ACLPrincipes de base du réseau - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

ACLPrincipes de base du réseau

Voici les informations de base que vous devez savoir sur le réseau ACLs :

  • Votre réseau est VPC automatiquement fourni avec un réseau ACL par défaut modifiable. Par défaut, il autorise tout le trafic entrant et sortant et, le cas échéant, IPv6 le IPv4 trafic.

  • Vous pouvez créer un réseau personnalisé ACL et l'associer à un sous-réseau pour autoriser ou refuser un trafic entrant ou sortant spécifique au niveau du sous-réseau.

  • Chaque sous-réseau de votre réseau VPC doit être associé à un réseauACL. Si vous n'associez pas explicitement un sous-réseau à un réseauACL, le sous-réseau est automatiquement associé au réseau par défaut. ACL

  • Vous pouvez associer un réseau ACL à plusieurs sous-réseaux. Toutefois, un sous-réseau ne peut être associé qu'à un seul réseau ACL à la fois. Lorsque vous associez un réseau ACL à un sous-réseau, l'association précédente est supprimée.

  • Un réseau ACL possède des règles entrantes et sortantes. Chaque règle peut autoriser ou refuser le trafic. Chaque règle possède un numéro compris entre 1 et 32 766. Nous évaluons les règles dans l'ordre, en commençant par la règle ayant le numéro le plus bas, lorsque nous décidons d'autoriser ou de refuser le trafic. Si le trafic correspond à une règle, celle-ci est appliquée et nous n'évaluons aucune règle supplémentaire. Lorsque vous créez des règles, nous vous recommandons de commencer par des incréments (par exemple, des incréments de 10 ou 100), de façon à pouvoir insérer de nouvelles règles par la suite si nécessaire.

  • Nous évaluons les ACL règles du réseau lorsque le trafic entre et sort du sous-réseau, et non lorsqu'il est acheminé au sein d'un sous-réseau.

  • NACLssont apatrides, ce qui signifie que les informations relatives au trafic précédemment envoyé ou reçu ne sont pas enregistrées. Si, par exemple, vous créez une NACL règle pour autoriser un trafic entrant spécifique vers un sous-réseau, les réponses à ce trafic ne sont pas automatiquement autorisées. Cela contraste avec le fonctionnement des groupes de sécurité. Les groupes de sécurité sont avec état, ce qui signifie que les informations sur le trafic précédemment envoyé ou reçu sont enregistrées. Si, par exemple, un groupe de sécurité autorise le trafic entrant vers une EC2 instance, les réponses sont automatiquement autorisées quelles que soient les règles du groupe de sécurité sortant.

  • Le réseau ne ACLs peut pas bloquer les DNS demandes à destination ou en provenance du résolveur Route 53 (également appelé adresse IP VPC +2 ou AmazonProvidedDNS). Pour filtrer les DNS demandes via le résolveur Route 53, vous pouvez activer le DNSpare-feu Route 53 Resolver dans le guide du développeur Amazon Route 53.

  • Le réseau ne ACLs peut pas bloquer le trafic vers le service de métadonnées d'instance (IMDS). Pour gérer l'accès àIMDS, consultez Configurer les options de métadonnées de l'instance dans le guide de EC2 l'utilisateur Amazon.

  • Le réseau ACLs ne filtre pas le trafic à destination et en provenance des sites suivants :

    • Amazon Domain Name Services (DNS)

    • Protocole de configuration d'hôte Amazon Dynamic (DHCP)

    • Métadonnées de EC2 l'instance Amazon

    • Points de terminaison des métadonnées des ECS tâches Amazon

    • Activation de licence pour les instances Windows

    • Service de synchronisation temporelle d’Amazon

    • Adresses IP réservées utilisées par le VPC routeur par défaut

  • Il existe des quotas (également appelés limites) pour le nombre de réseaux ACLs par réseau VPC et le nombre de règles par réseauACL. Pour de plus amples informations, veuillez consulter VPCQuotas Amazon.