Aturan-aturan grup keamanan - Amazon Virtual Private Cloud
Dasar-dasar aturan grup keamananKomponen aturan grup keamananReferensi kelompok keamananUkuran grup keamananAturan grup keamanan yang kedaluwarsa

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aturan-aturan grup keamanan

Aturan grup keamanan mengontrol lalu lintas masuk yang diizinkan untuk mencapai sumber daya yang terkait dengan grup keamanan. Aturan-aturan tersebut juga mengontrol lalu lintas ke luar yang diperbolehkan untuk meninggalkannya.

Anda dapat menambahkan atau menghapus aturan untuk sebuah grup keamanan (juga disebut sebagai memberikan otorisasi atau mencabut akses masuk atau keluar). Suatu aturan berlaku baik untuk lalu lintas masuk (ingress) atau lalu lintas keluar (egress). Anda dapat memberikan akses ke sumber atau tujuan tertentu.

Dasar-dasar aturan grup keamanan

Berikut ini adalah karakteristik dari aturan-aturan grup keamanan:

  • Anda dapat menentukan untuk mengizinkan aturan, tetapi tidak menolak aturan.

  • Saat Anda pertama kali membuat grup keamanan, grup keamanan tersebut tidak memiliki aturan masuk. Oleh karena itu, tidak ada lalu lintas masuk yang diizinkan sampai Anda menambahkan aturan masuk ke grup keamanan.

  • Saat pertama kali membuat grup keamanan, ia memiliki aturan keluar yang memungkinkan semua lalu lintas keluar dari sumber daya. Anda dapat menghapus aturan dan menambahkan aturan keluar yang hanya mengizinkan lalu lintas keluar tertentu. Jika grup keamanan Anda tidak memiliki aturan keluar, lalu lintas keluar tidak diperbolehkan.

  • Saat Anda mengaitkan beberapa grup keamanan dengan sumber daya, aturan dari setiap grup keamanan digabungkan untuk membentuk satu set aturan yang digunakan untuk menentukan apakah akan mengizinkan akses.

  • Saat Anda menambahkan, memperbarui, atau menghapus aturan, perubahan Anda secara otomatis diterapkan ke semua sumber daya yang terkait dengan grup keamanan. Untuk petunjuk, silakan lihat Mengonfigurasi aturan grup keamanan.

  • Dampak dari beberapa perubahan aturan dapat bergantung pada cara pelacakan lalu lintas yang digunakan. Untuk informasi selengkapnya, lihat Pelacakan koneksi di Panduan EC2 Pengguna Amazon.

  • Saat Anda membuat aturan grup keamanan, AWS tetapkan ID unik ke aturan tersebut. Anda dapat menggunakan ID aturan ketika Anda menggunakan API atau CLI untuk memodifikasi atau menghapus aturan.

Batasan

Grup keamanan tidak dapat memblokir DNS permintaan ke atau dari Resolver Route 53, kadang-kadang disebut sebagai 'alamat IP VPC +2 '(lihat di Panduan Amazon RouteĀ 53 ResolverPengembang Amazon Route 53, atau sebagai. AmazonProvidedDNS Untuk memfilter DNS permintaan melalui Resolver Route 53, gunakan Route 53 DNS Resolver Firewall.

Komponen aturan grup keamanan

Berikut ini adalah komponen aturan grup keamanan masuk dan keluar:

  • Protocol: Protokol yang akan diizinkan. Protokol yang paling umum adalah 6 (TCP), 17 (UDP), dan 1 (ICMP).

  • Rentang port: Untuk TCPUDP,, atau protokol khusus, rentang port yang diizinkan. Anda dapat menentukan satu nomor port (misalnya, 22), atau rentang nomor port (misalnya, 7000-8000).

  • ICMPjenis dan kode: UntukICMP, ICMP jenis dan kode. Misalnya, gunakan tipe 8 untuk ICMP Echo Request atau ketik 128 untuk ICMPv6 Echo Request.

  • Source or destination: Sumber (aturan ke dalam) atau tujuan (aturan ke luar) untuk lalu lintas yang akan diizinkan. Tentukan satu dari yang berikut ini:

    • Satu IPv4 alamat. Anda harus menggunakan panjang awalan /32. Misalnya, 203.0.113.1/32.

    • Satu IPv6 alamat. Anda harus menggunakan panjang awalan /128. Misalnya, 2001:db8:1234:1a00::123/128.

    • Berbagai IPv4 alamat, dalam notasi CIDR blok. Misalnya, 203.0.113.0/24.

    • Berbagai IPv6 alamat, dalam notasi CIDR blok. Misalnya, 2001:db8:1234:1a00::/64.

    • ID daftar awalan. Misalnya, pl-1234abc1234abc123. Untuk informasi selengkapnya, lihat Mengkonsolidasikan dan mengelola CIDR blok jaringan dengan daftar awalan terkelola.

    • ID grup keamanan. Misalnya, sg-1234567890abcdef0. Untuk informasi selengkapnya, lihat Referensi kelompok keamanan.

  • (Opsional) Deskripsi: Anda dapat menambahkan deskripsi untuk aturan, yang dapat membantu Anda untuk mengidentifikasinya nanti. deskripsi dapat memiliki panjang hingga 255 karakter. Karakter yang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=;{}!$*.

Referensi kelompok keamanan

Saat Anda menentukan grup keamanan sebagai sumber atau tujuan aturan, aturan akan memengaruhi semua instance yang terkait dengan grup keamanan. Instance dapat berkomunikasi dalam arah yang ditentukan, menggunakan alamat IP pribadi dari instance, melalui protokol dan port yang ditentukan.

Misalnya, berikut ini mewakili aturan masuk untuk grup keamanan yang mereferensikan grup keamanan sg-0abcdef1234567890. Aturan ini memungkinkan SSH lalu lintas masuk dari instance yang terkait dengan sg-0abcdef1234567890.

Sumber Protokol Rentang port
sg-0abcdef1234567890 TCP 22

Saat mereferensikan grup keamanan dalam aturan grup keamanan, perhatikan hal berikut:

  • Kedua kelompok keamanan harus milik yang sama VPC atau mengintipVPC.

  • Tidak ada aturan dari grup keamanan yang direferensikan ditambahkan ke grup keamanan yang mereferensikannya.

  • Untuk aturan masuk, EC2 instance yang terkait dengan grup keamanan dapat menerima lalu lintas masuk dari alamat IP pribadi dari EC2 instance yang terkait dengan grup keamanan yang direferensikan.

  • Untuk aturan keluar, EC2 instance yang terkait dengan grup keamanan dapat mengirim lalu lintas keluar ke alamat IP pribadi dari EC2 instance yang terkait dengan grup keamanan yang direferensikan.

Batasan

Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instance harus mereferensikan alamat IP pribadi dari instance lain atau CIDR rentang subnet yang berisi instance lain sebagai sumber. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

Contoh

Diagram berikut menunjukkan subnet VPC with di dua Availability Zones, gateway internet, dan Application Load Balancer. Setiap Availability Zone memiliki subnet publik untuk server web dan subnet pribadi untuk server database. Ada grup keamanan terpisah untuk penyeimbang beban, server web, dan server database. Buat aturan grup keamanan berikut untuk mengizinkan lalu lintas.

  • Tambahkan aturan ke grup keamanan penyeimbang beban untuk mengizinkan HTTP dan HTTPS lalu lintas dari internet. Sumbernya adalah 0.0.0.0/0.

  • Tambahkan aturan ke grup keamanan untuk server web untuk mengizinkan HTTP dan HTTPS lalu lintas hanya dari penyeimbang beban. Sumbernya adalah grup keamanan untuk penyeimbang beban.

  • Tambahkan aturan ke grup keamanan untuk server database untuk mengizinkan permintaan database dari server web. Sumbernya adalah grup keamanan untuk server web.

Arsitektur dengan server web dan db, grup keamanan, gateway internet, dan penyeimbang beban

Ukuran grup keamanan

Jenis sumber atau tujuan menentukan bagaimana setiap aturan diperhitungkan terhadap jumlah maksimum aturan yang dapat Anda miliki per grup keamanan.

  • Aturan yang mereferensikan CIDR blok dihitung sebagai satu aturan.

  • Aturan yang merujuk kelompok keamanan lain dianggap sebagai satu aturan, tidak peduli ukuran kelompok keamanan yang direferensikan.

  • Aturan yang mereferensikan daftar awalan yang dikelola pelanggan dihitung sebagai ukuran maksimum daftar awalan. Misalnya, jika ukuran maksimum daftar awalan Anda adalah 20, aturan yang mereferensikan daftar awalan ini dihitung sebagai 20 aturan.

  • Aturan yang mereferensikan daftar awalan AWS-managed dihitung sebagai bobot daftar awalan. Misalnya, jika bobot daftar awalan adalah 10, aturan yang mereferensikan daftar awalan ini dihitung sebagai 10 aturan. Untuk informasi selengkapnya, lihat Daftar awalan AWS-terkelola yang tersedia.

Aturan grup keamanan yang kedaluwarsa

Jika Anda VPC memiliki koneksi VPC peering dengan orang lainVPC, atau jika menggunakan akun yang VPC dibagikan oleh akun lain, aturan grup keamanan di Anda VPC dapat merujuk grup keamanan di rekan tersebut VPC atau dibagikan. VPC Ini memungkinkan sumber daya yang terkait dengan kelompok keamanan yang direferensikan dan yang terkait dengan kelompok keamanan referensi untuk berkomunikasi satu sama lain. Untuk informasi selengkapnya, lihat Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan VPCPeering Amazon.

Jika Anda memiliki aturan grup keamanan yang mereferensikan grup keamanan di peer VPC atau bersama VPC dan grup keamanan di bersama VPC dihapus atau koneksi VPC peering dihapus, aturan grup keamanan ditandai sebagai basi. Anda dapat menghapus aturan grup keamanan kedaluwarsa seperti yang Anda lakukan terhadap aturan grup keamanan lainnya.