Regeln für Netzwerk-ACLs - Amazon Virtual Private Cloud
Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regeln für Netzwerk-ACLs

Sie können Regeln zur Standard-Netzwerk-ACL hinzufügen oder daraus entfernen oder ein zusätzliches Netzwerk ACLs für Ihre VPC erstellen. Wenn Sie Regeln zu einer Netzwerk-ACL hinzufügen oder daraus entfernen, werden die Änderungen automatisch auf die mit der Netzwerk-ACL verknüpften Subnetze angewendet.

Eine Netzwerk-ACL-Regel besteht aus folgenden Bestandteilen:

  • Rule number (Regelnummer. Regeln werden nacheinander beginnend mit der niedrigsten Nummer ausgewertet. Sobald der Datenverkehr mit einer Regel übereinstimmt, wird die Regel angewendet. Dabei werden Regeln mit höherer Nummer, die dieser Regel möglicherweise widersprechen, ignoriert.

  • Typ. Die Art des Datenverkehrs, z. B. SSH. Sie können auch den gesamten Datenverkehr oder einen benutzerdefinierten Bereich angeben.

  • Protocol (Protokoll. Sie können ein beliebiges Protokoll mit einer Standardprotokollnummer auswählen. Weitere Informationen finden Sie unter Protocol Numbers. Wenn Sie als Protokoll ICMP auswählen, können Sie beliebige bzw. alle ICMP-Typen und -Codes angeben.

  • Port-Bereich. Der Listening-Port oder Portbereich für den Datenverkehr. Beispiel: 80 für HTTP-Datenverkehr.

  • Quelle. [Nur eingehende Regeln] Die Quelle des Datenverkehrs (CIDR-Bereich).

  • Ziel. [Nur ausgehende Regeln] Das Ziel für den Datenverkehr (CIDR-Bereich).

  • Erlauben/Verweigern. Gibt an, ob der angegebene Datenverkehr erlaubt oder verweigert werden soll.

Beispiele für Regeln finden Sie unter Beispiel: Steuern des Zugriffs auf Instances in einem Subnetz.

Überlegungen

  • Es gibt Kontingente (auch als Limits bezeichnet) für die Anzahl der Regeln pro Netzwerk ACLs. Weitere Informationen finden Sie unter Amazon VPC-Kontingente.

  • Wenn Sie eine Regel zu einer ACL hinzufügen oder daraus löschen, sind alle Subnetze, die der ACL zugeordnet sind, von dieser Änderung betroffen. Die Änderungen werden nach kurzer Zeit wirksam.

  • Wenn Sie eine Regel mithilfe eines Befehlszeilentools oder der EC2 Amazon-API hinzufügen, wird der CIDR-Bereich automatisch in seine kanonische Form geändert. Wenn Sie beispielsweise 100.68.0.18/18 für den CIDR-Bereich angeben, erstellen wir eine Regel mit dem CIDR-Bereich 100.68.0.0/18.

  • Es kann sinnvoll sein, eine deny-(verweigern-)Regel zu erstellen, wenn Sie einen großen Portbereich freigeben müssen, einzelne Ports innerhalb dieses Bereichs jedoch gesperrt werden sollen. Geben Sie der deny-Regel eine niedrigere Zahl als der Regel, die den gesamten Portbereich freigibt.

  • Gehen Sie vorsichtig vor, wenn Sie Regeln gleichzeitig zu einer Netzwerk-ACL hinzufügen und daraus löschen. Wenn Sie eingehende oder ausgehende Regeln löschen und dann mehr neue Einträge hinzufügen, als erlaubt sind, (siehe Amazon VPC-Kontingente, werden die zum Löschen ausgewählten Einträge entfernt und neue Einträge werden nicht hinzugefügt. Dies kann zu unerwarteten Verbindungsproblemen führen und den Zugriff auf und von Ihrer VPC verhindern.