Regole di liste di controllo accessi di rete - Amazon Virtual Private Cloud
Considerazioni

Regole di liste di controllo accessi di rete

Puoi aggiungere o rimuovere regole dalla lista di controllo accessi di rete predefinita o creare liste di controllo accessi di rete aggiuntive per il VPC. Quando aggiungi o rimuovi regole da una lista di controllo accessi di rete, le modifiche vengono applicate automaticamente alle sottoreti cui è associata.

Di seguito sono riportate le parti di una regola della lista di controllo accessi di rete:

  • Numero regola. Le regole sono valutate a partire da quella con numerazione più bassa. Non appena una regola corrisponde al traffico, viene applicata a prescindere da qualsiasi altra regola con numerazione più alta che potrebbe contraddirla.

  • Tipo. Il tipo di traffico; ad esempio, SSH. Puoi anche specificare tutto il traffico o un intervallo personalizzato.

  • Protocol (Protocollo. Puoi specificare qualsiasi protocollo che dispone di un numero di protocollo standard. Per ulteriori informazioni, consulta la sezione relativa ai numeri di protocollo. Se specifichi ICMP come protocollo, puoi specificare qualcuno o tutti dei tipi e dei codici ICMP.

  • Intervallo porte. La porta di ascolto o l'intervallo di porte per il traffico. Ad esempio, 80 per il traffico HTTP.

  • Source (Origine. [Solo regole in entrata] L'origine del traffico (intervallo CIDR).

  • Destination (Destinazione. [Solo regole in uscita] La destinazione per il traffico (intervallo CIDR).

  • Consenti/Nega. Scelta tra le opzioni allow o deny per il traffico specificato.

Per le regole di esempio, consulta Esempio: controllo dell'accesso alle istanze in una sottorete.

Considerazioni

  • Esistono quote (note anche come limiti) per il numero di regole disponibili per ogni lista di controllo degli accessi di rete. Per ulteriori informazioni, consulta Quote Amazon VPC.

  • Quando aggiungi o elimini una regola da una lista di controllo accessi, le eventuali sottoreti associate alla lista di controllo accessi sono influenzate dalla modifica. Le modifiche diventano effettive dopo un breve periodo di tempo.

  • Se si aggiunge una regola utilizzando uno strumento a riga di comando o l'API Amazon EC2, l'intervallo CIDR viene modificato automaticamente nel suo formato canonico. Ad esempio, se si specifica 100.68.0.18/18 per l'intervallo CIDR, verrà creata una regola con un intervallo CIDR 100.68.0.0/18.

  • Potrebbe essere necessario aggiungere una regola Rifiuta in una situazione in cui devi aprire un ampio intervallo di porte, ma alcune di esse sono incluse nell’intervallo di porte che hai scelto di rifiutare. Assicurati di assegnare alla regola Rifiuta un numero inferiore rispetto alla regola che consente una gamma più ampia di traffico per le porte.

  • Se decidi di aggiungere ed eliminare contemporaneamente regole da una lista di controllo degli accessi di rete, dovrai prestare attenzione. Se elimini regole in entrata o in uscita e poi aggiungi nuove voci superando il limite massimo consentito (consulta Quote Amazon VPC), le voci selezionate per l’eliminazione verranno eliminate, ma le nuove voci non verranno aggiunte. Questo potrebbe causare problemi di connettività imprevisti e impedire l’accesso da e verso i VPC.