AWS::EC2::NetworkAclEntry - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::EC2::NetworkAclEntry

使用您指定的规则编号在网络 ACL 中创建条目(称作规则)。每个网络 ACL 都拥有一套已编号的输入规则和单独的一套已编号输出规则。

有关协议值的信息,请参阅互联网编号分配机构 (IANA) 网站上的 Protocol Numbers

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "Type" : "AWS::EC2::NetworkAclEntry", "Properties" : { "CidrBlock" : String, "Egress" : Boolean, "Icmp" : Icmp, "Ipv6CidrBlock" : String, "NetworkAclId" : String, "PortRange" : PortRange, "Protocol" : Integer, "RuleAction" : String, "RuleNumber" : Integer } }

YAML

Type: AWS::EC2::NetworkAclEntry Properties: CidrBlock: String Egress: Boolean Icmp: Icmp Ipv6CidrBlock: String NetworkAclId: String PortRange: PortRange Protocol: Integer RuleAction: String RuleNumber: Integer

属性

CidrBlock

要允许或拒绝的 IPv4 CIDR 范围(以 CIDR 表示法显示,例如 172.16.0.0/24)。要求是有条件的:您必须指定 CidrBlockIpv6CidrBlock 属性。

必需:否

类型:字符串

Update requires: No interruption

Egress

该规则是否应用到子网的传出流量 (true) 或子网的传入流量 (false)。默认情况下,AWS CloudFormation 指定 false

必需:否

类型:布尔值

Update requires: Replacement

Icmp

互联网控制信息协议 (ICMP) 代码和类型。要求是有条件的:如果为协议参数指定 1 (ICMP),则是必需的。

必需:否

类型Icmp

Update requires: No interruption

Ipv6CidrBlock

要允许或拒绝的 IPv6 网络范围(以 CIDR 表示法显示)。要求是有条件的:您必须指定 CidrBlockIpv6CidrBlock 属性。

必需:否

类型:字符串

Update requires: No interruption

NetworkAclId

条目的 ACL 的 ID。

必需:是

类型:字符串

Update requires: Replacement

PortRange

适用于 UDP/TCP 协议的端口编号范围。如果为协议参数指定 6 (TCP) 或 17 (UDP),则需是有条件的。

必需:否

类型PortRange

Update requires: No interruption

Protocol

该规则适用于的 IP 协议。您必须指定 -1 或协议编号。您可以为所有协议指定 -1。

注意

如果您指定 -1,则将打开所有端口并忽略 PortRange 属性。

必需:是

类型:整数

Update requires: No interruption

RuleAction

是否允许或拒绝与该规则匹配的流量;有效值为“allow”或“deny”。

必需:是

类型:字符串

允许的值allow | deny

Update requires: No interruption

RuleNumber

要分配给条目的规则编号,例如 100。ACL 条目按规则编号以升序顺序进行处理。两个条目不得使用同一规则编号,除非一个是传出规则,而另一个则是传入规则。

必需:是

类型:整数

Update requires: Replacement

返回值

Ref

在将此资源的逻辑 ID 传递给内部 Ref 函数时,Ref 返回 资源名称。

For more information about using the Ref function, see Ref.

示例

网络 ACL 条目

以下示例使用指定的规则编号在网络 ACL 中创建条目。

JSON

"myNetworkAclEntry" : { "Type" : "AWS::EC2::NetworkAclEntry", "Properties" : { "NetworkAclId" : { "Ref" : "myNetworkAcl" }, "RuleNumber" : "100", "Protocol" : "-1", "RuleAction" : "allow", "Egress" : "true", "CidrBlock" : "172.16.0.0/24", "Icmp" : { "Code" : "-1", "Type" : "-1" }, "PortRange" : { "From" : "53", "To" : "53" } } }

YAML

myNetworkAclEntry: Type: AWS::EC2::NetworkAclEntry Properties: NetworkAclId: Ref: myNetworkAcl RuleNumber: '100' Protocol: "-1" RuleAction: allow Egress: 'true' CidrBlock: 172.16.0.0/24 Icmp: Code: "-1" Type: "-1" PortRange: From: '53' To: '53'

另请参阅