Contrôle du trafic vers les sous-réseaux avec des listes ACL réseau - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle du trafic vers les sous-réseaux avec des listes ACL réseau

Une liste de contrôle d'accès (ACL) réseau autorise ou refuse un trafic entrant ou sortant spécifique au niveau du sous-réseau. Vous pouvez utiliser l'ACL réseau par défaut pour votre VPC ou vous pouvez en créer une personnalisée pour votre VPC à l'aide de règles similaires aux règles de vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC.

L'utilisation d'ACL réseau n'implique aucun coût supplémentaire.

Le diagramme suivant illustre un VPC avec deux sous-réseaux. Chaque sous-réseau possède une ACL réseau. Lorsque du trafic entre dans le VPC (par exemple, à partir d'un VPC appairé, d'une connexion VPN ou d'Internet), le routeur envoie le trafic vers sa destination. L'ACL réseau A détermine quel trafic destiné au sous-réseau 1 est autorisé à entrer dans le sous-réseau 1 et quel trafic destiné à un emplacement en dehors du sous-réseau 1 est autorisé à quitter le sous-réseau 1. De même, l'ACL B du réseau détermine quel trafic est autorisé à entrer et à sortir du sous-réseau 2.


      Un VPC avec deux sous-réseaux et une ACL réseau pour chaque sous-réseau.

Pour en savoir plus sur les différences entre les groupes de sécurité et les listes ACL réseau, consultez Comparer les groupes de sécurité et les listes ACL réseau.

Principes de base des listes ACL réseau

Vous trouverez ci-dessous les principes de base à connaître concernant les listes ACL réseau :

  • Votre VPC est automatiquement associé à une liste ACL réseau par défaut, que vous pouvez modifier. Par défaut, il autorise tout le trafic IPv4 entrant et sortant, ainsi que le trafic IPv6, le cas échéant.

  • Vous pouvez créer une ACL réseau personnalisée et l'associer à un sous-réseau pour autoriser ou refuser un trafic entrant ou sortant spécifique au niveau du sous-réseau.

  • Chaque sous-réseau de votre VPC doit être associé à une liste ACL réseau. Si vous n'associez pas explicitement un sous-réseau à une liste ACL réseau, le sous-réseau est automatiquement associé à la liste ACL réseau par défaut.

  • Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Cependant, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau à la fois. Lorsque vous associez une liste ACL réseau à un sous-réseau, l'association antérieure est supprimée.

  • Une ACL réseau possède des règles entrantes et des règles sortantes. Chaque règle peut autoriser ou refuser le trafic. Chaque règle possède un numéro compris entre 1 et 32 766. Nous évaluons les règles dans l'ordre, en commençant par la règle ayant le numéro le plus bas, lorsque nous décidons d'autoriser ou de refuser le trafic. Si le trafic correspond à une règle, celle-ci est appliquée et nous n'évaluons aucune règle supplémentaire. Lorsque vous créez des règles, nous vous recommandons de commencer par des incréments (par exemple, des incréments de 10 ou 100), de façon à pouvoir insérer de nouvelles règles par la suite si nécessaire.

  • Nous évaluons les règles ACL du réseau lorsque le trafic entre et sort du sous-réseau, et non lorsqu'il est acheminé au sein d'un sous-réseau.

  • Les NACL sont sans état, ce qui signifie que les informations sur le trafic précédemment envoyé ou reçu ne sont pas sauvegardées. Si, par exemple, vous créez une règle NACL pour autoriser un trafic entrant spécifique vers un sous-réseau, les réponses à ce trafic ne sont pas automatiquement autorisées. Cela contraste avec le fonctionnement des groupes de sécurité. Les groupes de sécurité sont avec état, ce qui signifie que les informations sur le trafic précédemment envoyé ou reçu sont enregistrées. Si, par exemple, un groupe de sécurité autorise le trafic entrant vers une instance EC2, les réponses sont automatiquement autorisées, quelles que soient les règles du groupe de sécurité pour le trafic sortant.

  • Les ACL réseau ne peuvent pas bloquer les requêtes DNS à destination ou en provenance du résolveur Route 53 (également connu sous le nom d'adresse IP VPC+2 ou DNS). AmazonProvided Pour filtrer les demandes DNS via Route 53 Resolver, vous pouvez activer Route 53 Resolver DNS Firewall (voir le Guide du développeur Amazon Route 53).

  • Les listes ACL réseau ne peuvent pas bloquer le trafic vers le service de métadonnées d'instance (IMDS). Pour gérer l'accès à IMDS, consultez la section Configurer les options de métadonnées d'instance dans le Guide de l'utilisateur Amazon EC2.

  • Les listes ACL réseau ne filtrent pas le trafic vers et depuis les services suivants :

    • Amazon Domain Name Services (DNS)

    • Amazon Dynamic Host Configuration Protocol (DHCP)

    • Métadonnées d'instance Amazon EC2.

    • Points de terminaison des métadonnées de tâches Amazon ECS

    • Activation de licence pour les instances Windows

    • Service de synchronisation temporelle d’Amazon

    • Adresses IP réservées utilisées par le routeur VPC par défaut

  • Il existe des quotas (également appelés limites) pour le nombre de listes ACL réseau par VPC et le nombre de règles par liste ACL réseau. Pour plus d’informations, consultez Quotas Amazon VPC.

Règles des listes ACL réseau

Vous pouvez ajouter des règles à la liste ACL réseau par défaut ou en supprimer. Vous pouvez également créer des listes ACL réseau supplémentaires pour votre VPC. Lorsque vous ajoutez une règle à une liste ACL réseau ou en supprimez, les modifications s'appliquent automatiquement aux sous-réseaux auxquels elle est associée.

Une règle d'une liste ACL réseau est composée des éléments suivants :

  • Numéro de règle. les règles sont évaluées en commençant par la règle comportant le numéro le plus bas. Lorsqu'une règle correspond au trafic, elle s'applique même si une règle avec un numéro plus élevé la contredit.

  • Type. Type de trafic ; par exemple, SSH. Vous pouvez également spécifier tout le trafic ou une plage personnalisée.

  • Protocole. Vous pouvez spécifier n'importe quel protocole associé à un numéro de protocole standard. Pour plus d'informations, consultez la page Protocol Numbers. Si vous indiquez ICMP comme protocole, vous pouvez indiquer tout ou partie des types et codes ICMP.

  • Plage de ports. Port d'écoute ou plage de ports pour le trafic. Par exemple, 80 pour le trafic HTTP.

  • Source. [Règles entrantes uniquement] Source du trafic (plage CIDR).

  • Destination. [Règles sortantes uniquement] Destination du trafic (plage CIDR).

  • Autoriser/Refuser. Indique s'il faut autoriser ou refuser le trafic spécifié.

Si vous ajoutez une règle à l'aide d'un outil de ligne de commande ou de l'API Amazon EC2, la plage CIDR est automatiquement remise à sa forme canonique. Par exemple, si vous spécifiez 100.68.0.18/18 pour la plage CIDR, nous créons une règle avec une plage CIDR 100.68.0.0/18.

Liste ACL réseau par défaut

La liste ACL réseau par défaut est configurée pour autoriser l'ensemble du trafic à entrer et sortir des sous-réseaux auxquels elle est associée. Chaque liste ACL réseau inclut également une règle par défaut dont le numéro est un astérisque (*). Cette règle permet de s'assurer qu'un paquet sera refusé s'il ne correspond à aucune des autres règles numérotées. Vous ne pouvez pas modifier ni supprimer cette règle.

Voici un exemple de liste ACL réseau par défaut pour un VPC qui prend en charge IPv4 uniquement.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser

100

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

AUTORISER

*

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

REFUSER

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser

100

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

AUTORISER

*

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

REJETER

Si vous créez un VPC avec un bloc d'adresse CIDR IPv6, ou si vous associez un bloc d'adresse CIDR IPv6 à votre VPC existant, nous ajoutons automatiquement des règles qui autorisent tout le trafic IPv6 à entrer et sortir de votre sous-réseau. Nous ajoutons également des règles dont les numéros sont des astérisques, ce qui garantit qu'un paquet est refusé s'il ne correspond à aucune des autres règles numérotées. Vous ne pouvez pas modifier ou supprimer ces règles. Voici un exemple de liste ACL réseau par défaut pour un VPC qui prend en charge IPv4 et IPv6.

Note

Si vous avez modifié les règles entrantes de votre liste ACL réseau par défaut, nous n'ajoutons pas automatiquement de règle ALLOW pour le trafic IPv6 entrant lorsque vous associez un bloc IPv6 à votre VPC. De même, si vous avez modifié les règles sortantes, nous n'ajoutons pas automatiquement de règle ALLOW pour le trafic IPv6 sortant.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser

100

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

AUTORISER

101

Tout le trafic IPv6

Tous

Tous

::/0

AUTORISER

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REJETER

*

Tout le trafic IPv6

Tous

Tous

::/0

REFUSER

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser

100

Tout le trafic

Tous

Tous

0.0.0.0/0

AUTORISER

101

Tout le trafic IPv6

Tous

Tous

::/0

AUTORISER

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REJETER

*

Tout le trafic IPv6

Tous

Tous

::/0

REFUSER

Liste ACL réseau personnalisée

L'exemple suivant illustre une liste ACL réseau personnalisée pour un VPC qui prend en charge IPv4 uniquement. Il inclut des règles entrantes autorisant le trafic HTTP et HTTPS entrant (100 et 110). Une règle sortante correspondante autorise les réponses à ce trafic entrant (140), qui couvre les ports éphémères 32768-65535. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

La liste ACL réseau inclut également des règles entrantes qui autorisent le trafic SSH et RDP dans le sous-réseau. La règle sortante 120 autorise les réponses à sortir du sous-réseau.

La liste ACL réseau inclut des règles sortantes (100 et 110) qui autorisent le trafic HTTP et HTTPS sortant du sous-réseau. Une règle entrante correspondante autorise les réponses à ce trafic sortant (140), qui couvre les ports éphémères 32768-65535.

Chaque liste ACL réseau inclut une règle par défaut dont le numéro est un astérisque. Cette règle permet de s'assurer qu'un paquet sera refusé s'il ne correspond à aucune des autres règles. Vous ne pouvez pas modifier ni supprimer cette règle.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv4.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv4.

120

SSH

TCP

22

192.0.2.0/24

AUTORISER

Autorise le trafic SSH entrant depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

130

RDP

TCP

3389

192.0.2.0/24

AUTORISER

Autorise le trafic RDP entrant vers les serveurs web depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

140

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise le trafic IPv4 de retour entrant depuis Internet (pour les demandes qui proviennent du sous-réseau).

Cette plage est uniquement à titre d'exemple.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REJETER

Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP IPv4 sortant du sous-réseau vers Internet.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS IPv4 sortant du sous-réseau vers Internet.

120 SSH

TCP

1024-65535

192.0.2.0/24

AUTORISER

Autorise le trafic SSH sortant depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

140

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise les réponses IPv4 sortantes aux clients sur Internet (par exemple, la diffusion de pages web auprès des visiteurs des serveurs web dans le sous-réseau).

Cette plage est uniquement à titre d'exemple.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REJETER

Refuse l'ensemble du trafic IPv4 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Lorsqu'un paquet arrive dans le sous-réseau, nous l'évaluons par rapport aux règles de trafic entrant de la liste ACL à laquelle le sous-réseau est associé (en commençant par le haut de la liste des règles, puis en descendant). Voici comment se produit l'évaluation si le paquet est destiné au port HTTPS (443). Le paquet ne correspond pas à la première règle évaluée (règle 100). Il correspond à la deuxième (110), qui autorise le paquet dans le sous-réseau. Si le paquet avait été destiné au port 139 (NetBIOS), il ne correspond à aucune des règles et la règle * finit par refuser le paquet.

Vous pouvez ajouter une règle deny lorsque vous considérez que vous avez légitimement besoin d'ouvrir une grande plage de ports, mais que vous souhaitez refuser certains ports de cette plage. Dans le tableau, assurez-vous simplement de placer la règle deny avant celle qui autorise le trafic de la grande plage de ports.

Vous ajoutez des règles allow en fonction de votre cas d'utilisation. Par exemple, vous pouvez ajouter une règle qui autorise l'accès TCP et UDP sortant sur le port 53 pour la résolution DNS. Pour chaque règle que vous ajoutez, assurez-vous qu'il existe une règle entrante ou sortante correspondante qui autorise le trafic de réponse.

L'exemple suivant illustre une liste ACL réseau personnalisée pour un VPC auquel est associé un bloc d'adresse CIDR IPv6. Cette liste ACL réseau inclut des règles pour l'ensemble du trafic HTTP et HTTPS IPv6. Dans ce cas, de nouvelles règles ont été insérées entre les règles existantes pour le trafic IPv4. Vous pouvez également ajouter les règles en tant que règles de nombre supérieur après les règles IPv4. Le trafic IPv4 est distinct du trafic IPv6 et, par conséquent, aucune des règles définies pour le trafic IPv4 ne s'applique au trafic IPv6.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv4.

105

HTTP

TCP

80

::/0

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv6.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv4.

115

HTTPS

TCP

443

::/0

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv6.

120

SSH

TCP

22

192.0.2.0/24

AUTORISER

Autorise le trafic SSH entrant depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

130

RDP

TCP

3389

192.0.2.0/24

AUTORISER

Autorise le trafic RDP entrant vers les serveurs web depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

140

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise le trafic IPv4 de retour entrant depuis Internet (pour les demandes qui proviennent du sous-réseau).

Cette plage est uniquement à titre d'exemple.

145

TCP personnalisé TCP 32768-65535 ::/0 AUTORISER

Autorise le trafic IPv6 de retour entrant depuis Internet (pour les demandes qui proviennent du sous-réseau).

Cette plage est uniquement à titre d'exemple.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REJETER

Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

*

Tout le trafic

Tous

Tous

::/0

REFUSER

Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP IPv4 sortant du sous-réseau vers Internet.

105

HTTP

TCP

80

::/0

AUTORISER

Autorise le trafic HTTP IPv6 sortant du sous-réseau vers Internet.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS IPv4 sortant du sous-réseau vers Internet.

115

HTTPS

TCP

443

::/0

AUTORISER

Autorise le trafic HTTPS IPv6 sortant du sous-réseau vers Internet.

140

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise les réponses IPv4 sortantes aux clients sur Internet (par exemple, la diffusion de pages web auprès des visiteurs des serveurs web dans le sous-réseau).

Cette plage est uniquement à titre d'exemple.

145

TCP personnalisé

TCP

32768-65535

::/0

AUTORISER

Autorise les réponses IPv6 sortantes aux clients sur Internet (par exemple, la diffusion de pages web auprès des visiteurs des serveurs web du sous-réseau).

Cette plage est uniquement à titre d'exemple.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REJETER

Refuse l'ensemble du trafic IPv4 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

*

Tout le trafic

Tous

Tous

::/0

REFUSER

Refuse l'ensemble du trafic IPv6 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

ACL réseau personnalisés et autres services AWS

Si vous créez une ACL réseau personnalisée, soyez conscient de l'impact que cela peut avoir sur les ressources que vous créez à l'aide d'autres AWS services.

Avec Elastic Load Balancing, si le sous-réseau de vos instances backend comporte une liste de contrôle d'accès réseau à laquelle vous avez ajouté une règle refuser pour tout le trafic dont la source est 0.0.0.0/0 ou le CIDR du sous-réseau, votre équilibreur de charge ne peut pas effectuer de vérifications d'état sur les instances. Pour de plus amples informations sur les règles des listes de contrôle d'accès réseau recommandées pour vos équilibreurs de charge et vos instances backend, veuillez consulter Listes de contrôle d'accès réseau pour équilibreurs de charge dans un VPC dans le Guide de l'utilisateur pour Classic Load Balancers.

Ports éphémères

L'exemple de liste ACL réseau fourni dans la section précédente utilise la plage de ports éphémères 32768-65535. Toutefois, vous pouvez choisir une plage différente pour vos listes ACL réseau, en fonction du type de client que vous utilisez ou avec lequel vous communiquez.

Le client qui initie la demande choisit la plage de ports éphémères, qui varie en fonction de son système d'exploitation.

  • De nombreux noyaux Linux (y compris le noyau Amazon Linux) utilisent les ports 32768-61000.

  • Les demandes provenant d'Elastic Load Balancing utilisent les ports 1024-65535.

  • Les systèmes d'exploitation Windows exécutant Windows Server 2003 utilisent les ports 1025-5000.

  • Windows Server 2008 et les versions ultérieures utilisent les ports 49152-65535.

  • Une passerelle NAT utilise les ports 1024-65535.

  • AWS Lambda les fonctions utilisent les ports 1024-65535.

Par exemple, si une demande arrive sur un serveur Web dans votre VPC en provenance d'un client Windows 10 sur Internet, votre liste ACL réseau doit comporter une règle sortante pour autoriser le trafic destiné aux ports 49152-65535.

Si une instance de votre VPC correspond au client initiant la demande, votre liste de contrôle d'accès réseau doit comporter une règle entrante pour autoriser le trafic destiné aux ports éphémères propres à ce type d'instance (Amazon Linux, Windows Server 2008, etc.).

En pratique, pour couvrir les différents types de clients susceptibles d'initier du trafic vers des instances destinées au public dans votre VPC, vous pouvez ouvrir les ports éphémères 1024-65535. Toutefois, vous pouvez également ajouter des règles à la liste ACL afin de refuser le trafic sur tous les ports malveillants inclus dans cette plage. Assurez-vous de placer les règles deny avant les règles allow qui ouvrent la grande plage de ports éphémères.

Détection de la MTU du chemin

La détection de la MTU du chemin permet de déterminer la MTU du chemin entre deux appareils. La MTU du chemin correspond à la taille maximum du paquet prise en charge sur le chemin entre l'hôte de départ et l'hôte de destination.

Pour IPv4, si un hôte envoie un paquet dont la taille est plus importante que la MTU définie pour l'hôte destinataire ou que celle d'un appareil se trouvant sur le chemin, l'hôte ou l'appareil destinataire supprime le paquet et retourne le message ICMP suivant : Destination Unreachable: Fragmentation Needed and Don't Fragment was Set (Type 3, Code 4). Cela indique à l’hôte émetteur de diviser la charge utile en plusieurs paquets plus petits, puis de les retransmettre.

Le protocole IPv6 ne prend pas en charge la fragmentation dans le réseau. Si un hôte envoie un paquet dont la taille est plus importante que la MTU définie pour l’hôte destinataire ou que celle d’un appareil se trouvant sur le chemin, l’hôte ou l’appareil destinataire supprime le paquet et retourne le message ICMP suivant : ICMPv6 Packet Too Big (PTB) (Type 2). Cela indique à l'hôte émetteur de diviser la charge utile en plusieurs paquets plus petits, puis de les retransmettre.

Si l'unité de transmission maximale (MTU) entre les hôtes de vos sous-réseaux est différente, ou si vos instances communiquent avec d'autres instances via Internet, vous devez ajouter la règle de liste ACL réseau suivante, à la fois entrante et sortante. Cela garantit que Path MTU Discovery peut fonctionner correctement et empêcher la perte de paquets. Sélectionnez Custom ICMP Rule (Règle ICMP personnalisée) pour le type et Destination Unreachable (Destination inaccessible), fragmentation required, and DF flag set (fragmentation requise et indicateur DF défini) pour la plage de ports (type 3, code 4). Si vous utilisez la détermination d'itinéraire (traceroute), ajoutez également la règle suivante : sélectionnez Custom ICMP Rule (Règle ICMP personnalisée) pour le type, et Time Exceeded (Temps dépassé), TTL expired transit (Transit TTL expiré) pour la plage de ports (type 11, code 0). Pour de plus amples informations, veuillez consulter MTU (Network maximum transmission unit) pour votre instance EC2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Utiliser les ACL réseau

Les tâches suivantes vous montrent comment utiliser les ACL réseau à l'aide de la console Amazon VPC.

Déterminer les associations de listes ACL réseau

La console Amazon VPC vous permet d'identifier l'ACL réseau associée à un sous-réseau. Les listes ACL réseau peuvent être associées à plusieurs sous-réseaux. Par conséquent, vous pouvez également identifier les sous-réseaux associés à une liste ACL réseau.

Pour identifier la liste ACL réseau associée à un sous-réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Subnets, puis sélectionnez le sous-réseau.

    La liste ACL réseau associée au sous-réseau est incluse dans l'onglet Network ACL, avec les règles de la liste ACL réseau.

Pour identifier les sous-réseaux associés à une liste ACL réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs. La colonne Associated With indique le nombre de sous-réseaux associés à chaque liste ACL réseau.

  3. Sélectionnez une liste ACL réseau.

  4. Dans le volet des détails, choisissez Subnet Associations (Associations de sous-réseau) afin d'afficher les sous-réseaux associés à la liste ACL réseau.

Créer une ACL réseau

Vous pouvez créer une liste ACL réseau personnalisée pour votre VPC. Par défaut, une liste ACL réseau que vous créez bloque l'ensemble du trafic entrant et sortant jusqu'à l'ajout de règles. De plus, elle n'est associée à aucun sous-réseau tant que vous n'avez pas explicitement effectué cette opération.

Pour créer une liste ACL réseau
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Sélectionnez Create Network ACL.

  4. Dans la boîte de dialogue Create Network ACL (Créer une liste ACL réseau), vous pouvez, le cas échéant, nommer votre liste ACL réseau et sélectionner l'ID de votre VPC à partir de la liste VPC. Choisissez Yes, Create (Oui, Créer).

Ajouter et supprimer des règles

Lorsque vous ajoutez une règle ou en supprimez une d'une liste ACL, tous les sous-réseaux qui y sont associés sont concernés par la modification. Vous n'avez pas besoin de terminer et de relancer les instances du sous-réseau. Les modifications entrent en vigueur après une courte période.

Important

Soyez très prudent si vous ajoutez et supprimez des règles en même temps. Les règles d'ACL réseau définissent les types de trafic réseau qui peuvent entrer ou quitter vos VPC. Si vous supprimez des règles entrantes ou sortantes, puis ajoutez plus de nouvelles entrées que celles autorisées dans Quotas Amazon VPC, les entrées sélectionnées pour suppression seront supprimées, et les nouvelles entrées ne seront pas ajoutées. Cela peut occasionner des problèmes de connectivité inattendus et empêcher involontairement l'accès à vos VPC et à partir de ceux-ci.

Si vous utilisez l'API Amazon EC2 ou un outil de ligne de commande, vous ne pouvez pas modifier les règles. Vous ne pouvez ajouter et supprimer que des règles. Si vous utilisez la console Amazon VPC, vous pouvez modifier les entrées des règles existantes. La console supprime la règle existante et ajoute une nouvelle règle pour vous. Si vous souhaitez modifier la position d'une règle dans la liste ACL, vous devez en ajouter une nouvelle avec le numéro de votre choix, puis supprimer la règle d'origine.

Pour ajouter des règles à une liste ACL réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Dans le volet des détails, choisissez l'onglet Inbound Rules ou Outbound Rules, en fonction du type de règle que vous souhaitez ajouter, puis choisissez Edit.

  4. Dans Rule #, saisissez un numéro de règle (par exemple, 100). Ce numéro ne doit pas être déjà utilisé dans la liste ACL réseau. Nous traitons les règles dans l'ordre, en commençant par le numéro le plus bas.

    Nous vous recommandons de laisser un intervalle entre les numéros de règles (par exemple, 100, 200, 300), plutôt que d'utiliser des numéros séquentiels (comme 101, 102, 103). Cela vous permettra d'ajouter plus facilement une nouvelle règle, sans procéder à une nouvelle numérotation des règles existantes.

  5. Sélectionnez une règle dans la liste Type. Par exemple, pour ajouter une règle pour HTTP, choisissez HTTP. Pour ajouter une règle autorisant l'ensemble du trafic TCP, sélectionnez All TCP. Pour certaines de ces options (par exemple, HTTP), nous indiquons le port à votre place. Pour utiliser un protocole non répertorié, choisissez Custom Protocol Rule.

  6. (Facultatif) Si vous créez une règle d'un protocole personnalisé, sélectionnez le numéro et le nom du protocole dans la liste Protocol. Pour plus d'informations, consultez la liste des numéros de protocole fournie par l'IANA.

  7. (Facultatif) Si le protocole que vous avez sélectionné nécessite un numéro de port, saisissez ce dernier ou la plage de ports (en les séparant par un tiret, par exemple 49152-65535).

  8. Dans le champ Source ou Destination (selon qu'il s'agit d'une règle entrante ou sortante), saisissez la plage d'adresses CIDR à laquelle la règle s'applique.

  9. Dans la liste Allow/Deny, sélectionnez ALLOW pour autoriser le trafic spécifié ou DENY pour le refuser.

  10. (Facultatif) Pour ajouter une autre règle, choisissez Add another rule et répétez les étapes 4 à 9 si nécessaire.

  11. Lorsque vous avez terminé, choisissez Save.

Pour supprimer une règle d'une liste ACL réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.

  3. Dans le volet des détails, sélectionnez l'onglet Inbound Rules ou Outbound Rules, puis choisissez Edit. Choisissez Remove pour la règle à supprimer, puis Save.

Associer un sous-réseau à une liste ACL réseau :

Pour appliquer les règles d'une liste ACL réseau à un sous-réseau spécifique, vous devez associer ce dernier à la liste ACL réseau. Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Cependant, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau. Tout sous-réseau qui n'est pas spécifiquement associé à une liste ACL spécifique est associé à la liste ACL réseau par défaut.

Pour associer un sous-réseau à une liste ACL réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.

  3. Dans le volet des détails, sous l'onglet Subnet Associations, choisissez Edit. Cochez la case Associate pour le sous-réseau à associer à la liste ACL réseau, puis sélectionnez Save.

Dissocier une liste ACL réseau d'un sous-réseau

Vous pouvez dissocier une liste ACL réseau personnalisée d'un sous-réseau. Lorsque le sous-réseau a été dissocié de la liste ACL réseau personnalisée, il est alors automatiquement associé à la liste ACL réseau par défaut.

Pour dissocier un sous-réseau d'une liste ACL réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.

  3. Dans le volet des détails, choisissez l'onglet Subnet Associations.

  4. Sélectionnez Edit, puis décochez la case Associate correspondant au sous-réseau. Choisissez Enregistrer.

Modifier l'ACL réseau d'un sous-réseau

Vous pouvez modifier la liste ACL réseau associée à un sous-réseau. Par exemple, lorsque vous créez un sous-réseau, il est initialement associé à la liste ACL réseau par défaut. Vous pouvez choisir de l'associer à une liste ACL réseau personnalisée que vous avez créée.

Après avoir modifié la liste ACL réseau d'un sous-réseau, vous n'avez pas à interrompre et relancer les instances du sous-réseau. Les modifications entrent en vigueur après une courte période.

Pour modifier l'association d'une liste ACL réseau à un sous-réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Subnets, puis sélectionnez le sous-réseau.

  3. Sélectionnez l'onglet Network ACL, puis Edit.

  4. Dans la liste Change to (Remplacer par), sélectionnez la liste ACL réseau à associer au sous-réseau, puis choisissez Save (Enregistrer).

Supprimer une liste ACL réseau

Vous ne pouvez supprimer une liste ACL réseau que si elle n'est associée à aucun sous-réseau. Vous ne pouvez pas supprimer la liste ACL réseau par défaut.

Pour supprimer une liste ACL réseau :
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Sélectionnez la liste ACL réseau, puis choisissez Delete.

  4. Dans la boîte de dialogue de confirmation, choisissez Yes, Delete (Oui, supprimer).

Présentation des API et des commandes

Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'un API. Pour plus d'informations sur les interfaces de ligne de commande et la liste des API disponibles, consultez Utilisation d'Amazon VPC.

Créer une liste ACL réseau pour votre VPC
Décrire une ou plusieurs de vos listes ACL réseau
Ajouter une règle à une liste ACL réseau
Supprimer une règle d'une liste ACL réseau
Remplacer une règle existante dans une liste ACL réseau
Remplacer une association de liste ACL réseau
Supprimer une liste ACL réseau

Exemple : contrôler l'accès aux instances dans un sous-réseau

Dans cet exemple, les instances de votre sous-réseau peuvent communiquer entre elles et sont accessibles depuis un ordinateur distant fiable. L'ordinateur distant peut être un ordinateur de votre réseau local ou une instance d'un autre sous-réseau ou VPC. Vous l'utilisez pour vous connecter à vos instances afin d'effectuer des tâches administratives. Vos règles de groupe de sécurité et de liste ACL réseau autorisent l'accès à partir de l'adresse IP de votre ordinateur distant (172.31.1.2/32). Le reste du trafic provenant d'Internet ou d'autres réseaux est refusé. Ce scénario vous offre la possibilité de modifier les groupes de sécurité ou les règles de groupe de sécurité pour vos instances, et de définir la liste ACL réseau comme la couche de défense des sauvegardes.


          Utilisation d'un groupe de sécurité et d'une liste ACL réseau

Voici un exemple de groupe de sécurité à associer aux instances. Les groupes de sécurité sont avec état. Par conséquent, vous n'avez pas besoin d'une règle qui autorise les réponses pour le trafic entrant.

Entrant
Type de protocole Protocole Plage de ports Source Commentaires
Tout le trafic Tous Tous les comptes sg-1234567890abcdef0 Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles.
SSH TCP 22 172.31.1.2/32 Autorise l'accès SSH entrant depuis l'ordinateur distant.
Sortant
Type de protocole Protocole Plage de ports Destination Commentaires
Tout le trafic Tous Tous les comptes sg-1234567890abcdef0 Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles.

Voici un exemple d'ACL réseau à associer aux sous-réseaux pour les instances. Les règles ACL réseau s'appliquent à toutes les instances du sous-réseau. Les listes ACL réseau sont sans état. Par conséquent, vous avez besoin d'une règle qui autorise les réponses pour le trafic entrant.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser Commentaires
100 SSH TCP 22 172.31.1.2/32 AUTORISER Autorise le trafic entrant depuis l'ordinateur distant.
* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse tout autre trafic entrant.
Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser Commentaires
100 TCP personnalisé TCP 1024-65535 172.31.1.2/32 AUTORISER Autorise les réponses sortantes vers l'ordinateur distant.
* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse tout autre trafic sortant.

Si vous rendez accidentellement vos règles de groupe de sécurité trop permissives, l'ACL réseau de cet exemple continue d'autoriser l'accès uniquement à partir de l'adresse IP spécifiée. Par exemple, le groupe de sécurité suivant contient une règle qui autorise l'accès SSH entrant à partir de n'importe quelle adresse IP. Toutefois, si vous associez ce groupe de sécurité à une instance d'un sous-réseau qui utilise l'ACL réseau, seules les autres instances du sous-réseau et de votre ordinateur distant peuvent accéder à l'instance, car les règles ACL réseau refusent tout autre trafic entrant vers le sous-réseau.

Entrant
Type Protocole Plage de ports Source Commentaires
Tout le trafic Tous Tous les comptes sg-1234567890abcdef0 Toutes les instances associées à ce groupe de sécurité peuvent communiquer entre elles.
SSH TCP 22 0.0.0.0/0 Autorise l'accès SSH depuis n'importe quelle adresse IP.
Sortant
Type Protocole Plage de ports Destination Commentaires
Tout le trafic Tous Tous 0.0.0.0/0 Autorise tout le trafic sortant.

Résoudre les problèmes d'accessibilité

Reachability Analyzer est un outil d'analyse de configuration statique. Utilisez Reachability Analyzer pour analyser et déboguer l'accessibilité réseau entre deux ressources de votre VPC. Reachability Analyzer hop-by-hop fournit des détails sur le chemin virtuel entre ces ressources lorsqu'elles sont accessibles, et identifie le composant bloquant dans le cas contraire. Par exemple, il peut identifier les règles ACL du réseau manquantes ou mal configurées.

Pour plus d'informations, reportez-vous au Guide de l'Analyseur d'accessibilité.