Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
ACLDasar-dasar jaringan
Berikut ini adalah hal-hal dasar yang perlu Anda ketahui tentang jaringanACLs:
-
Anda VPC secara otomatis dilengkapi dengan jaringan default yang dapat diubah. ACL Secara default, mengizinkan semua lalu lintas masuk dan keluar dan, jika mengizinkan, IPv4 lalu lintas. IPv6
-
Anda dapat membuat jaringan kustom ACL dan menghubungkannya ke sebuah subnet untuk mengizinkan atau menolak lalu lintas inbound atau keluar tertentu di tingkat subnet.
-
Setiap subnet di Anda VPC harus dihubungkan dengan sebuah jaringanACL. Jika Anda tidak benar-benar menghubungkan subnet dengan jaringanACL, subnet secara otomatis terkait dengan jaringan default. ACL
-
Anda dapat menghubungkan jaringan ACL dengan beberapa subnet. Namun, subnet hanya dapat dihubungkan ke satu jaringan saja dalam satu ACL waktu. Saat Anda menghubungkan jaringan ACL dengan sebuah subnet, hubungan sebelumnya akan dihapus.
-
Jaringan ACL memiliki aturan masuk dan aturan keluar. Setiap aturan dapat mengizinkan atau menolak lalu lintas. Setiap aturan memiliki angka dari 1 hingga 32766. Kami mengevaluasi aturan secara berurutan, dimulai dengan aturan bernomor terendah, ketika memutuskan apakah mengizinkan atau menolak lalu lintas. Jika lalu lintas cocok dengan aturan, aturan diterapkan dan kami tidak mengevaluasi aturan tambahan apa pun. Kami menyarankan Anda mulai dengan membuat aturan secara bertahap (misalnya, kenaikan per 10 atau 100) sehingga Anda dapat memasukkan aturan baru nanti, jika diperlukan.
-
Kami mengevaluasi ACL aturan jaringan ketika lalu lintas masuk dan meninggalkan subnet, bukan karena dirutekan dalam subnet.
-
NACLstanpa kewarganegaraan, yang berarti bahwa informasi tentang lalu lintas yang dikirim atau diterima sebelumnya tidak disimpan. Jika, misalnya, Anda membuat NACL aturan untuk mengizinkan lalu lintas masuk tertentu ke subnet, respons terhadap lalu lintas tersebut tidak diizinkan secara otomatis. Ini berbeda dengan cara kerja kelompok keamanan. Kelompok keamanan bersifat stateful, yang berarti bahwa informasi tentang lalu lintas yang dikirim atau diterima sebelumnya disimpan. Jika, misalnya, grup keamanan mengizinkan lalu lintas masuk ke suatu EC2 instans, respons secara otomatis diizinkan terlepas dari aturan grup keamanan keluar.
-
Jaringan tidak ACLs dapat memblokir DNS permintaan ke atau dari Resolver Route 53 (juga dikenal sebagai alamat IP VPC +2 atau AmazonProvidedDNS). Untuk memfilter DNS permintaan melalui Resolver Route 53, Anda dapat mengaktifkan Firewall Resolver Route 53 DNS di Panduan Pengembang Amazon Route 53.
-
Jaringan tidak ACLs dapat memblokir lalu lintas ke Layanan Metadata Instans ()IMDS. Untuk mengelola akses keIMDS, lihat Mengonfigurasi opsi metadata instans di EC2Panduan Pengguna Amazon.
-
Jaringan ACLs tidak mem-filter lalu lintas yang dituju ke dan dari berikut ini:
-
Layanan Nama Domain Amazon (DNS)
-
Protokol Konfigurasi Host Dinamis (DHCP)
-
EC2Metadata contoh Amazon
-
Titik akhir metadata ECS tugas Amazon
-
Aktivasi lisensi untuk instance Windows
-
Layanan Amazon Time Sync
-
Alamat IP cadangan yang digunakan oleh VPC router default
-
-
Ada kuota (juga dikenal sebagai batasan) untuk jumlah jaringan ACLs per VPC dan jumlah aturan per jaringanACL. Untuk informasi selengkapnya, lihat VPCKuota Amazon.