本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用網路 ACLs
下列任務說明如何ACLs使用 Amazon VPC主控台使用網路。
任務
1. 判斷網路ACL關聯
您可以使用 Amazon VPC主控台來判斷與子網路ACL相關聯的網路。網路ACLs可以與多個子網路相關聯,因此您也可以判斷哪些子網路與網路 相關聯ACL。
判斷哪個網路與子網路ACL相關聯
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇 Subnets (子網),然後選取子網。
與子網路ACL相關聯的網路包含在 Network ACL 索引標籤中,以及網路 ACL的規則。
判斷哪些子網路與網路相關聯 ACL
-
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇網路 ACLs。關聯項目欄指出每個網路 的相關子網路數量ACL。
-
選取網路 ACL。
-
在詳細資訊窗格中,選擇子網路關聯以顯示與網路 相關聯的子網路ACL。
2. 建立網路 ACL
您可以ACL為 建立自訂網路VPC。根據預設,您建立的網路ACL會封鎖所有傳入和傳出流量,直到您新增規則為止,而且除非您明確將其與子網路建立關聯。
建立網路 ACL
-
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇網路 ACLs。
-
選擇建立網路 ACL。
-
在建立網路ACL對話方塊中,選擇性地為您的網路命名 ACL,然後從VPCVPC清單中選擇您的 ID。然後,選擇 Yes, Create (是,建立)。
3. 新增和刪除規則
當您從 新增或刪除規則時ACL,與 相關聯的任何子網路ACL都會發生變更。您不必終止並重新啟動子網路中的執行個體。這些變更在很短時間後便會生效。
重要
如果您同時新增和刪除規則,請格外謹慎。網路ACL規則定義哪些類型的網路流量可以進入或退出您的 VPCs。如果您刪除傳入或傳出規則,然後新增的項目數量超過 Amazon VPC 配額 中允許的上限,那麼選擇要刪除的項目將會被移除,而新項目則不會新增。這可能會導致意外的連線問題,並無意中阻止存取來自 的 和 VPCs。
如果您使用的是 Amazon EC2API或命令列工具,則無法修改規則。您只能新增和刪除規則。如果您使用的是 Amazon VPC主控台,則可以修改現有規則的項目。主控台會移除現有的規則,並為您新增規則。如果您需要變更 中規則的順序ACL,則必須使用新的規則編號新增規則,然後刪除原始規則。
將規則新增至網路 ACL
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇網路 ACLs。
-
在詳細資訊窗格中,依據您要新增的規則類型,選擇 Inbound Rules (傳入規則) 或 Outbound Rules (傳出規則) 標籤,然後選擇 Edit (編輯)。
-
在 Rule # (規則 #) 中,輸入規則的編號 (例如 100)。規則編號不得已在網路 中使用ACL。我們會從最低的編號開始,按照順序來處理規則。
建議您在規則編號之間保留間隔 (例如 100、200、300),而不是使用連續編號 (101、102、103)。這麼做可讓您更輕鬆地新增規則,而不需要重新編號現有的規則。
-
從 Type (類型) 清單選取一個規則。例如,若要新增 的規則HTTP,請選擇 HTTP。若要新增規則以允許所有TCP流量,請選擇所有 TCP。對於其中一些選項 (例如 HTTP),我們會為您填入連接埠。若要使用未列出的通訊協定,請選擇 Custom Protocol Rule (自訂通訊協定規則)。
-
(選用) 如果您要建立自訂通訊協定規則,請從 Protocol (通訊協定) 清單選取通訊協定編號和名稱。如需詳細資訊,請參閱IANA通訊協定編號清單
。 -
(選用) 如果您所選取的通訊協定需要連接埠號碼,請輸入連接埠號碼或連接埠範圍,中間以連字號分隔 (例如 49152-65535)。
-
在來源或目的地欄位中 (取決於這是傳入或傳出規則),輸入規則套用CIDR的範圍。
-
在允許/拒絕清單中,選取 ALLOW 以允許指定的流量DENY或拒絕指定的流量。
-
(選用) 若要新增其他規則,請選擇 Add another rule (新增其他規則) 並視需要重複步驟 4 到 9。
-
完成後,選擇 Save (儲存)。
從網路刪除規則 ACL
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇網路 ACLs,然後選擇網路 ACL。
-
在詳細資訊窗格中,選取 Inbound Rules (傳入規則) 或 Outbound Rules (傳出規則) 標籤,然後選擇 Edit (編輯)。針對您要刪除的規則,選擇 Remove (移除),然後選擇 Save (儲存)。
4. 將子網路與網路建立關聯 ACL
若要將網路的規則套用至ACL特定子網路,您必須將子網路與網路 建立關聯ACL。您可以將網路ACL與多個子網路建立關聯。不過,子網路只能與一個網路 建立關聯ACL。根據ACL預設,任何未與特定 相關聯的子網路ACL都會與預設網路相關聯。
將子網路與網路建立關聯 ACL
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇網路 ACLs,然後選擇網路 ACL。
-
在詳細資訊窗格中,在 Subnet Associations (子網路關聯) 標籤上,選擇 Edit (編輯)。選取要與網路 建立關聯的子網路關聯核取方塊ACL,然後選擇儲存 。
5. 取消網路ACL與子網路的關聯
您可以將自訂網路ACL與子網路取消關聯。當子網路與自訂網路 取消關聯後ACL,便會自動與預設網路 建立關聯ACL。
取消子網路與網路的關聯 ACL
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇網路 ACLs,然後選擇網路 ACL。
-
在詳細資訊窗格中,選擇 Subnet Associations (子網路關聯) 標籤。
-
選擇 Edit (編輯),然後取消選取子網路的 Associate (關聯) 核取方塊。選擇 Save (儲存)。
6. 變更子網路的網路 ACL
您可以變更與子網路ACL相關聯的網路。例如,當您建立子網路時,它最初與預設網路 相關聯ACL。建議您改為將其與已建立ACL的自訂網路建立關聯。
變更子網路的網路 之後ACL,您不必終止和重新啟動子網路中的執行個體。這些變更在很短時間後便會生效。
若要變更子網路的網路ACL關聯
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇 Subnets (子網),然後選取子網。
-
選擇 Network ACL 索引標籤,然後選擇 Edit 。
-
從變更為清單中,選取要與子網路ACL建立關聯的網路,然後選擇儲存 。
7. 刪除網路 ACL
ACL 只有在沒有與其相關聯的子網路時,您才能刪除網路。您無法刪除預設網路 ACL。
若要刪除網路 ACL
-
在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/
。 -
在導覽窗格中,選擇網路 ACLs。
-
選取網路 ACL,然後選擇刪除 。
-
在確認對話方塊中,選擇 Yes, Delete (是的,刪除)。
API 和 命令概觀
您可以使用命令列或 來執行此頁面所述的任務API。如需命令列介面和可用 清單的詳細資訊APIs,請參閱 使用 Amazon VPC。
ACL 為您的 建立網路 VPC
create-network-acl (AWS CLI)
New-EC2NetworkAcl (AWS Tools for Windows PowerShell)
描述您的一個或多個網路 ACLs
describe-network-acls (AWS CLI)
Get-EC2NetworkAcl (AWS Tools for Windows PowerShell)
將規則新增至網路 ACL
create-network-acl-entry (AWS CLI)
New-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)
從網路刪除規則 ACL
delete-network-acl-entry (AWS CLI)
Remove-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)
取代網路中的現有規則 ACL
replace-network-acl-entry (AWS CLI)
Set-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)
取代網路ACL關聯
replace-network-acl-association (AWS CLI)
Set-EC2NetworkAclAssociation (AWS Tools for Windows PowerShell)
刪除網路 ACL
delete-network-acl (AWS CLI)
Remove-EC2NetworkAcl (AWS Tools for Windows PowerShell)
ACLs 使用 Firewall Manager 管理網路
AWS Firewall Manager 簡化跨多個帳戶和子網路的網路ACL管理和維護任務。您可以使用 Firewall Manager 來監控組織中的帳戶和子網路,並自動套用您定義的網路ACL組態。Firewall Manager 在您想要保護整個組織,或經常新增要自動保護的子網路時特別有用。
透過 Firewall Manager 網路ACL政策,您可以使用單一管理員帳戶來設定、監控和管理您想要在組織中ACLs使用的網路中定義的最小規則集。您可以指定組織中哪些帳戶和子網路在 Firewall Manager 政策的範圍內。Firewall Manager 會回報ACLs範圍內子網路的網路合規狀態,而且您可以設定 Firewall Manager 自動修復不合規的網路 ACLs,使其符合合規。
若要進一步了解如何使用 Firewall Manager 來管理您的網路ACLs,請參閱AWS Firewall Manager 開發人員指南 中的下列資源:
