Même sous-réseau pour les EC2 instances et l'association des passerelles de transit Différents sous-réseaux pour les EC2 instances et l'association des passerelles de transit Bonnes pratiques

Réseau ACLs pour les passerelles de transit dans Amazon VPC Transit Gateways

Une liste de contrôle d'accès réseau (NACL) est une couche de sécurité facultative.

Les règles de la liste de contrôle d'accès au réseau (NACL) sont appliquées différemment selon le scénario :

Même sous-réseau pour les EC2 instances et l'association des passerelles de transit
Différents sous-réseaux pour les EC2 instances et l'association des passerelles de transit

Même sous-réseau pour les EC2 instances et l'association des passerelles de transit

Envisagez une configuration dans laquelle vous avez EC2 des instances et une association de passerelle de transit dans le même sous-réseau. Le même réseau ACL est utilisé à la fois pour le trafic des EC2 instances vers la passerelle de transit et pour le trafic de la passerelle de transit vers les instances.

NACLles règles sont appliquées comme suit pour le trafic entre les instances et la passerelle de transit :

Les règles sortantes utilisent l'adresse IP de destination pour l'évaluation.
Les règles entrantes utilisent l'adresse IP source pour l'évaluation.

NACLles règles sont appliquées comme suit pour le trafic entre la passerelle de transit et les instances :

Les règles sortantes ne sont pas évaluées.
Les règles entrantes ne sont pas évaluées.

Différents sous-réseaux pour les EC2 instances et l'association des passerelles de transit

Imaginons une configuration dans laquelle vous avez des EC2 instances dans un sous-réseau et une association de passerelle de transit dans un sous-réseau différent, chaque sous-réseau étant associé à un réseau différent. ACL

Les ACL règles réseau sont appliquées comme suit pour le sous-réseau de l'EC2instance :

Les règles sortantes utilisent l'adresse IP de destination pour évaluer le trafic des instances à la passerelle de transit.
Les règles entrantes utilisent l'adresse IP de destination pour évaluer le trafic de la passerelle de transit aux instances.

NACLles règles sont appliquées comme suit pour le sous-réseau de la passerelle de transit :

Les règles sortantes utilisent l'adresse IP de destination pour évaluer le trafic de la passerelle de transit aux instances.
Les règles sortantes ne sont pas utilisées pour évaluer le trafic des instances à la passerelle de transit.
Les règles entrantes utilisent l'adresse IP source pour évaluer le trafic des instances à la passerelle de transit.
Les règles entrantes ne sont pas utilisées pour évaluer le trafic de la passerelle de transit aux instances.

Bonnes pratiques

Utilisez un sous-réseau distinct pour chaque VPC pièce jointe à une passerelle de transit. Pour chaque sous-réseau, utilisez un petitCIDR, par exemple /28, afin d'avoir plus d'adresses pour EC2 les ressources. Lorsque vous utilisez un sous-réseau distinct, vous pouvez configurer les éléments suivants :

Gardez ouverts les ports entrants et sortants NACL associés aux sous-réseaux de la passerelle de transit.
En fonction de votre flux de trafic, vous pouvez l'appliquer NACLs à vos sous-réseaux de charge de travail.

Pour plus d'informations sur le fonctionnement VPC des pièces jointes, consultezAttachements de ressources.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Quotas