Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Grup keamanan Amazon EC2 untuk instans EC2 Anda
<a name="ec2-security-groups"></a>

 *grup keamanan* bertindak sebagai firewall virtual untuk instans EC2 Anda untuk mengontrol lalu lintas masuk dan ke luar. Aturan-aturan ke dalam mengontrol lalu lintas yang masuk ke instans Anda, dan aturan-aturan ke luar mengontrol lalu lintas yang ke luar dari instans Anda. Saat Anda meluncurkan instans, artinya Anda menentukan satu atau beberapa grup keamanan pada instans tersebut. Jika Anda tidak menentukan grup keamanan, maka Amazon EC2 akan menggunakan grup keamanan default untuk VPC. Setelah Anda meluncurkan instans, Anda dapat mengubah grup keamanannya.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Untuk informasi lebih lanjut, lihat[Keamanan dalam Amazon EC2](ec2-security.md). AWS menyediakan grup keamanan sebagai salah satu alat untuk mengamankan instans Anda, dan Anda perlu mengonfigurasinya untuk memenuhi kebutuhan keamanan Anda. Jika Anda memiliki persyaratan yang tidak sepenuhnya dipenuhi oleh grup keamanan, maka Anda dapat mempertahankan firewall Anda sendiri pada instans Anda selain menggunakan grup keamanan.

**Harga**  
Tidak ada biaya tambahan untuk menggunakan grup keamanan.

**Topics**
+ [

## Ikhtisar
](#security-group-basics)
+ [

# Membuat grup keamanan untuk instans Amazon EC2 Anda
](creating-security-group.md)
+ [

# Mengubah grup keamanan untuk instans Amazon EC2 Anda
](changing-security-group.md)
+ [

# Hapus grup keamanan Amazon EC2
](deleting-security-group.md)
+ [

# Pelacakan koneksi grup keamanan Amazon EC2
](security-group-connection-tracking.md)
+ [

# Aturan-aturan grup keamanan untuk kasus penggunaan yang berbeda
](security-group-rules-reference.md)

## Ikhtisar
<a name="security-group-basics"></a>

Anda dapat mengaitkan setiap instance dengan beberapa grup keamanan, dan Anda dapat mengaitkan setiap grup keamanan dengan beberapa instance. Anda menambahkan aturan ke setiap grup keamanan yang mengizinkan lalu lintas ke atau dari instans terkait. Anda dapat melakukan modifikasi terhadap aturan-aturan untuk grup keamanan kapan saja. Aturan-aturan baru dan aturan-aturan yang dimodifikasi akan secara otomatis diterapkan ke semua instans yang dikaitkan dengan grup keamanan. Ketika Amazon EC2 memutuskan apakah akan mengizinkan lalu lintas untuk mencapai instans, Amazon EC2 mengevaluasi semua aturan dari semua grup keamanan yang terkait dengan instans. Untuk informasi selengkapnya, lihat [Aturan grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) di *Panduan Pengguna Amazon VPC*.

Diagram berikut menunjukkan VPC dengan subnet, gateway internet, dan grup keamanan. Subnet berisi instans EC2. Grup keamanan dikaitkan dengan instance. Satu-satunya lalu lintas yang mencapai instance adalah lalu lintas yang diizinkan oleh aturan grup keamanan. Misalnya, jika grup keamanan berisi aturan yang memungkinkan lalu lintas SSH dari jaringan Anda, maka Anda dapat terhubung ke instance Anda dari komputer menggunakan SSH. Jika grup keamanan berisi aturan yang memungkinkan semua lalu lintas dari sumber daya yang terkait dengannya, maka setiap instance dapat menerima lalu lintas apa pun yang dikirim dari instance lain.

![\[VPC dengan grup keamanan. Instans EC2 di subnet dikaitkan dengan grup keamanan.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/ec2-security-groups.png)


Grup keamanan bersifat stateful—jika Anda mengirimkan permintaan dari instans Anda, maka lalu lintas tanggapan untuk permintaan tersebut diperbolehkan untuk mengalir tanpa memedulikan aturan-aturan ke dalam grup keamanan. Juga, tanggapan terhadap lalu lintas masuk yang diizinkan diizinkan mengalir keluar, terlepas dari aturan keluar. Untuk informasi selengkapnya, lihat [Pelacakan koneksi](security-group-connection-tracking.md).

# Membuat grup keamanan untuk instans Amazon EC2 Anda
<a name="creating-security-group"></a>

Grup keamanan bertindak sebagai firewall untuk instans-instans yang dikaitkan, mengontrol lalu lintas ke dalam dan ke luar pada tingkat instans. Anda dapat menambahkan aturan ke grup keamanan yang memungkinkan Anda terhubung ke instans menggunakan SSH (instance Linux) atau RDP (instance Windows). Anda juga dapat menambahkan aturan yang memungkinkan lalu lintas klien, misalnya, lalu lintas HTTP dan HTTPS yang ditujukan ke server web.

Anda dapat mengaitkan grup keamanan dengan instance saat meluncurkan instance. Saat Anda menambahkan atau menghapus aturan dari grup keamanan terkait, perubahan tersebut secara otomatis diterapkan ke semua instance yang Anda kaitkan dengan grup keamanan.

Setelah meluncurkan instance, Anda dapat mengaitkan grup keamanan tambahan. Untuk informasi selengkapnya, lihat [Mengubah grup keamanan untuk instans Amazon EC2 Anda](changing-security-group.md).

Anda dapat menambahkan aturan grup keamanan masuk dan keluar saat membuat grup keamanan atau menambahkannya nanti. Untuk informasi selengkapnya, lihat [Mengonfigurasi aturan grup keamanan](changing-security-group.md#add-remove-security-group-rules). Untuk contoh aturan yang dapat Anda tambahkan ke grup keamanan, lihat[Aturan-aturan grup keamanan untuk kasus penggunaan yang berbeda](security-group-rules-reference.md).

**Pertimbangan-pertimbangan**
+ Grup keamanan baru dimulai dengan hanya aturan keluar yang memungkinkan semua lalu lintas meninggalkan sumber daya. Anda harus menambahkan aturan-aturan lain untuk mengizinkan lalu lintas ke dalam atau membatasi lalu lintas ke luar.
+ Saat mengonfigurasi sumber untuk aturan yang memungkinkan akses SSH atau RDP ke instance Anda, jangan izinkan akses dari mana saja, karena itu akan memungkinkan akses ini ke instance Anda dari semua alamat IP di internet. Hal ini dapat diterima untuk waktu yang singkat di lingkungan pengujian, tetapi tidak aman untuk lingkungan produksi.
+ Jika ada lebih dari satu aturan untuk port tertentu, maka Amazon EC2 akan menerapkan aturan yang paling permisif. Misalnya, jika Anda memiliki aturan yang memungkinkan akses ke port TCP 22 (SSH) dari alamat IP 203.0.113.1, dan aturan lain yang memungkinkan akses ke port TCP 22 dari mana saja, maka setiap orang memiliki akses ke port TCP 22.
+ Anda dapat mengaitkan beberapa grup keamanan dengan sebuah instance. Oleh karena itu, instans dapat memiliki ratusan aturan yang berlaku. Hal ini dapat menyebabkan masalah saat Anda mengakses instans tersebut. Kami menyarankan agar Anda sedapat mungkin membuat aturan-aturan yang padat.
+ Saat Anda menentukan grup keamanan sebagai sumber atau tujuan dari aturan, aturan tersebut akan memengaruhi semua instans yang dikaitkan dengan grup keamanan tersebut. Lalu lintas masuk diizinkan berdasarkan alamat IP privat dari instans yang dikaitkan dengan grup keamanan sumber (dan bukan alamat IP publik atau alamat IP Elastis). Untuk informasi selengkapnya tentang alamat IP, lihat [Pengalamatan IP instans Amazon EC2](using-instance-addressing.md).
+ Amazon EC2 memblokir lalu lintas pada port 25 secara default. Untuk informasi selengkapnya, lihat [Pembatasan pada email yang dikirim menggunakan port 25](ec2-resource-limits.md#port-25-throttle).

------
#### [ Console ]

**Cara membuat grup keamanan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Di panel navigasi, pilih **Security Groups** (Grup Keamanan).

1. Pilih **Buat grup keamanan**.

1. Masukkan nama deskriptif dan deskripsi singkat untuk grup keamanan. Anda tidak dapat mengubah nama dan deskripsi grup keamanan setelah dibuat.

1. Untuk **VPC**, pilih VPC tempat Anda akan menjalankan instans Amazon EC2.

1. (Opsional) Untuk menambahkan aturan masuk, pilih Aturan **masuk**. Untuk setiap aturan, pilih **Tambahkan aturan** dan tentukan protokol, port, dan sumber. **Misalnya, untuk mengizinkan lalu lintas SSH, pilih **SSH** untuk **Jenis** dan tentukan IPv4 alamat publik komputer atau jaringan Anda untuk Sumber.**

1. (Opsional) Untuk menambahkan aturan keluar, pilih Aturan **keluar**. Untuk setiap aturan, pilih **Tambahkan aturan** dan tentukan protokol, port, dan tujuan. Jika tidak, Anda dapat mempertahankan aturan default, yang memungkinkan semua lalu lintas keluar.

1. (Opsional) Untuk menambahkan tag, pilih **Tambahkan tag baru** dan masukkan kunci tag dan nilai.

1. Pilih **Create security group** (Buat grup keamanan).

------
#### [ AWS CLI ]

**Cara membuat grup keamanan**  
Gunakan perintah berikut [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

```
aws ec2 create-security-group \
    --group-name my-security-group \
    --description "my security group" \
    --vpc-id vpc-1234567890abcdef0
```

Untuk contoh yang menambahkan aturan, lihat[Mengonfigurasi aturan grup keamanan](changing-security-group.md#add-remove-security-group-rules).

------
#### [ PowerShell ]

**Cara membuat grup keamanan**  
Gunakan [New-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html)cmdlet.

```
New-EC2SecurityGroup `
    -GroupName my-security-group `
    -Description "my security group" `
    -VpcId vpc-1234567890abcdef0
```

Untuk contoh yang menambahkan aturan, lihat[Mengonfigurasi aturan grup keamanan](changing-security-group.md#add-remove-security-group-rules).

------

# Mengubah grup keamanan untuk instans Amazon EC2 Anda
<a name="changing-security-group"></a>

Anda dapat menentukan grup keamanan untuk instans Amazon EC2 saat meluncurkannya. Setelah meluncurkan instance, Anda dapat menambah atau menghapus grup keamanan. Anda juga dapat menambahkan, menghapus, atau mengedit aturan grup keamanan untuk grup keamanan terkait kapan saja.

Grup keamanan dikaitkan dengan antarmuka jaringan. Menambahkan atau menghapus grup keamanan mengubah grup keamanan yang terkait dengan antarmuka jaringan utama. Anda juga dapat mengubah grup keamanan yang terkait dengan antarmuka jaringan sekunder apa pun. Untuk informasi selengkapnya, lihat [Memodifikasi atribut antarmuka jaringan](modify-network-interface-attributes.md).

**Topics**
+ [

## Menambah atau menghapus grup keamanan
](#add-remove-instance-security-groups)
+ [

## Mengonfigurasi aturan grup keamanan
](#add-remove-security-group-rules)

## Menambah atau menghapus grup keamanan
<a name="add-remove-instance-security-groups"></a>

Setelah meluncurkan instans, Anda dapat menambahkan atau menghapus grup keamanan dari daftar grup keamanan terkait. Saat Anda mengaitkan beberapa grup keamanan dengan instans, aturan-aturan dari masing-masing grup keamanan akan digabungkan secara efektif untuk membuat satu set aturan. Amazon EC2 menggunakan seperangkat aturan ini untuk menentukan apakah akan mengizinkan lalu lintas.

**Persyaratan**
+ Instans harus berada dalam status `running` atau `stopped`.

------
#### [ Console ]

**Untuk mengubah grup keamanan instans**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Di panel navigasi, pilih **Instans**.

1. Pilih instans Anda, dan kemudian pilih **Actions** (Tindakan), **Security** (Keamanan), **Change security groups** (Ubah grup keamanan).

1. Untuk **Grup keamanan terkait**, pilih grup keamanan dari daftar dan pilih **Add security group** (Tambahkan grup keamanan).

   Untuk menghapus grup keamanan yang sudah dikaitkan, pilih **Remove** (Hapus) untuk grup keamanan itu.

1. Pilih **Save** (Simpan).

------
#### [ AWS CLI ]

**Untuk mengubah grup keamanan instans**  
Gunakan perintah berikut [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html).

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Untuk mengubah grup keamanan instans**  
Gunakan [Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html)cmdlet.

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## Mengonfigurasi aturan grup keamanan
<a name="add-remove-security-group-rules"></a>

Setelah membuat grup keamanan, Anda dapat menambahkan, memperbarui, dan menghapus aturan grup keamanannya. Saat Anda menambahkan, memperbarui, atau menghapus aturan, perubahan secara otomatis diterapkan ke sumber daya yang terkait dengan grup keamanan.

Untuk contoh aturan yang dapat Anda tambahkan ke grup keamanan, lihat[Aturan-aturan grup keamanan untuk kasus penggunaan yang berbeda](security-group-rules-reference.md).

**Izin yang diperlukan**  
Sebelum memulai, pastikan Anda memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat [Contoh: Cara menggunakan grup keamanan](iam-policies-ec2-console.md#ex-security-groups).

**Protokol dan port**
+ Dengan konsol, ketika Anda memilih jenis yang telah ditentukan, **Protokol** dan **rentang Port** ditentukan untuk Anda. Untuk memasukkan rentang port, Anda harus memilih salah satu dari jenis kustom berikut: **TCP Kustom** atau **UDP Kustom**.
+ Dengan itu AWS CLI, Anda dapat menambahkan satu aturan dengan satu port menggunakan `--port` opsi `--protocol` dan. Untuk menambahkan beberapa aturan, atau aturan dengan rentang port, gunakan `--ip-permissions` opsi sebagai gantinya.

**Sumber dan tujuan**
+ Dengan konsol, Anda dapat menentukan yang berikut ini sebagai sumber untuk aturan masuk atau tujuan untuk aturan keluar:
  + **Kustom** — Blok IPv4 CIDR, blok IPv6 CIDR, grup keamanan, atau daftar awalan.
  + **Di mana saja- IPv4** - Blok CIDR 0.0.0.0/0 IPv4 .
  + **Di mana saja- IPv6** - Blok IPv6 CIDR: :/0.
  + **IP saya** — IPv4 Alamat publik komputer lokal Anda.
+ Dengan AWS CLI, Anda dapat menentukan blok IPv4 CIDR menggunakan `--cidr` opsi atau grup keamanan menggunakan `--source-group` opsi. Untuk menentukan daftar awalan atau blok IPv6 CIDR, gunakan opsi. `--ip-permissions`

**Awas**  
Jika Anda menambahkan aturan masuk untuk port 22 (SSH) atau 3389 (RDP), kami sangat menyarankan agar Anda hanya mengotorisasi alamat IP tertentu atau rentang alamat yang memerlukan akses ke instans Anda. Jika Anda memilih **Anywhere- IPv4**, Anda mengizinkan lalu lintas dari semua IPv4 alamat untuk mengakses instans Anda menggunakan protokol yang ditentukan. Jika Anda memilih **Anywhere- IPv6**, Anda mengizinkan lalu lintas dari semua IPv6 alamat untuk mengakses instans Anda menggunakan protokol yang ditentukan.

------
#### [ Console ]

**Mengonfigurasi aturan grup keamanan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Pada panel navigasi, pilih **Security Groups** (Grup Keamanan).

1. Pilih grup keamanan.

1. Untuk mengedit aturan masuk, pilih **Edit aturan masuk** dari **Tindakan** atau tab Aturan **masuk**.

   1. Untuk menambahkan aturan, pilih **Tambahkan aturan** dan masukkan jenis, protokol, port, dan sumber untuk aturan tersebut.

      Jika jenisnya adalah TCP atau UDP, Anda harus memasukkan rentang port untuk mengizinkan. Untuk ICMP kustom, Anda harus memilih jenis ICMP dari **Protokol**, dan, jika memungkinkan, nama kode dari **Rentang port**. Untuk jenis lainnya, protokol dan rentang port akan dikonfigurasikan untuk Anda.

   1. Untuk memperbarui aturan, ubah protokol, deskripsi, dan sumbernya sesuai kebutuhan. Namun, Anda tidak dapat mengubah jenis sumber. Misalnya, jika sumbernya adalah blok IPv4 CIDR, Anda tidak dapat menentukan blok IPv6 CIDR, daftar awalan, atau grup keamanan.

   1. Untuk menghapus aturan, pilih tombol **Hapus**.

1. Untuk mengedit aturan keluar, pilih **Edit aturan keluar** dari **Tindakan** atau tab Aturan **keluar**.

   1. Untuk menambahkan aturan, pilih **Tambahkan aturan** dan masukkan jenis, protokol, port, dan tujuan untuk aturan tersebut. Anda juga dapat memasukkan deskripsi opsional.

      Jika jenisnya adalah TCP atau UDP, Anda harus memasukkan rentang port untuk mengizinkan. Untuk ICMP kustom, Anda harus memilih jenis ICMP dari **Protokol**, dan, jika memungkinkan, nama kode dari **Rentang port**. Untuk jenis lainnya, protokol dan rentang port akan dikonfigurasikan untuk Anda.

   1. Untuk memperbarui aturan, ubah protokol, deskripsi, dan sumbernya sesuai kebutuhan. Namun, Anda tidak dapat mengubah jenis sumber. Misalnya, jika sumbernya adalah blok IPv4 CIDR, Anda tidak dapat menentukan blok IPv6 CIDR, daftar awalan, atau grup keamanan.

   1. Untuk menghapus aturan, pilih tombol **Hapus**.

1. Pilih **Simpan aturan**.

------
#### [ AWS CLI ]

**Untuk menambahkan aturan grup keamanan**  
Gunakan [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)perintah untuk menambahkan aturan masuk. Contoh berikut memungkinkan lalu lintas SSH masuk dari blok CIDR dalam daftar awalan yang ditentukan.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

Gunakan [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)perintah untuk menambahkan aturan keluar. Contoh berikut memungkinkan lalu lintas TCP keluar pada port 80 ke instance dengan grup keamanan yang ditentukan.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**Untuk menghapus aturan grup keamanan**  
Gunakan [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)perintah berikut untuk menghapus aturan masuk.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

Gunakan [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)perintah berikut untuk menghapus aturan keluar.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**Untuk mengubah aturan grup keamanan**  
Gunakan perintah [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html). Contoh berikut mengubah blok IPv4 CIDR dari aturan grup keamanan yang ditentukan.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**Untuk menambahkan aturan grup keamanan**  
Gunakan [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html)cmdlet untuk menambahkan aturan masuk. Contoh berikut memungkinkan lalu lintas SSH masuk dari blok CIDR dalam daftar awalan yang ditentukan.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

Gunakan [Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html)cmdlet untuk menambahkan aturan keluar. Contoh berikut memungkinkan lalu lintas TCP keluar pada port 80 ke instance dengan grup keamanan yang ditentukan.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**Untuk menghapus aturan grup keamanan**  
Gunakan [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html)cmdlet untuk menghapus aturan masuk.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

Gunakan [Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html)cmdlet untuk menghapus aturan keluar.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**Untuk mengubah aturan grup keamanan**  
Gunakan [Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html)cmdlet. Contoh berikut mengubah blok IPv4 CIDR dari aturan grup keamanan yang ditentukan.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------

# Hapus grup keamanan Amazon EC2
<a name="deleting-security-group"></a>

Setelah selesai dengan grup keamanan yang Anda buat untuk digunakan dengan instans Amazon EC2, Anda dapat menghapusnya.

**Persyaratan**
+ Grup keamanan tidak dapat dikaitkan dengan instance atau antarmuka jaringan.
+ Grup keamanan tidak dapat direferensikan oleh aturan di grup keamanan lain.

------
#### [ Console ]

**Cara menghapus grup keamanan**

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. (Opsional) Untuk memverifikasi bahwa grup keamanan Anda tidak terkait dengan instans, lakukan hal berikut:

   1. Pada panel navigasi, pilih **Grup Keamanan**.

   1. Salin ID grup keamanan untuk dihapus.

   1. Di panel navigasi, pilih **Instans**.

   1. Di bilah pencarian, tambahkan **Grup keamanan IDs sama dengan** filter dan tempel ID grup keamanan. Jika tidak ada hasil, maka grup keamanan tidak terkait dengan instance. Jika tidak, Anda harus memisahkan grup keamanan sebelum Anda dapat menghapusnya.

1. Pada panel navigasi, pilih **Grup Keamanan**.

1. Pilih grup keamanan lalu pilih **Tindakan**, **Hapus Grup Keamanan**.

1. Jika Anda memilih lebih dari satu grup keamanan, Anda akan diminta untuk konfirmasi. Jika beberapa grup keamanan tidak dapat dihapus, kami menampilkan status setiap grup keamanan, yang menunjukkan apakah itu akan dihapus. **Untuk mengonfirmasi penghapusan, masukkan Hapus.**

1. Pilih **Hapus**.

------
#### [ AWS CLI ]

**Cara menghapus grup keamanan**  
Gunakan perintah berikut [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

```
aws ec2 delete-security-group --group-id sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**Cara menghapus grup keamanan**  
Gunakan [Remove-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html)cmdlet.

```
Remove-EC2SecurityGroup -GroupId sg-1234567890abcdef0
```

------

# Pelacakan koneksi grup keamanan Amazon EC2
<a name="security-group-connection-tracking"></a>

Grup keamanan Anda menggunakan pelacakan koneksi untuk melacak informasi tentang lalu lintas ke dan dari instans. Aturan-aturan diterapkan berdasarkan status koneksi lalu lintas untuk menentukan apakah lalu lintas diizinkan atau ditolak. Dengan pendekatan ini, grup keamanan berada dalam status stateful. Artinya tanggapan-tanggapan terhadap lalu lintas ke dalam diizinkan mengalir ke luar dari instans tanpa memedulikan aturan grup keamanan ke luar, dan sebaliknya.

Sebagai contoh, anggaplah bahwa Anda memulai perintah seperti netcat atau yang mirip dengan instans Anda dari komputer rumah Anda, dan aturan grup keamanan ke dalam Anda mengizinkan lalu lintas ICMP. Informasi tentang koneksi (termasuk informasi port) akan dilacak. Lalu lintas tanggapan dari instans untuk perintah tidak dilacak sebagai permintaan baru, tetapi sebagai koneksi yang telah terbentuk dan diizinkan untuk mengalir ke luar dari instans, meskipun aturan grup keamanan ke luar Anda membatasi lalu lintas ICMP ke luar.

Untuk protokol selain TCP, UDP, atau ICMP, hanya alamat IP dan nomor protokol saja yang dilacak. Jika instans Anda mengirimkan lalu lintas ke host lain, dan host tersebut mengirimkan jenis lalu lintas yang sama ke instans Anda dalam 600 detik, maka grup keamanan untuk instans Anda akan menerimanya terlepas dari aturan-aturan ke dalam grup keamanan tersebut. Grup keamanan tersebut menerimanya karena dianggap sebagai lalu lintas tanggapan untuk lalu lintas asli.

Ketika Anda mengubah aturan grup keamanan, koneksi-koneksi yang dilacak tidak akan langsung terputus. Grup keamanan akan tetap mengizinkan paket sampai koneksi yang ada waktunya habis. Untuk memastikan lalu lintas langsung terputus, atau bahwa semua lalu lintas tunduk pada aturan-aturan firewall tanpa memedulikan status pelacakan, Anda dapat menggunakan ACL jaringan untuk subnet Anda. Jaringan ACLs tidak memiliki kewarganegaraan dan oleh karena itu tidak secara otomatis mengizinkan lalu lintas respons. Menambahkan ACL jaringan yang memblokir lalu lintas di salah satu arah akan memutuskan koneksi yang ada. Untuk informasi selengkapnya, lihat [ ACLs Jaringan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) dalam *Panduan Pengguna Amazon VPC*.

**catatan**  
[Grup keamanan tidak berpengaruh pada lalu lintas DNS ke atau dari Route 53 Resolver, kadang-kadang disebut sebagai 'alamat IP VPC\$12 '(lihat Apa itu Amazon Route 53 Resolver?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) di *Panduan Pengembang Amazon Route 53*), atau 'AmazonProvidedDNS' (lihat [set opsi Bekerja dengan DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/DHCPOptionSet.html) di Panduan *Pengguna Amazon Virtual Private Cloud*). Jika Anda ingin memfilter permintaan DNS melalui Route 53 Resolver, Anda dapat mengaktifkan Firewall DNS Route 53 Resolver (lihat [Firewall DNS Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) di *Panduan Developer Amazon Route 53*).

## Koneksi-koneksi yang tidak dilacak
<a name="untracked-connections"></a>

Tidak semua aliran lalu lintas dilacak. [Jika aturan grup keamanan mengizinkan aliran TCP atau UDP untuk semua lalu lintas (0.0.0.0/0 atau: :/0) dan ada aturan yang sesuai di arah lain yang mengizinkan semua lalu lintas respons (0.0.0.0/0 atau: :/0) untuk port apa pun (0-65535), maka arus lalu lintas itu tidak dilacak, kecuali itu adalah bagian dari koneksi yang dilacak secara otomatis.](#automatic-tracking) Lalu lintas tanggapan untuk aliran yang tidak dilacak akan diizinkan berdasarkan aturan-aturan ke dalam atau ke luar yang mengizinkan lalu lintas tanggapan, bukan berdasarkan informasi pelacakan.

Aliran lalu lintas yang tidak dilacak akan langsung diputus jika aturan yang memungkinkan aliran dihapus atau dimodifikasi. Sebagai contoh, jika Anda memiliki aturan ke luar (0.0.0.0/0) yang terbuka dan Anda menghapus aturan yang mengizinkan semua lalu lintas SSH ke dalam (0.0.0.0/0) (port TCP 22) ke instans (atau memodifikasinya sehingga koneksi tidak diizinkan lagi), maka koneksi SSH yang sudah ada pada instans tersebut akan langsung dibuang. Koneksi tersebut sebelumnya tidak dilacak, sehingga perubahan yang diterapkan akan memutus koneksi itu. Di sisi lain, jika Anda memiliki aturan ke dalam yang lebih sempit yang dari awal mengizinkan koneksi SSH (artinya koneksi dilacak), tetapi kemudian Anda mengubah aturan tersebut sehingga tidak lagi mengizinkan koneksi baru dari alamat klien SSH saat ini, maka koneksi SSH yang sudah ada tidak akan terputus karena koneksi itu sudah dilacak.

## Koneksi-koneksi yang dilacak secara otomatis
<a name="automatic-tracking"></a>

Koneksi yang dilakukan melalui berikut ini secara otomatis dilacak, bahkan jika konfigurasi grup keamanan tidak memerlukan pelacakan:
+ Gateway internet khusus egress
+ Akselerator Global Accelerator
+ Gateway NAT
+ Titik akhir firewall Network Firewall
+ Penyeimbang Beban Jaringan
+ AWS PrivateLink (antarmuka titik akhir VPC)
+ AWS Lambda (Antarmuka jaringan elastis hyperplane)
+ Titik akhir gateway DynamoDB - Setiap koneksi ke DynamoDB mengkonsumsi 2 entri conntrack.

## Tunjangan pelacakan koneksi
<a name="connection-tracking-throttling"></a>

Amazon EC2 menetapkan jumlah maksimum koneksi yang dapat dilacak untuk setiap instans. Setelah jumlah maksimum tercapai, setiap paket yang dikirim atau diterima akan dihapus karena koneksi baru tidak dapat dibuat. Ketika ini terjadi, aplikasi-aplikasi yang mengirim dan menerima paket tidak akan dapat berkomunikasi dengan semestinya. Gunakan metrik performa jaringan `conntrack_allowance_available` untuk menentukan jumlah koneksi yang dilacak yang masih tersedia untuk tipe instans tersebut.

Untuk menentukan apakah paket sudah dihapus karena lalu lintas jaringan untuk instans Anda melebihi jumlah maksimum koneksi yang dapat dilacak, gunakan metrik performa jaringan `conntrack_allowance_exceeded`. Untuk informasi selengkapnya, lihat [Pantau kinerja jaringan untuk pengaturan ENA pada instans EC2 Anda](monitoring-network-performance-ena.md).

Dengan Penyeimbangan Beban Elastis, jika Anda melebihi jumlah maksimum koneksi yang dapat dilacak untuk setiap instans, kami merekomendasikan agar Anda menskalakan jumlah instans yang terdaftar dengan penyeimbang beban atau ukuran instans yang terdaftar dengan penyeimbang beban.

## Praktik terbaik pelacakan koneksi
<a name="connection-tracking-performance"></a>

Perutean asimetris, di mana lalu lintas masuk ke sebuah instance melalui satu antarmuka jaringan dan pergi melalui antarmuka jaringan yang berbeda, dapat mengurangi kinerja puncak yang dapat dicapai oleh instans jika arus dilacak.

Untuk mempertahankan kinerja puncak dan mengoptimalkan manajemen koneksi saat pelacakan koneksi diaktifkan untuk grup keamanan Anda, kami merekomendasikan konfigurasi berikut:
+ Hindari topologi routing asimetris, jika memungkinkan.
+ Alih-alih menggunakan grup keamanan untuk pemfilteran, gunakan jaringan ACLs.
+ Jika Anda harus menggunakan grup keamanan dengan pelacakan koneksi, konfigurasikan batas waktu pelacakan koneksi idle sesingkat mungkin. Untuk detail selengkapnya tentang batas waktu pelacakan koneksi idle, lihat bagian berikut.
+ Dengan batas waktu default yang lebih pendek pada instans Nitrov6, aplikasi dengan koneksi berumur panjang (seperti kumpulan koneksi database, koneksi HTTP persisten, atau beban kerja streaming) harus mengonfigurasi nilai yang sesuai saat peluncuran instance. `TcpEstablishedTimeout`
+ Untuk koneksi yang berumur panjang, konfigurasikan TCP keep alives untuk dikirim pada interval kurang dari 5 menit untuk memastikan koneksi tetap terbuka dan mempertahankan status terlacaknya. Ini membantu mencegah koneksi terputus karena batas waktu idle dan mengurangi overhead pembentukan kembali koneksi.

Untuk informasi lebih lanjut tentang penyetelan kinerja pada sistem Nitro, lihat. [Pertimbangan sistem nitro untuk penyetelan kinerja](ena-nitro-perf.md)

## Waktu habis pelacakan koneksi idle
<a name="connection-tracking-timeouts"></a>

Grup keamanan melacak setiap koneksi yang dibuat untuk memastikan bahwa paket yang kembali dikirim seperti yang diharapkan. Ada jumlah maksimum koneksi yang dapat dilacak per instans. Koneksi yang tetap dalam keadaan idle dapat menyebabkan terbebaninya pelacakan koneksi dan menyebabkan koneksi tidak dilacak dan paket terputus. Anda sekarang dapat mengatur batas waktu untuk pelacakan koneksi pada antarmuka jaringan Elastis.

**catatan**  
Fitur ini hanya tersedia dengan [instance berbasis Nitro](instance-types.md#instance-hypervisor-type). Anda harus menguji aplikasi Anda pada instance pembuatan Nitrov6 dengan batas waktu pelacakan koneksi default `350` kedua yang dikurangi sebelum menerapkan ke produksi.

Ada tiga batas waktu yang dapat dikonfigurasi:
+ **TCP menetapkan batas waktu**: Batas waktu (dalam detik) untuk koneksi TCP idle dalam keadaan mapan.
  + Min: `60` detik
  + Maks: `432000` detik
  + Default: `350` detik untuk jenis instans [Nitrov6](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), tidak termasuk P6e-. GB200 Dan `432000` detik untuk jenis contoh lainnya, termasuk P6e-. GB200
  + Direkomendasikan: Kurang dari `432000` detik
+ **Batas waktu UDP**: Batas waktu (dalam detik) untuk alur UDP idle yang telah melihat lalu lintas hanya dalam satu arah atau transaksi permintaan-respons tunggal.
  + Min: `30` detik
  + Maks: `60` detik
  + Default: `30` detik
+ **Batas waktu aliran UDP**: Batas waktu (dalam detik) untuk alur UDP idle yang diklasifikasikan sebagai alur yang telah melihat lebih dari satu transaksi permintaan-respons.
  + Min: `60` detik
  + Maks: `180` detik
  + Default: `180` detik

Anda mungkin ingin memodifikasi batas waktu default untuk salah satu kasus berikut:
+  Jika Anda [memantau koneksi yang dilacak menggunakan metrik performa jaringan Amazon EC2](monitoring-network-performance-ena.md), metrik *conntrack\$1allowance\$1exceeded* dan *conntrack\$1allowance\$1available* memungkinkan Anda memantau paket yang terputus dan pemanfaatan koneksi yang dilacak untuk secara proaktif mengelola kapasitas instans EC2 dengan tindakan peningkatatan atau penurunan skala untuk membantu memenuhi permintaan koneksi jaringan sebelum memutuskan paket. Jika Anda mengamati penurunan *conntrack\$1allowance\$1exceeded* pada instans EC2 Anda, Anda dapat memperoleh manfaat dari menyetel batas waktu yang ditetapkan TCP yang lebih rendah untuk memperhitungkan sesi basi yang dihasilkan dari klien yang tidak tepat atau kotak tengah jaringan. TCP/UDP 
+ Biasanya, penyeimbang beban atau firewall memiliki batas waktu idle yang Ditetapkan TCP dalam kisaran 60 hingga 90 menit. Jika Anda menjalankan beban kerja yang diharapkan akan menangani jumlah koneksi yang sangat banyak (lebih dari 100k) dari peralatan seperti firewall jaringan, Anda disarankan untuk mengonfigurasi batas waktu yang sama pada antarmuka jaringan EC2.
+ Jika Anda menjalankan beban kerja yang menggunakan topologi perutean asimetris, kami sarankan Anda mengonfigurasi batas waktu idle yang ditetapkan TCP selama 60 detik.
+ Jika Anda menjalankan beban kerja dengan jumlah koneksi yang tinggi seperti DNS, SIP, SNMP, Syslog, Radius, dan layanan lain yang terutama menggunakan UDP untuk melayani permintaan, pengaturan batas waktu 'UDP-stream' ke 60-an memberikan lebih tinggi scale/performance untuk kapasitas yang ada dan untuk mencegah kegagalan abu-abu.
+ Untuk TCP/UDP koneksi melalui Network Load Balancers, semua koneksi dilacak. Nilai batas waktu idle untuk aliran TCP adalah 350 detik dan aliran UDP adalah 120 detik, serta bervariasi dari nilai batas waktu tingkat antarmuka. Anda mungkin ingin mengonfigurasi batas waktu di tingkat antarmuka jaringan untuk memungkinkan lebih banyak fleksibilitas untuk batas waktu daripada default untuk penyeimbang beban.

Anda memiliki opsi untuk mengonfigurasi batas waktu pelacakan koneksi saat Anda melakukan hal berikut:
+ [Membuat antarmuka jaringan](create-network-interface.md)
+ [Memodifikasi atribut antarmuka jaringan](modify-network-interface-attributes.md)
+ [Meluncurkan instans EC2](ec2-instance-launch-parameters.md#liw-network-settings)
+ [Buat templat peluncuran instans EC2](ec2-instance-launch-parameters.md#liw-network-settings)

## Contoh
<a name="connection-tracking-example"></a>

Dalam contoh berikut, grup keamanan memiliki aturan ke dalam yang mengizinkan lalu lintas TCP dan ICMP, dan aturan ke luar yang mengizinkan semua lalu lintas ke luar.


**Ke dalam**  

| Tipe protokol | Nomor port | Sumber | 
| --- | --- | --- | 
| TCP  | 22 (SSH) | 203.0.113.1/32 | 
| TCP  | 80 (HTTP) | 0.0.0.0/0 | 
| TCP  | 80 (HTTP) | ::/0 | 
| ICMP | Semua | 0.0.0.0/0 | 


**Ke luar**  

| Tipe protokol | Nomor port | Destinasi | 
| --- | --- | --- | 
| Semua | Semua | 0.0.0.0/0 | 
| Semua | Semua | ::/0 | 

Dengan koneksi jaringan langsung ke instans atau antarmuka jaringan, perilaku pelacakannya adalah sebagai berikut:
+ Lalu lintas TCP ke dalam dan ke luar pada port 22 (SSH) akan dilacak, karena aturan ke dalam hanya mengizinkan lalu lintas dari 203.0.113.1/32 saja, dan bukan semua alamat IP (0.0.0.0/0).
+ Lalu lintas TCP ke dalam dan ke luar pada port 80 (HTTP) tidak akan dilacak, karena aturan ke dalam dan ke luar mengizinkan lalu lintas dari semua alamat IP.
+ Lalu lintas ICMP selalu dilacak.

Jika Anda menghapus aturan keluar untuk IPv4 lalu lintas, semua lalu lintas masuk dan keluar dilacak, termasuk IPv4 lalu lintas pada port 80 (HTTP). Hal yang sama berlaku untuk IPv6 lalu lintas jika Anda menghapus aturan keluar untuk IPv6 lalu lintas.

# Aturan-aturan grup keamanan untuk kasus penggunaan yang berbeda
<a name="security-group-rules-reference"></a>

Anda dapat membuat grup keamanan dan menambahkan aturan-aturan yang mencerminkan peran dari instans yang dikaitkan dengan grup keamanan tersebut. Sebagai contoh, instans yang dikonfigurasi sebagai server web akan membutuhkan aturan-aturan grup keamanan yang mengizinkan akses HTTP dan HTTPS ke dalam. Demikian juga, instans basis data akan membutuhkan aturan-aturan yang mengizinkan akses untuk jenis basis data, seperti akses melalui port 3306 untuk MySQL.

Berikut ini adalah contoh jenis aturan yang dapat Anda tambahkan ke grup keamanan untuk jenis akses tertentu.

**Topics**
+ [

## Aturan-aturan server web
](#sg-rules-web-server)
+ [

## Aturan-aturan server basis data
](#sg-rules-db-server)
+ [

## Aturan-aturan untuk terhubung ke instans dari komputer Anda
](#sg-rules-local-access)
+ [

## Aturan-aturan untuk terhubung ke instans-instans dari instans dengan grup keamanan yang sama
](#sg-rules-other-instances)
+ [

## Aturan-aturan untuk melakukan ping/ICMP
](#sg-rules-ping)
+ [

## Aturan-aturan server DNS
](#sg-rules-dns)
+ [

## Aturan-aturan Amazon EFS
](#sg-rules-efs)
+ [

## Aturan-aturan Penyeimbangan Beban Elastis
](#sg-rules-elb)

Lihat petunjuknya di [Membuat grup keamanan](creating-security-group.md) dan [Mengonfigurasi aturan grup keamanan](changing-security-group.md#add-remove-security-group-rules).

## Aturan-aturan server web
<a name="sg-rules-web-server"></a>

Aturan-aturan ke dalam berikut mengizinkan akses HTTP dan HTTPS dari alamat IP mana pun. Jika VPC diaktifkan IPv6, Anda dapat menambahkan aturan untuk mengontrol lalu lintas HTTP dan HTTPS masuk dari alamat. IPv6 


| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Memungkinkan akses HTTP masuk dari alamat apa pun IPv4  | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Memungkinkan akses HTTPS masuk dari alamat apa pun IPv4  | 
| TCP | 6 | 80 (HTTP) | ::/0 | Memungkinkan akses HTTP ke dalam dari alamat IPv6 apa pun | 
| TCP | 6 | 443 (HTTPS) | ::/0 | Memungkinkan akses HTTPS ke dalam dari alamat IPv6 apa pun | 

## Aturan-aturan server basis data
<a name="sg-rules-db-server"></a>

Aturan-aturan ke dalam berikut adalah contoh aturan yang dapat Anda tambahkan untuk akses basis data, tergantung dari jenis basis data apa yang Anda jalankan pada instans Anda. Untuk informasi selengkapnya tentang instans Amazon RDS, lihat [Panduan Pengguna Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/).

Untuk IP sumber, pilih salah satu hal berikut:
+  alamat IP atau rentang alamat IP tertentu (dalam notasi blok CIDR) dalam jaringan lokal Anda
+  ID grup keamanan untuk sekelompok instans yang mengakses basis data


| Tipe protokol | Nomor protokol | Port | Catatan | 
| --- | --- | --- | --- | 
| TCP | 6 | 1433 (MS SQL) | Port default untuk mengakses basis data Microsoft SQL Server, contohnya, pada instans Amazon RDS | 
| TCP | 6 | 3306 (MYSQL/Aurora) | Port default untuk mengakses basis data MySQL atau Aurora, contohnya, pada instans Amazon RDS | 
| TCP | 6 | 5439 (Redshift) | Port default untuk mengakses basis data klaster Amazon Redshift. | 
| TCP | 6 | 5432 (PostgreSQL) | Port default untuk mengakses basis data PostgreSQL, contohnya, pada instans Amazon RDS | 
| TCP | 6 | 1521 (Oracle) | Port default untuk mengakses basis data Oracle, contohnya, pada instans Amazon RDS | 

Opsional, Anda dapat membatasi lalu lintas ke luar dari server basis data Anda. Sebagai contoh, mungkin Anda ingin mengizinkan akses ke internet untuk pembaruan perangkat lunak, tetapi membatasi semua jenis lalu lintas lainnya. Anda harus terlebih dahulu menghapus aturan ke luar default yang mengizinkan semua lalu lintas ke luar.


| Tipe protokol | Nomor protokol | Port | IP Tujuan | Catatan | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Memungkinkan akses HTTP keluar ke alamat apa pun IPv4  | 
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Memungkinkan akses HTTPS keluar ke alamat apa pun IPv4  | 
| TCP | 6 | 80 (HTTP) | ::/0 | (Hanya VPC yang IPv6 diaktifkan) Memungkinkan akses HTTP keluar ke alamat apa pun IPv6  | 
| TCP | 6 | 443 (HTTPS) | ::/0 | (Hanya VPC yang IPv6 diaktifkan) Memungkinkan akses HTTPS keluar ke alamat apa pun IPv6  | 

## Aturan-aturan untuk terhubung ke instans dari komputer Anda
<a name="sg-rules-local-access"></a>

Untuk terhubung ke instans Anda, grup keamanan Anda harus memiliki aturan-aturan ke dalam yang mengizinkan akses SSH (untuk instans Linux) atau akses RDP (untuk instans Windows).


| Tipe protokol | Nomor protokol | Port | IP sumber | 
| --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) |  IPv4 Alamat publik komputer Anda, atau berbagai alamat IP di jaringan lokal Anda. Jika VPC Anda diaktifkan IPv6 dan instans Anda memiliki IPv6 alamat, Anda dapat memasukkan IPv6 alamat atau rentang. | 
| TCP | 6 | 3389 (RDP) |  IPv4 Alamat publik komputer Anda, atau berbagai alamat IP di jaringan lokal Anda. Jika VPC Anda diaktifkan IPv6 dan instans Anda memiliki IPv6 alamat, Anda dapat memasukkan IPv6 alamat atau rentang. | 

## Aturan-aturan untuk terhubung ke instans-instans dari instans dengan grup keamanan yang sama
<a name="sg-rules-other-instances"></a>

Untuk mengizinkan instans yang dikaitkan dengan grup keamanan yang sama untuk saling berkomunikasi satu sama lain, Anda harus secara eksplisit menambahkan aturan untuk hal ini. 

**catatan**  
Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instans harus mereferensikan alamat IP privat instans lain, atau rentang CIDR dari subnet yang berisi instans yang lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

Tabel berikut ini menjelaskan aturan ke dalam untuk grup keamanan yang memungkinkan instans yang dikaitkan untuk saling berkomunikasi satu sama lain. Aturan ini mengizinkan semua jenis lalu lintas.


| Tipe protokol | Nomor protokol | Port | IP sumber | 
| --- | --- | --- | --- | 
| -1 (Semua) | -1 (Semua) | -1 (Semua) | ID grup keamanan, atau rentang CIDR dari subnet yang berisi instans lainnya (lihat catatan). | 

## Aturan-aturan untuk melakukan ping/ICMP
<a name="sg-rules-ping"></a>

Perintah **ping** merupakan jenis lalu lintas ICMP. Untuk melakukan ping pada instans Anda, Anda harus menambahkan aturan ICMP ke dalam berikut ini.


| Tipe | Protokol | Sumber | 
| --- | --- | --- | 
| Kustom ICMP - IPv4 | Permintaan Echo |  IPv4 Alamat publik komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. | 
| Semua ICMP - IPv4 | IPv4 ICMP (1) |  IPv4 Alamat publik komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. | 

Untuk menggunakan **ping6** perintah untuk melakukan ping ke IPv6 alamat untuk instance Anda, Anda harus menambahkan ICMPv6 aturan masuk berikut.


| Tipe | Protokol | Sumber | 
| --- | --- | --- | 
| Semua ICMP - IPv6 | IPv6 ICMP (58) |  IPv6 Alamat komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. | 

## Aturan-aturan server DNS
<a name="sg-rules-dns"></a>

Jika Anda telah mengatur instans EC2 Anda sebagai server DNS, maka Anda harus memastikan bahwa lalu lintas TCP dan UDP dapat menjangkau server DNS Anda melalui port 53. 

Untuk IP sumber, pilih salah satu hal berikut:
+  alamat IP atau rentang alamat IP (dalam notasi blok CIDR) di jaringan
+ ID dari grup keamanan untuk serangkaian instans dalam jaringan Anda yang membutuhkan akses ke server DNS


| Tipe protokol | Nomor protokol | Port | 
| --- | --- | --- | 
| TCP | 6 | 53 | 
| UDP | 17 | 53 | 

## Aturan-aturan Amazon EFS
<a name="sg-rules-efs"></a>

Jika Anda menggunakan sistem file Amazon EFS dengan instans Amazon EC2 Anda, maka grup keamanan yang Anda kaitkan dengan target pengaitan Amazon EFS Anda harus mengizinkan lalu lintas melalui protokol NFS. 


| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 2049 (NFS) | ID dari grup keamanan | Mengizinkan akses NFS ke dalam dari sumber daya (termasuk target pengaitan) yang dikaitkan dengan grup keamanan ini | 

Untuk mengaitkan sistem file Amazon EFS pada instans Amazon EC2 Anda, Anda harus terhubung ke instans Anda. Oleh karena itu, grup keamanan yang dikaitkan dengan instans Anda harus memiliki aturan-aturan yang mengizinkan SSH ke dalam dari komputer lokal atau jaringan lokal Anda.


| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 22 (SSH) | Rentang alamat IP dari komputer lokal Anda, atau rentang alamat IP (dalam notasi blok CIDR) untuk jaringan Anda. | Mengizinkan akses SSH ke dalam dari komputer lokal Anda. | 

## Aturan-aturan Penyeimbangan Beban Elastis
<a name="sg-rules-elb"></a>

Jika Anda mendaftarkan instans EC2 Anda dengan penyeimbang beban, grup keamanan yang terkait dengan penyeimbang beban Anda harus mengizinkan komunikasi dengan instans. Untuk informasi selengkapnya, lihat berikut ini dalam dokumentasi Elastic Load Balancing.
+ [Grup keamanan untuk Application Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
+ [Grup keamanan untuk Network Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html)
+ [Konfigurasikan grup keamanan untuk Classic Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-security-groups.html)