Règles des listes ACL réseau - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles des listes ACL réseau

Vous pouvez ajouter ou supprimer des règles de l'ACL réseau par défaut, ou créer un réseau supplémentaire ACLs pour votre VPC. Lorsque vous ajoutez une règle à une liste ACL réseau ou en supprimez, les modifications s'appliquent automatiquement aux sous-réseaux auxquels elle est associée.

Une règle d'une liste ACL réseau est composée des éléments suivants :

  • Numéro de règle. les règles sont évaluées en commençant par la règle comportant le numéro le plus bas. Lorsqu'une règle correspond au trafic, elle s'applique même si une règle avec un numéro plus élevé la contredit.

  • Type. Type de trafic ; par exemple, SSH. Vous pouvez également spécifier tout le trafic ou une plage personnalisée.

  • Protocole. Vous pouvez spécifier n'importe quel protocole associé à un numéro de protocole standard. Pour plus d'informations, consultez la page Protocol Numbers. Si vous indiquez ICMP comme protocole, vous pouvez indiquer tout ou partie des types et codes ICMP.

  • Plage de ports. Port d'écoute ou plage de ports pour le trafic. Par exemple, 80 pour le trafic HTTP.

  • Source. [Règles entrantes uniquement] Source du trafic (plage CIDR).

  • Destination. [Règles sortantes uniquement] Destination du trafic (plage CIDR).

  • Autoriser/Refuser. Indique s'il faut autoriser ou refuser le trafic spécifié.

Tenez compte des points suivants lors de l'ajout et de la suppression de règles ACL réseau.

Considérations

  • Lorsque vous ajoutez une règle ou en supprimez une d'une liste ACL, tous les sous-réseaux qui y sont associés sont concernés par la modification. Les modifications entrent en vigueur après une courte période.

  • Si vous ajoutez une règle à l'aide d'un outil de ligne de commande ou de l' EC2 API Amazon, la plage d'adresses CIDR est automatiquement modifiée pour prendre sa forme canonique. Par exemple, si vous spécifiez 100.68.0.18/18 pour la plage CIDR, nous créons une règle avec une plage CIDR 100.68.0.0/18.

  • Vous souhaiterez peut-être ajouter une règle de refus lorsque vous devez ouvrir un large éventail de ports, mais que vous souhaitez refuser certains ports compris dans cette plage. Assurez-vous de donner à la règle de refus un nombre inférieur à celui de la règle qui autorise un plus large éventail de trafic portuaire.

  • Si vous ajoutez et supprimez des règles d'une ACL réseau en même temps, soyez prudent. Si vous supprimez les règles entrantes ou sortantes, puis que vous ajoutez plus de nouvelles entrées que ce qui est autorisé (voirQuotas Amazon VPC, les entrées sélectionnées pour suppression sont supprimées et aucune nouvelle entrée n'est ajoutée). Cela peut entraîner des problèmes de connectivité inattendus et empêcher l'accès vers et depuis votre VPC.