Trabalhar com ACLs de rede - Amazon Virtual Private Cloud
1. Determinar associações a ACLs de rede2. Criar uma ACL de rede3. Adicionar e excluir regras4. Associar uma sub-rede a uma ACL de rede5. Desassociar uma ACL de rede de uma sub-rede6. Alterar a ACL de rede de uma sub-rede7. Excluir uma ACL de redeVisão geral da API e dos comandosGerenciar ACLs de rede usando o Firewall Manager

Trabalhar com ACLs de rede

As tarefas a seguir mostram como utilizar ACLs de rede por meio do console da Amazon VPC.

1. Determinar associações a ACLs de rede

É possível usar o console da Amazon VPC para determinar qual ACL de rede está associada a uma sub-rede. Como as ACLs de rede podem ser associadas a uma ou mais sub-redes, também é possível determinar as sub-redes que estão associadas a uma ACL de rede.

Para determinar qual ACL de rede está associada a uma sub-rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Subnets e selecione a sub-rede.

    A ACL de rede associada à sub-rede está incluída na guia ACL de rede, junto com as regras da ACL de rede.

Para determinar quais sub-redes estão associada a uma ACL de rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Network ACLs. A coluna Associadas a indica o número de sub-redes associadas para cada ACL de rede.

  3. Selecione uma ACL de rede.

  4. No painel de detalhes, escolha Associações de sub-redes para exibir as sub-redes associadas à ACL de rede.

2. Criar uma ACL de rede

Você pode criar uma ACL de rede personalizada para sua VPC. Por padrão, a ACL de rede criada bloqueia todo tráfego de entrada e saída até o momento em que você adiciona regras, e ela será associada à sub-rede somente quando você a associar explicitamente a uma.

Para criar uma ACL de rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Network ACLs.

  3. Escolha Criar ACL de rede.

  4. Na caixa de diálogo Criar ACL de rede, você tem a opção de nomear ou não sua ACL de rede. Depois, selecione o ID de sua VPC na lista VPC. Depois, escolha Yes, Create (Sim, criar).

3. Adicionar e excluir regras

Quando você adiciona ou exclui uma regra de uma ACL, todas as sub-redes associadas à ACL ficam sujeitas a essa alteração. Não é necessário terminar e reiniciar as instâncias na sub-rede. As alterações entram em vigor após um curto período.

Importante

Tenha muito cuidado ao adicionar e excluir regras ao mesmo tempo. As regras de ACL da rede definem quais tipos de tráfego de rede podem entrar ou sair de suas VPCs. Se você excluir regras de entrada ou saída e, em seguida, adicionar mais entradas novas do que o permitido em Cotas da Amazon VPC, as entradas selecionadas para exclusão serão removidas e novas entradas não serão adicionadas. Isso pode causar problemas de conectividade inesperados e impedir involuntariamente o acesso a suas VPCs em ambas as direções.

Se você estiver usando a API do Amazon EC2 ou uma ferramenta de linha de comando, não será possível modificar regras. Só é possível adicionar e excluir regras. Se você estiver usando o console da Amazon VPC, poderá modificar as entradas das regras existentes. O console remove a regra existente e adiciona uma nova regra para você. Se você precisar mudar a ordem de uma regra na ACL, precisará adicionar uma nova regra com o novo número e depois excluir a regra original.

Para adicionar regras a uma ACL de rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Network ACLs.

  3. No painel de detalhes, escolha a guia Inbound Rules ou Outbound Rules, dependendo do tipo de regra que você necessita adicionar, e depois escolha Edit.

  4. Em Rule #, insira um número de regra (por exemplo, 100). O número da regra não pode estar sendo usado na ACL de rede. Processamos as regras sequencialmente, a partir do número mais baixo.

    É recomendável deixar lacunas entre os números de regra (como 100, 200, 300), em vez de usar números sequenciais (101, 102, 103). Desse modo, fica mais fácil adicionar uma nova regra sem precisar renumerar as regras existentes.

  5. Selecione uma regra na lista Type. Por exemplo, para adicionar uma regra para HTTP, escolha HTTP. Para adicionar uma regra para permitir todos os tráfegos TCP, escolha All TCP. Para algumas dessas opções (por exemplo, HTTP), preenchemos a porta para você. Para usar um protocolo que não esteja listado, escolha Custom Protocol Rule.

  6. (Opcional) Se você estiver criando uma regra de protocolo personalizada, selecione o número e o nome do protocolo na lista Protocol. Para obter mais informações, consulte IANA List of Protocol Numbers.

  7. (Opcional) Se o protocolo que você selecionou exigir um número de porta, insira o número de porta ou o intervalo de portas separadas por hífen (por exemplo, 49152-65535).

  8. No campo Source ou Destination (dependendo se a regra for de entrada ou de saída), insira o intervalo CIDR ao qual a regra se aplica.

  9. Na lista Allow/Deny, selecione ALLOW para permitir um tráfego específico ou DENY para negar um tráfego específico.

  10. (Opcional) Para adicionar outra regra, escolha Add another rule e repita as etapas 4 a 9, se necessário.

  11. Quando concluir, selecione Save.

Para excluir uma regra de uma ACL de rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.

  3. No painel de detalhes, selecione a guia Inbound Rules ou Outbound Rules e escolha Edit. Escolha Remove para a regra que você deseja excluir e depois Save.

4. Associar uma sub-rede a uma ACL de rede

Para aplicar as regras de uma ACL de rede a uma sub-rede específica, você deve associar a sub-rede a uma ACL de rede. É possível associar uma ACL de rede a várias sub-redes. No entanto, uma sub-rede pode ser associada a apenas uma ACL de rede. Por padrão, as sub-redes não associadas a uma ACL específica são associadas à ACL de rede padrão.

Para associar uma sub-rede a uma ACL de rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.

  3. No painel de detalhes, na guia Subnet Associations, escolha Edit. Marque a caixa de seleção Associar para a sub-rede associada à ACL de rede e escolha Salvar.

5. Desassociar uma ACL de rede de uma sub-rede

É possível desassociar uma ACL de rede personalizada de uma sub-rede. Quando a sub-rede tiver sido desassociada da ACL de rede personalizada, ela será automaticamente associada à ACL de rede padrão.

Para dissociar uma sub-rede de uma ACL de rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.

  3. No painel de detalhes, escolha a guia Subnet Associations.

  4. Escolha Edit e desmarque a caixa de seleção Associate para a sub-rede. Escolha Salvar.

6. Alterar a ACL de rede de uma sub-rede

Você pode mudar a ACL de rede que está associada a uma sub-rede. Por exemplo, quando se cria uma sub-rede, a princípio ela é associada à ACL de rede padrão. Em vez disso, você pode querer associá-la a uma ACL de rede personalizada que tenha criado.

Depois de alterar a ACL de rede de uma sub-rede, você não precisa terminar e reiniciar as instâncias na sub-rede. As alterações entram em vigor após um curto período.

Para mudar a associação de uma ACL de rede a uma sub-rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Subnets e selecione a sub-rede.

  3. Escolha a guia ACL de rede e depois Editar.

  4. Na lista Alterar para, selecione a ACL de rede à qual associar a sub-rede e, depois, escolha Salvar.

7. Excluir uma ACL de rede

Você poderá excluir uma ACL de rede somente se não houver nenhuma sub-rede associada a ela. Não é possível excluir a ACL de rede padrão.

Para excluir uma ACL de rede

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Network ACLs.

  3. Selecione a ACL de rede e escolha Excluir.

  4. Na caixa de diálogo de confirmação, escolha Yes, Delete.

Visão geral da API e dos comandos

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e uma lista das APIs disponíveis, consulte Trabalhar com a Amazon VPC.

Criar uma ACL de rede para sua VPC
Descrever uma ou mais de suas ACLs de rede
Adicionar uma regra a uma ACL de rede
Excluir uma regra de uma ACL de rede
Substituir uma regra existente em uma ACL de rede
Substituir uma associação de ACL de rede
Excluir uma ACL de rede

Gerenciar ACLs de rede usando o Firewall Manager

O AWS Firewall Manager simplifica as tarefas de administração e manutenção de ACLs de rede entre várias contas e sub-redes. Você pode usar o Firewall Manager para monitorar contas e sub-redes da sua organização e aplicar automaticamente as configurações de ACL de rede que definiu. O Firewall Manager é especialmente útil quando você deseja proteger toda a organização ou quando adiciona frequentemente, de uma conta de administrador central, novos recursos que deseja proteger automaticamente.

Com uma política de ACL de rede do Firewall Manager, usando uma única conta de administrador, você pode configurar, monitorar e gerenciar os conjuntos mínimos de regras que deseja definir nas ACLs de rede usadas em toda a sua organização. Você especifica quais contas e sub-redes da organização estão no escopo da política do Firewall Manager. O Firewall Manager relata o status de conformidade das ACLs de rede para as sub-redes dentro do escopo, e você pode configurar o Firewall Manager para corrigir automaticamente as ACLs de rede não conformes de modo a restaurar sua conformidade.

Para saber mais sobre o uso do Firewall Manager para gerenciar ACLs da rede, consulte os seguintes recursos no AWS Firewall Manager Developer Guide: