使用网络访问控制列表控制子网流量

网络访问控制列表 (ACL) 在子网级别允许或拒绝特定的入站或出站流量。您可以使用 VPC 的默认网络 ACL，也可以为 VPC 创建自定义网络 ACL，使其规则与您安全组的规则相似，以便为您的 VPC 添加额外安全层。

使用网络 ACL 不会产生任何额外的费用。

以下示意图显示了具有两个子网的 VPC。每个子网都有网络 ACL。当流量（例如，来自对等 VPC、VPN 连接或互联网）进入 VPC 时，路由器会将流量发送到其目的地。网络 ACL A 确定哪些发往子网 1 的流量可以进入子网 1，哪些发往子网 1 位置以外的流量可以离开子网 1。同样，网络 ACL B 确定哪些流量可以进入和离开子网 2。