Noções básicas de ACL de rede
Encontram-se a seguir noções essenciais sobre as ACLs de rede:
-
Sua VPC já vem com uma ACL de rede padrão modificável. Por padrão, ela permite todos os tráfegos de IPv4 de entrada e saída e, se aplicável, o tráfego IPv6.
-
Você pode criar uma ACL de rede personalizada e associá-la a uma sub-rede para permitir ou recusar tráfego de entrada ou de saída específico por sub-rede.
-
Toda sub-rede em sua VPC deve ser associada com uma ACL de rede. Se você não associar explicitamente uma sub-rede com uma ACL de rede, as sub-redes serão associadas automaticamente com a ACL de rede padrão.
-
É possível associar uma ACL de rede a várias sub-redes. No entanto, uma sub-rede pode ser associada a apenas uma ACL de rede por vez. Quando uma ACL de rede é associada a uma sub-rede, a associação anterior é removida.
-
Uma ACL de rede tem regras de entrada e regras de saída. Cada regra pode permitir ou negar tráfego. Cada regra tem um número de 1 até 32766. Avaliamos as regras na ordem, começando pela regra de número mais baixo, ao decidirmos se o tráfego será permitido ou negado. Se o tráfego corresponder a uma regra, a regra será aplicada e não avaliaremos quaisquer regras adicionais. Para começar, é recomendável criar regras em incrementos (por exemplo, incrementos de 10 ou 100), para que, posteriormente, você possa inserir novas regras, se necessário.
-
Avaliamos as regras de ACL da rede quando o tráfego entra e sai da sub-rede, não quando ele é roteado dentro de uma sub-rede.
-
Os NACLs são sem estado, o que significa que as informações sobre o tráfego enviado ou recebido anteriormente não são salvas. Se, por exemplo, você criar uma regra de NACL para permitir tráfego de entrada específico para uma sub-rede, as respostas a esse tráfego não serão permitidas automaticamente. Isso contrasta com a forma como os grupos de segurança funcionam. Os grupos de segurança são com estado, o que significa que as informações sobre o tráfego enviado ou recebido anteriormente são salvas. Se, por exemplo, um grupo de segurança permitir tráfego de entrada para uma instância do EC2, as respostas serão permitidas automaticamente, independentemente das regras de saída do grupo de segurança.
-
As ACLs de rede não podem bloquear solicitações de DNS de/para o Route 53 Resolver (também conhecido como endereço IP VPC+2 ou AmazonProvidedDNS). Se desejar filtrar solicitações de DNS por meio do Route 53 Resolver, você poderá habilitar o Route 53 Resolver DNS Firewall no Guia do desenvolvedor do Amazon Route 53.
-
As ACLs de rede não podem bloquear o Instance Metadata Service (IMDS). Para gerenciar o acesso ao IMDS, consulte Configurar as opções de metadados da instância no Guia do usuário do Amazon EC2.
-
As ACLs de rede não filtram tráfego destinado a ou proveniente de:
-
Serviços de nomes de domínio (DNS) da Amazon
-
Dynamic Host Configuration Protocol (DHCP – Protocolo de configuração de host dinâmico) da Amazon
-
Metadados da instância do Amazon EC2
-
Endpoints de metadados de tarefas do Amazon ECS
-
Ativação de licença para instâncias do Windows
-
Serviço de Sincronização Temporal da Amazon
-
Endereços IP reservados usados pelo roteador padrão da VPC
-
-
Há cotas (também conhecidas como limites) para o número de ACLs da rede por VPC e para o número de regras por ACL da rede. Para ter mais informações, consulte Cotas da Amazon VPC.