Les groupes de sécurité AWS utilisent un CIDR /32 qui, je le pensais, masquait tout. Comment cela fonctionne-t-il ?

/32 es équivalent à 255.255.255.255... mais un masque de sous-réseau ne cache rien. Le masque de sous-réseau masque les bits de la partie réseau du bloc de réseau -- les bits qui ne peuvent pas varier.

Si aucun des bits ne peut varier, vous avez nécessairement défini un "bloc" d'adresses IP de taille = 1... l'adresse donnée.

203.0.113.64/32 signifie exactement cette seule adresse IP, 203.0.113.64.

Sur un réseau réel, vous ne verriez généralement pas un masque de sous-réseau de 255.255.255.255, mais vous ne configurez pas un réseau, vous spécifiez une plage basse/haute d'adresses IP qui correspondent à la règle de filtrage.

N'oubliez pas non plus que le masque de sous-réseau n'a aucune signification en dehors du contexte immédiat du réseau local. Je pourrais avoir un sous-réseau ici où le sous-réseau est 203.0.113.128/25 (255.255.255.128) mais je n'ai besoin d'accéder à vous qu'à partir d'une seule machine -- disons 203.0.113.200. Votre masque correct pour cette adresse, pour me permettre d'accéder à votre système, serait toujours /32 -- mon masque de sous-réseau local pour la même adresse n'a aucune signification pour vous.

Je pensais que /32 était la même chose que 255.255.255.255.

Oui, c'est la même chose. Les deux sont des notations différentes pour la même chose.

Un /32 en tant que réseau traditionnel n'a pas de sens. Vous auriez une IP de réseau, une IP de diffusion et rien pour les hôtes. En revanche, dans le cadre de connexions point à point, ils ont un sens. Ou en tant que route statique pour une seule IP.

La dernière semble être celle que vous recherchez.