisé à accéder à vos instances EC2. Pour de plus amples informations, consultez [Référence des groupes de sécurité pairs](vpc-peering-security-groups.md).
+ Vérifiez que les listes ACL réseau des sous-réseaux contenant vos ressources autorisent le trafic nécessaire en provenance du VPC pair. Les listes ACL réseau constituent une couche de sécurité supplémentaire qui filtre le trafic au niveau du sous-réseau.

Si le problème persiste, vous pouvez utiliser l’analyseur d’accessibilité. L’analyseur d’accessibilité peut aider à identifier le composant spécifique (qu’il s’agisse d’une table de routage, d’un groupe de sécurité ou d’une liste ACL réseau) à l’origine du problème de connectivité entre les deux VPC. Pour plus d'informations, reportez-vous au [Guide de l'Analyseur d'accessibilité](https://docs.aws.amazon.com/vpc/latest/reachability/).

Il est essentiel de vérifier minutieusement les configurations réseau de votre VPC pour résoudre les problèmes de connexion d’appairage de VPC que vous pourriez rencontrer.