Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz
In diesem Beispiel können die Instances im Subnetz miteinander kommunizieren und sind für administrative Aufgaben von vertrauenswürdigen Remote-Computern aus zugreifbar. Der Remotecomputer kann ein Computer in Ihrem lokalen Netzwerk, wie in der Abbildung dargestellt, oder eine Instance in einem anderen Subnetz oder VPC sein. Die Netzwerk-ACL-Regeln für das Subnetz und die Sicherheitsgruppenregeln für die Instances erlauben den Zugriff von der IP-Adresse Ihres Remote-Computers aus. Der gesamte Datenverkehr aus dem Internet oder anderen Netzwerken wird verweigert.
Das Verwenden einer Netzwerk-ACL bietet die Flexibilität, Sicherheitsgruppen oder Sicherheitsgruppenregeln für Instances zu ändern und die Netzwerk-ACL als zusätzliche Schutzebene zu nutzen. Wenn Sie beispielsweise versehentlich die Sicherheitsgruppe aktualisieren, um eingehenden SSH-Zugriff von überall aus zu ermöglichen, die Netzwerk-ACL den Zugriff jedoch nur über den IP-Adressbereich des Remote-Computers zulässt, dann verweigert die Netzwerk-ACL eingehenden SSH-Verkehr von allen anderen IP-Adressen.
Regeln für Netzwerk-ACLs
Im Folgenden finden Sie Beispiele für eingehende Regeln für die mit dem Subnetz verbundene Netzwerk-ACL. Diese Regeln gelten für alle Instances im Subnetz.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Source | Erlauben/Verweigern | Kommentare |
|---|---|---|---|---|---|---|
| 100 | SSH | TCP | 22 | 172.31.1.2/32 |
ERLAUBEN | Lässt eingehenden Datenverkehr von dem Remote-Computer aus zu. |
| * | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY | Verweigert jeglichen anderen eingehenden Datenverkehr. |
Im Folgenden finden Sie Beispiele für ausgehende Regeln für die mit dem Subnetz verbundene Netzwerk-ACL. Netzwerk-ACLs sind zustandslos. Daher benötigen Sie eine Regel, die Antworten auf den eingehenden Datenverkehr zulässt.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Erlauben/Verweigern | Kommentare |
|---|---|---|---|---|---|---|
| 100 | Custom TCP | TCP | 1024 - 65535 | 172.31.1.2/32 |
ERLAUBEN | Lässt ausgehende Antworten an den Remote-Computer zu. |
| * | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | VERWEIGERN | Verweigert jeglichen anderen ausgehenden Datenverkehr. |
Sicherheitsgruppenregeln
Im Folgenden finden Sie Beispiele für eingehende Regeln für die mit den Instances verbundene Sicherheitsgruppe. Diese Regeln gelten für alle Instances, die mit der Sicherheitsgruppe verbunden sind. Ein Benutzer mit dem privaten Schlüssel für das mit den Instances verknüpfte Schlüsselpaar kann sich über SSH vom Remote-Computer aus mit den Instances verbinden.
| Protokolltyp | Protocol (Protokoll) | Port-Bereich | Source | Kommentare |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 |
Erlauben Sie die Kommunikation zwischen allen Instances, die dieser Sicherheitsgruppe zugeordnet sind. |
| SSH | TCP | 22 | 172.31.1.2/32 |
Lässt eingehenden SSH-Zugriff von dem Remote-Computer zu. |
Im Folgenden finden Sie Beispiele für ausgehende Regeln für die mit den Instances verbundene Sicherheitsgruppe. Sicherheitsgruppen sind zustandsbehaftet. Daher benötigen Sie keine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
| Protokolltyp | Protocol (Protokoll) | Port-Bereich | Zielbereich | Kommentare |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 |
Erlauben Sie die Kommunikation zwischen allen Instances, die dieser Sicherheitsgruppe zugeordnet sind. |
Die Unterschiede zwischen Netzwerk-ACLs und Sicherheitsgruppen
In der folgenden Tabelle sind die grundlegenden Unterschiede zwischen Netzwerk-ACLs und Sicherheitsgruppen zusammengefasst.
| Merkmal | Netzwerk-ACL | Sicherheitsgruppe |
|---|---|---|
| Betriebsniveau | Subnetzniveau | Instance-Ebene |
| Scope | Gilt für alle Instances in den verbundenen Subnetzen | Gilt für alle Instances, die mit der Sicherheitsgruppe verbunden sind. |
| Regeltyp | Zulassen- und Verweigern-Regeln | Nur Regeln zulassen |
| Regelauswertung | Bewertet Regeln in aufsteigender Reihenfolge, bis eine Übereinstimmung für den Datenverkehr gefunden wird | Alle Regeln werden vor dem Erlauben von Datenverkehr ausgewertet. |
| Datenverkehr zurücksenden | Muss ausdrücklich erlaubt sein (zustandslos) | Automatisch zugelassen (zustandsbehaftet) |
