为保证资源的数据安全,您可以通过访问控制策略,对专有网络VPC的访问进行控制,允许被授权的用户访问资源。
概述
专有网络VPC支持的访问控制功能包括:
使用网络ACL功能
网络ACL是专有网络VPC中的网络访问控制功能。您可以在专有网络VPC中创建网络ACL并添加入方向和出方向规则。创建网络ACL后,您可以将网络ACL与交换机绑定,实现对交换机中ECS实例流量的访问控制。
配置网络ACL
网络ACL可以通过以下方式进行配置:
登录专有网络控制台:关于如何通过专有网络控制台配置网络ACL,请参见使用网络ACL。
调用相关API:您可以通过调用以下API配置网络ACL。
CreateNetworkAcl:创建网络ACL。
AssociateNetworkAcl:绑定网络ACL至交换机。
ModifyNetworkAclAttributes:修改网络ACL的属性。
DescribeNetworkAcls:查看网络ACL的列表信息。
UpdateNetworkAclEntries:更新网络ACL规则。
DescribeNetworkAclAttributes:查询网络ACL的详细信息。
UnassociateNetworkAcl:解除网络ACL与交换机的绑定。
CopyNetworkAclEntries:复制网络ACL规则。
DeleteNetworkAcl:删除网络ACL。
通过阿里云SDK设置ACL:您可以通过阿里云SDK配置网络ACL规则,阿里云SDK提供Java、Python、PHP等多种编程语言的SDK。
通过CLI命令设置ACL:您可以通过命令行工具CLI配置网络ACL。关于CLI的更多信息,请参见什么是阿里云CLI?。
网络ACL应用
您可以通过网络ACL的功能特性和规则说明来自定义网络ACL的入方向和出方向规则。设置了网络ACL的入方向和出方向规则后,您可以更灵活的控制专有网络VPC内云资源的入方向和出方向的流量。更多信息,请参见网络ACL概述和典型应用。
网络ACL使用实例
您可以通过网络ACL功能限制不同交换机下ECS实例或者限制本地数据中心与云上的互通。具体操作,请参见限制不同交换机下的ECS间的互通和限制本地数据中心与云上的互通。
使用安全组功能
安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。安全组具备状态检测和数据包过滤能力,您可以基于安全组的特性和安全组规则的配置在云端划分安全域。
安全组和安全组规则
安全组分为普通安全组和企业安全组。企业安全组面向企业级场景,可以容纳更多的实例、弹性网卡和私网IP,而且访问策略更加严格。
实例加入安全组的规则如下:实例至少加入一个安全组,可以同时加入多个安全组。实例上挂载的弹性网卡中,辅助网卡可以加入和实例不同的安全组。实例不支持同时加入普通安全组和企业安全组。
安全组在未添加安全组规则时,自身已经具有控制出入流量的一些特性。在这些特性基础上,您可以继续新增、修改安全组规则更精细地控制出入流量。新增、修改安全组规则后,会自动应用于安全组内所有实例。安全组规则支持针对IP地址、CIDR地址块、其他安全组、前缀列表授权。更多信息,请参见添加安全组规则。
在控制台创建安全组时,系统会自动添加默认规则,您可以根据需要维护这些规则。
安全组使用指导
使用安全组控制实例流量的典型使用流程如下:
创建安全组。
添加安全组规则。
将实例加入安全组。
按需管理已有安全组和安全组规则。
使用安全组控制辅助网卡流量的典型使用流程如下:
创建安全组。
添加安全组规则。
将辅助网卡加入安全组。
将辅助网卡绑定至实例。
按需管理已有安全组和安全组规则。
关于安全组的具体操作和应用案例,请参见创建安全组和安全组应用案例。
安全组配置案例
当您创建VPC类型的ECS实例时,可以使用系统提供的默认安全组规则,也可以选择VPC中已有的其他安全组。关于安全组配置案例,请参见ECS安全组配置案例。