本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 限制使用網路 ACL
<a name="restrict-nacl"></a>

網路存取控制清單 (NACL) 是 VPC 的選用安全層，可做為防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL，以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊，請參閱[安全群組和網路 ACLs的比較](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。

不過，在 AMS 受管多帳戶登陸區域中，為了讓 AMS 有效管理和監控基礎設施，NACLs 的使用僅限於下列範圍：
+ 多帳戶登陸區域核心帳戶不支援 NACLs，例如管理帳戶、聯網、共享服務、記錄和安全性。
+ 多帳戶登陸區域應用程式帳戶支援 NACLs，只要它們僅用作「拒絕」清單，並具有「允許全部」以允許 AMS 監控和管理操作。

在大規模的多帳戶環境中，您也可以利用集中式輸出防火牆等功能來控制 AMS 多帳戶登陸區域中的傳出流量和/或 AWS 傳輸閘道路由表，以隔離 VPCs之間的網路流量。