Esempio: controllo dell'accesso alle istanze in una sottorete - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio: controllo dell'accesso alle istanze in una sottorete

In questo esempio, le istanze nella sottorete possono comunicare tra loro e sono accessibili da un computer remoto affidabile. Il computer remoto potrebbe essere un computer della rete locale o un'istanza in una sottorete o in un VPC diversi. Viene usato per connettersi alle istanze in modo da eseguire attività amministrative. Le regole del gruppo di sicurezza e le regole della lista di controllo accessi di rete consentono l'accesso dall'indirizzo IP del computer remoto (172.31.1.2/32). Tutto il traffico restante da Internet o altre reti viene rifiutato. Questo scenario offre la flessibilità per modificare i gruppi di sicurezza o le regole dei gruppi di sicurezza per le istanze. La lista di controllo accessi di rete funziona come livello di difesa di backup.

Utilizzo di un gruppo di sicurezza e di un NACL

Di seguito è riportato un esempio di gruppo di sicurezza da associare alle istanze. I gruppi di sicurezza sono stateful. Pertanto non è necessaria una regola che consenta le risposte al traffico in entrata.

In entrata
Tipo di protocollo Protocollo Intervallo porte Crea Commenti
Tutto il traffico Tutti Tutti sg-1234567890abcdef0 Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro.
SSH TCP 22 172.31.1.2/32 Permette l'accesso SSH in entrata dal computer remoto.
In uscita
Tipo di protocollo Protocollo Intervallo porte Destinazione Commenti
Tutto il traffico Tutti Tutti sg-1234567890abcdef0 Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro.

Di seguito è riportato un esempio di ACL di rete da associare alle sottoreti per le istanze. Le regole delle liste di controllo accessi di rete si applicano a tutte le istanze nella sottorete. Le liste di controllo accessi di rete sono stateless. Pertanto, è necessaria una regola che consenta le risposte al traffico in entrata.

In entrata
Rule # Tipo Protocollo Intervallo porte Crea Consenti/Nega Commenti
100 SSH TCP 22 172.31.1.2/32 PERMETTI Permette il traffico SSH in entrata dal computer remoto.
* Tutto il traffico Tutti Tutti 0.0.0.0/0 RIFIUTA Nega tutto il traffico in entrata.
In uscita
Rule # Tipo Protocollo Intervallo porte Destinazione Consenti/Nega Commenti
100 TCP personalizzato TCP 1024-65535 172.31.1.2/32 PERMETTI Permette risposte in uscita al computer remoto.
* Tutto il traffico Tutti Tutti 0.0.0.0/0 RIFIUTA Nega tutto il traffico in uscita.

Se per errore le regole del gruppo di sicurezza vengono rese troppo permissive, le regole della lista di controllo accessi di rete in questo esempio continuano a consentire l'accesso solo dall'indirizzo IP specificato. Ad esempio, il seguente gruppo di sicurezza contiene una regola che consente l'accesso SSH in ingresso da qualsiasi indirizzo IP. Tuttavia, se si associa questo gruppo di sicurezza a un'istanza in una sottorete che utilizza l'ACL di rete, solo altre istanze all'interno della sottorete e del computer remoto possono accedere all'istanza, poiché le regole ACL di rete negano altro traffico in ingresso alla sottorete.

In entrata
Type Protocollo Intervallo porte Crea Commenti
Tutto il traffico Tutti Tutti sg-1234567890abcdef0 Tutte le istanze associate a questo gruppo di sicurezza possono comunicare tra loro.
SSH TCP 22 0.0.0.0/0 Permette l'accesso SSH da qualsiasi indirizzo IP.
In uscita
Type Protocollo Intervallo porte Destinazione Commenti
Tutto il traffico Tutti Tutti 0.0.0.0/0 Autorizza tutto il traffico in uscita.