Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Aturan-aturan grup keamanan untuk kasus penggunaan yang berbeda
Anda dapat membuat grup keamanan dan menambahkan aturan-aturan yang mencerminkan peran dari instans yang dikaitkan dengan grup keamanan tersebut. Misalnya, instance yang dikonfigurasi sebagai server web memerlukan aturan grup keamanan yang memungkinkan masuk HTTP dan HTTPS akses. Demikian juga, instance database membutuhkan aturan yang memungkinkan akses untuk jenis database, seperti akses melalui port 3306 untuk My. SQL
Berikut ini adalah contoh jenis aturan yang dapat Anda tambahkan ke grup keamanan untuk jenis akses tertentu.
Contoh
- Aturan-aturan server web
- Aturan-aturan server basis data
- Aturan-aturan untuk terhubung ke instans dari komputer Anda
- Aturan-aturan untuk terhubung ke instans-instans dari instans dengan grup keamanan yang sama
- Aturan untuk ping/ICMP
- DNSaturan server
- EFSAturan Amazon
- Aturan-aturan Penyeimbangan Beban Elastis
Aturan-aturan server web
Aturan masuk berikut memungkinkan HTTP dan HTTPS mengakses dari alamat IP apa pun. Jika VPC diaktifkanIPv6, Anda dapat menambahkan aturan untuk mengontrol masuk HTTP dan HTTPS lalu lintas dari IPv6 alamat.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Memungkinkan HTTP akses masuk dari alamat manapun IPv4 |
| TCP | 6 | 443 () HTTPS | 0.0.0.0/0 | Memungkinkan HTTPS akses masuk dari alamat manapun IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | Memungkinkan HTTP akses masuk dari alamat manapun IPv6 |
| TCP | 6 | 443 () HTTPS | ::/0 | Memungkinkan HTTPS akses masuk dari alamat manapun IPv6 |
Aturan-aturan server basis data
Aturan-aturan ke dalam berikut adalah contoh aturan yang dapat Anda tambahkan untuk akses basis data, tergantung dari jenis basis data apa yang Anda jalankan pada instans Anda. Untuk informasi selengkapnya tentang RDS instans Amazon, lihat Panduan RDS Pengguna Amazon.
Untuk IP sumber, pilih salah satu hal berikut:
-
Alamat IP tertentu atau rentang alamat IP (dalam notasi CIDR blok) di jaringan lokal Anda
-
ID grup keamanan untuk sekelompok instans yang mengakses basis data
| Tipe protokol | Nomor protokol | Port | Catatan |
|---|---|---|---|
| TCP | 6 | 1433 (MSSQL) | Port default untuk mengakses database Microsoft SQL Server, misalnya, pada RDS instans Amazon |
| TCP | 6 | 3306 (/Aurora) MYSQL | Port default untuk mengakses database Saya SQL atau Aurora, misalnya, pada instans Amazon RDS |
| TCP | 6 | 5439 (Redshift) | Port default untuk mengakses basis data klaster Amazon Redshift. |
| TCP | 6 | 5432 (SQLPostgre) | Port default untuk mengakses SQL database Postgre, misalnya, pada instance Amazon RDS |
| TCP | 6 | 1521 (Oracle) | Port default untuk mengakses database Oracle, misalnya, pada instance Amazon RDS |
Opsional, Anda dapat membatasi lalu lintas ke luar dari server basis data Anda. Sebagai contoh, mungkin Anda ingin mengizinkan akses ke internet untuk pembaruan perangkat lunak, tetapi membatasi semua jenis lalu lintas lainnya. Anda harus terlebih dahulu menghapus aturan ke luar default yang mengizinkan semua lalu lintas ke luar.
| Tipe protokol | Nomor protokol | Port | IP Tujuan | Catatan |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Memungkinkan HTTP akses keluar ke alamat apa pun IPv4 |
| TCP | 6 | 443 () HTTPS | 0.0.0.0/0 | Memungkinkan HTTPS akses keluar ke alamat apa pun IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | (IPv6-diaktifkan VPC saja) Memungkinkan HTTP akses keluar ke alamat apa pun IPv6 |
| TCP | 6 | 443 () HTTPS | ::/0 | (IPv6-diaktifkan VPC saja) Memungkinkan HTTPS akses keluar ke alamat apa pun IPv6 |
Aturan-aturan untuk terhubung ke instans dari komputer Anda
Untuk terhubung ke instans Anda, grup keamanan Anda harus memiliki aturan masuk yang mengizinkan SSH akses (untuk instance Linux) atau RDP akses (untuk instance Windows).
| Tipe protokol | Nomor protokol | Port | IP sumber |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | IPv4Alamat publik komputer Anda, atau berbagai alamat IP di jaringan lokal Anda. Jika Anda VPC diaktifkan untuk IPv6 dan instans Anda memiliki IPv6 alamat, Anda dapat memasukkan IPv6 alamat atau rentang. |
| TCP | 6 | 3389 () RDP | IPv4Alamat publik komputer Anda, atau berbagai alamat IP di jaringan lokal Anda. Jika Anda VPC diaktifkan untuk IPv6 dan instans Anda memiliki IPv6 alamat, Anda dapat memasukkan IPv6 alamat atau rentang. |
Aturan-aturan untuk terhubung ke instans-instans dari instans dengan grup keamanan yang sama
Untuk mengizinkan instans yang dikaitkan dengan grup keamanan yang sama untuk saling berkomunikasi satu sama lain, Anda harus secara eksplisit menambahkan aturan untuk hal ini.
catatan
Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instance harus mereferensikan alamat IP pribadi dari instance lain, atau CIDR rentang subnet yang berisi instance lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.
Tabel berikut ini menjelaskan aturan ke dalam untuk grup keamanan yang memungkinkan instans yang dikaitkan untuk saling berkomunikasi satu sama lain. Aturan ini mengizinkan semua jenis lalu lintas.
| Tipe protokol | Nomor protokol | Port | IP sumber |
|---|---|---|---|
| -1 (Semua) | -1 (Semua) | -1 (Semua) | ID grup keamanan, atau CIDR rentang subnet yang berisi instance lain (lihat catatan). |
Aturan untuk ping/ICMP
pingPerintah adalah jenis ICMP lalu lintas. Untuk melakukan ping ke instance Anda, Anda harus menambahkan salah satu ICMP aturan masuk berikut.
| Tipe | Protokol | Sumber |
|---|---|---|
| Kustom ICMP - IPv4 | Permintaan Echo | IPv4Alamat publik komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. |
| Semua ICMP - IPv4 | IPv4ICMP(1) | IPv4Alamat publik komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. |
Untuk menggunakan ping6 perintah untuk melakukan ping ke IPv6 alamat untuk instance Anda, Anda harus menambahkan ICMPv6 aturan masuk berikut.
| Tipe | Protokol | Sumber |
|---|---|---|
| Semua ICMP - IPv6 | IPv6ICMP(58) | IPv6Alamat komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. |
DNSaturan server
Jika Anda telah mengatur EC2 instance Anda sebagai DNS server, Anda harus memastikan bahwa TCP dan UDP lalu lintas dapat mencapai DNS server Anda melalui port 53.
Untuk IP sumber, pilih salah satu hal berikut:
-
Alamat IP atau rentang alamat IP (dalam notasi CIDR blok) dalam jaringan
-
ID grup keamanan untuk kumpulan instance di jaringan Anda yang memerlukan akses ke server DNS
| Tipe protokol | Nomor protokol | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
EFSAturan Amazon
Jika Anda menggunakan sistem EFS file Amazon dengan EC2 instans Amazon Anda, grup keamanan yang Anda kaitkan dengan target EFS pemasangan Amazon Anda harus mengizinkan lalu lintas melalui NFS protokol.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 2049 () NFS | ID dari grup keamanan | Mengizinkan NFS akses masuk dari sumber daya (termasuk target pemasangan) yang terkait dengan grup keamanan ini |
Untuk memasang sistem EFS file Amazon di EC2 instans Amazon Anda, Anda harus terhubung ke instans Anda. Oleh karena itu, grup keamanan yang terkait dengan instans Anda harus memiliki aturan yang memungkinkan masuk SSH dari komputer lokal atau jaringan lokal Anda.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | Rentang alamat IP komputer lokal Anda, atau rentang alamat IP (dalam notasi CIDR blok) untuk jaringan Anda. | Memungkinkan SSH akses masuk dari komputer lokal Anda. |
Aturan-aturan Penyeimbangan Beban Elastis
Jika Anda mendaftarkan EC2 instans Anda dengan penyeimbang beban, grup keamanan yang terkait dengan penyeimbang beban Anda harus mengizinkan komunikasi dengan instans. Untuk informasi selengkapnya, lihat berikut ini dalam dokumentasi Elastic Load Balancing.
