ACLPrincipes de base du réseau - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

ACLPrincipes de base du réseau

Vous trouverez ci-dessous les principes de base à connaître concernant le réseau ACLs :

  • Vous êtes VPC automatiquement associé à un réseau ACL par défaut, que vous pouvez modifier. Par défaut, il autorise tout le trafic entrant et, le cas échéant, IPv6 le IPv4 trafic.

  • Vous pouvez créer un réseau personnalisé ACL et l'associer à un sous-réseau pour autoriser ou refuser un trafic entrant ou sortant spécifique au niveau du sous-réseau.

  • Chaque sous-réseau VPC doit être associé à un réseauACL. Si vous n'associez pas explicitement un sous-réseau à un réseauACL, le sous-réseau est automatiquement associé au réseau par défaut. ACL

  • Vous pouvez associer un réseau ACL à plusieurs sous-réseaux. Cependant, un sous-réseau ne peut être associé qu'à un réseau ACL à la fois. Lorsque vous associez un réseau ACL à un sous-réseau, l'association antérieure est supprimée.

  • Un réseau ACL possède des règles entrantes et des règles sortantes. Chaque règle peut autoriser ou refuser le trafic. Chaque règle possède un numéro compris entre 1 et 32 766. Nous évaluons les règles dans l'ordre, en commençant par la règle ayant le numéro le plus bas, lorsque nous décidons d'autoriser ou de refuser le trafic. Si le trafic correspond à une règle, celle-ci est appliquée et nous n'évaluons aucune règle supplémentaire. Lorsque vous créez des règles, nous vous recommandons de commencer par des incréments (par exemple, des incréments de 10 ou 100), de façon à pouvoir insérer de nouvelles règles par la suite si nécessaire.

  • Nous évaluons les ACL règles du réseau lorsque le trafic entre et sort du sous-réseau, et non lorsqu'il est acheminé au sein d'un sous-réseau.

  • NACLssont sans état, ce qui signifie que les informations sur le trafic précédemment envoyé ou reçu ne sont pas sauvegardées. Si, par exemple, vous créez une NACL règle pour autoriser un trafic entrant spécifique vers un sous-réseau, les réponses à ce trafic ne sont pas automatiquement autorisées. Cela contraste avec le fonctionnement des groupes de sécurité. Les groupes de sécurité sont avec état, ce qui signifie que les informations sur le trafic précédemment envoyé ou reçu sont enregistrées. Si, par exemple, un groupe de sécurité autorise le trafic entrant vers une EC2 instance, les réponses sont automatiquement autorisées, quelles que soient les règles du groupe de sécurité pour le trafic sortant.

  • Le réseau ne ACLs peut pas bloquer les DNS demandes vers ou depuis Route 53 Resolver (également appelé adresse IP VPC +2 ou AmazonProvidedDNS). Pour filtrer les DNS demandes via Route 53 Resolver, vous pouvez activer Route 53 Resolver Resolver Resolver DNS Firewall (voir le Guide du développeur Amazon Route 53).

  • Le réseau ne ACLs peut pas bloquer le trafic vers le service de métadonnées d'instance (IMDS). Pour gérer l'accès àIMDS, consultez Configurer les options de métadonnées de l'instance dans le guide de EC2 l'utilisateur Amazon.

  • Réseau ACLs ne filtre pas le trafic vers et en provenance des services suivants :

    • Amazon Domain Name Services (DNS)

    • Amazon Dynamic Host Configuration Protocol (DHCP)

    • Métadonnées de EC2 l'instance Amazon

    • Points de terminaison des points de terminaison des métadonnées de ECS tâches

    • Activation de licence pour les instances Windows

    • Service de synchronisation temporelle d’Amazon

    • Adresses IP réservées utilisées par le VPC routeur par défaut

  • Il existe des quotas (également appelés limites) pour le nombre de réseaux ACLs par réseau VPC et le nombre de règles par réseauACL. Pour de plus amples informations, veuillez consulter VPCQuotas Amazon.