ACLGrundlagen des Netzwerks - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ACLGrundlagen des Netzwerks

Im Folgenden sind die grundlegenden Dinge aufgeführt, die Sie über Netzwerke wissen müssenACLs:

  • Ihr Standardnetzwerk wird VPC automatisch mit einem modifizierbaren Standardnetzwerk ACL geliefert. Standardmäßig erlaubt es den gesamten eingehenden und ausgehenden IPv4 Verkehr und, falls zutreffend, Datenverkehr. IPv6

  • Sie können ein benutzerdefiniertes Netzwerk erstellen ACL und es einem Subnetz zuordnen, um bestimmten eingehenden oder ausgehenden Verkehr auf Subnetzebene zuzulassen oder zu verweigern.

  • Jedes Subnetz in Ihrem VPC muss einem Netzwerk zugeordnet sein. ACL Wenn Sie ein Subnetz nicht explizit einem Netzwerk zuordnenACL, wird das Subnetz automatisch dem Standardnetzwerk zugeordnet. ACL

  • Sie können ein Netzwerk ACL mehreren Subnetzen zuordnen. Ein Subnetz kann jedoch jeweils nur einem Netzwerk ACL zugeordnet werden. Wenn Sie ein Netzwerk ACL einem Subnetz zuordnen, wird die vorherige Zuordnung entfernt.

  • Ein Netzwerk ACL hat Regeln für eingehenden und ausgehenden Datenverkehr. Jede Regel kann Datenverkehr entweder erlauben oder verweigern. Jede Regel hat eine Nummer von 1 bis 32.766. Die Regeln werden der Reihe nach ausgewertet, beginnend mit der Regel mit der niedrigsten Nummer, um zu entscheiden, ob der Verkehr zugelassen oder abgelehnt wird. Wenn der Datenverkehr mit einer Regel übereinstimmt, wird die Regel angewendet und wir werten keine zusätzlichen Regeln aus. Wir empfehlen, zunächst Regeln in Abschnitten zu erstellen (z. B. Abschnitte von 10 oder 100). So können Sie später neue Regeln einfach in Ihre Rangordnung einfügen.

  • Wir bewerten die ACL Netzwerkregeln, wenn der Verkehr in das Subnetz eingeht und es verlässt, und nicht, wenn er innerhalb eines Subnetzes weitergeleitet wird.

  • NACLssind zustandslos, was bedeutet, dass Informationen über zuvor gesendeten oder empfangenen Verkehr nicht gespeichert werden. Wenn Sie beispielsweise eine NACL Regel erstellen, die bestimmten eingehenden Datenverkehr in ein Subnetz zulässt, sind Antworten auf diesen Verkehr nicht automatisch zulässig. Dies steht im Gegensatz zur Funktionsweise von Sicherheitsgruppen. Sicherheitsgruppen sind zustandsbehaftet, das heißt, dass Informationen über zuvor gesendeten oder empfangenen Datenverkehr gespeichert werden. Wenn eine Sicherheitsgruppe beispielsweise eingehenden Datenverkehr zu einer EC2 Instance zulässt, werden Antworten unabhängig von den Regeln für ausgehende Sicherheitsgruppen automatisch zugelassen.

  • Das Netzwerk ACLs kann DNS Anfragen an oder vom Route 53 Resolver (auch bekannt als VPC +2-IP-Adresse oder) nicht blockieren. AmazonProvided DNS Um DNS Anfragen über den Route 53 Resolver zu filtern, können Sie die Route 53 Resolver DNS Firewall im Amazon Route 53 Developer Guide aktivieren.

  • Das Netzwerk ACLs kann den Datenverkehr zum Instance-Metadaten-Service () IMDS nicht blockieren. Informationen zur Verwaltung des Zugriffs finden Sie unter Konfiguration der Instance-Metadatenoptionen im EC2Amazon-Benutzerhandbuch. IMDS

  • Das Netzwerk filtert ACLs keinen Datenverkehr, der zu und von folgenden Zielen bestimmt ist:

    • Amazon-Domainnamen-Services (DNS)

    • Amazon Dynamic Host-Konfigurationsprotokoll (DHCP)

    • EC2Amazon-Instanz-Metadaten

    • Endpunkte für ECS Amazon-Aufgabenmetadaten

    • Lizenzaktivierung für Windows-Instances

    • Amazon Time Sync Service

    • Reservierte IP-Adressen, die vom VPC Standard-Router verwendet werden

  • Es gibt Kontingente (auch als Limits bezeichnet) für die Anzahl der Netzwerke ACLs pro Netzwerk VPC und die Anzahl der Regeln pro NetzwerkACL. Weitere Informationen finden Sie unter VPCAmazon-Kontingente.