AWS::EC2::NetworkAclEntry - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::EC2::NetworkAclEntry

使用您指定的规则编号在网络 ACL 中创建条目(称作规则)。每个网络 ACL 都拥有一套已编号的输入规则和单独的一套已编号输出规则。

有关协议值的信息,请参阅互联网编号分配机构 (IANA) 网站上的 Protocol Numbers

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "Type" : "AWS::EC2::NetworkAclEntry", "Properties" : { "CidrBlock" : String, "Egress" : Boolean, "Icmp" : Icmp, "Ipv6CidrBlock" : String, "NetworkAclId" : String, "PortRange" : PortRange, "Protocol" : Integer, "RuleAction" : String, "RuleNumber" : Integer } }

YAML

Type: AWS::EC2::NetworkAclEntry Properties: CidrBlock: String Egress: Boolean Icmp: Icmp Ipv6CidrBlock: String NetworkAclId: String PortRange: PortRange Protocol: Integer RuleAction: String RuleNumber: Integer

属性

CidrBlock

要允许或拒绝的 IPv4 CIDR 范围(以 CIDR 表示法显示,例如 172.16.0.0/24)。要求是有条件的:您必须指定 CidrBlockIpv6CidrBlock 属性。

必需:否

类型:字符串

Update requires: No interruption

Egress

该规则是否应用到子网的传出流量 (true) 或子网的传入流量 (false)。默认情况下,AWS CloudFormation 指定 false

必需:否

类型:布尔值

Update requires: Replacement

Icmp

互联网控制信息协议 (ICMP) 代码和类型。要求是有条件的:如果为协议参数指定 1 (ICMP),则是必需的。

必需:否

类型Icmp

Update requires: No interruption

Ipv6CidrBlock

要允许或拒绝的 IPv6 网络范围(以 CIDR 表示法显示)。要求是有条件的:您必须指定 CidrBlockIpv6CidrBlock 属性。

必需:否

类型:字符串

Update requires: No interruption

NetworkAclId

条目的 ACL 的 ID。

必需:是

类型:字符串

Update requires: Replacement

PortRange

适用于 UDP/TCP 协议的端口编号范围。如果为协议参数指定 6 (TCP) 或 17 (UDP),则需是有条件的。

必需:否

类型PortRange

Update requires: No interruption

Protocol

该规则适用于的 IP 协议。您必须指定 -1 或协议编号。您可以为所有协议指定 -1。

注意

如果您指定 -1,则将打开所有端口并忽略 PortRange 属性。

必需:是

类型:整数

Update requires: No interruption

RuleAction

是否允许或拒绝与该规则匹配的流量;有效值为“allow”或“deny”。

必需:是

类型:字符串

允许的值allow | deny

Update requires: No interruption

RuleNumber

要分配给条目的规则编号,例如 100。ACL 条目按规则编号以升序顺序进行处理。两个条目不得使用同一规则编号,除非一个是传出规则,而另一个则是传入规则。

必需:是

类型:整数

Update requires: Replacement

返回值

Ref

在将此资源的逻辑 ID 传递给内部 Ref 函数时,Ref 返回 资源名称。

For more information about using the Ref function, see Ref.

示例

入站和出站流量的网络 ACL 条目

以下示例创建一个网络 ACL,并在 NACL 中创建两个条目。第一个条目允许来自指定网络的入站 SSH 流量。第二个条目允许所有出站 IPv4 流量。

JSON

{ "Resources": { "MyNACL": { "Type": "AWS::EC2::NetworkAcl", "Properties": { "VpcId": "vpc-1122334455aabbccd", "Tags": [ { "Key": "Name", "Value": "NACLforSSHTraffic" } ] } }, "InboundRule": { "Type": "AWS::EC2::NetworkAclEntry", "Properties": { "NetworkAclId": { "Ref": "MyNACL" }, "RuleNumber": 100, "Protocol": 6, "RuleAction": "allow", "CidrBlock": "172.16.0.0/24", "PortRange": { "From": 22, "To": 22 } } }, "OutboundRule": { "Type": "AWS::EC2::NetworkAclEntry", "Properties": { "NetworkAclId": { "Ref": "MyNACL" }, "RuleNumber": 100, "Protocol": -1, "Egress": true, "RuleAction": "allow", "CidrBlock": "0.0.0.0/0" } } } }

YAML

Resources: MyNACL: Type: AWS::EC2::NetworkAcl Properties: VpcId: vpc-1122334455aabbccd Tags: - Key: Name Value: NACLforSSHTraffic InboundRule: Type: AWS::EC2::NetworkAclEntry Properties: NetworkAclId: Ref: MyNACL RuleNumber: 100 Protocol: 6 RuleAction: allow CidrBlock: 172.16.0.0/24 PortRange: From: 22 To: 22 OutboundRule: Type: AWS::EC2::NetworkAclEntry Properties: NetworkAclId: Ref: MyNACL RuleNumber: 100 Protocol: -1 Egress: true RuleAction: allow CidrBlock: 0.0.0.0/0

另请参阅