Записи доступа (ACE)

ACE (Access Control Entry, запись доступа) — строка внутри списка доступа (ACL): кто и какой доступ получает к ресурсу этого ACL. Самостоятельно, вне ACL, записи доступа не существуют.

Запись состоит из трёх частей:

  • Субъекты («кому»): пользователи, компьютеры/серверы, сервисы (доступ получают все узлы сервиса), IP-адреса и сети. Объекты, которых нет в системе, вписываются текстом в поле «Прочее».
  • Типы доступа («какой»): значения справочника типов доступа (RDP, VPN, SSH…). Комплексный тип автоматически включает свои дочерние; для IP-типов у записи можно уточнить порты/протоколы (IP-параметры) — по умолчанию они берутся из типа.
  • Пояснение («зачем»): с какой целью субъект получает доступ.
flowchart LR
    ACL["ACL (ресурс)"] --> ACE
    subgraph ACE ["ACE"]
        direction TB
        WHO["Кому: пользователи / компьютеры /<br>сервисы / IP и сети / текст"]
        WHAT["Какой: типы доступа (+ IP-параметры)"]
        WHY["Зачем: пояснение"]
    end

Особенности

  • IP-адреса субъектов вводятся текстом (по одному в строке); отсутствующие адреса создаются автоматически, а сети должны быть заведены заранее — незаведённые отбрасываются при сохранении.
  • В группе ACL (см. Списки доступа) один и тот же набор ACE повторяется в каждом ACL; правка через групповые операции меняет запись во всех ACL сразу.

Список

Меню Доступы → Доступы — таблица всех ACE системы: срез «субъект → тип доступа → ресурс → временное ограничение», по которому удобно искать, у кого куда есть доступ.

См. руководство: Временные доступы.