As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como as network ACLs funcionam com gateways de trânsito
Uma lista de controle de acesso à rede (NACL) é uma camada opcional de segurança.
As regras de lista de controle de acesso à rede (NACL) são aplicadas de forma diferente, dependendo do cenário:
Mesma sub-rede para instâncias do EC2 e a associação do gateway de trânsito
Considere uma configuração em que você tenha uma instâncias do EC2 e uma associação do gateway de trânsito que tenha a mesma sub-rede. A mesma ACL de rede é usada para o tráfego das instâncias do EC2 para o gateway de trânsito e o tráfego do gateway de trânsito para as instâncias.
As regras de NACL são aplicadas da seguinte maneira para o tráfego das instâncias para o gateway de trânsito:
-
As regras de saída usam o endereço IP de destino para avaliação.
-
As regras de entrada usam o endereço IP de origem para avaliação.
As regras de NACL são aplicadas da seguinte maneira para o tráfego do gateway de trânsito para as instâncias:
-
As regras de saída não são avaliadas.
-
As regras de entrada não são avaliadas.
Sub-redes diferentes para instâncias do EC2 e a associação do gateway de trânsito
Considere uma configuração em que você tem instâncias do EC2 em uma sub-rede e uma associação de gateway de trânsito em uma sub-rede diferente, e cada sub-rede está associada a uma ACL de rede diferente.
As regras de ACL de rede são aplicadas da seguinte forma para a sub-rede da instância do EC2:
-
As regras de saída usam o endereço IP de destino para avaliar o tráfego das instâncias para o gateway de trânsito.
-
As regras de entrada usam o endereço IP de origem para avaliar o tráfego do gateway de trânsito para as instâncias.
As regras de NACL são aplicadas da seguinte maneira para a sub-rede do gateway de trânsito:
-
As regras de saída usam o endereço IP de destino para avaliar o tráfego do gateway de trânsito para as instâncias.
-
As regras de saída não são usadas para avaliar o tráfego das instâncias para o gateway de trânsito.
-
As regras de entrada usam o endereço IP de origem para avaliar o tráfego das instâncias para o gateway de trânsito.
-
As regras de entrada não são usadas para avaliar o tráfego do gateway de trânsito para as instâncias.
Melhores práticas
Use uma sub-rede separada para cada anexo da VPC do gateway. Para cada sub-rede, use um CIDR pequeno, por exemplo /28, para que você tenha mais endereços para recursos do EC2. Ao usar uma sub-rede separada, é possível configurar o seguinte:
-
Mantenha aberta a NACL de entrada e saída associada às sub-redes do gateway de trânsito.
-
Dependendo do fluxo de tráfego, é possível aplicar NACLs às sub-redes de workload.
Para obter mais informações sobre como os anexos da VPC funcionam, consulte Anexos de recursos.