ACL
In this article:
ACL#
Общая информация#
Списки контроля доступа (Access Control List, ACL) действуют как межсетевые экраны на уровне подсетей. При создании VPC создаётся список контроля доступа по умолчанию. Он назначается каждой создаваемой подсети и разрешает весь входящий и исходящий трафик. Соответствующие правила приведены в таблицах ниже.
После создания подсети вы можете назначить ей свой список контроля доступа. На рисунке представлены возможные варианты назначения ACL подсетям и групп безопасности сетевым интерфейсам. Например, вы можете ассоциировать список контроля доступа с несколькими подсетями.
Номер правила |
Протокол |
CIDR |
Порты |
Действие |
---|---|---|---|---|
100 |
all(-1) |
0.0.0.0/0 |
Разрешить |
|
32767 |
all(-1) |
0.0.0.0/0 |
Запретить |
Номер правила |
Протокол |
CIDR |
Порты |
Действие |
---|---|---|---|---|
100 |
all(-1) |
0.0.0.0/0 |
Разрешить |
|
32767 |
all(-1) |
0.0.0.0/0 |
Запретить |
Внимание
Если список контроля доступа назначен подсети, которая подключена к транзитному шлюзу, то входящие правила ACL не будут применяться к трафику, поступающему из транзитного шлюза.
Операции со списками контроля доступа#
Создать ACL#
Чтобы создать список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL и нажмите Создать. В открывшемся окне выберите VPC, в котором необходимо создать список контроля доступа. Вы можете также назначить списку тег Name и дополнительные теги. Чтобы завершить создание ACL ещё раз нажмите Создать.
Созданный список будет содержать два правила, запрещающие весь входящий и исходящий трафик, но они будут иметь наименьший приоритет. Перейдя по ссылке с идентификатором списка контроля доступа, вы можете задать свои правила, назначить ACL подсетям, посмотреть список ассоциированных подсетей и общую информацию о данном ACL.
Назначить ACL подсети#
Чтобы назначить подсети список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL, выберите нужный ACL в таблице и нажмите Назначить подсетям. Либо перейдите по ссылке с идентификатором ACL на его страницу и на вкладке Информация или Подсети нажмите Назначить подсетям.
Примечание
Для сужения поиска ACL вы можете использовать переключатель VPC и поиск по таблице.
В диалоговом окне из раскрывающегося списка выберите подсеть, которой следует назначить список контроля доступа, и подтвердите действие. Вы можете выбрать сразу несколько подсетей. Одной подсети можно назначить только один ACL, впоследствии вы можете всегда ассоциировать с подсетью другой ACL.
Примечание
Чтобы ассоциировать с подсетью другой ACL, достаточно ей его назначить.
Кроме того, вы можете назначить ACL подсетям в разделе Виртуальные машины Сеть Подсети. Выберите в таблице одну или несколько подсетей, которым вы хотите его назначить, и нажмите Назначить ACL. В открывшемся окне выберите из раскрывающегося списка нужный список контроля доступа и подтвердите действие.
Если вы хотите узнать, каким подсетям назначен конкретный список контроля доступа, откройте вкладку Подсети на его странице.
Внимание
Список контроля доступа можно назначить не более чем 200 подсетям в одном VPC.
Задать теги для ACL#
Чтобы добавить, изменить или удалить теги для списка контроля доступа:
Перейдите в раздел Доступ и безопасность ACL.
Выберите в таблице ресурсов список контроля доступа, у которого необходимо отредактировать теги, и нажмите на идентификатор списка для перехода на его страницу.
Откройте вкладку Теги.
Для добавления тега нажмите Добавить тег и задайте поля Ключ и Значение.
Для изменения тега отредактируйте требуемые поля (Значение и/или Ключ) у изменяемого тега.
Для удаления тега нажмите на иконку рядом с ненужным тегом.
Примечание
Если ни один тег не был ранее задан, то вы можете добавить тег Name, нажав Добавить тег Name и задав его значение.
Примечание
Тег Name можно также изменить на вкладке Информация, отредактировав соответствующее поле.
Нажмите Применить для сохранения изменений.
Удалить ACL#
Примечание
Прежде чем удалять список контроля доступа, убедитесь, что он не назначен ни одной подсети. Если удаляемый список контроля доступа ассоциирован с какой-либо подсетью, то сначала назначьте ей другой ACL.
Чтобы удалить список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL, выберите ACL в таблице ресурсов или перейдите на страницу этого ACL и нажмите Удалить.
Внимание
Список контроля доступа по умолчанию удалить нельзя.
Работа с правилами#
Каждый список контроля доступа содержит пронумерованные входящие и исходящие правила, которые разрешают или запрещают трафик на уровне подсети. Правила применяются в порядке приоритета, который в свою очередь зависит от номера: чем меньше номер, тем выше приоритет у правила. Рекомендуем вначале создавать правила с номерами, кратными 100. Это позволит в дальнейшем избежать трудностей с добавлением правил с промежуточным приоритетом между двумя существующими правилами. Наибольший номер, который может иметь правило, — 32766.
Внимание
В одном списке контроля доступа не может быть двух правил одного направления с одинаковым номером. Кроме того, нельзя создать более 20 правил одного направления.
Создать правило#
Чтобы добавить входящее или исходящее правило, откройте соответствующую вкладку на странице ACL. Нажмите Добавить и задайте необходимые параметры. После подтверждения добавления подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.
Изменить правило#
Чтобы изменить входящее или исходящее правило, откройте соответствующую вкладку на странице ACL. Выберите нужное правило, нажмите Изменить и настройте параметры в диалоговом окне. После подтверждения изменений подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.
Удалить правило#
Чтобы удалить входящее или исходящее правило, выберите его на одноимённой вкладке на странице ACL и нажмите Удалить. После подтверждения действия правило будет удалено. Одновременно можно удалить несколько правил.
Информация об ACL#
Общую информацию об имеющихся списках контроля доступа можно посмотреть в подразделе ACL. Для просмотра всех ACL в проекте выберите Все VPC в фильтре VPC. Для отображения ACL из конкретного VPC выберите нужный VPC в фильтре.
Для просмотра детальной информации о конкретном списке контроля доступа перейдите в раздел Виртуальные машины Безопасность ACL и выберите нужный список. Для упрощения поиска ACL в таблице вы можете в фильтре VPC выбрать VPC, в котором создан ACL, либо воспользоваться поиском по таблице.
Выбрав нужный список контроля доступа, нажмите на его идентификатор. На странице ACL представлена информация о списке, перечень входящих и исходящих правил, данные о подсетях, которым он назначен.
На вкладке Информация отображаются данные о том, является ли ACL списком контроля доступа по умолчанию, о VPC, в котором он создан, и количестве подсетей, которым он назначен. Здесь вы можете также назначить ACL подсети и удалить его.
На вкладке Входящие правила можно посмотреть список входящих правил. Здесь вы можете добавить, изменить или удалить правило.
На вкладке Исходящие правила можно посмотреть список исходящих правил. Здесь вы можете добавить, изменить или удалить правило.
На вкладке Подсети выводится информация о подсетях, которым назначен данный ACL. Здесь вы можете также назначить ACL подсети.