Exemple : contrôler l'accès aux instances dans un sous-réseau
Dans cet exemple, les instances du sous-réseau peuvent communiquer entre elles et sont accessibles depuis un ordinateur distant fiable afin d’effectuer des tâches administratives. L’ordinateur distant peut être un ordinateur de votre réseau local (comme illustré sur le diagramme) ou une instance d’un autre sous-réseau ou VPC. Les règles d’ACL réseau du sous-réseau et les règles de groupe de sécurité des instances autorisent l’accès à partir de l’adresse IP de votre ordinateur distant. Le reste du trafic provenant d'Internet ou d'autres réseaux est refusé.
Le recours à une ACL réseau vous permet de modifier les groupes de sécurité ou les règles de groupe de sécurité de vos instances, tout en offrant une couche de défense des sauvegardes. Par exemple, si vous mettez accidentellement à jour le groupe de sécurité pour autoriser l’accès SSH entrant à partir de n’importe quel emplacement, mais que l’ACL réseau n’autorise l’accès qu’à partir de la plage d’adresses IP de l’ordinateur distant, l’ACL réseau refuse le trafic SSH entrant en provenance de toute autre adresse IP.
Règles des listes ACL réseau
Voici des exemples de règles entrantes pour l’ACL réseau associée au sous-réseau. Ces règles s’appliquent à toutes les instances du sous-réseau.
| Règle n° | Type | Protocole | Plage de ports | Source | Autoriser/Refuser | Commentaires |
|---|---|---|---|---|---|---|
| 100 | SSH | TCP | 22 | 172.31.1.2/32 |
AUTORISER | Autorisation du trafic entrant depuis l’ordinateur distant. |
| * | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REJETER | Refus de tout autre trafic entrant. |
Voici des exemples de règles sortantes pour l’ACL réseau associée au sous-réseau. Les listes ACL réseau sont sans état. Par conséquent, vous devez inclure une règle qui autorise les réponses au trafic entrant.
| Règle n° | Type | Protocole | Plage de ports | Destination | Autoriser/Refuser | Commentaires |
|---|---|---|---|---|---|---|
| 100 | TCP personnalisé | TCP | 1024-65535 | 172.31.1.2/32 |
AUTORISER | Autorise les réponses sortantes vers l'ordinateur distant. |
| * | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REFUSER | Refuse tout autre trafic sortant. |
Règles des groupes de sécurité
Voici des exemples de règles entrantes pour le groupe de sécurité associé aux instances. Ces règles s’appliquent à toutes les instances associées au groupe de sécurité Un utilisateur disposant de la clé privée dans le cadre de la paire de clés associée aux instances peut se connecter aux instances depuis l’ordinateur distant à l’aide de SSH.
| Type de protocole | Protocole | Plage de ports | Source | Commentaires |
|---|---|---|---|---|
| Tout le trafic | Tous | Tous les comptes | sg-1234567890abcdef0 |
Autorisation de la communication entre les instances associées à ce groupe de sécurité. |
| SSH | TCP | 22 | 172.31.1.2/32 |
Autorisation de l’accès SSH entrant à partir de l’ordinateur distant. |
Voici des exemples de règles sortantes pour le groupe de sécurité associé aux instances. Les groupes de sécurité sont avec état. Par conséquent, vous n’avez pas besoin d’une règle qui autorise les réponses au trafic entrant.
| Type de protocole | Protocole | Plage de ports | Destination | Commentaires |
|---|---|---|---|---|
| Tout le trafic | Tous | Tous les comptes | sg-1234567890abcdef0 |
Autorisation de la communication entre les instances associées à ce groupe de sécurité. |
Différences entre les ACL réseau et les groupes de sécurité
Le tableau ci-après récapitule les différences de base entre les ACL réseau et les groupes de sécurité.
| Caractéristiques | Réseau ACL | Groupe de sécurité |
|---|---|---|
| Niveau de l’opération | Niveau du sous-réseau | Niveau de l'instance |
| Portée | S’applique à toutes les instances présentes dans les sous-réseaux associés | S’applique à toutes les instances associées au groupe de sécurité |
| Type de règle | Règles d’autorisation et de refus | Règles d’autorisation uniquement |
| Évaluations des règles | Évalue les règles par ordre croissant jusqu’à ce qu’une correspondance soit trouvée pour le trafic | Evalue toutes les règles avant de décider si le trafic doit être autorisé |
| Trafic de retour | Doit être explicitement autorisé (sans état) | Autorisé automatiquement (avec état) |
