Amazon web services 安全组是否管理专有网络中的NACL？

我正在尝试创建一个包含3台服务器的专有网络，并启用专有网络内部的所有流量以及到工作站外部特定IP地址的所有流量。 我还想阻止任何其他交通。 我无法理解VPC中的安全逻辑： 如果我阻止ACL级别上的所有通信，并且只允许安全组级别上需要的通信，那么它会工作吗？

---

基本上，我想了解的是如何管理子网外的带外通信量？

这两个服务一起工作，它们不作为或条件

安全组

安全组在主机级别进行评估，默认情况下，所有通信都被阻止，除非明确允许通过ENI的任何交互都将根据安全组进行评估

NACL

另一方面，在子网级别对NACL进行评估。流量在进入（或离开）子网时进行评估。事实上，如果两个实例位于同一子网中，并且私下通信，则不会计算NACL

NACL的规则按从最低到最高的顺序进行评估，并支持拒绝和允许

---

如果在NACL级别阻止所有通信，那么将支持的唯一通信是同一子网上具有与安全组中的入站/出站规则相匹配的入站/出站规则的实例之间的通信。

。好资源：那么除了上面列出的流量，我如何阻止所有其他流量呢？可能-入站规则1-允许来自特定IP的流量。入站规则2-拒绝所有流量。带外规则-这是我不清楚的地方。如果是这种情况，我建议保持默认NACL入站状态，因为实例的安全组允许连接到这些实例的安全组的入站源或子网/VPC的IP范围。然后允许入站访问，特别是您想要的外部IP。如果希望实例中的出站流量停止，则需要列出要允许的IP范围，然后使用更高的拒绝规则：）酷。看起来很合理。因此，在一个规则之后拒绝所有的带外流量，以允许带外到特定的IP。确切地说，首先对您的安全组进行排序，然后执行NACLs:）谢谢！我试试看