Elastic Compute Service：使用首碼列表提高安全性群組規則管理的效率

應用情境

為了雲上資源的安全，您為購買的雲上資源劃分了多個安全域，每個安全域對應一個安全性群組。您多個安全域中的資源，需要被另外一個公用資源（例如雲下的辦公網路）訪問，這個公用資源的網路位址區段數量眾多，且會經常發生變動。

在不使用首碼列表的情況下，您需要在多個安全性群組中維護僅有授權對象不同的多條安全性群組規則。在授權公用資源的網路地址發生變動時，您需要對多個安全域的安全性群組進行規則調整，安全性群組和網路地址數量越多，管理的工作量越大。

使用首碼列表後，您可以將公用資源的若干網路地址放入首碼列表，並在配置安全性群組規則時將授權對象設定為該首碼列表。在網路地址發生變動時，您只需要修改首碼列表中的網路地址，即可等效於修改已關聯安全性群組的存取控制規則，無需再關注每個安全性群組中的規則，降低管理複雜度，提高效率。

當您的雲上資源分布在多個阿里雲地區時，您可以使用首碼列表複製功能，來將一個已有的首碼列表複製到其他地區。

操作步驟

1. 登入ECS管理主控台。

2. 建立首碼列表。

   1. 在左側導覽列，選擇網路與安全 > > 首碼列表。

   2. 在頂部功能表列左上方處，選擇地區。

   3. 單擊建立首碼列表。

   4. 在建立首碼列表對話方塊中，設定首碼列表的參數，單擊建立。

      本文以包括2個IPv4條目為例，參數樣本如下所示：

      • 名稱：RemoteLogon

      • 描述：允許該首碼列表中的IP遠端連線安全性群組的執行個體

      • 地址族：IPv4

      • 最大條目容量：2條

        說明

        已關聯資源（例如安全性群組）計算規則配額時，將使用最大條目容量計算，而非實際條目數，請合理設定。

      • 首碼列表條目：單擊增加條目，分別添加192.168.1.0/24、192.168.2.0/24。

        由於採用了CIDR地址塊的形式，上述條目實際對應了多個IP：

        • 192.168.1.0/24：即192.168.1.0~192.168.1.255。

        • 192.168.2.0/24：即192.168.2.0~192.168.2.255。

3. 在安全性群組規則中使用首碼列表。

   重複以下步驟為多個安全性群組添加安全性群組規則，允許存取對遠端連線連接埠的訪問，並將首碼列表RemoteLogon作為授權對象。

   1. 在左側導覽列，選擇網路與安全 > 安全性群組。

   2. 找到目標安全性群組，在操作列單擊配置規則。

   3. 在入方向頁簽中，單擊手動添加。

      說明

      本文以專用網路安全性群組的操作為例，如果為傳統網路安全性群組，請根據是否為公網IP選擇對應的頁簽。

   4. 設定安全性群組規則的參數，然後單擊儲存。

      本文以允許通過SSH和RDP方式遠端連線安全性群組內執行個體為例，參數樣本如下表所示：

      • 授權策略：允許

      • 優先順序：1

      • 協議類型：自訂TCP

      • 連接埠範圍：選擇SSH (22)和RDP (3389)

      • 授權對象：選擇首碼列表RemoteLogon

      添加該安全性群組規則後，安全性群組允許存取首碼列表中的IP遠端連線安全性群組內執行個體。

4. 修改首碼列表的條目。

   如果在添加安全性群組規則後，您需要取消一些IP的遠端連線授權，進一步縮小授權範圍以降低風險，則無需逐一修改多個安全性群組的安全性群組規則，只需修改首碼列表RemoteLogon的條目即可。例如，您使用私人IP為192.168.1.1、192.168.2.1的執行個體作為跳板機，需要限制僅允許通過跳板機遠端連線安全性群組內執行個體，則按以下步驟修改首碼列表的條目。

   1. 在左側導覽列，選擇網路與安全 > > 首碼列表。

   2. 找到首碼列表RemoteLogon，在操作列單擊詳情。

   3. 單擊首碼列表條目頁簽。

   4. 找到首碼列表條目，在操作列單擊編輯。

   5. 設定CIDR地址塊參數，然後單擊儲存。

      修改2個已有條目，CIDR地址塊參數分別設定為192.168.1.1/32、192.168.2.1/32。

      修改首碼列表的條目後即時生效，使用首碼列表RemoteLogon的安全性群組規則也隨之變化，安全性群組僅允許存取192.168.1.1/32、192.168.2.1/32遠端連線安全性群組內執行個體。

更多操作環境