デフォルトのネットワーク ACL に対してルールの追加または削除を行うことができます。また、VPC に合わせて追加のネットワーク ACL を作成することができます。ネットワーク ACL に対してルールの追加または削除を行うと、変更内容は、その ACL に関連付けられているサブネットに自動的に適用されます。
次に、ネットワーク ACL ルールの一部を示します。
-
ルール番号。ルールは、最も低い番号のルールから評価されます。ルールがトラフィックに一致すると、それと相反するより高い数値のルールの有無にかかわらず、すぐに適用されます。
-
タイプ。トラフィックのタイプ(SSH など)。また、すべてのトラフィックまたはカスタム範囲を指定することもできます。
-
プロトコル。標準のプロトコル番号を持つ任意のプロトコルを指定できます。詳細については、「プロトコル番号
」を参照してください。プロトコルとして ICMP を指定する場合、任意またはすべての ICMP タイプとコードを指定できます。 -
ポート範囲。トラフィックのリスニングポートまたはポート範囲。たとえば、HTTP トラフィックの場合は 80 です。
-
ソース: [インバウンドルールのみ] トラフィックの送信元 (CIDR 範囲)。
-
送信先。[アウトバウンドルールのみ] トラフィックの送信先 (CIDR 範囲)。
-
許可/拒否。指定されたトラフィックを許可するか拒否するかを指定します。
ロールの例については、「例: サブネットのインスタンスへのアクセス制御」を参照してください。
考慮事項
-
ネットワーク ACL あたりのルールの数には、クォータ (制限とも呼ばれます) があります。詳細については、「Amazon VPC クォータ」を参照してください。
-
ACL のルールの追加または削除を行うと、その ACL に関連付けられたすべてのサブネットに変更が反映されます。変更は短期間で有効になります。
-
コマンドラインツールまたは Amazon EC2 API を使用してルールを追加すると、CIDR 範囲は自動的に正規形式に変更されます。たとえば、CIDR 範囲に
100.68.0.18/18を指定すると、100.68.0.0/18の CIDR 範囲を持つルールが作成されます。 -
広い範囲のポートを開く必要があるが、その範囲内の特定のポートは拒否する場合は、拒否ルールを追加する必要があります。拒否ルールには、より広範なポートトラフィックを許可するルールよりも少ない数を指定してください。
-
ネットワーク ACL のルールを同時に追加および削除する場合は、注意が必要です。インバウンドルールまたはアウトバウンドルールを削除し、許可されている数より多くのエントリを追加した場合 (Amazon VPC クォータ を参照)、削除対象として選択されたエントリは削除され、新しいエントリは追加されません。これにより、予期しない接続の問題が発生し、VPC へのアクセスや VPC からのアクセスが妨げられる可能性があります。
