# ネットワークアクセスコントロールリストを使用して、サブネットのトラフィックを制御する
<a name="vpc-network-acls"></a>

*ネットワークアクセスコントロールリスト (ACL)* は、サブネットレベルで特定のインバウンドまたはアウトバウンドのトラフィックを許可または拒否します。VPC のデフォルトのネットワーク ACL を使用するか、セキュリティグループと同様のルールを使用して VPC のカスタムネットワーク ACL を作成し、セキュリティの追加レイヤーを VPC に追加できます。

ネットワーク ACL は追加料金なしで使用できます。

次の図は、2 つのサブネットを持つ VPC を示しています。各サブネットにはネットワーク ACL があります。トラフィックが (ピアリングされた VPC、VPN 接続、インターネットなどから) VPC に入ると、ルーターはこのトラフィックを宛先に送信します。ネットワーク ACL A は、サブネット 1 を宛先とするトラフィックのうち、サブネット 1 への送信を許可するトラフィックと、サブネット 1 以外を宛先とするトラフィックのうち、サブネット 1 からの送信を許可するトラフィックを決定します。同様に、ネットワーク ACL B は、どのトラフィックがサブネット 2 に出入りできるかを決定します。

![\[2 つのサブネットと各サブネットのネットワーク ACL を持つ VPC。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/images/network-acl.png)


セキュリティグループとネットワーク ACL の違いについては、「[セキュリティグループとネットワーク ACL を比較する](infrastructure-security.md#VPC_Security_Comparison)」を参照してください。

**Topics**
+ [ネットワーク ACL の基本](#nacl-basics)
+ [ネットワーク ACL ルール](nacl-rules.md)
+ [VPC のデフォルトのネットワーク ACL](default-network-acl.md)
+ [VPC のカスタムネットワーク ACL](custom-network-acl.md)
+ [パス MTU 検出とネットワーク ACL](path_mtu_discovery.md)
+ [VPC のネットワーク ACL を作成する](create-network-acl.md)
+ [VPC のネットワーク ACL の関連付けを管理する](network-acl-associations.md)
+ [VPC のネットワーク ACL を削除する](delete-network-acl.md)
+ [例: サブネットのインスタンスへのアクセス制御](nacl-examples.md)

## ネットワーク ACL の基本
<a name="nacl-basics"></a>

開始する前にネットワーク ACL について知っておくべき基本的な情報を以下に示します。

**ネットワーク ACL の関連付け**
+ VPC 内の各サブネットにネットワーク ACL を関連付ける必要があります。ネットワーク ACL に明示的にサブネットを関連付けない場合、サブネットは[デフォルトのネットワーク ACL](default-network-acl.md) に自動的に関連付けられます。
+ [カスタムネットワーク ACL](custom-network-acl.md) を作成して、それをサブネットに関連付けることで、サブネットレベルで特定のインバウンドトラフィックまたはアウトバウンドトラフィックを許可または拒否することができます。
+ ネットワーク ACL を複数のサブネットに関連付けることができます。ただし、サブネットは一度に 1 つのネットワーク ACL にのみ関連付けることができます。サブネットとネットワーク ACL を関連付けると、以前の関連付けは削除されます。

**ネットワーク ACL ルール**
+ ネットワーク ACL には、インバウンドルールとアウトバウンドルールがあります。[ネットワーク ACL ごとに設定できるルールの数にはクォータ (または制限)](amazon-vpc-limits.md#vpc-limits-nacls) が設定されています。各ルールでは、トラフィックを許可または拒否できます。各ルールには 1 から 32,766 までの番号が設定されます。トラフィックを許可するか拒否するかを決定する際は、最も低い番号のルールから順にルールを評価します トラフィックがルールに一致すると、そのルールが適用され、追加のルールは評価されません。まずは増分 (例えば 10 または 100 の増分) でルールを作成することをお勧めします。こうすると、必要になったときに後で新しいルールを挿入できます。
+ ネットワーク ACL ルールは、トラフィックがサブネット内でルーティングされるときではなく、サブネットに出入りするときに評価されます。
+ NACL は*ステートレス*です。つまり、以前に送受信されたトラフィックに関する情報は保存されません。例えば、サブネットへの特定のインバウンドトラフィックを許可する NACL ルールを作成しても、そのトラフィックへの応答は自動的には許可されません。これは、セキュリティグループの仕組みとは対照的です。セキュリティグループは*ステートフル*です。つまり、以前に送受信されたトラフィックに関する情報が保存されます。例えば、セキュリティグループが EC2 インスタンスへのインバウンドトラフィックを許可している場合、アウトバウンドセキュリティグループのルールにかかわらず、レスポンスは自動的に許可されます。

**制限事項**
+ ネットワーク ACL にはクォータ (制限とも呼ばれます) が設定されています。詳細については、「[ネットワーク ACL](amazon-vpc-limits.md#vpc-limits-nacls)」を参照してください。
+ ネットワーク ACL では、Route 53 Resolver (VPC\$12 IP アドレスまたは AmazonProvidedDNS とも呼ばれます) で送受信される DNS リクエストをブロックすることはできません。Route 53 Resolver 経由の DNS リクエストをフィルタリングするために、[Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) を有効化できます。
+ ネットワーク ACL では、インスタンスメタデータサービス (IMDS) へのトラフィックをブロックすることはできません。IMDS へのアクセスを管理するには、「*Amazon EC2 ユーザーガイド*」の「[インスタンスメタデータオプションの設定](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)」を参照してください。
+ ネットワーク ACL では、以下で送受信されるトラフィックはフィルターされません。
  + Amazon ドメインネームサービス (DNS)
  + Amazon Dynamic Host Configuration Protocol (DHCP)
  + Amazon EC2 インスタンスメタデータ。
  + Amazon ECS タスクメタデータエンドポイント
  + Windows インスタンスのライセンスアクティベーション
  + Amazon Time Sync Service
  + デフォルトの VPC ルーターによる予約済み IP アドレス