Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz
In diesem Beispiel können die Instances in Ihrem Subnetz miteinander kommunizieren und sind von vertrauenswürdigen Remote-Computern aus zugreifbar. Der Remote-Computer kann ein Computer in Ihrem lokalen Netzwerk oder eine Instance in einem anderen Subnetz sein oderVPC. Sie verwenden ihn, um eine Verbindung zu Ihren Instances herzustellen, um administrative Aufgaben auszuführen. Ihre Sicherheitsgruppen- und ACL Netzwerkregeln ermöglichen den Zugriff über die IP-Adresse Ihres Remotecomputers (172.31.1.2/32). Der gesamte Datenverkehr aus dem Internet oder anderen Netzwerken wird verweigert. Dieses Szenario bietet Ihnen die Flexibilität, die Sicherheitsgruppen oder Sicherheitsgruppenregeln für Ihre Instances zu ändern und das Netzwerk ACL als Backup-Schutzschicht zu nutzen.
Im Folgenden finden Sie ein Beispiel für eine Sicherheitsgruppe, die mit den Instances verknüpft werden soll. Sicherheitsgruppen sind zustandsbehaftet. Daher benötigen Sie keine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
| Protokolltyp |
Protocol (Protokoll) |
Port-Bereich |
Source |
Kommentare |
| Gesamter Datenverkehr |
Alle |
Alle |
sg-1234567890abcdef0 |
Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. |
| SSH |
TCP |
22 |
172.31.1.2/32 |
Ermöglicht eingehenden SSH Zugriff vom Remotecomputer aus. |
| Protokolltyp |
Protocol (Protokoll) |
Port-Bereich |
Zielbereich |
Kommentare |
| Gesamter Datenverkehr |
Alle |
Alle |
sg-1234567890abcdef0 |
Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. |
Im Folgenden finden Sie ein BeispielnetzwerkACL, das den Subnetzen für die Instanzen zugeordnet werden soll. Die ACL Netzwerkregeln gelten für alle Instances im Subnetz. Das Netzwerk ist ACLs zustandslos. Daher benötigen Sie eine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
| Regel Nr. |
Typ |
Protocol (Protokoll) |
Port-Bereich |
Source |
Erlauben/Verweigern |
Kommentare |
| 100 |
SSH |
TCP |
22 |
172.31.1.2/32 |
ALLOW |
Lässt eingehenden Datenverkehr von dem Remote-Computer zu. |
| * |
Gesamter Datenverkehr |
Alle |
Alle |
0.0.0.0/0 |
DENY |
Verweigert jeglichen anderen eingehenden Datenverkehr. |
| Regel Nr. |
Typ |
Protocol (Protokoll) |
Port-Bereich |
Zielbereich |
Erlauben/Verweigern |
Kommentare |
| 100 |
Benutzerdefiniert TCP |
TCP |
1024 - 65535 |
172.31.1.2/32 |
ALLOW |
Lässt ausgehende Antworten an den Remote-Computer zu. |
| * |
Gesamter Datenverkehr |
Alle |
Alle |
0.0.0.0/0 |
DENY |
Verweigert jeglichen anderen ausgehenden Datenverkehr. |
Wenn Sie Ihre Sicherheitsgruppenregeln versehentlich zu freizügig machen, erlaubt das Netzwerk ACL in diesem Beispiel weiterhin nur den Zugriff von der angegebenen IP-Adresse aus. Die folgende Sicherheitsgruppe enthält beispielsweise eine Regel, die eingehenden SSH Zugriff von einer beliebigen IP-Adresse aus ermöglicht. Wenn Sie diese Sicherheitsgruppe jedoch einer Instance in einem Subnetz zuordnen, das das Netzwerk verwendetACL, können nur andere Instances innerhalb des Subnetzes und Ihr Remotecomputer auf die Instance zugreifen, da die ACL Netzwerkregeln anderen eingehenden Datenverkehr in das Subnetz verweigern.
| Typ |
Protocol (Protokoll) |
Port-Bereich |
Source |
Kommentare |
| Gesamter Datenverkehr |
Alle |
Alle |
sg-1234567890abcdef0 |
Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. |
| SSH |
TCP |
22 |
0.0.0.0/0 |
Ermöglicht den SSH Zugriff von einer beliebigen IP-Adresse aus. |
| Typ |
Protocol (Protokoll) |
Port-Bereich |
Zielbereich |
Kommentare |
| Gesamter Datenverkehr |
Alle |
Alle |
0.0.0.0/0 |
Lässt den gesamten ausgehenden Datenverkehr zu. |
