Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemple : contrôler l'accès aux instances dans un sous-réseau
Dans cet exemple, les instances de votre sous-réseau peuvent communiquer entre elles et sont accessibles depuis un ordinateur distant fiable. L'ordinateur distant peut être un ordinateur de votre réseau local ou une instance d'un autre sous-réseau ouVPC. Vous l'utilisez pour vous connecter à vos instances afin d'effectuer des tâches administratives. Les règles de votre groupe de sécurité et ACL les règles du réseau autorisent l'accès à partir de l'adresse IP de votre ordinateur distant (172.31.1.2/32). Le reste du trafic provenant d'Internet ou d'autres réseaux est refusé. Ce scénario vous donne la flexibilité de modifier les groupes de sécurité ou les règles des groupes de sécurité pour vos instances, et d'utiliser le réseau ACL comme couche de défense de sauvegarde.
Voici un exemple de groupe de sécurité à associer aux instances. Les groupes de sécurité sont avec état. Par conséquent, vous n'avez pas besoin d'une règle qui autorise les réponses pour le trafic entrant.
| Type de protocole |
Protocole |
Plage de ports |
Source |
Commentaires |
| Tout le trafic |
Tous |
Tous les comptes |
sg-1234567890abcdef0 |
Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles. |
| SSH |
TCP |
22 |
172.31.1.2/32 |
Autorise l'SSHaccès entrant depuis l'ordinateur distant. |
| Type de protocole |
Protocole |
Plage de ports |
Destination |
Commentaires |
| Tout le trafic |
Tous |
Tous les comptes |
sg-1234567890abcdef0 |
Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles. |
Voici un exemple de réseau ACL à associer aux sous-réseaux des instances. Les ACL règles du réseau s'appliquent à toutes les instances du sous-réseau. ACLsLes réseaux sont apatrides. Par conséquent, vous avez besoin d'une règle qui autorise les réponses pour le trafic entrant.
| Règle n° |
Type |
Protocole |
Plage de ports |
Source |
Autoriser/Refuser |
Commentaires |
| 100 |
SSH |
TCP |
22 |
172.31.1.2/32 |
ALLOW |
Autorise le trafic entrant depuis l'ordinateur distant. |
| * |
Tout le trafic |
Tous |
Tous |
0.0.0.0/0 |
DENY |
Refuse tout autre trafic entrant. |
| Règle n° |
Type |
Protocole |
Plage de ports |
Destination |
Autoriser/Refuser |
Commentaires |
| 100 |
Personnalisé TCP |
TCP |
1024-65535 |
172.31.1.2/32 |
ALLOW |
Autorise les réponses sortantes vers l'ordinateur distant. |
| * |
Tout le trafic |
Tous |
Tous |
0.0.0.0/0 |
DENY |
Refuse tout autre trafic sortant. |
Si vous rendez accidentellement les règles de votre groupe de sécurité trop permissives, le réseau ACL dans cet exemple continue à autoriser l'accès uniquement à partir de l'adresse IP spécifiée. Par exemple, le groupe de sécurité suivant contient une règle qui autorise l'SSHaccès entrant depuis n'importe quelle adresse IP. Toutefois, si vous associez ce groupe de sécurité à une instance d'un sous-réseau qui utilise le réseauACL, seules les autres instances du sous-réseau et de votre ordinateur distant peuvent accéder à l'instance, car les ACL règles du réseau interdisent tout autre trafic entrant vers le sous-réseau.
| Type |
Protocole |
Plage de ports |
Source |
Commentaires |
| Tout le trafic |
Tous |
Tous les comptes |
sg-1234567890abcdef0 |
Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles. |
| SSH |
TCP |
22 |
0.0.0.0/0 |
Permet SSH l'accès depuis n'importe quelle adresse IP. |
| Type |
Protocole |
Plage de ports |
Destination |
Commentaires |
| Tout le trafic |
Tous |
Tous |
0.0.0.0/0 |
Autorise tout le trafic sortant. |
