Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemple : contrôler l'accès aux instances dans un sous-réseau
Dans cet exemple, les instances de votre sous-réseau peuvent communiquer entre elles et sont accessibles depuis un ordinateur distant fiable. L'ordinateur distant peut être un ordinateur de votre réseau local ou une instance d'un autre sous-réseau ou VPC. Vous l'utilisez pour vous connecter à vos instances afin d'effectuer des tâches administratives. Vos règles de groupe de sécurité et de liste ACL réseau autorisent l'accès à partir de l'adresse IP de votre ordinateur distant (172.31.1.2/32). Le reste du trafic provenant d'Internet ou d'autres réseaux est refusé. Ce scénario vous offre la possibilité de modifier les groupes de sécurité ou les règles de groupe de sécurité pour vos instances, et de définir la liste ACL réseau comme la couche de défense des sauvegardes.
![Utilisation d'un groupe de sécurité et d'une liste ACL réseau](images/nacl-example-diagram.png)
Voici un exemple de groupe de sécurité à associer aux instances. Les groupes de sécurité sont avec état. Par conséquent, vous n'avez pas besoin d'une règle qui autorise les réponses pour le trafic entrant.
Entrant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Type de protocole | Protocole | Plage de ports | Source | Commentaires | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tout le trafic | Tous | Tous les comptes | sg-1234567890abcdef0 | Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH | TCP | 22 | 172.31.1.2/32 | Autorise l'accès SSH entrant depuis l'ordinateur distant. |
Sortant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Type de protocole | Protocole | Plage de ports | Destination | Commentaires | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tout le trafic | Tous | Tous les comptes | sg-1234567890abcdef0 | Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles. |
Voici un exemple d'ACL réseau à associer aux sous-réseaux pour les instances. Les règles ACL réseau s'appliquent à toutes les instances du sous-réseau. Les listes ACL réseau sont sans état. Par conséquent, vous avez besoin d'une règle qui autorise les réponses pour le trafic entrant.
Entrant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Règle n° | Type | Protocole | Plage de ports | Source | Autoriser/Refuser | Commentaires | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 | SSH | TCP | 22 | 172.31.1.2/32 | AUTORISER | Autorise le trafic entrant depuis l'ordinateur distant. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REFUSER | Refuse tout autre trafic entrant. |
Sortant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Règle n° | Type | Protocole | Plage de ports | Destination | Autoriser/Refuser | Commentaires | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 | TCP personnalisé | TCP | 1024-65535 | 172.31.1.2/32 | AUTORISER | Autorise les réponses sortantes vers l'ordinateur distant. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* | Tout le trafic | Tous | Tous | 0.0.0.0/0 | REFUSER | Refuse tout autre trafic sortant. |
Si vous rendez accidentellement vos règles de groupe de sécurité trop permissives, l'ACL réseau de cet exemple continue d'autoriser l'accès uniquement à partir de l'adresse IP spécifiée. Par exemple, le groupe de sécurité suivant contient une règle qui autorise l'accès SSH entrant à partir de n'importe quelle adresse IP. Toutefois, si vous associez ce groupe de sécurité à une instance d'un sous-réseau qui utilise l'ACL réseau, seules les autres instances du sous-réseau et de votre ordinateur distant peuvent accéder à l'instance, car les règles ACL réseau refusent tout autre trafic entrant vers le sous-réseau.
Entrant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Type | Protocole | Plage de ports | Source | Commentaires | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tout le trafic | Tous | Tous les comptes | sg-1234567890abcdef0 | Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH | TCP | 22 | 0.0.0.0/0 | Autorise l'accès SSH depuis n'importe quelle adresse IP. |
Sortant | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Type | Protocole | Plage de ports | Destination | Commentaires | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tout le trafic | Tous | Tous | 0.0.0.0/0 | Autorise tout le trafic sortant. |