Fonctionnement des ACL (listes de contrôle d’accès) réseau avec les passerelles de transit - Amazon VPC
Même sous-réseau pour les instances EC2 et l'association de la passerelle de transitSous-réseaux différents pour les instances EC2 et l'association de la passerelle de transitBonnes pratiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement des ACL (listes de contrôle d’accès) réseau avec les passerelles de transit

Une liste de contrôle d'accès réseau (NACL) est une couche de sécurité facultative.

Les règles de liste de contrôle d'accès réseau (NACL) sont appliquées différemment, selon le scénario :

Même sous-réseau pour les instances EC2 et l'association de la passerelle de transit

Imaginez une configuration dans laquelle vous disposez d'instances EC2 et d'une association de passerelle de transit dans le même sous-réseau. La même ACL réseau est utilisée pour le trafic des instances EC2 à la passerelle de transit et pour le trafic de la passerelle de transit aux instances.

Les règles NACL sont appliquées comme suit pour le trafic des instances à la passerelle de transit :

  • Les règles sortantes utilisent l'adresse IP de destination pour l'évaluation.

  • Les règles entrantes utilisent l'adresse IP source pour l'évaluation.

Les règles NACL sont appliquées de la manière suivante pour le trafic de la passerelle de transit aux instances :

  • Les règles sortantes ne sont pas évaluées.

  • Les règles entrantes ne sont pas évaluées.

Sous-réseaux différents pour les instances EC2 et l'association de la passerelle de transit

Pensez à une configuration dans laquelle vous avez des instances EC2 dans un sous-réseau et une association de passerelle de transit dans un sous-réseau différent et chaque sous-réseau est associé à une ACL réseau différente.

Les règles ACL réseau sont appliquées comme suit pour le sous-réseau de l’instance EC2 :

  • Les règles sortantes utilisent l'adresse IP de destination pour évaluer le trafic des instances à la passerelle de transit.

  • Les règles entrantes utilisent l'adresse IP de destination pour évaluer le trafic de la passerelle de transit aux instances.

Les règles NACL sont appliquées comme suit pour le sous-réseau de la passerelle de transit :

  • Les règles sortantes utilisent l'adresse IP de destination pour évaluer le trafic de la passerelle de transit aux instances.

  • Les règles sortantes ne sont pas utilisées pour évaluer le trafic des instances à la passerelle de transit.

  • Les règles entrantes utilisent l'adresse IP source pour évaluer le trafic des instances à la passerelle de transit.

  • Les règles entrantes ne sont pas utilisées pour évaluer le trafic de la passerelle de transit aux instances.

Bonnes pratiques

Utilisez un sous-réseau distinct pour chaque attachement de VPC de passerelle de transit. Pour chaque sous-réseau, utilisez un petit CIDR, par exemple /28, afin d'avoir plus d'adresses pour les ressources EC2. Lorsque vous utilisez un sous-réseau distinct, vous pouvez configurer les éléments suivants :

  • Gardez ouverte l’ACL réseau entrante et sortante associée aux sous-réseaux de la passerelle de transit.

  • En fonction de votre flux de trafic, vous pouvez appliquer des listes ACL réseau à vos sous-réseaux de charge de travail.

Pour plus d'informations sur la façon dont les pièces jointes de VPC fonctionnent, consultez Attachements de ressources.