Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz
In diesem Beispiel können die Instances in Ihrem Subnetz miteinander kommunizieren und sind von vertrauenswürdigen Remote-Computern aus zugreifbar. Der Remotecomputer kann ein Computer in Ihrem lokalen Netzwerk oder eine Instance in einem anderen Subnetz oder VPC sein. Sie verwenden ihn, um eine Verbindung zu Ihren Instances herzustellen, um administrative Aufgaben auszuführen. Die Sicherheitsgruppenregeln und ACL Netzwerkregeln erlauben den Zugriff von der IP-Adresse Ihres Remote-Computers (172.31.1.2/32). Der gesamte Datenverkehr aus dem Internet oder anderen Netzwerken wird verweigert. Dieses Szenario bietet die Flexibilität, Sicherheitsgruppen oder Sicherheitsgruppenregeln für Instances zu ändern und das Netzwerk ACL als zusätzliche Schutzebene zu nutzen.
Die folgende Tabelle zeigt die Regeln für eingehende Nachrichten für eine Beispielsicherheitsgruppe für Instances.
| Protokolltyp | Protocol (Protokoll) | Port-Bereich | Source | Kommentare |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. |
| SSH | TCP | 22 | 172.31.1.2/32 | Lässt eingehenden SSH Zugriff von dem Remote-Computer zu. |
Die folgende Tabelle zeigt die Regeln für ausgehenden Datenverkehr für eine Beispielsicherheitsgruppe für die Instances. Sicherheitsgruppen sind zustandsbehaftet. Daher benötigen Sie keine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
| Protokolltyp | Protocol (Protokoll) | Port-Bereich | Zielbereich | Kommentare |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. |
Die folgende Tabelle zeigt die Regeln für eingehenden Datenverkehr für ein BeispielnetzwerkACL, das mit den Subnetzen für die Instances verknüpft wird. Die ACL Netzwerkregeln gelten für alle Instances im Subnetz.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Source | Erlauben/Verweigern | Kommentare |
|---|---|---|---|---|---|---|
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | ALLOW | Lässt eingehenden Datenverkehr von dem Remote-Computer zu. |
| * | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY | Verweigert jeglichen anderen eingehenden Datenverkehr. |
Die folgende Tabelle zeigt die Regeln für ausgehenden Datenverkehr für das BeispielnetzwerkACL, das mit den Subnetzen für die Instances verknüpft wird. Netzwerke ACLs sind staatenlos. Daher benötigen Sie eine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
| Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Erlauben/Verweigern | Kommentare |
|---|---|---|---|---|---|---|
| 100 | Benutzerdefiniert TCP | TCP | 1024 - 65535 | 172.31.1.2/32 | ALLOW | Lässt ausgehende Antworten an den Remote-Computer zu. |
| * | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | DENY | Verweigert jeglichen anderen ausgehenden Datenverkehr. |
Wenn Sie versehentlich Ihre Sicherheitsgruppenregeln zu offen gestalten, erlaubt das Netzwerk ACL in diesem Beispiel weiterhin den Zugriff nur über die angegebene IP-Adresse. Die folgende Sicherheitsgruppe enthält beispielsweise eine Regel, die eingehenden SSH Zugriff von jeder IP-Adresse aus zulässt. Wenn Sie diese Sicherheitsgruppe jedoch einer Instance in einem Subnetz zuordnen, das das Netzwerk verwendetACL, können nur andere Instances im Subnetz und Ihr Remote-Computer auf die Instance zugreifen, da die ACL Netzwerkregeln anderen eingehenden Datenverkehr im Subnetz verweigern.
Die folgende Tabelle zeigt die Regeln für eingehenden Datenverkehr für ein BeispielnetzwerkACL, um den Zugriff nur über die angegebene IP-Adresse zu erlauben.
| Typ | Protocol (Protokoll) | Port-Bereich | Source | Kommentare |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. |
| SSH | TCP | 22 | 0.0.0.0/0 | Lässt SSH den Zugriff von beliebigen IP-Adressen zu. |
Die folgende Tabelle zeigt die Regeln für ausgehenden Datenverkehr für ein BeispielnetzwerkACL, um den Zugriff nur über die angegebene IP-Adresse zu erlauben.
| Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Kommentare |
|---|---|---|---|---|
| Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Lässt den gesamten ausgehenden Datenverkehr zu. |
