Aktifkan kontrol akses untuk pendengar Global Accelerator - Global Accelerator

Aktifkan kontrol akses untuk pendengar agar hanya mengizinkan alamat IP tertentu (whitelist) atau memblokir alamat IP tertentu (blacklist).

Cara kerja

Kontrol akses terdiri dari daftar kontrol akses (ACL) dan mode kontrol akses.

ACL: Tambahkan beberapa alamat IP atau Blok CIDR untuk mengelola secara terpusat alamat-alamat yang memiliki persyaratan keamanan yang sama.
Mode kontrol akses: Konfigurasikan whitelist atau blacklist untuk setiap pendengar.
- Whitelist: Mengizinkan alamat IP tertentu untuk mengakses pendengar GA. Hanya permintaan dari alamat IP atau Blok CIDR dalam ACL yang dipilih yang diteruskan.
- Blacklist: Memblokir alamat IP tertentu dari mengakses pendengar GA. Permintaan dari alamat IP atau Blok CIDR dalam ACL yang dipilih tidak diteruskan.

Peringatan

Mengonfigurasi whitelist membawa risiko. Setelah whitelist dikonfigurasi, hanya alamat IP yang termasuk dalam whitelist yang dapat mengakses pendengar. Jika whitelist diaktifkan tetapi ACL-nya kosong, pendengar akan meneruskan semua permintaan.
Jika Anda mengaktifkan blacklist untuk pendengar tetapi tidak menambahkan alamat IP apa pun ke ACL terkait, pendengar akan meneruskan semua permintaan.

Saat membuat ACL, tentukan versi IP-nya sebagai IPv4 atau IPv6. Terapkan ACL tersebut ke pendengar dengan IP percepatan berupa versi yang sama.

Batasan

Pay-as-you-go

Hanya pendengar smart routing yang mendukung kontrol akses.
Satu instans Global Accelerator mendukung maksimal 600 alamat IP atau Blok CIDR di seluruh entri ACL untuk semua pendengarnya.

Untuk satu pendengar, jumlah maksimum alamat IP atau Blok CIDR dalam ACL terkait dihitung sebagai berikut:
- Jumlah total port untuk pendengar (range port dihitung sebagai satu port) × Jumlah entri ACL
- Jika protokol pendengar adalah HTTP/3: Jumlah total port untuk pendengar (range port dihitung sebagai satu port) × Jumlah entri ACL × 2
ACL dapat dikaitkan dengan maksimal 10 pendengar.
Pendengar dapat dikaitkan dengan paling banyak satu ACL IPv4 dan satu ACL IPv6.
- Jika IP percepatan menggunakan IPv4 atau IPv6 dan pendengar memiliki ACL IPv4 serta ACL IPv6, hanya ACL yang sesuai dengan versi IP percepatan yang berlaku.
- Jika IP percepatan menggunakan dual-stack dan pendengar memiliki ACL IPv4 serta ACL IPv6, kedua ACL tersebut berlaku.

Subscription

Hanya pendengar smart routing yang mendukung kontrol akses.
ACL yang dikaitkan dengan pendengar dapat berisi maksimal 200 alamat IP atau Blok CIDR unik.
ACL dapat dikaitkan dengan maksimal 10 pendengar.
Pendengar dapat dikaitkan dengan paling banyak satu ACL IPv4 dan satu ACL IPv6.

Jika IP percepatan menggunakan IPv4 atau IPv6 dan pendengar memiliki ACL IPv4 serta ACL IPv6, hanya ACL yang sesuai dengan versi IP percepatan yang berlaku.

Alur kerja konfigurasi

Buat ACL

Sebelum Anda dapat mengaktifkan kontrol akses, Anda harus membuat ACL terlebih dahulu.

Masuk ke Global Accelerator console.
Di panel navigasi sebelah kiri, pilih Standard Instance > Access Control.
Di halaman Access Control, klik Create ACL.

Di kotak dialog Create ACL, konfigurasikan parameter dan klik OK.

Parameter	Deskripsi
ACL Name	Masukkan nama untuk ACL.
IP Version	Pilih versi IP untuk ACL. IPv4: Berlaku hanya untuk titik akhir percepatan yang menggunakan IP percepatan IPv4. IPv6: Berlaku hanya untuk titik akhir percepatan yang menggunakan IP percepatan IPv6.
Resource Group	Pilih kelompok sumber daya tempat ACL tersebut berada. Buat kelompok sumber daya di Resource Management.
Tag	Tambahkan tag ke ACL. Pilih atau masukkan Key dan Value. Untuk mengelola tag ACL, gunakan Tag management.

Tambahkan entri ACL

Setelah membuat ACL, tambahkan entri alamat IP atau Blok CIDR ke dalamnya.

Masuk ke Global Accelerator console.
Di panel navigasi sebelah kiri, pilih Standard Instance > Access Control.
Temukan ACL target dan klik Manage ACL di kolom Actions.
Di halaman detail ACL, tambahkan entri dengan salah satu cara berikut:
- Tambahkan satu entri
  
  Klik Add Rule. Di kotak dialog Add ACL Entry, masukkan IP Address/CIDR Block dan Remark, lalu klik OK.
- Tambahkan beberapa entri
  
  Klik Add Multiple Rules. Di kotak dialog Add Multiple Rules, tambahkan beberapa alamat IP atau Blok CIDR seperti yang diminta, lalu klik OK.

Aktifkan kontrol akses untuk pendengar

Sebelum mengaktifkan kontrol akses, pastikan Anda telah membuat pendengar. Tambahkan dan kelola pendengar smart routing.

Masuk ke Global Accelerator console.
Di halaman Instances, temukan instans GA target, lalu klik Configure Listener di kolom Actions.
Di tab Listeners, klik ID pendengar yang ingin Anda aktifkan kontrol aksesnya.
Di tab Listener Details, pada bagian Access Control, aktifkan sakelar Access Control.

Di kotak dialog Enable Access Control, konfigurasikan parameter berikut dan klik OK.

Parameter

Deskripsi

ACL Type

Pilih mode kontrol akses:

Whitelist: Meneruskan permintaan dari alamat IP atau Blok CIDR dalam ACL yang dipilih.
Blacklist: Tidak meneruskan permintaan dari alamat IP atau Blok CIDR dalam ACL yang dipilih.

Peringatan

Mengonfigurasi whitelist membawa risiko. Setelah whitelist dikonfigurasi, hanya alamat IP yang termasuk dalam whitelist yang dapat mengakses pendengar. Jika whitelist diaktifkan tetapi ACL-nya kosong, pendengar akan meneruskan semua permintaan.
Jika Anda mengaktifkan blacklist untuk pendengar tetapi tidak menambahkan alamat IP apa pun ke ACL terkait, pendengar akan meneruskan semua permintaan.

ACL

Pilih ACL.

Anda juga dapat mengklik +Add ACL untuk menambahkan dua ACL sekaligus.

Lepaskan asosiasi ACL dari pendengar

Lepaskan asosiasi ACL yang tidak digunakan dari pendengar.

Melepaskan semua ACL dari pendengar secara otomatis menonaktifkan kontrol aksesnya.

Masuk ke Global Accelerator console.
Di halaman Instances, temukan instans GA target, lalu klik Configure Listener di kolom Actions.
Di tab Listener, klik ID pendengar dari mana Anda ingin melepaskan asosiasi ACL.
Di tab Listener Details, pada bagian Access Control, klik ikon di samping ACL.
Di kotak dialog Modify ACL, temukan ACL yang ingin Anda lepaskan asosiasinya, klik Disassociate di kolom Actions, lalu klik OK.

Nonaktifkan kontrol akses untuk pendengar

Nonaktifkan kontrol akses jika Anda tidak lagi perlu membatasi akses pendengar.

Masuk ke Global Accelerator console.
Di halaman Instances, temukan instans GA target, lalu klik Configure Listener di kolom Actions.
Di tab Listener, klik ID pendengar yang ingin Anda nonaktifkan kontrol aksesnya.
Di tab Listener Details, pada bagian Access Control, matikan sakelar Access Control.
Di kotak dialog yang muncul, klik OK.

Hapus entri ACL

Hapus entri alamat IP dari ACL.

Masuk ke Global Accelerator console.
Di panel navigasi sebelah kiri, pilih Standard Instance > Access Control.
Temukan ACL target dan klik Manage ACL di kolom Actions.
Di kolom Actions entri IP target, klik Delete. Atau, pilih beberapa entri IP dan klik Delete di bawah daftar entri.
Di kotak dialog yang muncul, klik OK.

Hapus ACL

Hapus ACL yang tidak digunakan.

Sebelum menghapus ACL, lepaskan asosiasinya dari semua pendengar terkait. Lepaskan asosiasi ACL dari pendengar.

Masuk ke Global Accelerator console.
Di panel navigasi sebelah kiri, pilih Standard Instance > Access Control.
Temukan ACL target dan klik Delete di kolom Actions.
Di kotak dialog yang muncul, klik OK.

Operasi API terkait

CreateAcl: Buat ACL.
AddEntriesToAcl: Tambahkan entri IP ke ACL.
AssociateAclsWithListener: Kaitkan ACL dengan pendengar.
DissociateAclsFromListener: Lepaskan asosiasi ACL dari pendengar.
RemoveEntriesFromAcl: Hapus entri IP dari ACL.
DeleteAcl: Hapus ACL.