Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz
In diesem Beispiel können die Instances in Ihrem Subnetz miteinander kommunizieren und sind von vertrauenswürdigen Remote-Computern aus zugreifbar. Der Remotecomputer kann ein Computer in Ihrem lokalen Netzwerk oder eine Instance in einem anderen Subnetz oder VPC sein. Sie verwenden ihn, um eine Verbindung zu Ihren Instances herzustellen, um administrative Aufgaben auszuführen. Die Sicherheitsgruppenregeln und Netzwerk-ACL-Regeln erlauben den Zugriff von der IP-Adresse Ihres Remote-Computers (172.31.1.2/32). Der gesamte Datenverkehr aus dem Internet oder anderen Netzwerken wird verweigert. Dieses Szenario bietet die Flexibilität, Sicherheitsgruppen oder Sicherheitsgruppenregeln für Instances zu ändern und die Netzwerk-ACL als zusätzliche Schutzebene zu nutzen.
![Verwenden einer Sicherheitsgruppe und einer Netzwerk-ACL](images/nacl-example-diagram.png)
Im Folgenden finden Sie ein Beispiel für eine Sicherheitsgruppe, die mit den Instances verknüpft werden soll. Sicherheitsgruppen sind zustandsbehaftet. Daher benötigen Sie keine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
Eingehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Protokolltyp | Protocol (Protokoll) | Port-Bereich | Source | Kommentare | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH | TCP | 22 | 172.31.1.2/32 | Lässt eingehenden SSH-Zugriff von dem Remote-Computer zu. |
Ausgehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Protokolltyp | Protocol (Protokoll) | Port-Bereich | Zielbereich | Kommentare | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. |
Im Folgenden finden Sie ein Beispiel für eine Netzwerk-ACL, die mit den Subnetzen für die Instances verknüpft wird. Die Netzwerk-ACL-Regeln gelten für alle Instances im Subnetz. Netzwerk-ACLs sind zustandslos. Daher benötigen Sie eine Regel, die Antworten auf eingehenden Datenverkehr zulässt.
Eingehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Source | Erlauben/Verweigern | Kommentare | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 | SSH | TCP | 22 | 172.31.1.2/32 | ERLAUBEN | Lässt eingehenden Datenverkehr von dem Remote-Computer zu. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | VERWEIGERN | Verweigert jeglichen anderen eingehenden Datenverkehr. |
Ausgehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Regel Nr. | Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Erlauben/Verweigern | Kommentare | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 | Custom TCP | TCP | 1024 - 65535 | 172.31.1.2/32 | ERLAUBEN | Lässt ausgehende Antworten an den Remote-Computer zu. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* | Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | VERWEIGERN | Verweigert jeglichen anderen ausgehenden Datenverkehr. |
Wenn Sie versehentlich Ihre Sicherheitsgruppenregeln zu offen gestalten, erlaubt die Netzwerk-ACL in diesem Beispiel weiterhin den Zugriff nur über die angegebene IP-Adresse. Die folgende Sicherheitsgruppe enthält beispielsweise eine Regel, die eingehenden SSH-Zugriff von jeder IP-Adresse aus zulässt. Wenn Sie diese Sicherheitsgruppe jedoch einer Instance in einem Subnetz zuordnen, das die Netzwerk-ACL verwendet, können nur andere Instances im Subnetz und Ihr Remote-Computer auf die Instance zugreifen, da die Netzwerk-ACL-Regeln anderen eingehenden Datenverkehr im Subnetz verweigern.
Eingehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Typ | Protocol (Protokoll) | Port-Bereich | Source | Kommentare | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gesamter Datenverkehr | Alle | Alle | sg-1234567890abcdef0 | Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH | TCP | 22 | 0.0.0.0/0 | Lässt SSH-Zugriff von beliebigen IP-Adressen zu. |
Ausgehend | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Typ | Protocol (Protokoll) | Port-Bereich | Zielbereich | Kommentare | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gesamter Datenverkehr | Alle | Alle | 0.0.0.0/0 | Lässt den gesamten ausgehenden Datenverkehr zu. |