Créer une liste ACL réseau pour votre VPC - Amazon Virtual Private Cloud
Étape 1 : création d’une ACL réseauÉtape 2 : ajout de règlesÉtape 3 : association d’un sous-réseau à une ACL réseau(Facultatif) Gestion des ACL réseau à l’aide de Firewall Manager

Créer une liste ACL réseau pour votre VPC

Les tâches suivantes vous montrent comment créer un ACL réseau, ajouter des règles à l’ACL réseau, puis associer l’ACL réseau à un sous-réseau.

Étape 1 : création d’une ACL réseau

Vous pouvez créer une liste ACL réseau personnalisée pour votre VPC. Les règles initiales d’une ACL réseau personnalisée bloquent l’ensemble du trafic entrant et sortant. La nouvelle ACL réseau personnalisée n’est associée à aucun sous-réseau par défaut et doit être explicitement associée à des sous-réseaux.

Pour créer une ACL réseau à l’aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Sélectionnez Créer une ACL réseau.

  4. (Facultatif) Dans Nom, saisissez un nom pour votre ACL réseau.

  5. Dans VPC, sélectionnez le VPC.

  6. (Facultatif) Dans Balises, sélectionnez Ajouter une balise et saisissez une clé de balise et une valeur de balise.

  7. Sélectionnez Créer une ACL réseau.

Pour créer une ACL réseau à l’aide de la ligne de commande

Étape 2 : ajout de règles

Vous pouvez ajouter des règles qui autorisent ou refusent le trafic entrant ou sortant.

Nous traitons les règles dans l’ordre, en commençant par la règle possédant le numéro le plus bas. Nous vous recommandons de laisser un intervalle entre les numéros de règles (par exemple, 100, 200, 300), plutôt que d'utiliser des numéros séquentiels (comme 101, 102, 103). Cela vous permettra d'ajouter plus facilement une nouvelle règle, sans procéder à une nouvelle numérotation des règles existantes.

Si vous utilisez l'API Amazon EC2 ou un outil de ligne de commande, vous ne pouvez pas modifier les règles. Vous ne pouvez ajouter et supprimer que des règles. Si vous utilisez la console Amazon VPC, vous pouvez modifier les entrées des règles existantes. La console supprime la règle existante et ajoute une nouvelle règle pour vous. Si vous souhaitez modifier la position d'une règle dans la liste ACL, vous devez en ajouter une nouvelle avec le numéro de votre choix, puis supprimer la règle d'origine.

Pour ajouter des règles à une ACL réseau à l’aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Network ACLs.

  3. Sélectionnez l'ACL réseau.

  4. Pour ajouter une règle entrante, procédez comme suit :

    1. Choisissez l’onglet Inbound rules (Règles entrantes).

    2. Sélectionnez Modifier les règles entrantes, Ajouter une nouvelle règle.

    3. Saisissez un numéro de règle qui n’est pas encore utilisé, un type, un protocole, une plage de ports et une source, et indiquez s’il faut autoriser ou refuser le trafic. Pour certains types, nous renseignons le protocole et le port à votre place. Si vous êtes invité à saisir une plage de ports, saisissez un numéro de port ou une plage de ports (par exemple, 49152-65535).

      Afin d’utiliser un protocole qui n’est pas répertorié, sélectionnez Protocole personnalisé pour le type, puis sélectionnez le protocole. Pour plus d’informations, consultez la page Protocol Numbers.

    4. Sélectionnez Enregistrer les modifications.

  5. Pour ajouter une règle sortante, procédez comme suit :

    1. Choisissez l’onglet Outbound rules (Règles sortantes).

    2. Sélectionnez Modifier les règles sortantes, Ajouter une nouvelle règle.

    3. Saisissez un numéro de règle qui n’est pas encore utilisé, un type, un protocole, une plage de ports et une source, et indiquez s’il faut autoriser ou refuser le trafic. Pour certains types, nous renseignons le protocole et le port à votre place. Si vous êtes invité à saisir une plage de ports, saisissez un numéro de port ou une plage de ports (par exemple, 49152-65535).

      Afin d’utiliser un protocole qui n’est pas répertorié, sélectionnez Protocole personnalisé pour le type, puis sélectionnez le protocole. Pour plus d’informations, consultez la page Protocol Numbers.

    4. Sélectionnez Enregistrer les modifications.

Pour ajouter une règle à une ACL réseau à l’aide de la ligne de commande
Pour remplacer une règle dans une ACL réseau à l’aide de la ligne de commande
Pour supprimer une règle d’une ACL réseau à l’aide de la ligne de commande

Étape 3 : association d’un sous-réseau à une ACL réseau

Pour appliquer les règles d'une liste ACL réseau à un sous-réseau spécifique, vous devez associer ce dernier à la liste ACL réseau. Vous pouvez associer une liste ACL réseau à plusieurs sous-réseaux. Cependant, un sous-réseau ne peut être associé qu'à une seule liste ACL réseau. Tout sous-réseau qui n'est pas spécifiquement associé à une liste ACL spécifique est associé à la liste ACL réseau par défaut.

Pour associer un sous-réseau à une liste ACL réseau :

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Network ACLs, puis sélectionnez la liste ACL réseau.

  3. Dans le volet des détails, sous l'onglet Subnet Associations, choisissez Edit. Cochez la case Associate pour le sous-réseau à associer à la liste ACL réseau, puis sélectionnez Save.

(Facultatif) Gestion des ACL réseau à l’aide de Firewall Manager

AWS Firewall Manager simplifie vos tâches d’administration et de maintenance des listes ACL réseau sur plusieurs comptes et sous-réseaux. Vous pouvez utiliser Firewall Manager pour surveiller les comptes et les sous-réseaux de votre organisation et pour appliquer automatiquement les configurations des listes ACL réseau que vous avez définies. Firewall Manager est particulièrement utile lorsque vous souhaitez protéger l’ensemble de votre organisation ou si vous ajoutez fréquemment de nouveaux sous-réseaux que vous souhaitez protéger automatiquement à partir d’un compte d’administrateur central.

Avec une politique de liste ACL réseau Firewall Manager, à l’aide d’un seul compte administrateur, vous pouvez configurer, surveiller et gérer les ensembles de règles minimaux que vous souhaitez définir dans les listes ACL réseau que vous utilisez au sein de votre organisation. Vous spécifiez les comptes et les sous-réseaux de votre organisation qui sont concernés par la politique de Firewall Manager. Firewall Manager indique l’état de conformité des ACL réseau dans le cadre des sous-réseaux concernés. Par ailleurs, vous pouvez configurer Firewall Manager pour automatiser la correction des ACL réseau non conformes.

Pour plus d’informations, consultez les ressources suivantes dans le Manuel de développement de AWS Firewall Manager :