本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用网络 ACL 进行限制
网络访问控制列表 (NACL) 是您的 VPC 的可选安全层,它充当防火墙,用于控制进出一个或多个子网的流量。您可以使用 ACLs 与您的安全组相似的规则来设置网络,以便为您的 VPC 增加额外的安全层。有关安全组和网络之间差异的更多信息 ACLs,请参阅安全组和网络的比较 ACLs。
但是,在 AMS 托管多账户着陆区中,为了让 AMS 有效地管理和监控基础设施,其使用 NACLs 仅限于以下范围:
NACLs 不支持多账户 Landing Zone 核心账户,即管理账户、联网、共享服务、日志和安全。
NACLs 支持多账户登录区域应用程序账户,前提是这些账户仅用作 “拒绝” 列表并具有 “全部允许” 以允许 AMS 监控和管理操作。
在大规模的多账户环境中,您还可以利用集中式出口防火墙等功能来控制出站流量和/或 AMS 多账户着陆区中的 Tr AWS ansit Gateway 路由表来隔离网络流量。 VPCs
