ACL#

Общая информация#

Списки контроля доступа (Access Control List, ACL) действуют как межсетевые экраны на уровне подсетей. При создании VPC создаётся список контроля доступа по умолчанию. Он назначается каждой создаваемой подсети и разрешает весь входящий и исходящий трафик. Соответствующие правила приведены в таблицах ниже.

После создания подсети вы можете назначить ей свой список контроля доступа. На рисунке представлены возможные варианты назначения ACL подсетям и групп безопасности сетевым интерфейсам. Например, вы можете ассоциировать список контроля доступа с несколькими подсетями.

../../_images/version_acl_sg.png
Входящие правила для списка контроля доступа по умолчанию#

Номер правила

Протокол

CIDR

Порты

Действие

100

all(-1)

0.0.0.0/0

Разрешить

32767

all(-1)

0.0.0.0/0

Запретить
Исходящие правила для списка контроля доступа по умолчанию#

Номер правила

Протокол

CIDR

Порты

Действие

100

all(-1)

0.0.0.0/0

Разрешить

32767

all(-1)

0.0.0.0/0

Запретить

Внимание

Если список контроля доступа назначен подсети, которая подключена к транзитному шлюзу, то входящие правила ACL не будут применяться к трафику, поступающему из транзитного шлюза.

Операции со списками контроля доступа#

Создать ACL#

  1. Перейдите в раздел Виртуальные машины Безопасность ACL.

  2. Нажмите Создать.

  3. В открывшемся окне укажите следующие параметры:

    • тег Name (опционально);

    • VPC, в котором необходимо создать список контроля доступа.

  4. Если необходимо назначить теги, перейдите на следующий шаг, нажав Добавить теги. Укажите ключ тега и его значение.

  5. После задания всех необходимых параметров нажмите Создать.

Созданный список будет содержать два правила, запрещающие весь входящий и исходящий трафик, но они будут иметь наименьший приоритет. Перейдя по ссылке с идентификатором списка контроля доступа, вы можете задать свои правила, назначить ACL подсетям, посмотреть список ассоциированных подсетей и общую информацию о данном ACL.

Назначить ACL подсети#

  1. Перейдите в раздел Виртуальные машины Безопасность ACL.

  2. Выберите ACL в таблице ресурсов.

  3. Нажмите Назначить подсетям.

  4. В открывшемся окне выберите подсети, которым следует назначить список контроля доступа.

    Примечание

    Для сужения поиска ACL вы можете использовать переключатель VPC и поиск по таблице. Одновременно можно выбрать несколько подсетей. Одной подсети можно назначить только один ACL, впоследствии вы можете всегда ассоциировать с подсетью другой ACL.

    Примечание

    Чтобы ассоциировать с подсетью другой ACL, достаточно ей его назначить.

  5. Нажмите Назначить.

Кроме того, данную операцию можно выполнить на странице списка. Для этого перейдите на вкладку Подсети и нажмите Назначить подсетям.

Если вы хотите узнать, каким подсетям назначен конкретный список контроля доступа, откройте вкладку Подсети на его странице.

Внимание

Список контроля доступа можно назначить не более чем 200 подсетям в одном VPC.

Задать теги для ACL#

Чтобы добавить, изменить или удалить теги для списка контроля доступа:

  1. Перейдите в раздел Доступ и безопасность ACL.

  2. Выберите в таблице ресурсов список контроля доступа, у которого необходимо отредактировать теги, и нажмите на идентификатор списка для перехода на его страницу.

  3. Откройте вкладку Теги.

  4. Для добавления тега нажмите Добавить тег и задайте поля Ключ и Значение.

    Для изменения тега отредактируйте требуемые поля (Значение и/или Ключ) у изменяемого тега.

    Для удаления тега нажмите на иконку рядом с ненужным тегом.

    Примечание

    Если ни один тег не был ранее задан, то вы можете добавить тег Name, нажав Добавить тег Name и задав его значение.

    Примечание

    Тег Name можно также изменить на вкладке Информация, отредактировав соответствующее поле.

  5. Нажмите Применить для сохранения изменений.

Удалить ACL#

Важно

Прежде чем удалять список контроля доступа, убедитесь, что он не назначен ни одной подсети. Если удаляемый список контроля доступа ассоциирован с какой-либо подсетью, то сначала назначьте ей другой ACL.

  1. Перейдите в раздел Виртуальные машины Безопасность ACL.

  2. Выберите ACL в таблице ресурсов и нажмите Удалить.

  3. Подтвердите удаление в открывшемся окне.

Кроме того, данную операцию можно выполнить на странице ACL. Для этого перейдите на вкладку Информация и нажмите Удалить.

Внимание

Список контроля доступа по умолчанию удалить нельзя.

Работа с правилами#

Каждый список контроля доступа содержит пронумерованные входящие и исходящие правила, которые разрешают или запрещают трафик на уровне подсети. Правила применяются в порядке приоритета, который в свою очередь зависит от номера: чем меньше номер, тем выше приоритет у правила. Рекомендуем вначале создавать правила с номерами, кратными 100. Это позволит в дальнейшем избежать трудностей с добавлением правил с промежуточным приоритетом между двумя существующими правилами. Наибольший номер, который может иметь правило, — 32766.

Внимание

В одном списке контроля доступа не может быть двух правил одного направления с одинаковым номером. Кроме того, нельзя создать более 20 правил одного направления.

Создать правило#

Чтобы создать входящее или исходящее правило:

  1. Перейдите в раздел Виртуальные машины Безопасность ACL.

  2. Найдите ACL в таблице ресурсов и нажмите на его идентификатор для перехода на страницу ACL.

  3. Откройте нужную вкладку — Входящие правила или Исходящие правила — и нажмите Добавить.

  4. В открывшемся окне задайте необходимые параметры:

    • Номер правила.

    • Тип правила.

    • Протокол — Вы можете задать правило для всех протоколов, либо выбрать конкретный протокол из списка. Если нужного протокола в списке нет, то выберите Другой.

    • Номер протокола — При отсутствии протокола в списке задайте его номер согласно IANA.

    • Доступ к портам — Для протоколов TCP и UDP укажите, к каким портам возможен доступ — ко всем или к некоторым.

    • Порты — При выборе доступа только к некоторым портам укажите список портов и/или диапазонов портов через запятую.

      Примечание

      Для каждого порта или диапазона портов из списка будет создано отдельное правило.

    • Разрешить доступ — Вы можете разрешить доступ со всех IP-адресов или конкретной сети.

    • Сеть — При выборе опции Из сети необходимо указать сеть в нотации CIDR.

  5. После задания всех параметров нажмите Добавить для создания правила.

После подтверждения добавления подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.

Изменить правило#

  1. Перейдите в раздел Виртуальные машины Безопасность ACL.

  2. Найдите ACL в таблице ресурсов и нажмите на его идентификатор для перехода на страницу ACL.

  3. Откройте нужную вкладку — Входящие правила или Исходящие правила, — выберите изменяемое правило в списке ресурсов и нажмите Изменить.

  4. В открывшемся окне вы можете отредактировать следующие параметры:

    • Номер правила.

    • Тип правила.

    • Протокол — Вы можете задать правило для всех протоколов, либо выбрать конкретный протокол из списка. Если нужного протокола в списке нет, то выберите Другой.

    • Номер протокола — При отсутствии протокола в списке задайте его номер согласно IANA.

    • Доступ к портам — Для протоколов TCP и UDP укажите, к каким портам возможен доступ — ко всем или к некоторым.

    • Порты — При выборе доступа только к некоторым портам укажите список портов и/или диапазонов портов через запятую.

    • Разрешить доступ — Вы можете разрешить доступ со всех IP-адресов или конкретной сети..

    • Сеть — При выборе опции Из сети необходимо указать сеть в нотации CIDR.

  5. После редактирования параметров нажмите Изменить для сохранения правила.

После подтверждения изменений подсети, которым назначен этот список контроля доступа, будут фильтровать трафик в соответствии с новыми правилами безопасности.

Удалить правило#

Одновременно можно удалить несколько правил.

  1. Перейдите в раздел Виртуальные машины Безопасность ACL.

  2. Найдите ACL в таблице ресурсов и нажмите на его идентификатор для перехода на страницу ACL.

  3. Откройте нужную вкладку — Входящие правила или Исходящие правила, — выберите удаляемое правило или правила в списке ресурсов и нажмите Удалить.

  4. Подтвердите удаление в открывшемся окне.

Информация об ACL#

Общую информацию об имеющихся списках контроля доступа можно посмотреть в подразделе ACL. Для просмотра всех ACL в проекте выберите Все VPC в фильтре VPC. Для отображения ACL из конкретного VPC выберите нужное VPC в фильтре.

Для просмотра детальной информации о конкретном списке контроля доступа перейдите в раздел Виртуальные машины Безопасность ACL и выберите нужный список. Для упрощения поиска ACL в таблице вы можете в фильтре VPC выбрать VPC, в котором создан ACL, либо воспользоваться поиском по таблице.

Выбрав нужный список контроля доступа, нажмите на его идентификатор. В результате откроется страница ACL.

На вкладке Информация отображаются основные характеристики ACL:

  • имя списка (тег Name);

  • статус ACL как списка контроля доступа по умолчанию (Да/Нет);

  • VPC, в котором создан список;

  • количество подсетей, которым назначен список.

Здесь вы можете:

На вкладке Входящие правила отображается таблица с данными входящих правил:

  • номер правила;

  • протокол;

  • CIDR-блок IP-адресов, откуда разрешён доступ;

  • порты;

  • действие правил.

Здесь вы можете добавить, изменить или удалить входящее правило.

На вкладке Исходящие правила отображается таблица с данными исходящих правил:

  • номер правила;

  • протокол;

  • CIDR-блок IP-адресов, куда разрешён доступ;

  • порты;

  • действие правил.

Здесь вы можете добавить, изменить или удалить исходящее правило.

На вкладке Подсети отображается таблица с данными о подсетях, которым назначен данный ACL:

  • идентификатор подсети;

  • имя подсети;

  • CIDR-блок IP-адресов;

  • статус подсети как подсети умолчанию (Да/Нет).

Здесь вы можете также назначить ACL подсетям.

На вкладке Теги можно посмотреть теги, которые назначены ACL. Здесь вы можете также добавить, изменить и удалить теги.