Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempio: controllo dell'accesso alle istanze in una sottorete
In questo esempio, le istanze nella sottorete possono comunicare tra loro e sono accessibili da un computer remoto affidabile. Il computer remoto potrebbe essere un computer della rete locale o un'istanza in una sottorete diversa oVPC. Viene usato per connettersi alle istanze in modo da eseguire attività amministrative. Le regole del gruppo di sicurezza e ACL le regole di rete consentono l'accesso dall'indirizzo IP del computer remoto (172.31.1.2/32). Tutto il traffico restante da Internet o altre reti viene rifiutato. Questo scenario offre la flessibilità per modificare i gruppi di sicurezza o le regole del gruppo di sicurezza per le istanze. La rete funziona ACL come livello di difesa di backup.
La tabella seguente mostra le regole in entrata per un gruppo di sicurezza di esempio per le istanze.
| Tipo di protocollo | Protocollo | Intervallo porte | Crea | Commenti |
|---|---|---|---|---|
| Tutto il traffico | Tutti | Tutti | sg-1234567890abcdef0 | Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro. |
| SSH | TCP | 22 | 172.31.1.2/32 | Permette SSH l'accesso in entrata dal computer remoto. |
La tabella seguente mostra le regole in uscita per un gruppo di sicurezza di esempio per le istanze. I gruppi di sicurezza sono stateful. Pertanto non è necessaria una regola che consenta le risposte al traffico in entrata.
| Tipo di protocollo | Protocollo | Intervallo porte | Destinazione | Commenti |
|---|---|---|---|---|
| Tutto il traffico | Tutti | Tutti | sg-1234567890abcdef0 | Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro. |
Nella tabella seguente sono riportate le regole in entrata per una rete di esempio ACL da associare alle sottoreti per le istanze. Le ACL regole di rete si applicano a tutte le istanze nella sottorete.
| Rule # | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | ALLOW | Permette il traffico SSH in entrata dal computer remoto. |
| * | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | DENY | Nega tutto il traffico in entrata. |
Nella tabella seguente sono riportate le regole in uscita per la rete di esempio ACL da associare alle sottoreti per le istanze. ACLsLe reti sono stateless. Pertanto, è necessaria una regola che consenta le risposte al traffico in entrata.
| Rule # | Tipo | Protocollo | Intervallo porte | Destinazione | Consenti/Nega | Commenti |
|---|---|---|---|---|---|---|
| 100 | Personalizzato TCP | TCP | 1024-65535 | 172.31.1.2/32 | ALLOW | Permette risposte in uscita al computer remoto. |
| * | Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | DENY | Nega tutto il traffico in uscita. |
Se per errore le regole del gruppo di sicurezza vengono rese troppo permissive, le regole del gruppo di sicurezza ACL in questo esempio continuano a consentire l'accesso solo dall'indirizzo IP specificato. Ad esempio, il seguente gruppo di sicurezza contiene una regola che consente SSH l'accesso in ingresso da qualsiasi indirizzo IP. Tuttavia, se si associa questo gruppo di sicurezza a un'istanza in una sottorete che utilizza la reteACL, solo altre istanze all'interno della sottorete e del computer remoto possono accedere all'istanza, poiché le ACL regole di rete negano altro traffico in ingresso alla sottorete.
La tabella seguente mostra le regole in entrata per una rete di esempio ACL per consentire l'accesso solo dall'indirizzo IP specificato.
| Tipo | Protocollo | Intervallo porte | Crea | Commenti |
|---|---|---|---|---|
| Tutto il traffico | Tutti | Tutti | sg-1234567890abcdef0 | Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro. |
| SSH | TCP | 22 | 0.0.0.0/0 | Permette SSH l'accesso da qualsiasi indirizzo IP. |
La tabella seguente mostra le regole in uscita per una rete di esempio ACL per consentire l'accesso solo dall'indirizzo IP specificato.
| Tipo | Protocollo | Intervallo porte | Destinazione | Commenti |
|---|---|---|---|---|
| Tutto il traffico | Tutti | Tutti | 0.0.0.0/0 | Autorizza tutto il traffico in uscita. |
