ACL#

Общая информация#

Списки контроля доступа (Access Control List, ACL) действуют как межсетевые экраны на уровне подсетей. При создании VPC создаётся список контроля доступа по умолчанию. Он назначается каждой создаваемой подсети и разрешает весь входящий и исходящий трафик. Соответствующие правила приведены в таблицах ниже.

После создания подсети вы можете назначить ей свой список контроля доступа. На рисунке представлены возможные варианты назначения ACL подсетям и групп безопасности сетевым интерфейсам. Например, вы можете ассоциировать список контроля доступа с несколькими подсетями.

../../_images/version_acl_sg.png
Входящие правила для списка контроля доступа по умолчанию#

Номер правила

Протокол

CIDR

Порты

Действие

100

all(-1)

0.0.0.0/0

Разрешить

32767

all(-1)

0.0.0.0/0

Запретить

Исходящие правила для списка контроля доступа по умолчанию#

Номер правила

Протокол

CIDR

Порты

Действие

100

all(-1)

0.0.0.0/0

Разрешить

32767

all(-1)

0.0.0.0/0

Запретить

Внимание

Если список контроля доступа назначен подсети, которая подключена к транзитному шлюзу, то входящие правила ACL не будут применяться к трафику, поступающему из транзитного шлюза.

Операции со списками контроля доступа#

Создать ACL#

Чтобы создать список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL и нажмите Создать. В открывшемся окне выберите VPC, в котором необходимо создать список контроля доступа. Вы можете также назначить списку тег Name и дополнительные теги. Чтобы завершить создание ACL ещё раз нажмите Создать.

Созданный список будет содержать два правила, запрещающие весь входящий и исходящий трафик, но они будут иметь наименьший приоритет. Перейдя по ссылке с идентификатором списка контроля доступа, вы можете задать свои правила, назначить ACL подсетям, посмотреть список ассоциированных подсетей и общую информацию о данном ACL.

Назначить ACL подсети#

Чтобы назначить подсети список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL, выберите нужный ACL в таблице и нажмите Назначить подсетям. Либо перейдите по ссылке с идентификатором ACL на его страницу и на вкладке Информация или Подсети нажмите Назначить подсетям.

Примечание

Для сужения поиска ACL вы можете использовать переключатель VPC и поиск по таблице.

В диалоговом окне из раскрывающегося списка выберите подсеть, которой следует назначить список контроля доступа, и подтвердите действие. Вы можете выбрать сразу несколько подсетей. Одной подсети можно назначить только один ACL, впоследствии вы можете всегда ассоциировать с подсетью другой ACL.

Примечание

Чтобы ассоциировать с подсетью другой ACL, достаточно ей его назначить.

Кроме того, вы можете назначить ACL подсетям в разделе Виртуальные машины Сеть Подсети. Выберите в таблице одну или несколько подсетей, которым вы хотите его назначить, и нажмите Назначить ACL. В открывшемся окне выберите из раскрывающегося списка нужный список контроля доступа и подтвердите действие.

Если вы хотите узнать, каким подсетям назначен конкретный список контроля доступа, откройте вкладку Подсети на его странице.

Внимание

Список контроля доступа можно назначить не более чем 200 подсетям в одном VPC.

Задать теги для ACL#

Чтобы добавить, изменить или удалить теги для списка контроля доступа:

  1. Перейдите в раздел Доступ и безопасность ACL.

  2. Выберите в таблице ресурсов список контроля доступа, у которого необходимо отредактировать теги, и нажмите на идентификатор списка для перехода на его страницу.

  3. Откройте вкладку Теги.

  4. Для добавления тега нажмите Добавить тег и задайте поля Ключ и Значение.

    Для изменения тега отредактируйте требуемые поля (Значение и/или Ключ) у изменяемого тега.

    Для удаления тега нажмите на иконку рядом с ненужным тегом.

    Примечание

    Если ни один тег не был ранее задан, то вы можете добавить тег Name, нажав Добавить тег Name и задав его значение.

    Примечание

    Тег Name можно также изменить на вкладке Информация, отредактировав соответствующее поле.

  5. Нажмите Применить для сохранения изменений.

Удалить ACL#

Примечание

Прежде чем удалять список контроля доступа, убедитесь, что он не назначен ни одной подсети. Если удаляемый список контроля доступа ассоциирован с какой-либо подсетью, то сначала назначьте ей другой ACL.

Чтобы удалить список контроля доступа, перейдите в раздел Виртуальные машины Безопасность ACL, выберите ACL в таблице ресурсов или перейдите на страницу этого ACL и нажмите Удалить.

Внимание

Список контроля доступа по умолчанию удалить нельзя.

Работа с правилами#

Каждый список контроля доступа содержит пронумерованные входящие и исходящие правила, которые разрешают или запрещают трафик на уровне подсети. Правила применяются в порядке приоритета, который в свою очередь зависит от номера: чем меньше номер, тем выше приоритет у правила. Рекомендуем вначале создавать правила с номерами, кратными 100. Это позволит в дальнейшем избежать трудностей с добавлением правил с промежуточным приоритетом между двумя существующими правилами. Наибольший номер, который может иметь правило, — 32766.

Внимание

В одном списке контроля доступа не может быть двух правил одного направления с одинаковым номером. Кроме того, нельзя создать более 20 правил одного направления.

Создать правило#

Чтобы добавить входящее или исходящее правило, откройте соответствующую вкладку на странице ACL. Нажмите Добавить и задайте необходимые параметры. После подтверждения добавления подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.

Изменить правило#

Чтобы изменить входящее или исходящее правило, откройте соответствующую вкладку на странице ACL. Выберите нужное правило, нажмите Изменить и настройте параметры в диалоговом окне. После подтверждения изменений подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.

Удалить правило#

Чтобы удалить входящее или исходящее правило, выберите его на одноимённой вкладке на странице ACL и нажмите Удалить. После подтверждения действия правило будет удалено. Одновременно можно удалить несколько правил.

Информация об ACL#

Общую информацию об имеющихся списках контроля доступа можно посмотреть в подразделе ACL. Для просмотра всех ACL в проекте выберите Все VPC в фильтре VPC. Для отображения ACL из конкретного VPC выберите нужный VPC в фильтре.

Для просмотра детальной информации о конкретном списке контроля доступа перейдите в раздел Виртуальные машины Безопасность ACL и выберите нужный список. Для упрощения поиска ACL в таблице вы можете в фильтре VPC выбрать VPC, в котором создан ACL, либо воспользоваться поиском по таблице.

Выбрав нужный список контроля доступа, нажмите на его идентификатор. В результате откроется страница ACL.

На вкладке Информация отображаются основные характеристики ACL:

  • имя списка (тег Name);

  • статус ACL как списка контроля доступа по умолчанию (Да/Нет);

  • VPC, в котором создан список;

  • количество подсетей, которым назначен список.

Здесь вы можете:

На вкладке Входящие правила отображается таблица с данными входящих правил:

  • номер правила;

  • протокол;

  • CIDR-блок IP-адресов, откуда разрешён доступ;

  • порты;

  • действие правил.

Здесь вы можете добавить, изменить или удалить входящее правило.

На вкладке Исходящие правила отображается таблица с данными исходящих правил:

  • номер правила;

  • протокол;

  • CIDR-блок IP-адресов, куда разрешён доступ;

  • порты;

  • действие правил.

Здесь вы можете добавить, изменить или удалить исходящее правило.

На вкладке Подсети отображается таблица с данными о подсетях, которым назначен данный ACL:

  • идентификатор подсети;

  • имя подсети;

  • CIDR-блок IP-адресов;

  • статус подсети как подсети умолчанию (Да/Нет).

Здесь вы можете также назначить ACL подсетям.

На вкладке Теги можно посмотреть теги, которые назначены ACL. Здесь вы можете также добавить, изменить и удалить теги.