Amazon Virtual Private Cloud
Guide de l'utilisateur

ACL réseau

Une liste de contrôle d'accès (ACL) réseau est une couche de sécurité facultative pour votre VPC, qui fait office de pare-feu pour le contrôle du trafic entrant et sortant d'un ou plusieurs sous-réseaux. Vous pouvez définir des listes ACL réseau à l'aide de règles similaires à vos groupes de sécurité afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et les listes ACL réseau, consultez la section Comparaison des groupes de sécurité et des listes ACL réseau.

Principes de base des listes ACL réseau

Vous trouverez ci-dessous les principes de base à connaître concernant les listes ACL réseau :

  • Votre VPC est automatiquement associé à une liste ACL réseau par défaut, que vous pouvez modifier. Par défaut, il autorise tout le trafic IPv4 entrant et sortant, ainsi que le trafic IPv6, le cas échéant.

  • Vous pouvez créer une liste ACL réseau personnalisée et l'associer à un sous-réseau. Par défaut, chaque liste ACL réseau personnalisée refuse tout trafic entrant et sortant jusqu'à ce que vous ajoutiez des règles.

  • Chaque sous-réseau de votre VPC doit être associé à une liste ACL réseau. Si vous n'associez pas explicitement un sous-réseau à une liste ACL réseau, le sous-réseau est automatiquement associé à la liste ACL réseau par défaut.

  • Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Toutefois, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau à la fois. Lorsque vous associez une liste ACL réseau à un sous-réseau, l'association antérieure est supprimée.

  • Une liste ACL réseau contient une liste numérotée de règles que nous évaluons dans l'ordre, en commençant par le numéro le plus bas, afin de déterminer si le trafic est autorisé depuis ou vers tout sous-réseau associé à la liste ACL réseau. Le numéro le plus élevé que vous pouvez utiliser pour une règle est le 32 766. Lorsque vous créez des règles, nous vous recommandons de commencer par des incréments (par exemple, des incréments de 10 ou 100), de façon à pouvoir insérer de nouvelles règles par la suite si nécessaire.

  • Une liste ACL réseau comporte des règles entrantes et sortantes distinctes, et chaque règle peut autoriser ou refuser le trafic.

  • Les listes ACL réseau sont sans état. Les réponses au trafic entrant autorisé sont soumises aux règles du trafic sortant (et vice versa).

Pour plus d'informations, consultez Limites Amazon VPC.

Règles des listes ACL réseau

Vous pouvez ajouter des règles à la liste ACL réseau par défaut ou en supprimer. Vous pouvez également créer des listes ACL réseau supplémentaires pour votre VPC. Lorsque vous ajoutez des règles à une liste ACL réseau ou en supprimez, les modifications s'appliquent automatiquement aux sous-réseaux auxquels elle est associée.

Une règle d'une liste ACL réseau est composée des éléments suivants :

  • Le numéro de règle : les règles sont évaluées en commençant par la règle comportant le numéro le plus bas. Lorsqu'une règle correspond au trafic, elle s'applique même si une règle avec un numéro plus élevé la contredit.

  • Protocole. Vous pouvez spécifier n'importe quel protocole associé à un numéro de protocole standard. Pour plus d'informations, consultez la page Protocol Numbers. Si vous indiquez ICMP comme protocole, vous pouvez indiquer tout ou partie des types et codes ICMP.

  • [Règles entrantes uniquement] La source du trafic (plage d'adresses CIDR), et le port de destination (d'écoute) ou la plage de ports.

  • [Règles sortantes uniquement] La destination du trafic (plage d'adresses CIDR), et le port de destination ou la plage de ports.

  • Le choix entre AUTORISER et REFUSER pour le trafic spécifié.

Liste ACL réseau par défaut

La liste ACL réseau par défaut est configurée pour autoriser l'ensemble du trafic à entrer et sortir des sous-réseaux auxquels elle est associée. Chaque liste ACL réseau inclut également une règle par défaut dont le numéro est un astérisque. Cette règle permet de s'assurer qu'un paquet sera refusé s'il ne correspond à aucune des autres règles numérotées. Vous ne pouvez pas modifier ni supprimer cette règle.

Voici un exemple de liste ACL réseau par défaut pour un VPC qui prend en charge IPv4 uniquement.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser

100

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

AUTORISER

*

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

REFUSER

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser

100

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

AUTORISER

*

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

REFUSER

Si vous créez un VPC avec un bloc d'adresse CIDR IPv6, ou si vous associez un bloc d'adresse CIDR IPv6 à votre VPC existant, nous ajoutons automatiquement des règles qui autorisent tout le trafic IPv6 à entrer et sortir de votre sous-réseau. Nous ajoutons également des règles dont les numéros sont des astérisques, ce qui garantit qu'un paquet est refusé s'il ne correspond à aucune des autres règles numérotées. Vous ne pouvez pas modifier ou supprimer ces règles. Voici un exemple de liste ACL réseau par défaut pour un VPC qui prend en charge IPv4 et IPv6.

Note

Si vous avez modifié les règles entrantes de votre liste ACL réseau par défaut, nous n'ajoutons pas automatiquement de règle ALLOW pour le trafic IPv6 entrant lorsque vous associez un bloc IPv6 à votre VPC. De même, si vous avez modifié les règles sortantes, nous n'ajoutons pas automatiquement de règle ALLOW pour le trafic IPv6 sortant.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser

100

Tout le trafic IPv4

Tous

Tous

0.0.0.0/0

AUTORISER

101

Tout le trafic IPv6

Tous

Tous

::/0

AUTORISER

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REFUSER

*

Tout le trafic IPv6

Tous

Tous

::/0

REFUSER

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser

100

Tout le trafic

Tous

Tous

0.0.0.0/0

AUTORISER

101

Tout le trafic IPv6

Tous

Tous

::/0

AUTORISER

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REFUSER

*

Tout le trafic IPv6

Tous

Tous

::/0

REFUSER

Liste ACL réseau personnalisée

Le tableau suivant illustre un exemple de liste ACL réseau personnalisée pour un VPC qui prend en charge IPv4 uniquement. Il inclut des règles autorisant le trafic HTTP et HTTPS entrant (règles entrantes 100 et 110). Une règle sortante correspondante autorise les réponses à ce trafic entrant (règle sortante 120, qui couvre les ports éphémères 32768-65535). Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

La liste ACL réseau inclut également des règles entrantes qui autorisent le trafic SSH et RDP dans le sous-réseau. La règle sortante 120 autorise les réponses à sortir du sous-réseau.

La liste ACL réseau inclut des règles sortantes (100 et 110) qui autorisent le trafic HTTP et HTTPS sortant du sous-réseau. Une règle entrante correspondante autorise les réponses à ce trafic sortant (règle entrante 140, qui couvre les ports éphémères 32768-65535).

Note

Chaque liste ACL réseau inclut une règle par défaut dont le numéro est un astérisque. Cette règle permet de s'assurer qu'un paquet sera refusé s'il ne correspond à aucune des autres règles. Vous ne pouvez pas modifier ni supprimer cette règle.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv4.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv4.

120

SSH

TCP

22

192.0.2.0/24

AUTORISER

Autorise le trafic SSH entrant depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

130

RDP

TCP

3389

192.0.2.0/24

AUTORISER

Autorise le trafic RDP entrant vers les serveurs web depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

140

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise le trafic IPv4 de retour entrant depuis Internet (pour les demandes qui proviennent du sous-réseau).

Cette plage est uniquement à titre d'exemple. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REFUSER

Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP IPv4 sortant du sous-réseau vers Internet.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS IPv4 sortant du sous-réseau vers Internet.

120

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise les réponses IPv4 sortantes aux clients sur Internet (par exemple, la diffusion de pages web auprès des visiteurs des serveurs web dans le sous-réseau).

Cette plage est uniquement à titre d'exemple. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REFUSER

Refuse l'ensemble du trafic IPv4 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Lorsqu'un paquet arrive dans le sous-réseau, nous l'évaluons par rapport aux règles de trafic entrant de la liste ACL à laquelle le sous-réseau est associé (en commençant par le haut de la liste des règles, puis en descendant). Voici comment se produit l'évaluation si le paquet est destiné au port SSL (443). Le paquet ne correspond pas à la première règle évaluée (règle 100). Il correspond à la deuxième (110), qui autorise le paquet dans le sous-réseau. Si le paquet avait été destiné au port 139 (NetBIOS), il ne correspond à aucune des règles et la règle * finit par refuser le paquet.

Vous pouvez ajouter une règle REFUSER lorsque vous considérez que vous avez légitimement besoin d'ouvrir une grande plage de ports, mais que vous souhaitez refuser certains ports de cette plage. Dans le tableau, assurez-vous simplement de placer la règle REFUSER plus tôt que celle qui autorise le trafic de la grande plage de ports.

Vous ajoutez les règles ALLOW en fonction de votre cas d'utilisation ; par exemple, une règle qui autorise l'accès sortant TCP et UDP sur le port 53 pour la résolution DNS. Pour chaque règle que vous ajoutez, assurez-vous qu'il existe une règle entrante ou sortante correspondante qui autorise le trafic de réponse.

Le tableau suivant présente le même exemple de liste ACL réseau personnalisée pour un VPC auquel est associé un bloc d'adresse CIDR IPv6. Cette liste ACL réseau inclut des règles pour l'ensemble du trafic HTTP et HTTPS IPv6. Dans ce cas, de nouvelles règles ont été ajoutées entre les règles existantes pour le trafic IPv4, mais vous pouvez également ajouter les règles en tant que règles numérotées supérieures après les règles IPv4. Le trafic IPv4 est distinct du trafic IPv6 et, par conséquent, aucune des règles définies pour le trafic IPv4 ne s'applique au trafic IPv6.

Entrant
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv4.

105

HTTP

TCP

80

::/0

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv6.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv4.

115

HTTPS

TCP

443

::/0

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv6.

120

SSH

TCP

22

192.0.2.0/24

AUTORISER

Autorise le trafic SSH entrant depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

130

RDP

TCP

3389

192.0.2.0/24

AUTORISER

Autorise le trafic RDP entrant vers les serveurs web depuis la plage d'adresses IPv4 publiques de votre réseau domestique (via la passerelle Internet).

140

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise le trafic IPv4 de retour entrant depuis Internet (pour les demandes qui proviennent du sous-réseau).

Cette plage est uniquement à titre d'exemple. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

145

TCP personnalisé TCP 32768-65535 ::/0 AUTORISER

Autorise le trafic IPv6 de retour entrant depuis Internet (pour les demandes qui proviennent du sous-réseau).

Cette plage est uniquement à titre d'exemple. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REFUSER

Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

*

Tout le trafic

Tous

Tous

::/0

REFUSER

Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Sortant
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser Commentaires

100

HTTP

TCP

80

0.0.0.0/0

AUTORISER

Autorise le trafic HTTP IPv4 sortant du sous-réseau vers Internet.

105

HTTP

TCP

80

::/0

AUTORISER

Autorise le trafic HTTP IPv6 sortant du sous-réseau vers Internet.

110

HTTPS

TCP

443

0.0.0.0/0

AUTORISER

Autorise le trafic HTTPS IPv4 sortant du sous-réseau vers Internet.

115

HTTPS

TCP

443

::/0

AUTORISER

Autorise le trafic HTTPS IPv6 sortant du sous-réseau vers Internet.

120

TCP personnalisé

TCP

32768/65535

0.0.0.0/0

AUTORISER

Autorise les réponses IPv4 sortantes aux clients sur Internet (par exemple, la diffusion de pages web auprès des visiteurs des serveurs web dans le sous-réseau).

Cette plage est uniquement à titre d'exemple. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

125

TCP personnalisé

TCP

32768-65535

::/0

AUTORISER

Autorise les réponses IPv6 sortantes aux clients sur Internet (par exemple, la diffusion de pages web auprès des visiteurs des serveurs web dans le sous-réseau).

Cette plage est uniquement à titre d'exemple. Pour savoir comment sélectionner la plage de ports éphémères appropriée, consultez la section Ports éphémères.

*

Tout le trafic

Tous

Tous

0.0.0.0/0

REFUSER

Refuse l'ensemble du trafic IPv4 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

*

Tout le trafic

Tous

Tous

::/0

REFUSER

Refuse l'ensemble du trafic IPv6 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Listes ACL réseau personnalisées et autres services AWS

Si vous créez une ACL réseau personnalisée, sachez qu'elle peut affecter les ressources que vous créez avec d'autres services AWS.

Avec Elastic Load Balancing, si le sous-réseau de vos instances principales comporte une liste ACL réseau à laquelle vous avez ajouté une règle REFUSER pour tout le trafic dont la source est 0.0.0.0/0 ou le bloc CIDR du sous-réseau, votre équilibreur de charge ne peut pas effectuer de vérifications de l'état sur les instances. Pour plus d'informations sur les règles des listes ACL réseau recommandées pour vos équilibreurs de charge et vos instances principales, consultez la section Network ACLs for Load Balancers in a VPC du manuel Guide de l'utilisateur pour les Equilibreurs de charge classiques.

Ports éphémères

L'exemple de liste ACL réseau fourni dans la section précédente utilise la plage de ports éphémères 32768-65535. Toutefois, vous pouvez choisir une plage différente pour vos listes ACL réseau, en fonction du type de client que vous utilisez ou avec lequel vous communiquez.

Le client qui initie la demande choisit la plage de ports éphémères, qui varie en fonction de son système d'exploitation. De nombreux noyaux Linux (y compris le noyau Amazon Linux) utilisent les ports 32768-61000. Les demandes provenant d'Elastic Load Balancing utilisent les ports 1024-65535. Les systèmes d'exploitation Windows exécutant Windows Server 2003 utilisent les ports 1025-5000. Windows Server 2008 et les versions ultérieures utilisent les ports 49152-65535. Une passerelle NAT utilise les ports 1024-65535. Par exemple, si une demande arrive sur un serveur Web dans votre VPC en provenance d'un client Windows XP sur Internet, votre liste ACL réseau doit comporter une règle sortante pour autoriser le trafic destiné aux ports 1025-5000.

Si une instance de votre VPC correspond au client initiant la demande, votre liste ACL réseau doit comporter une règle entrante pour autoriser le trafic destiné aux ports éphémères propres à ce type d'instance (Amazon Linux, Windows Server 2008, etc.).

En pratique, pour couvrir les différents types de clients susceptibles d'initier du trafic vers des instances destinées au public dans votre VPC, vous pouvez ouvrir les ports éphémères 1024-65535. Toutefois, vous pouvez également ajouter des règles à la liste ACL afin de refuser le trafic sur tous les ports malveillants inclus dans cette plage. Assurez-vous de placer les règles REFUSER plus tôt que les règles AUTORISER qui ouvrent la grande plage de ports éphémères.

Utilisation des listes ACL réseau

Les tâches suivantes vous montrent comment utiliser les listes ACL réseau à l'aide de la console Amazon VPC.

Identification des associations de listes ACL réseau

La console Amazon VPC vous permet d'identifier la liste ACL réseau associée à un sous-réseau. Les listes ACL réseau peuvent être associées à plusieurs sous-réseaux. Par conséquent, vous pouvez également identifier les sous-réseaux associés à une liste ACL réseau.

Pour identifier la liste ACL réseau associée à un sous-réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Subnets, puis sélectionnez le sous-réseau.

    La liste ACL réseau associée au sous-réseau est incluse dans l'onglet Network ACL, avec les règles de la liste ACL réseau.

Pour identifier les sous-réseaux associés à une liste ACL réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs. La colonne Associated With indique le nombre de sous-réseaux associés à chaque liste ACL réseau.

  3. Sélectionnez une liste ACL réseau.

  4. Dans le volet des détails, choisissez Subnet Associations afin d'afficher les sous-réseaux associés à la liste ACL réseau.

Création d'une liste ACL réseau

Vous pouvez créer une liste ACL réseau personnalisée pour votre VPC. Par défaut, une liste ACL réseau que vous créez bloque l'ensemble du trafic entrant et sortant jusqu'à l'ajout de règles. De plus, elle n'est associée à aucun sous-réseau tant que vous n'avez pas explicitement effectué cette opération.

Pour créer une liste ACL réseau

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Sélectionnez Create Network ACL.

  4. Dans la boîte de dialogue Create Network ACL, vous avez la possibilité d'attribuer un nom à votre liste ACL réseau. Sélectionnez ensuite l'ID de votre VPC dans la liste VPC, puis choisissez Yes, Create.

Ajout et suppression de règles

Lorsque vous ajoutez une règle ou en supprimez une d'une liste ACL, tous les sous-réseaux qui y sont associés sont concernés par la modification. Vous n'avez pas besoin de mettre fin aux instances du sous-réseau et de les relancer. Les modifications prennent effet après une courte période.

Si vous utilisez l'API Amazon EC2 ou un outil de ligne de commande, vous ne pouvez pas modifier les règles, vous pouvez uniquement ajouter et supprimer des règles. Si vous utilisez la console Amazon VPC, vous pouvez modifier les entrées des règles existantes (la console supprime la règle et en ajoute une nouvelle pour vous). Si vous souhaitez modifier la position d'une règle dans la liste ACL, vous devez en ajouter une nouvelle avec le numéro de votre choix, puis supprimer la règle d'origine.

Pour ajouter des règles à une liste ACL réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Dans le volet des détails, choisissez l'onglet Inbound Rules ou Outbound Rules, en fonction du type de règle que vous souhaitez ajouter, puis choisissez Edit.

  4. Dans Rule #, saisissez un numéro de règle (par exemple, 100). Ce numéro ne doit pas être déjà utilisé dans la liste ACL réseau. Nous traitons les règles dans l'ordre, en commençant par le numéro le plus bas.

    Astuce

    Nous vous recommandons de laisser un intervalle entre les numéros de règles (par exemple, 100, 200, 300), plutôt que d'utiliser des numéros séquentiels (comme 101, 102, 103). Cela vous permettra d'ajouter plus facilement une nouvelle règle, sans procéder à une nouvelle numérotation des règles existantes.

  5. Sélectionnez une règle dans la liste Type. Par exemple, pour ajouter une règle pour HTTP, choisissez HTTP. Pour ajouter une règle autorisant l'ensemble du trafic TCP, sélectionnez All TCP. Pour certaines de ces options (par exemple, HTTP), nous indiquons le port à votre place. Pour utiliser un protocole non répertorié, choisissez Custom Protocol Rule.

  6. (Facultatif) Si vous créez une règle d'un protocole personnalisé, sélectionnez le numéro et le nom du protocole dans la liste Protocol. Pour plus d'informations, consultez la liste des numéros de protocole fournie par l'IANA.

  7. (Facultatif) Si le protocole que vous avez sélectionné nécessite un numéro de port, saisissez ce dernier ou la plage de ports (en les séparant par un tiret, par exemple 49152-65535).

  8. Dans le champ Source ou Destination (selon qu'il s'agit d'une règle entrante ou sortante), saisissez la plage d'adresses CIDR à laquelle la règle s'applique.

  9. Dans la liste Allow/Deny, sélectionnez ALLOW pour autoriser le trafic spécifié ou DENY pour le refuser.

  10. (Facultatif) Pour ajouter une autre règle, choisissez Add another rule et répétez les étapes 4 à 9 si nécessaire.

  11. Lorsque vous avez terminé, choisissez Save.

Pour supprimer une règle d'une liste ACL réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.

  3. Dans le volet des détails, sélectionnez l'onglet Inbound Rules ou Outbound Rules, puis choisissez Edit. Choisissez Remove pour la règle à supprimer, puis Save.

Association d'un sous-réseau à une liste ACL réseau

Pour appliquer les règles d'une liste ACL réseau à un sous-réseau spécifique, vous devez associer ce dernier à la liste ACL réseau. Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Toutefois, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau. Tout sous-réseau qui n'est pas spécifiquement associé à une liste ACL spécifique est associé à la liste ACL réseau par défaut.

Pour associer un sous-réseau à une liste ACL réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.

  3. Dans le volet des détails, sous l'onglet Subnet Associations, choisissez Edit. Cochez la case Associate pour le sous-réseau à associer à la liste ACL réseau, puis sélectionnez Save.

Dissociation d'une liste ACL réseau d'un sous-réseau

Vous pouvez dissocier une liste ACL réseau personnalisée d'un sous-réseau. Ce dernier est alors automatiquement associé à la liste ACL réseau par défaut.

Pour dissocier un sous-réseau d'une liste ACL réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.

  3. Dans le volet des détails, choisissez l'onglet Subnet Associations.

  4. Sélectionnez Edit, puis décochez la case Associate correspondant au sous-réseau. Choisissez Save.

Modification de la liste ACL réseau d'un sous-réseau

Vous pouvez modifier la liste ACL réseau associée à un sous-réseau. Par exemple, lorsque vous créez un sous-réseau, il est initialement associé à la liste ACL réseau par défaut. Vous pouvez choisir de l'associer à une liste ACL réseau personnalisée que vous avez créée.

Après avoir modifié la liste ACL réseau d'un sous-réseau, vous n'avez pas besoin de mettre fin aux instances du sous-réseau et de les relancer. Les modifications prennent effet après une courte période.

Pour modifier l'association d'une liste ACL réseau à un sous-réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Subnets, puis sélectionnez le sous-réseau.

  3. Sélectionnez l'onglet Network ACL, puis Edit.

  4. Dans la liste Remplacer par, sélectionnez la liste ACL réseau à associer au sous-réseau, puis choisissez Enregistrer.

Suppression d'une liste ACL réseau

Vous ne pouvez supprimer une liste ACL réseau que si elle n'est associée à aucun sous-réseau. Vous ne pouvez pas supprimer la liste ACL réseau par défaut.

Pour supprimer une liste ACL réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Sélectionnez la liste ACL réseau, puis choisissez Delete.

  4. Dans la boîte de dialogue de confirmation, choisissez Yes, Delete.

Exemple : Contrôle de l'accès aux instances dans un sous-réseau

Dans cet exemple, les instances de votre sous-réseau peuvent communiquer entre elles et sont accessibles depuis un ordinateur distant fiable. L'ordinateur distant peut être un ordinateur de votre réseau local ou une instance d'un sous-réseau ou d'un VPC distinct que vous utilisez pour vous connecter à vos instances afin d'effectuer des tâches administratives. Vos règles de groupe de sécurité et de liste ACL réseau autorisent l'accès à partir de l'adresse IP de votre ordinateur distant (172.31.1.2/32). Le reste du trafic provenant d'Internet ou d'autres réseaux est refusé.


          Utilisation d'un groupe de sécurité et d'une liste ACL réseau

Toutes les instances utilisent le même groupe de sécurité (sg-1a2b3c4d), avec les règles suivantes.

Règles entrantes
Type de protocole Protocole Plage de ports Source Commentaires
Tout le trafic Tous Tous sg-1a2b3c4d Autorise les instances associées à un même groupe de sécurité à communiquer entre elles.
SSH TCP 22 172.31.1.2/32 Autorise l'accès SSH entrant depuis l'ordinateur distant. Si l'instance est un ordinateur Windows, cette règle doit plutôt utiliser le protocole RDP pour le port 3389.
Règles sortantes
Type de protocole Protocole Plage de ports Destination Commentaires
Tout le trafic Tous Tous sg-1a2b3c4d Autorise les instances associées à un même groupe de sécurité à communiquer entre elles. Comme les groupes de sécurité sont dynamiques, vous n'avez pas besoin d'une règle qui autorise le trafic de réponse pour les demandes entrantes.

Le sous-réseau est associé à une liste ACL réseau comportant les règles suivantes.

Règles entrantes
Règle n° Type Protocole Plage de ports Source Autoriser/Refuser Commentaires
100 SSH TCP 22 172.31.1.2/32 AUTORISER Autorise le trafic entrant depuis l'ordinateur distant. Si l'instance est un ordinateur Windows, cette règle doit plutôt utiliser le protocole RDP pour le port 3389.
* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse tout le reste du trafic entrant qui ne correspond pas à la règle précédente.
Règles sortantes
Règle n° Type Protocole Plage de ports Destination Autoriser/Refuser Commentaires
100 TCP personnalisé TCP 1024-65535 172.31.1.2/32 AUTORISER Autorise les réponses sortantes vers l'ordinateur distant. Les listes ACL réseau sont sans état. Par conséquent, cette règle est requise pour autoriser le trafic de réponse pour les demandes entrantes.
* Tout le trafic Tous Tous 0.0.0.0/0 REFUSER Refuse tout le reste du trafic sortant qui ne correspond pas à la règle précédente.

Ce scénario vous offre la possibilité de modifier les groupes de sécurité ou les règles de groupe de sécurité pour vos instances, et de définir la liste ACL réseau comme la couche de défense des sauvegardes. Les règles des listes ACL réseau s'appliquent à toutes les instances du sous-réseau. Par conséquent, si vous rendez involontairement vos règles de groupe de sécurité trop permissives, les règles des listes ACL réseau continuent de n'autoriser l'accès qu'à partir de l'adresse IP unique. Par exemple, les règles suivantes sont plus permissives que les règles précédentes (elles autorisent l'accès SSH entrant depuis n'importe quelle adresse IP).

Règles entrantes
Type Protocole Plage de ports Source Commentaires
Tout le trafic Tous Tous sg-1a2b3c4d Autorise les instances associées à un même groupe de sécurité à communiquer entre elles.
SSH TCP 22 0.0.0.0/0 Autorise l'accès SSH depuis n'importe quelle adresse IP.
Règles sortantes
Type Protocole Plage de ports Destination Commentaires
Tout le trafic Tous Tous 0.0.0.0/0 Autorise tout le trafic sortant.

Toutefois, seules les autres instances incluses dans le sous-réseau et votre ordinateur distant peuvent accéder à cette instance. Les règles des listes ACL réseau empêchent encore l'envoi de l'ensemble du trafic entrant vers le sous-réseau, sauf à partir de votre ordinateur distant.

Présentation des API et des commandes

Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'un API. Pour plus d'informations sur les interfaces de ligne de commande et la liste des API disponibles, consultez Accès à Amazon VPC.

Créer une liste ACL réseau pour votre VPC

Décrire une ou plusieurs de vos listes ACL réseau

Ajouter une règle à une liste ACL réseau

Supprimer une règle d'une liste ACL réseau

Remplacer une règle existante dans une liste ACL réseau

Remplacer une association de liste ACL réseau

Supprimer une liste ACL réseau