Misma subred para instancias EC2 y la asociación de puerta de enlace de tránsito Diferentes subredes para instancias EC2 y la asociación de puerta de enlace de tránsito Prácticas recomendadas

Cómo funcionan las ACL de red con puerta de enlaces de tránsito

Una lista de control de acceso a la red (NACL) es una capa opcional de seguridad.

Las reglas de la lista de control de acceso a la red (NACL) se aplican de manera diferente, en función del escenario:

Misma subred para instancias EC2 y la asociación de puerta de enlace de tránsito
Diferentes subredes para instancias EC2 y la asociación de puerta de enlace de tránsito

Misma subred para instancias EC2 y la asociación de puerta de enlace de tránsito

Considere una configuración en la que tenga instancias de EC2 y una asociación de puerta de enlace de tránsito en la misma subred. La misma ACL de red se utiliza para el tráfico de las instancias EC2 a la puerta de enlace de tránsito y para el tráfico proveniente de la puerta de enlace de tránsito a las instancias.

Las reglas de NACL se aplican de la siguiente manera para el tráfico de instancias para la puerta de enlace de tránsito:

Las reglas de salida utilizan la dirección IP de destino para la evaluación.
Las reglas de entrada utilizan la dirección IP de origen para la evaluación.

Las reglas de NACL se aplican de la siguiente manera para el tráfico proveniente de la puerta de enlace de tránsito hacia las instancias:

Las reglas de salida no se evalúan.
Las reglas de entrada no se evalúan.

Diferentes subredes para instancias EC2 y la asociación de puerta de enlace de tránsito

Considere una configuración en la que tenga instancias EC2 en una subred y una asociación de puerta de enlace de tránsito en una subred diferente, y cada subred está asociada a una ACL de red diferente.

Las reglas de una ACL de red se aplican de la siguiente manera para la subred de instancias EC2:

Las reglas de salida utilizan la dirección IP de destino para evaluar el tráfico de las instancias a la puerta de enlace de tránsito.
Las reglas de salida utilizan la dirección IP de destino para evaluar el tráfico de la puerta de enlace de tránsito a las instancias.

Las reglas NACL se aplican de la siguiente manera para la subred de la puerta de enlace de tránsito:

Las reglas de salida utilizan la dirección IP de destino para evaluar el tráfico de la puerta de enlace de tránsito a las instancias.
Las reglas de salida no se utilizan para evaluar el tráfico de las instancias a la puerta de enlace de tránsito.
Las reglas de entrada utilizan la dirección IP de origen para evaluar el tráfico de las instancias a la puerta de enlace de tránsito.
Las reglas de entrada no se utilizan para evaluar el tráfico de la puerta de enlace de tránsito a las instancias.

Prácticas recomendadas

Utilice una subred independiente para cada archivo asociado a la VPC de la puerta de enlace de tránsito. En cada subred, utilice un CIDR pequeño, por ejemplo /28, a fin de tener más direcciones para los recursos de EC2. Cuando utilice una subred independiente, puede configurar los siguientes recursos:

Mantenga abierta la NACL entrante y saliente asociada con las subredes de la puerta de enlace de tránsito.
En función del flujo de tráfico, puede aplicar NACL a las subredes de carga de trabajo.

Para obtener más información sobre cómo funcionan las conexiones de VPC, consulte Vinculaciones de recursos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas administradas por AWS

Cuotas