ACLNetzwerkgrundlagen - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ACLNetzwerkgrundlagen

Nachfolgend finden Sie die Grundlagen, die Sie über das Netzwerk wissen müssenACLs:

  • Ihr verfügt VPC automatisch über ein StandardnetzwerkACL, das Sie bearbeiten können. Standardmäßig wird der gesamte eingehende und ausgehende IPv4 Datenverkehr und gegebenenfalls Datenverkehr erlaubt. IPv6

  • Sie können ein benutzerdefiniertes Netzwerk erstellen ACL und einem Subnetz zuordnen, um bestimmten eingehenden oder ausgehenden Datenverkehr auf der Subnetzebene zuzulassen oder zu verweigern.

  • Jedes Subnetz in Ihrem VPC muss mit einem Netzwerk ACL verknüpft werden. Sofern Sie einem Subnetz nicht explizit ein Netzwerk zuordnenACL, gilt für das Subnetz automatisch die Verbindung zum Standardnetzwerk. ACL

  • Sie können ein Netzwerk ACL mehreren Subnetzen zuordnen. Ein Subnetz kann jedoch jeweils nur einem Netzwerk ACL zugeordnet werden. Wenn Sie ein Netzwerk ACL einem Subnetz zuordnen, wird die bisherige Zuordnung gelöscht.

  • Ein Netzwerk ACL hat Regeln für eingehenden und ausgehenden Datenverkehr. Jede Regel kann Datenverkehr entweder erlauben oder verweigern. Jede Regel hat eine Nummer von 1 bis 32.766. Die Regeln werden der Reihe nach ausgewertet, beginnend mit der Regel mit der niedrigsten Nummer, um zu entscheiden, ob der Verkehr zugelassen oder abgelehnt wird. Wenn der Datenverkehr mit einer Regel übereinstimmt, wird die Regel angewendet und wir werten keine zusätzlichen Regeln aus. Wir empfehlen, zunächst Regeln in Abschnitten zu erstellen (z. B. Abschnitte von 10 oder 100). So können Sie später neue Regeln einfach in Ihre Rangordnung einfügen.

  • Wir werten die ACL Netzwerkregeln aus, wenn Datenverkehr in das Subnetz ein- und ausläuft, nicht wenn er innerhalb eines Subnetzes geroutet wird.

  • NACLssind zustandslos, das heißt, Informationen über zuvor gesendeten oder empfangenen Datenverkehr werden nicht gespeichert. Wenn Sie beispielsweise eine NACL Regel erstellen, um bestimmten eingehenden Datenverkehr in ein Subnetz zuzulassen, werden Antworten auf diesen Datenverkehr nicht automatisch zugelassen. Dies steht im Gegensatz zur Funktionsweise von Sicherheitsgruppen. Sicherheitsgruppen sind zustandsbehaftet, das heißt, dass Informationen über zuvor gesendeten oder empfangenen Datenverkehr gespeichert werden. Wenn beispielsweise eine Sicherheitsgruppe eingehenden Datenverkehr zu einer EC2 Instance zulässt, werden Antworten unabhängig von den Regeln der ausgehenden Sicherheitsgruppe automatisch zugelassen.

  • Das Netzwerk ACLs kann keine DNS Anfragen an oder vom Route 53 Resolver (auch bekannt als VPC +2-IP-Adresse oder AmazonProvidedDNS) blockieren. Um DNS Anfragen durch den Route 53 Resolver zu filtern, können Sie die Route 53 Resolver DNS Firewall im Entwicklerhandbuch für Amazon Route 53 aktivieren.

  • Das Netzwerk ACLs kann den Datenverkehr zum Instance Metadata Service (IMDS) nicht blockieren. Informationen zur Verwaltung des Zugriffs finden Sie unter Konfiguration der Instance-Metadatenoptionen im EC2Amazon-Benutzerhandbuch. IMDS

  • Netzwerk filtert ACLs keinen Datenverkehr, der für die folgenden Ziele bestimmt ist oder von diesen ausgeht:

    • Amazon Domain Name Services (DNS)

    • Amazon Host Configuration Protocol (DHCP)

    • EC2Amazon-Instanz-Metadaten

    • Amazon-Endpunkte für ECS Aufgabenmetadaten

    • Lizenzaktivierung für Windows-Instances

    • Amazon Time Sync Service

    • Reservierte IP-Adressen, die vom VPC Standard-Router verwendet werden

  • Es gibt Kontingente (bekannt als Grenzwerte) für die Anzahl der Netzwerke ACLs pro VPC und die Anzahl der Regeln pro NetzwerkACL. Weitere Informationen finden Sie unter VPCAmazon-Kontingente.