Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz

In diesem Beispiel können die Instances in Ihrem Subnetz miteinander kommunizieren und sind von vertrauenswürdigen Remote-Computern aus zugreifbar. Der Remotecomputer kann ein Computer in Ihrem lokalen Netzwerk oder eine Instance in einem anderen Subnetz oder VPC sein. Sie verwenden ihn, um eine Verbindung zu Ihren Instances herzustellen, um administrative Aufgaben auszuführen. Die Sicherheitsgruppenregeln und Netzwerk-ACL-Regeln erlauben den Zugriff von der IP-Adresse Ihres Remote-Computers (172.31.1.2/32). Der gesamte Datenverkehr aus dem Internet oder anderen Netzwerken wird verweigert. Dieses Szenario bietet die Flexibilität, Sicherheitsgruppen oder Sicherheitsgruppenregeln für Instances zu ändern und die Netzwerk-ACL als zusätzliche Schutzebene zu nutzen.

Verwenden einer Sicherheitsgruppe und einer Netzwerk-ACL

Im Folgenden finden Sie ein Beispiel für eine Sicherheitsgruppe, die mit den Instances verknüpft werden soll. Sicherheitsgruppen sind zustandsbehaftet. Daher benötigen Sie keine Regel, die Antworten auf eingehenden Datenverkehr zulässt.

Eingehend
Protokolltyp Protocol (Protokoll) Port-Bereich Source Kommentare
Gesamter Datenverkehr Alle Alle sg-1234567890abcdef0 Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren.
SSH TCP 22 172.31.1.2/32 Lässt eingehenden SSH-Zugriff von dem Remote-Computer zu.
Ausgehend
Protokolltyp Protocol (Protokoll) Port-Bereich Zielbereich Kommentare
Gesamter Datenverkehr Alle Alle sg-1234567890abcdef0 Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren.

Im Folgenden finden Sie ein Beispiel für eine Netzwerk-ACL, die mit den Subnetzen für die Instances verknüpft wird. Die Netzwerk-ACL-Regeln gelten für alle Instances im Subnetz. Netzwerk-ACLs sind zustandslos. Daher benötigen Sie eine Regel, die Antworten auf eingehenden Datenverkehr zulässt.

Eingehend
Regel Nr. Typ Protocol (Protokoll) Port-Bereich Source Erlauben/Verweigern Kommentare
100 SSH TCP 22 172.31.1.2/32 ERLAUBEN Lässt eingehenden Datenverkehr von dem Remote-Computer zu.
* Gesamter Datenverkehr Alle Alle 0.0.0.0/0 VERWEIGERN Verweigert jeglichen anderen eingehenden Datenverkehr.
Ausgehend
Regel Nr. Typ Protocol (Protokoll) Port-Bereich Zielbereich Erlauben/Verweigern Kommentare
100 Custom TCP TCP 1024 - 65535 172.31.1.2/32 ERLAUBEN Lässt ausgehende Antworten an den Remote-Computer zu.
* Gesamter Datenverkehr Alle Alle 0.0.0.0/0 VERWEIGERN Verweigert jeglichen anderen ausgehenden Datenverkehr.

Wenn Sie versehentlich Ihre Sicherheitsgruppenregeln zu offen gestalten, erlaubt die Netzwerk-ACL in diesem Beispiel weiterhin den Zugriff nur über die angegebene IP-Adresse. Die folgende Sicherheitsgruppe enthält beispielsweise eine Regel, die eingehenden SSH-Zugriff von jeder IP-Adresse aus zulässt. Wenn Sie diese Sicherheitsgruppe jedoch einer Instance in einem Subnetz zuordnen, das die Netzwerk-ACL verwendet, können nur andere Instances im Subnetz und Ihr Remote-Computer auf die Instance zugreifen, da die Netzwerk-ACL-Regeln anderen eingehenden Datenverkehr im Subnetz verweigern.

Eingehend
Typ Protocol (Protokoll) Port-Bereich Source Kommentare
Gesamter Datenverkehr Alle Alle sg-1234567890abcdef0 Alle mit dieser Sicherheitsgruppe verbundenen Instances können miteinander kommunizieren.
SSH TCP 22 0.0.0.0/0 Lässt SSH-Zugriff von beliebigen IP-Adressen zu.
Ausgehend
Typ Protocol (Protokoll) Port-Bereich Zielbereich Kommentare
Gesamter Datenverkehr Alle Alle 0.0.0.0/0 Lässt den gesamten ausgehenden Datenverkehr zu.