Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Conceptos básicos de la ACL de red

Modo de enfoque
Conceptos básicos de la ACL de red - Amazon Virtual Private Cloud

A continuación se describen los conceptos básicos que debe saber acerca de las ACL de red:

  • Su VPC incluye automáticamente una ACL de red predeterminada y modificable. De forma predeterminada, permite todo el tráfico IPv4 entrante y saliente y, si corresponde, el tráfico IPv6.

  • Puede crear una ACL de red personalizada y asociarla a una subred para permitir o denegar el tráfico entrante o saliente específico a nivel de subred.

  • Cada subred de su VPC debe estar asociada a una ACL de red. Si no asocia una subred de forma explícita a una ACL de red, la subred se asociará automáticamente a la ACL de red predeterminada.

  • Puede asociar una ACL de red con varias subredes. Sin embargo, una subred sólo puede asociarse a una ACL de red a la vez. Al asociar una ACL de red a una subred, se quita la asociación anterior.

  • Una ACL de red tiene reglas de entrada y reglas de salida. Cada regla puede permitir o denegar el tráfico. Cada regla tiene un número del 1 al 32 766. Evaluamos las reglas en orden, empezando por la regla numerada más baja, al decidir permitir o denegar el tráfico. Si el tráfico coincide con una regla, se aplica la regla y no evaluamos ninguna regla adicional. Le recomendamos que, para empezar, cree reglas en incrementos (por ejemplo, incrementos de 10 o 100), de forma que pueda insertar reglas nuevas más adelante de ser necesario.

  • Evaluamos las reglas de ACL de red cuando el tráfico entra y sale de la subred, no cuando se enruta dentro de una subred.

  • Las NACL no tienen estado, lo que significa que no se guarda la información sobre el tráfico enviado o recibido anteriormente. Si, por ejemplo, crea una regla de NACL para permitir que cierto tráfico entrante específico llegue a una subred, no se permitirán las respuestas a ese tráfico automáticamente. Esto contrasta con la forma en que funcionan los grupos de seguridad. Los grupos de seguridad tienen estado, lo que significa que se guarda la información sobre el tráfico enviado o recibido anteriormente. Si, por ejemplo, un grupo de seguridad permite el tráfico entrante a una instancia EC2, las respuestas se permiten de forma automática independientemente de las reglas de salida del grupo de seguridad.

  • Las ACL de red no pueden bloquear las solicitudes de DNS hacia Route 53 Resolver (también conocido como dirección IP VPC+2 o AmazonProvidedDNS) ni desde este. Para filtrar las solicitudes de DNS a través de Route 53 Resolver, puede habilitar el firewall de DNS de Route 53 Resolver en la Guía para desarrolladores de Amazon Route 53.

  • Las ACL de red no pueden bloquear el tráfico hacia el Servicio de metadatos de la instancia (IMDS). Para administrar el acceso al IMDS, consulte Configurar las opciones de metadatos de la instancia en la Guía del usuario de Amazon EC2.

  • Las ACL de red de Amazon no filtran el tráfico destinado a los siguientes servicios ni desde estos:

    • Servicios de nombres de dominio de Amazon (DNS)

    • Protocolo de configuración dinámica de host de Amazon (DHCP)

    • Metadatos de la instancia de Amazon EC2

    • Puntos de conexión de metadatos de tareas de Amazon ECS

    • Activación de licencias para instancias de Windows

    • Servicio de sincronización temporal de Amazon

    • Direcciones IP reservadas del enrutador de la VPC predeterminado

  • Existen cuotas (también conocidos como límites) para el número de ACL de red por VPC y el número de reglas por ACL de red. Para obtener más información, consulte Cuotas de Amazon VPC.

PrivacidadTérminos del sitioPreferencias de cookies
© 2024, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.