Controlar o tráfego para sub-redes com ACLs de rede

Uma lista de controle de acesso (ACL) de rede permite ou não determinado tráfego de entrada ou de saída no nível da sub-rede. Você pode usar a ACL de rede padrão para a VPC ou pode criar uma ACL de rede personalizada para a VPC com regras semelhantes às regras dos grupos de segurança para adicionar mais uma camada de segurança à VPC.

Não há nenhuma cobrança adicional pelo uso de ACLs de rede.

O diagrama a seguir mostra uma VPC com duas sub-redes. Cada sub-rede tem uma ACL de rede. Quando o tráfego entra na VPC (por exemplo, de uma VPC emparelhada, de uma conexão VPN ou da Internet), o roteador envia o tráfego para seu destino. A ACL da rede A determina qual tráfego destinado à sub-rede 1 tem permissão para entrar na sub-rede 1 e qual tráfego destinado a um local fora da sub-rede 1 tem permissão para sair da sub-rede 1. Da mesma forma, a ACL da rede B determina qual tráfego tem permissão para entrar e sair da sub-rede 2.

Para obter mais informações sobre as diferenças entre grupos de segurança e ACLs de rede, consulte Comparar grupos de segurança e ACLs de rede.

Noções básicas de ACL de rede

Encontram-se a seguir noções essenciais sobre as ACLs de rede:

• Sua VPC já vem com uma ACL de rede padrão modificável. Por padrão, ela permite todos os tráfegos de IPv4 de entrada e saída e, se aplicável, o tráfego IPv6.

• Você pode criar uma ACL de rede personalizada e associá-la a uma sub-rede para permitir ou recusar tráfego de entrada ou de saída específico por sub-rede.

• Toda sub-rede em sua VPC deve ser associada com uma ACL de rede. Se você não associar explicitamente uma sub-rede com uma ACL de rede, as sub-redes serão associadas automaticamente com a ACL de rede padrão.

• É possível associar uma ACL de rede a várias sub-redes. No entanto, uma sub-rede pode ser associada a apenas uma ACL de rede por vez. Quando uma ACL de rede é associada a uma sub-rede, a associação anterior é removida.

• Uma ACL de rede tem regras de entrada e regras de saída. Cada regra pode permitir ou negar tráfego. Cada regra tem um número de 1 até 32766. Avaliamos as regras na ordem, começando pela regra de número mais baixo, ao decidirmos se o tráfego será permitido ou negado. Se o tráfego corresponder a uma regra, a regra será aplicada e não avaliaremos quaisquer regras adicionais. Para começar, é recomendável criar regras em incrementos (por exemplo, incrementos de 10 ou 100), para que, posteriormente, você possa inserir novas regras, se necessário.

• Avaliamos as regras de ACL da rede quando o tráfego entra e sai da sub-rede, não quando ele é roteado dentro de uma sub-rede.

• Os NACLs são sem estado, o que significa que as informações sobre o tráfego enviado ou recebido anteriormente não são salvas. Se, por exemplo, você criar uma regra de NACL para permitir tráfego de entrada específico para uma sub-rede, as respostas a esse tráfego não serão permitidas automaticamente. Isso contrasta com a forma como os grupos de segurança funcionam. Os grupos de segurança são com estado, o que significa que as informações sobre o tráfego enviado ou recebido anteriormente são salvas. Se, por exemplo, um grupo de segurança permitir tráfego de entrada para uma instância do EC2, as respostas serão permitidas automaticamente, independentemente das regras de saída do grupo de segurança.

• As ACLs de rede não podem bloquear solicitações de DNS de ou para o Resolvedor do Route 53 (também conhecido como endereço IP VPC+2 ou DNS). AmazonProvided Se desejar filtrar solicitações de DNS por meio do Route 53 Resolver, você poderá habilitar o Route 53 Resolver DNS Firewall no Guia do desenvolvedor do Amazon Route 53.

• As ACLs de rede não podem bloquear o Instance Metadata Service (IMDS). Para gerenciar o acesso ao IMDS, consulte Configurar as opções de metadados da instância no Guia do usuário do Amazon EC2.

• As ACLs de rede não filtram tráfego destinado a ou proveniente de:

  • Serviços de nomes de domínio (DNS) da Amazon

  • Dynamic Host Configuration Protocol (DHCP – Protocolo de configuração de host dinâmico) da Amazon

  • Metadados da instância do Amazon EC2

  • Endpoints de metadados de tarefas do Amazon ECS

  • Ativação de licença para instâncias do Windows

  • Serviço de Sincronização Temporal da Amazon

  • Endereços IP reservados usados pelo roteador padrão da VPC

• Há cotas (também conhecidas como limites) para o número de ACLs da rede por VPC e para o número de regras por ACL da rede. Para ter mais informações, consulte Cotas da Amazon VPC.

Regras de ACL de rede

Você pode adicionar ou remover regras de ACL de rede padrão ou criar outras ACLs de rede para sua VPC. Ao adicionar ou remover regras de uma ACL de rede, as alterações são automaticamente aplicadas às sub-redes às quais ela está associada.

Encontram-se a seguir as partes de uma regras de ACL de rede:

• Número da regra. As regras são avaliadas a partir da regra de número mais baixo. Assim que uma regra coincide com o tráfego, ela é aplicada, independentemente de haver qualquer regra com número mais alto que possa contradizê-la.

• Tipo. O tipo de tráfego; por exemplo, SSH. Também é possível especificar todo o tráfego ou um intervalo personalizado.

• Protocol (Protocolo. Você pode especificar qualquer protocolo que tenha um número de protocolo padrão. Para obter mais informações, consulte Protocol Numbers. Se você especificar o ICMP como protocolo, poderá especificar qualquer ou todos os tipos e códigos ICMP.

• Intervalo de portas. A porta de escuta ou o intervalo de portas para o tráfego. Por exemplo, 80 para o tráfego HTTP.

• Source (Origem. [Somente regras de entrada] A fonte do tráfego (intervalo CIDR).

• Destino. [Somente regras de saída] O destino do tráfego (intervalo CIDR).

• Permissão/Negação. Se permite ou nega o tráfego especificado.

Se você adicionar uma regra usando uma ferramenta de linha de comando ou a API do Amazon EC2, o intervalo CIDR será modificado automaticamente para sua forma canônica. Por exemplo, se você especificar 100.68.0.18/18 para o intervalo CIDR, criaremos uma regra com um intervalo CIDR 100.68.0.0/18.

ACL de rede padrão

A ACL de rede padrão é configurada para permitir todo o tráfego de entrada e saída das sub-redes com as quais está associada. Além disso, toda ACL de rede contém uma regra cujo número é um asterisco (*). Essa regra garante que, se um pacote não corresponder a nenhuma das outras regras numeradas, o acesso seja negado. Não é possível modificar nem remover essa regra.

Encontra-se a seguir um exemplo de ACL de rede padrão para uma VPC compatível somente com IPv4.

Entrada
Regra nº	Type	Protocolo	Intervalo de portas	Origem	Permissão/Negação
100	Todo tráfego IPv4	Todos	Tudo	0.0.0.0/0	PERMISSÃO
*	Todo tráfego IPv4	Todos	Tudo	0.0.0.0/0	DENY

Saída
Regra nº	Type	Protocolo	Intervalo de portas	Destino	Permissão/Negação
100	Todo tráfego IPv4	Todos	Tudo	0.0.0.0/0	PERMISSÃO
*	Todo tráfego IPv4	Todos	Tudo	0.0.0.0/0	DENY

Se você criar uma VPC com um bloco CIDR IPv6 ou se associar um bloco CIDR IPv6 à VPC existente, adicionaremos automaticamente as regras que permitem todo tráfego IPv6 de entrada e saída em sua sub-rede. Além disso, adicionamos regras cujos números são um asterisco que garante que um pacote tenha acesso negado se não corresponder a nenhuma outra regra numerada. Não é possível modificar nem remover essas regras. Encontra-se a seguir um exemplo de ACL de rede padrão para uma VPC compatível com IPv4 e IPv6.

nota

Se você tiver modificado as regras de entrada da sua ACL de rede padrão, não adicionaremos automaticamente uma regra ALLOW para tráfego IPv6 de entrada quando você associar um bloco IPv6 à sua VPC. Do mesmo modo, se você tiver modificado as regras de saída, não adicionaremos automaticamente uma regra ALLOW para tráfego IPv6 de saída.

Entrada
Regra nº	Type	Protocolo	Intervalo de portas	Origem	Permissão/Negação
100	Todo tráfego IPv4	Todos	Tudo	0.0.0.0/0	PERMISSÃO
101	Todo tráfego IPv6	Tudo	Tudo	::/0	PERMISSÃO
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	DENY
*	Todo tráfego IPv6	Tudo	Tudo	::/0	NEGAÇÃO

Saída
Regra nº	Type	Protocolo	Intervalo de portas	Destino	Permissão/Negação
100	Todo tráfego	Tudo	Tudo	0.0.0.0/0	PERMISSÃO
101	Todo tráfego IPv6	Tudo	Tudo	::/0	PERMISSÃO
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	DENY
*	Todo tráfego IPv6	Tudo	Tudo	::/0	NEGAÇÃO

ACL de rede personalizada

O exemplo seguir mostra uma ACL de rede padrão para uma VPC compatível somente com IPv4. Isso inclui regras de entrada que permitem tráfego HTTP e HTTPS (100 e 110). Há uma regra de saída correspondente que permite respostas ao tráfego de entrada (140) e abrange portas efêmeras 32768-65535. Para obter mais informações sobre como selecionar o intervalo de portas efêmero apropriado, consulte Portas efêmeras.

A ACL de rede tem também regras que permitem tráfego SSH e RDP para a sub-rede. A regra de saída 120 permite a saída de respostas da sub-rede.

A ACL de rede tem regras de saída (100 e 110) que permitem tráfego HTTP e HTTPS de saída fora da sub-rede. Há uma regra de entrada correspondente que permite respostas ao tráfego de saída (140) e abrange portas efêmeras 32768-65535.

Além disso, toda ACL de rede contém uma regra padrão cujo número é um asterisco. Essa regra garante que, se um pacote não corresponder a nenhuma das outras regras, o acesso seja negado. Não é possível modificar nem remover essa regra.

Entrada
Regra nº	Type	Protocolo	Intervalo de portas	Origem	Permissão/Negação	Comentários
100	HTTP	TCP	80	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTP de entrada de qualquer endereço IPv4.
110	HTTPS	TCP	443	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTPS de entrada de qualquer endereço IPv4.
120	SSH	TCP	22	192.0.2.0/24	PERMISSÃO	Permite tráfego SSH de entrada de um intervalo de endereços IPv4 públicos de sua rede doméstica (no gateway da Internet).
130	RDP	TCP	3389	192.0.2.0/24	PERMISSÃO	Permite tráfego RDP de entrada de um intervalo de endereços IPv4 públicos de sua rede doméstica para servidores web (no gateway da Internet).
140	TCP personalizado	TCP	32768-65535	0.0.0.0/0	PERMISSÃO	Permite tráfego IPv4 de retorno de entrada da Internet (isto é, para solicitações originadas na sub-rede). O intervalo é apenas de exemplo.
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	NEGAÇÃO	Nega todos os tráfegos IPv4 de entrada ainda não controlados por uma regra precedente (não modificável).

Saída
Regra nº	Type	Protocolo	Intervalo de portas	Destino	Permissão/Negação	Comentários
100	HTTP	TCP	80	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTP IPv4 de saída da sub-rede para a Internet.
110	HTTPS	TCP	443	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTPS IPv4 de saída da sub-rede para a Internet.
120	SSH	TCP	1024-65535	192.0.2.0/24	PERMISSÃO	Permite tráfego SSH de saída de um intervalo de endereços IPv4 públicos de sua rede doméstica (no gateway da Internet).
140	TCP personalizado	TCP	32768-65535	0.0.0.0/0	PERMISSÃO	Permite respostas IPv4 de saída a clientes na Internet (por exemplo, fornece páginas da Web a pessoas que visitam os servidores web na sub-rede). O intervalo é apenas de exemplo.
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	DENY	Nega todos os tráfegos IPv4 de saída ainda não controlados por uma regra precedente (não modificável).

Quando um pacote chega à sub-rede, nós o avaliamos com base em regras de entrada da ACL com a qual a sub-rede está associada (do topo da lista de regras para baixo). Veja como a avaliação ocorre quando o pacote é destinado para a porta HTTPS (443). O pacote não corresponde à primeira regra avaliada (regra 100). Ele corresponde à segunda regra (110), que permite que o pacote entre na sub-rede. Se o pacote tiver sido destinado para a porta 139 (NetBIOS), ele não será mais compatível com nenhuma das regras, e a regra * acabará negando o pacote.

É recomendável adicionar uma regra de negação em uma situação em que você precisa verdadeiramente abrir um amplo intervalo de portas, mas existem determinadas portas nesse intervalo às quais deseja negar acesso. Não se esqueça de inserir a regra de negação na tabela antes da regra que permite o tráfego a um amplo intervalo de portas.

Adicione regras de permissão dependendo do seu caso de uso. Por exemplo, é possível adicionar uma regra que permita acesso TCP e UDP de saída na porta 53 para resolução DNS. Para cada regra adicionada, certifique-se de que haja uma regra de entrada ou de saída que permita o tráfego de resposta.

O exemplo a seguir mostra uma ACL de rede personalizada para uma VPC que tem um bloco CIDR IPv6 associado. Essa ACL de rede contém regras para todo tráfego HTTP e HTTPS IPv6. Nesse caso, novas regras foram inseridas entre as regras existentes para o tráfego IPv4. Também é possível adicionar as regras como regras de número mais alto após as regras IPv4. Os tráfegos IPv4 e IPv6 são diferentes; portanto, nenhuma das regras para tráfego IPv4 se aplica ao tráfego IPv6.

Entrada
Regra nº	Type	Protocolo	Intervalo de portas	Origem	Permissão/Negação	Comentários
100	HTTP	TCP	80	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTP de entrada de qualquer endereço IPv4.
105	HTTP	TCP	80	::/0	PERMISSÃO	Permite tráfego HTTP de entrada de qualquer endereço IPv6.
110	HTTPS	TCP	443	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTPS de entrada de qualquer endereço IPv4.
115	HTTPS	TCP	443	::/0	PERMISSÃO	Permite tráfego HTTPS de entrada de qualquer endereço IPv6.
120	SSH	TCP	22	192.0.2.0/24	PERMISSÃO	Permite tráfego SSH de entrada de um intervalo de endereços IPv4 públicos de sua rede doméstica (no gateway da Internet).
130	RDP	TCP	3389	192.0.2.0/24	PERMISSÃO	Permite tráfego RDP de entrada de um intervalo de endereços IPv4 públicos de sua rede doméstica para servidores web (no gateway da Internet).
140	TCP personalizado	TCP	32768-65535	0.0.0.0/0	PERMISSÃO	Permite tráfego IPv4 de retorno de entrada da Internet (isto é, para solicitações originadas na sub-rede). O intervalo é apenas de exemplo.
145	TCP personalizado	TCP	32768-65535	::/0	PERMISSÃO	Permite tráfego IPv6 de retorno de entrada da Internet (isto é, para solicitações originadas na sub-rede). O intervalo é apenas de exemplo.
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	NEGAÇÃO	Nega todos os tráfegos IPv4 de entrada ainda não controlados por uma regra precedente (não modificável).
*	Todo o tráfego	Tudo	Tudo	::/0	NEGAÇÃO	Nega todos os tráfegos IPv6 de entrada ainda não controlados por uma regra precedente (não modificável).

Saída
Regra nº	Type	Protocolo	Intervalo de portas	Destino	Permissão/Negação	Comentários
100	HTTP	TCP	80	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTP IPv4 de saída da sub-rede para a Internet.
105	HTTP	TCP	80	::/0	PERMISSÃO	Permite tráfego HTTP IPv6 de saída da sub-rede para a Internet.
110	HTTPS	TCP	443	0.0.0.0/0	PERMISSÃO	Permite tráfego HTTPS IPv4 de saída da sub-rede para a Internet.
115	HTTPS	TCP	443	::/0	PERMISSÃO	Permite tráfego HTTPS IPv6 de saída da sub-rede para a Internet.
140	TCP personalizado	TCP	32768-65535	0.0.0.0/0	PERMISSÃO	Permite respostas IPv4 de saída a clientes na Internet (por exemplo, fornece páginas da Web a pessoas que visitam os servidores web na sub-rede). O intervalo é apenas de exemplo.
145	TCP personalizado	TCP	32768-65535	::/0	PERMISSÃO	Permite respostas IPv6 de saída a clientes na Internet (por exemplo, fornece páginas da web a pessoas que visitam os servidores da web na sub-rede). O intervalo é apenas de exemplo.
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	DENY	Nega todos os tráfegos IPv4 de saída ainda não controlados por uma regra precedente (não modificável).
*	Todo o tráfego	Tudo	Tudo	::/0	NEGAÇÃO	Nega todos os tráfegos IPv6 de saída ainda não controlados por uma regra precedente (não modificável).

ACLs de rede personalizadas e outros serviços AWS

Se você criar uma ACL de rede personalizada, saiba como ela pode afetar os recursos que você cria usando outros AWS serviços.

Com o Elastic Load Balancing, se a sub-rede das instâncias de back-end tiver uma ACL de rede à qual você tenha adicionado uma regra de negação para todo o tráfego com uma origem de 0.0.0.0/0 ou CIDR da sub-rede, o balanceador de carga não conseguirá realizar verificações de integridade nas instâncias. Para obter mais informações sobre as regras de ACL de rede recomendadas para os balanceadores de carga e as instâncias de back-end, consulte ACLs de rede para balanceadores de carga em uma VPC no Manual do usuário de Classic Load Balancers.

Portas efêmeras

A ACL de rede de exemplo na seção precedente usa o intervalo de portas efêmero 32768-65535. Entretanto, é recomendável usar um intervalo diferente para suas ACLs de rede dependendo do tipo de cliente que você estiver usando ou com o qual estiver se comunicando.

O cliente que inicia a solicitação escolhe o intervalo de portas efêmero. O intervalo varia dependendo do sistema operacional do cliente.

• Muitos kernels Linux (incluindo o kernel Amazon Linux) usam portas 32768-61000.

• As solicitações originadas do Elastic Load Balancing usam as portas 1024-65535.

• Os sistemas operacionais Windows até o Windows Server 2003 usam portas 1025-5000.

• O Windows Server 2008 e versões posteriores usam portas 49152-65535.

• Um gateway NAT usa as portas 1024 a 65535.

• AWS Lambda as funções usam as portas 1024-65535.

Por exemplo, se uma solicitação chegar ao servidor da web em sua VPC de um cliente Windows 10 na Internet, sua ACL de rede precisará de uma regra de saída para permitir o tráfego destinado às portas 49152 a 65535.

Se uma instância na VPC for o cliente que está iniciando uma solicitação, a ACL de rede precisará de uma regra de entrada para permitir o tráfego destinado para as portas efêmeras específicas ao tipo de instância (Amazon Linux, Windows Server 2008 etc.).

Na prática, para abranger os diferentes tipos de cliente que podem iniciar tráfego para instâncias voltadas para o público em sua VPC, você pode abrir as portas efêmeras 1024 a 65535. Entretanto, você pode também adicionar regras à ACL para negar tráfego a qualquer porta mal-intencionado dentro do intervalo. Não se esqueça de inserir regras de negação na tabela antes de inserir regras de permissão que abram um amplo intervalo de portas efêmeras.

Path MTU Discovery

O Path MTU Discovery é usado para determinar o MTU do caminho entre dois dispositivos. A MTU do caminho é o tamanho de pacote máximo suportado no caminho entre o host de origem e o host de recepção.

Para o IPv4, quando um host enviar um pacote que for maior que a MTU do host de recebimento ou que a MTU de um dispositivo ao longo do caminho, o host ou o dispositivo de recebimento eliminará o pacote e retornará a seguinte mensagem ICMP: Destination Unreachable: Fragmentation Needed and Don't Fragment was Set (Tipo 3, Código 4). Isso instrui o host de transmissão a dividir a carga útil em vários pacotes menores e, em seguida, retransmiti-los.

O protocolo IPv6 não é compatível com a fragmentação na rede. Se um host enviar um pacote que for maior que a MTU do host de recebimento ou que a MTU de um dispositivo ao longo do caminho, o host ou dispositivo de recebimento eliminará o pacote e retornará a seguinte mensagem ICMP: ICMPv6 Packet Too Big (PTB) (Tipo 2). Isso instrui o host de transmissão a dividir a carga útil em vários pacotes menores e, em seguida, retransmiti-los.

Se a maximum transmission unit (MTU – unidade máxima de transmissão) entre hosts nas sub-redes for diferente, ou suas instâncias se comunicam com pares pela Internet, será necessário adicionar a regra de ACL de rede a seguir, tanto de entrada como de saída. Isso garante que a Path MTU Discovery funcione corretamente e evite a perda de pacotes. Selecione Custom ICMP Rule (Regra ICMP personalizada) para o tipo e Destination Unreachable (Destino inacessível), fragmentation required, and DF flag set (fragmentação necessária e sinalizador DF definido) para o intervalo de portas (tipo 3, código 4). Se você usar o rastreamento de rotas, adicione também a seguinte regra: selecione Custom ICMP Rule (Regra personalizada de ICMP) para o tipo e Time Exceeded (Tempo excedido), TTL expired transit (Trânsito de TTL expirado) para o intervalo de porta (tipo 11, código 0). Para obter mais informações, consulte Unidade de transmissão máxima de rede (MTU) para a instância do EC2 no Manual do usuário do Amazon EC2 para instâncias do Linux.

Trabalhar com ACLs de rede

As tarefas a seguir mostram como utilizar ACLs de rede por meio do console da Amazon VPC.

Tarefas

• Determinar associações a ACLs de rede
• Criar uma ACL de rede
• Adicionar e excluir regras
• Associar uma sub-rede a uma ACL de rede
• Desassociar uma ACL de rede de uma sub-rede
• Alterar a ACL de rede de uma sub-rede
• Excluir uma ACL de rede
• Visão geral da API e dos comandos

Determinar associações a ACLs de rede

É possível usar o console da Amazon VPC para determinar qual ACL de rede está associada a uma sub-rede. Como as ACLs de rede podem ser associadas a uma ou mais sub-redes, também é possível determinar as sub-redes que estão associadas a uma ACL de rede.

Para determinar qual ACL de rede está associada a uma sub-rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Subnets e selecione a sub-rede.

   A ACL de rede associada à sub-rede está incluída na guia ACL de rede, junto com as regras da ACL de rede.

Para determinar quais sub-redes estão associada a uma ACL de rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, selecione Network ACLs. A coluna Associadas a indica o número de sub-redes associadas para cada ACL de rede.

3. Selecione uma ACL de rede.

4. No painel de detalhes, escolha Associações de sub-redes para exibir as sub-redes associadas à ACL de rede.

Criar uma ACL de rede

Você pode criar uma ACL de rede personalizada para sua VPC. Por padrão, a ACL de rede criada bloqueia todo tráfego de entrada e saída até o momento em que você adiciona regras, e ela será associada à sub-rede somente quando você a associar explicitamente a uma.

Para criar uma ACL de rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, selecione Network ACLs.

3. Escolha Criar ACL de rede.

4. Na caixa de diálogo Criar ACL de rede, você tem a opção de nomear ou não sua ACL de rede. Depois, selecione o ID de sua VPC na lista VPC. Depois, escolha Yes, Create (Sim, criar).

Adicionar e excluir regras

Quando você adiciona ou exclui uma regra de uma ACL, todas as sub-redes associadas à ACL ficam sujeitas a essa alteração. Não é necessário terminar e reiniciar as instâncias na sub-rede. As alterações entram em vigor após um curto período.

Importante

Tenha muito cuidado ao adicionar e excluir regras ao mesmo tempo. As regras de ACL da rede definem quais tipos de tráfego de rede podem entrar ou sair de suas VPCs. Se você excluir regras de entrada ou saída e, em seguida, adicionar mais entradas novas do que o permitido em Cotas da Amazon VPC, as entradas selecionadas para exclusão serão removidas e novas entradas não serão adicionadas. Isso pode causar problemas de conectividade inesperados e impedir involuntariamente o acesso a suas VPCs em ambas as direções.

Se você estiver usando a API do Amazon EC2 ou uma ferramenta de linha de comando, não será possível modificar regras. Só é possível adicionar e excluir regras. Se você estiver usando o console da Amazon VPC, poderá modificar as entradas das regras existentes. O console remove a regra existente e adiciona uma nova regra para você. Se você precisar mudar a ordem de uma regra na ACL, precisará adicionar uma nova regra com o novo número e depois excluir a regra original.

Para adicionar regras a uma ACL de rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, selecione Network ACLs.

3. No painel de detalhes, escolha a guia Inbound Rules ou Outbound Rules, dependendo do tipo de regra que você necessita adicionar, e depois escolha Edit.

4. Em Rule #, insira um número de regra (por exemplo, 100). O número da regra não pode estar sendo usado na ACL de rede. Processamos as regras sequencialmente, a partir do número mais baixo.

   É recomendável deixar lacunas entre os números de regra (como 100, 200, 300), em vez de usar números sequenciais (101, 102, 103). Desse modo, fica mais fácil adicionar uma nova regra sem precisar renumerar as regras existentes.

5. Selecione uma regra na lista Type. Por exemplo, para adicionar uma regra para HTTP, escolha HTTP. Para adicionar uma regra para permitir todos os tráfegos TCP, escolha All TCP. Para algumas dessas opções (por exemplo, HTTP), preenchemos a porta para você. Para usar um protocolo que não esteja listado, escolha Custom Protocol Rule.

6. (Opcional) Se você estiver criando uma regra de protocolo personalizada, selecione o número e o nome do protocolo na lista Protocol. Para obter mais informações, consulte IANA List of Protocol Numbers.

7. (Opcional) Se o protocolo que você selecionou exigir um número de porta, insira o número de porta ou o intervalo de portas separadas por hífen (por exemplo, 49152-65535).

8. No campo Source ou Destination (dependendo se a regra for de entrada ou de saída), insira o intervalo CIDR ao qual a regra se aplica.

9. Na lista Allow/Deny, selecione ALLOW para permitir um tráfego específico ou DENY para negar um tráfego específico.

10. (Opcional) Para adicionar outra regra, escolha Add another rule e repita as etapas 4 a 9, se necessário.

11. Quando concluir, selecione Save.

Para excluir uma regra de uma ACL de rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.

3. No painel de detalhes, selecione a guia Inbound Rules ou Outbound Rules e escolha Edit. Escolha Remove para a regra que você deseja excluir e depois Save.

Associar uma sub-rede a uma ACL de rede

Para aplicar as regras de uma ACL de rede a uma sub-rede específica, você deve associar a sub-rede a uma ACL de rede. É possível associar uma ACL de rede a várias sub-redes. No entanto, uma sub-rede pode ser associada a apenas uma ACL de rede. Por padrão, as sub-redes não associadas a uma ACL específica são associadas à ACL de rede padrão.

Para associar uma sub-rede a uma ACL de rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.

3. No painel de detalhes, na guia Subnet Associations, escolha Edit. Marque a caixa de seleção Associar para a sub-rede associada à ACL de rede e escolha Salvar.

Desassociar uma ACL de rede de uma sub-rede

É possível desassociar uma ACL de rede personalizada de uma sub-rede. Quando a sub-rede tiver sido desassociada da ACL de rede personalizada, ela será automaticamente associada à ACL de rede padrão.

Para dissociar uma sub-rede de uma ACL de rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Network ACLs e depois selecione a Network ACL.

3. No painel de detalhes, escolha a guia Subnet Associations.

4. Escolha Edit e desmarque a caixa de seleção Associate para a sub-rede. Escolha Salvar.

Alterar a ACL de rede de uma sub-rede

Você pode mudar a ACL de rede que está associada a uma sub-rede. Por exemplo, quando se cria uma sub-rede, a princípio ela é associada à ACL de rede padrão. Em vez disso, você pode querer associá-la a uma ACL de rede personalizada que tenha criado.

Depois de alterar a ACL de rede de uma sub-rede, você não precisa terminar e reiniciar as instâncias na sub-rede. As alterações entram em vigor após um curto período.

Para mudar a associação de uma ACL de rede a uma sub-rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, escolha Subnets e selecione a sub-rede.

3. Escolha a guia ACL de rede e depois Editar.

4. Na lista Alterar para, selecione a ACL de rede à qual associar a sub-rede e, depois, escolha Salvar.

Excluir uma ACL de rede

Você poderá excluir uma ACL de rede somente se não houver nenhuma sub-rede associada a ela. Não é possível excluir a ACL de rede padrão.

Para excluir uma ACL de rede

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação, selecione Network ACLs.

3. Selecione a ACL de rede e escolha Excluir.

4. Na caixa de diálogo de confirmação, escolha Yes, Delete.

Visão geral da API e dos comandos

Você pode executar as tarefas descritas nesta página usando a linha de comando ou uma API. Para obter mais informações sobre as interfaces de linha de comando e uma lista das APIs disponíveis, consulte Trabalhar com a Amazon VPC.

Criar uma ACL de rede para sua VPC

• create-network-acl (AWS CLI)

• Novo EC2 () NetworkAclAWS Tools for Windows PowerShell

Descrever uma ou mais de suas ACLs de rede

• describe-network-acls (AWS CLI)

• Obtenha o EC2 () NetworkAclAWS Tools for Windows PowerShell

Adicionar uma regra a uma ACL de rede

• create-network-acl-entry (AWS CLI)

• Novo EC2 () NetworkAclEntryAWS Tools for Windows PowerShell

Excluir uma regra de uma ACL de rede

• delete-network-acl-entry (AWS CLI)

• Remova-EC2 () NetworkAclEntryAWS Tools for Windows PowerShell

Substituir uma regra existente em uma ACL de rede

• replace-network-acl-entry (AWS CLI)

• Set-EC2 () NetworkAclEntryAWS Tools for Windows PowerShell

Substituir uma associação de ACL de rede

• replace-network-acl-association (AWS CLI)

• Set-EC2 () NetworkAclAssociationAWS Tools for Windows PowerShell

Excluir uma ACL de rede

• delete-network-acl (AWS CLI)

• Remova-EC2 () NetworkAclAWS Tools for Windows PowerShell

Exemplo: controlar o acesso a instâncias em uma sub-rede

Neste exemplo, as instâncias em sua sub-rede podem se comunicar entre si e são acessíveis de um computador remoto confiável. O computador remoto pode ser um computador em sua rede local ou uma instância em outra sub-rede ou VPC. Você o usa para se conectar às instâncias a fim de executar tarefas administrativas. As regras de seu grupo de segurança e as regras da ACL de rede permitem acesso do endereço IP em seu computador remoto (172.31.1.2/32). Todo o outros tráfego proveniente da Internet ou de outras redes é negado. Nesse cenário, você tem flexibilidade para mudar as regras de um ou mais grupos de segurança de suas instâncias e ter a ACL de rede como camada de defesa de backup.

Veja a seguir um exemplo de grupo de segurança para associar às instâncias. Os grupos de segurança são com estado. Portanto, você não precisa de uma regra que permita respostas ao tráfego de entrada.

Entrada
Tipo de protocolo	Protocolo	Intervalo de portas	Origem	Comentários
Todo o tráfego	Tudo	Tudo	sg-1234567890abcdef0	Todas as instâncias associadas a esse grupo de segurança podem se comunicar entre si.
SSH	TCP	22	172.31.1.2/32	Permite acesso SSH de entrada do computador remoto.

Saída
Tipo de protocolo	Protocolo	Intervalo de portas	Destino	Comentários
Todo o tráfego	Tudo	Tudo	sg-1234567890abcdef0	Todas as instâncias associadas a esse grupo de segurança podem se comunicar entre si.

Veja a seguir um exemplo de ACL de rede para associar às sub-redes para as instâncias. As regras de ACL de rede se aplicam a todas as instâncias na sub-rede. ACLs de rede são stateless. Portanto, você precisa de uma regra que permita respostas ao tráfego de entrada.

Entrada
Regra nº	Type	Protocolo	Intervalo de portas	Origem	Permissão/Negação	Comentários
100	SSH	TCP	22	172.31.1.2/32	PERMISSÃO	Permite tráfego de entrada do computador remoto.
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	NEGAÇÃO	Nega todos os outros tráfegos de entrada.

Saída
Regra nº	Type	Protocolo	Intervalo de portas	Destino	Permissão/Negação	Comentários
100	TCP personalizado	TCP	1024-65535	172.31.1.2/32	PERMISSÃO	Permite respostas de saída ao computador remoto.
*	Todo o tráfego	Tudo	Tudo	0.0.0.0/0	NEGAÇÃO	Nega todos os outros tráfegos de saída.

Se você acidentalmente tornar as regras do grupo de segurança permissivas demais, a ACL de rede deste exemplo continuará permitindo acesso apenas a partir do endereço IP especificado. Por exemplo, o grupo de segurança a seguir contém uma regra que permite o acesso SSH de entrada a partir de qualquer endereço IP. Porém, se você associar esse grupo de segurança a uma instância em uma sub-rede que usa a ACL de rede, somente outras instâncias dentro da sub-rede e do computador remoto poderão acessar a instância, pois as regras da ACL de rede negam outros tráfegos de entrada à sub-rede.

Entrada
Tipo	Protocolo	Intervalo de portas	Origem	Comentários
Todo o tráfego	Tudo	Tudo	sg-1234567890abcdef0	Todas as instâncias associadas a esse grupo de segurança podem se comunicar entre si.
SSH	TCP	22	0.0.0.0/0	Permite acesso SSH de qualquer endereço IP.

Saída
Tipo	Protocolo	Intervalo de portas	Destino	Comentários
Todo o tráfego	Tudo	Tudo	0.0.0.0/0	Permite todos os tráfegos de saída.

Solucionar problemas de acessibilidade

O Reachability Analyzer é uma ferramenta de análise de configuração estática. Use o Reachability Analyzer para analisar e depurar a acessibilidade da rede entre dois recursos em sua VPC. O Reachability Analyzer hop-by-hop produz detalhes do caminho virtual entre esses recursos quando eles estão acessíveis e, caso contrário, identifica o componente de bloqueio. Por exemplo, ele pode identificar regras de ACL de rede ausentes ou mal configuradas.

Para obter mais informações, consulte o Guia do Analisador de Acessabilidade.