Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Steuerung des Datenverkehrs in Subnetzen mithilfe von Zugriffskontrolllisten für Netzwerke

PDF
RSS
Fokusmodus
Steuerung des Datenverkehrs in Subnetzen mithilfe von Zugriffskontrolllisten für Netzwerke - Amazon Virtual Private Cloud
Grundlagen von Netzwerk-ACLs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Netzwerk-Zugriffssteuerungsliste (ACL) erlaubt oder verweigert bestimmten eingehenden oder ausgehenden Datenverkehr auf der Subnetzebene. Sie können die Standard-Netzwerk-ACL für Ihre VPC verwenden, oder Sie können eine benutzerdefinierte Netzwerk-ACL für Ihre VPC mit Regeln erstellen, die den Regeln für Ihre Sicherheitsgruppen ähneln, um Ihrer VPC eine zusätzliche Sicherheitsebene hinzuzufügen.

Für die Nutzung des Netzwerks fallen keine zusätzlichen Gebühren an ACLs.

Das folgende Diagramm zeigt eine VPC mit zwei Subnetzen. Jedes Subnetz hat eine Netzwerk-ACL. Wenn Datenverkehr in die VPC gelangt (z. B. von einer durch Peering verbundenen VPC, einer VPN-Verbindung oder dem Internet), sendet der Router den Datenverkehr an das Ziel. Netzwerk-ACL A bestimmt, welcher Datenverkehr, der für Subnetz 1 bestimmt ist, in Subnetz 1 gelangen darf und welcher Datenverkehr, der für einen Standort außerhalb von Subnetz 1 bestimmt ist, Subnetz 1 verlassen darf. In ähnlicher Weise bestimmt Netzwerk-ACL B, welcher Datenverkehr in Subnetz 2 ein- und ausgehen darf.

Eine VPC mit zwei Subnetzen und einer Netzwerk-ACL für jedes Subnetz.

Informationen zu den Unterschieden zwischen Sicherheitsgruppen und Netzwerken ACLs finden Sie unterVergleichen Sie Sicherheitsgruppen und Netzwerk ACLs.

Inhalt

Grundlagen von Netzwerk-ACLs

Im Folgenden finden Sie die grundlegenden Dinge, die Sie über Netzwerke wissen sollten, ACLs bevor Sie beginnen.

Netzwerk-ACL-Verknüpfungen

  • Jedes Subnetz in Ihrer VPC muss mit einer Netzwerk-ACL verknüpft werden. Wenn Sie ein Subnetz nicht explizit einer Netzwerk-ACL zuordnen, wird das Subnetz automatisch der Standard-Netzwerk-ACL zugeordnet.

  • Sie können eine benutzerdefinierte Netzwerk-ACL erstellen und sie einem Subnetz zuordnen, um bestimmten eingehenden oder ausgehenden Verkehr auf Subnetzebene zuzulassen oder zu verweigern.

  • Sie können eine Netzwerk-ACL mehreren Subnetzen zuordnen. Ein Subnetz kann jedoch jeweils nur einer Netzwerk-ACL zugeordnet werden. Wenn Sie einem Subnetz eine Netzwerk-ACL zuordnen, wird die bisherige Zuordnung gelöscht.

Regeln für Netzwerk-ACLs

  • Eine Netzwerk-ACL hat Regeln für eingehenden und ausgehenden Datenverkehr. Jede Regel kann Datenverkehr entweder erlauben oder verweigern. Jede Regel hat eine Nummer von 1 bis 32.766. Die Regeln werden der Reihe nach ausgewertet, beginnend mit der Regel mit der niedrigsten Nummer, um zu entscheiden, ob der Verkehr zugelassen oder abgelehnt wird. Wenn der Datenverkehr mit einer Regel übereinstimmt, wird die Regel angewendet und wir werten keine zusätzlichen Regeln aus. Wir empfehlen, zunächst Regeln in Abschnitten zu erstellen (z. B. Abschnitte von 10 oder 100). So können Sie später neue Regeln einfach in Ihre Rangordnung einfügen.

  • Wir werten die Netzwerk-ACL-Regeln aus, wenn Datenverkehr in das Subnetz ein- und ausläuft, nicht wenn er innerhalb eines Subnetzes geroutet wird.

  • NACLs sind zustandslos, was bedeutet, dass Informationen über zuvor gesendeten oder empfangenen Datenverkehr nicht gespeichert werden. Wenn Sie beispielsweise eine NACL-Regel erstellen, um bestimmten eingehenden Datenverkehr zu einem Subnetz zuzulassen, werden Antworten auf diesen Datenverkehr nicht automatisch zugelassen. Dies steht im Gegensatz zur Funktionsweise von Sicherheitsgruppen. Sicherheitsgruppen sind zustandsbehaftet, das heißt, dass Informationen über zuvor gesendeten oder empfangenen Datenverkehr gespeichert werden. Wenn eine Sicherheitsgruppe beispielsweise eingehenden Datenverkehr zu einer EC2 Instance zulässt, werden Antworten unabhängig von den Regeln für ausgehende Sicherheitsgruppen automatisch zugelassen.

Einschränkungen

  • Es gibt Kontingente (auch als Limits bezeichnet) für die Anzahl der Netzwerke ACLs pro VPC. Weitere Informationen finden Sie unter Amazon VPC-Kontingente.

  • Das Netzwerk ACLs kann DNS-Anfragen an oder vom Route 53 Resolver (auch bekannt als VPC+2-IP-Adresse oder AmazonProvided DNS) nicht blockieren. Um DNS-Anfragen über den Route 53 Resolver zu filtern, können Sie die Route 53 Resolver DNS Firewall aktivieren.

  • Das Netzwerk ACLs kann den Datenverkehr zum Instanz-Metadatendienst (IMDS) nicht blockieren. Informationen zur Verwaltung des Zugriffs auf IMDS finden Sie unter Konfiguration der Instance-Metadatenoptionen im EC2 Amazon-Benutzerhandbuch.

  • Das Netzwerk filtert ACLs keinen Datenverkehr, der zu und von folgenden Zielen bestimmt ist:

    • Amazon Domain Name Services (DNS)

    • Amazon Dynamic Host Configuration Protocol (DHCP)

    • EC2 Amazon-Instanz-Metadaten

    • Amazon-ECS-Endpunkte für Aufgabenmetadaten

    • Lizenzaktivierung für Windows-Instances

    • Amazon Time Sync Service

    • Reservierte IP-Adressen, die vom Standard-VPC-Router verwendet werden

Auf dieser Seite

Related resources

VPC-Peering-Handbuch
Amazon VPC Transit Gateways
EC2 Amazon-Entwicklerhandbuch

Related resources

VPC-Peering-Handbuch
Amazon VPC Transit Gateways
EC2 Amazon-Entwicklerhandbuch
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.