本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用网络 ACL 进行限制
<a name="restrict-nacl"></a>

网络访问控制列表 (NACL) 是您的 VPC 的可选安全层，它充当防火墙，用于控制进出一个或多个子网的流量。您可以使用 ACLs 与您的安全组相似的规则来设置网络，以便为您的 VPC 增加额外的安全层。有关安全组和网络之间差异的更多信息 ACLs，请参阅[安全组和网络的比较 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。

但是，在 AMS 托管多账户着陆区中，为了让 AMS 有效地管理和监控基础设施，其使用 NACLs 仅限于以下范围：
+ NACLs 不支持多账户 Landing Zone 核心账户，即管理账户、联网、共享服务、日志和安全。
+ NACLs 支持多账户登录区域应用程序账户，前提是这些账户仅用作 “拒绝” 列表并具有 “全部允许” 以允许 AMS 监控和管理操作。

在大规模的多账户环境中，您还可以利用集中式出口防火墙等功能来控制出站流量和/或 AMS 多账户着陆区中的 Tr AWS ansit Gateway 路由表来隔离网络流量。 VPCs