ACL
In this article:
ACL#
Общая информация#
Списки контроля доступа (Access Control List, ACL) действуют как межсетевые экраны на уровне подсетей. При создании VPC создаётся список контроля доступа по умолчанию. Он назначается каждой создаваемой подсети и разрешает весь входящий и исходящий трафик. Соответствующие правила приведены в таблицах ниже.
После создания подсети вы можете назначить ей свой список контроля доступа. На рисунке представлены возможные варианты назначения ACL подсетям и групп безопасности сетевым интерфейсам. Например, вы можете ассоциировать список контроля доступа с несколькими подсетями.

Номер правила |
Протокол |
CIDR |
Порты |
Действие |
---|---|---|---|---|
100 |
all(-1) |
0.0.0.0/0 |
Разрешить |
|
32767 |
all(-1) |
0.0.0.0/0 |
Запретить |
Номер правила |
Протокол |
CIDR |
Порты |
Действие |
---|---|---|---|---|
100 |
all(-1) |
0.0.0.0/0 |
Разрешить |
|
32767 |
all(-1) |
0.0.0.0/0 |
Запретить |
Внимание
Если список контроля доступа назначен подсети, которая подключена к транзитному шлюзу, то входящие правила ACL не будут применяться к трафику, поступающему из транзитного шлюза.
Операции со списками контроля доступа#
Создать ACL#
Чтобы создать список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL и нажмите Создать. В открывшемся окне выберите VPC, в котором необходимо создать список контроля доступа. Вы можете также назначить списку тег Name и дополнительные теги. Чтобы завершить создание ACL ещё раз нажмите Создать.
Созданный список будет содержать два правила, запрещающие весь входящий и исходящий трафик, но они будут иметь наименьший приоритет. Перейдя по ссылке с идентификатором списка контроля доступа, вы можете задать свои правила, назначить ACL подсетям, посмотреть список ассоциированных подсетей и общую информацию о данном ACL.
Назначить ACL подсети#
Чтобы назначить подсети список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL, выберите нужный ACL в таблице и нажмите Назначить подсетям. Либо перейдите по ссылке с идентификатором ACL на его страницу и на вкладке Информация или Подсети нажмите Назначить подсетям.
Примечание
Для сужения поиска ACL вы можете использовать переключатель VPC и поиск по таблице.
В диалоговом окне из раскрывающегося списка выберите подсеть, которой следует назначить список контроля доступа, и подтвердите действие. Вы можете выбрать сразу несколько подсетей. Одной подсети можно назначить только один ACL, впоследствии вы можете всегда ассоциировать с подсетью другой ACL.
Примечание
Чтобы ассоциировать с подсетью другой ACL, достаточно ей его назначить.
Кроме того, вы можете назначить ACL подсетям в разделе Виртуальные машины Сеть Подсети. Выберите в таблице одну или несколько подсетей, которым вы хотите его назначить, и нажмите Назначить ACL. В открывшемся окне выберите из раскрывающегося списка нужный список контроля доступа и подтвердите действие.
Если вы хотите узнать, каким подсетям назначен конкретный список контроля доступа, откройте вкладку Подсети на его странице.
Внимание
Список контроля доступа можно назначить не более чем 200 подсетям в одном VPC.
Удалить ACL#
Примечание
Прежде чем удалять список контроля доступа, убедитесь, что он не назначен ни одной подсети. Если удаляемый список контроля доступа ассоциирован с какой-либо подсетью, то сначала назначьте ей другой ACL.
Чтобы удалить список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL, выберите ACL в таблице ресурсов или перейдите на страницу этого ACL и нажмите Удалить.
Внимание
Список контроля доступа по умолчанию удалить нельзя.
Работа с правилами#
Каждый список контроля доступа содержит пронумерованные входящие и исходящие правила, которые разрешают или запрещают трафик на уровне подсети. Правила применяются в порядке приоритета, который в свою очередь зависит от номера: чем меньше номер, тем выше приоритет у правила. Рекомендуем вначале создавать правила с номерами, кратными 100. Это позволит в дальнейшем избежать трудностей с добавлением правил с промежуточным приоритетом между двумя существующими правилами. Наибольший номер, который может иметь правило, — 32766.
Внимание
В одном списке контроля доступа не может быть двух правил одного направления с одинаковым номером. Кроме того, нельзя создать более 20 правил одного направления.
Создать правило#
Чтобы добавить входящее или исходящее правило, откройте соответствующую вкладку на странице ACL. Нажмите Добавить и задайте необходимые параметры. После подтверждения добавления подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.
Изменить правило#
Чтобы изменить входящее или исходящее правило, откройте соответствующую вкладку на странице ACL. Выберите нужное правило, нажмите Изменить и настройте параметры в диалоговом окне. После подтверждения изменений подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.
Удалить правило#
Чтобы удалить входящее или исходящее правило, выберите его на одноимённой вкладке на странице ACL и нажмите Удалить. После подтверждения действия правило будет удалено. Одновременно можно удалить несколько правил.
Информация об ACL#
Общую информацию об имеющихся списках контроля доступа можно посмотреть в подразделе ACL. Для просмотра всех ACL в проекте выберите Все VPC в фильтре VPC. Для отображения ACL из конкретного VPC выберите нужный VPC в фильтре.
Для просмотра детальной информации о конкретном списке контроля доступа перейдите в раздел Виртуальные машины Безопасность ACL и выберите нужный список. Для упрощения поиска ACL в таблице вы можете в фильтре VPC выбрать VPC, в котором создан ACL, либо воспользоваться поиском по таблице.
Выбрав нужный список контроля доступа, нажмите на его идентификатор. В результате откроется страница ACL.
На вкладке Информация отображаются основные характеристики ACL:
имя списка (тег Name);
статус ACL как списка контроля доступа по умолчанию (Да/Нет);
VPC, в котором создан список;
количество подсетей, которым назначен список.
Здесь вы можете:
изменить имя списка (тег Name);
На вкладке Входящие правила отображается таблица с данными входящих правил:
номер правила;
протокол;
CIDR-блок IP-адресов, откуда разрешён доступ;
порты;
действие правил.
Здесь вы можете добавить, изменить или удалить входящее правило.
На вкладке Исходящие правила отображается таблица с данными исходящих правил:
номер правила;
протокол;
CIDR-блок IP-адресов, куда разрешён доступ;
порты;
действие правил.
Здесь вы можете добавить, изменить или удалить исходящее правило.
На вкладке Подсети отображается таблица с данными о подсетях, которым назначен данный ACL:
идентификатор подсети;
имя подсети;
CIDR-блок IP-адресов;
статус подсети как подсети умолчанию (Да/Нет).
Здесь вы можете также назначить ACL подсетям.
На вкладке Теги можно посмотреть теги, которые назначены ACL. Здесь вы можете также добавить, изменить и удалить теги.