====== Access control list (ACL) ======

リモートからサーバへの要求の可否ルール

各ACLルールは、特定のアドレス/サブネットまたはTSIGに対して1つ以上のアクションを許可したり、拒否したりすることが可能

1つのZoneに複数のルールがある場合ルールは表示順で適用され、一致する**最初のルールのみ**が適用されます


=== 例１ ===

  * 192.168.2.100へのZone転送を不許可
  * 2001:db8::1, 192.168.2.0/24へのZone転送を許可

<code yaml>
acl:
  - id: address_rule
    address: [2001:db8::1, 192.168.2.0/24]
    action: transfer

  - id: deny_rule
    address: 192.168.2.100
    action: transfer
    deny: on

zone:
  - domain: acl1.example.com.
    acl: [deny_rule, address_rule] # deny_rule が優先
</code>

=== 例２ ===
  * key1という名前の暗号鍵定義
  * 192.168.3.0/24からのアクセスは全て拒否
  * Key1を利用したアクセスにはZone転送とゾーン更新通知を許可

<code yaml>
key:
  - id: key1                  # The real TSIG key name
    algorithm: hmac-md5       # hashアルゴリズム
    secret: Wg==............  # 鍵
acl:
  - id: deny_all
    address: 192.168.3.0/24
    deny: on　　　　　　　　　　# アクションが定義されていないので全て拒否される

  - id: key_rule
    key: key1                 # TSIG keyで認証する
    action: [transfer, notify]

zone:
  - domain: acl2.example.com
    acl: [deny_all, key_rule]
</code>