Mengontrol akses dengan grup keamanan - Amazon Aurora:
Ikhtisar kelompok VPC keamananSkenario grup keamananMembuat grup VPC keamananMengaitkan dengan klaster DB

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses dengan grup keamanan

VPCgrup keamanan mengontrol akses yang dimiliki lalu lintas masuk dan keluar dari cluster DB. Secara default, akses jaringan untuk klaster DB dinonaktifkan. Anda dapat menentukan aturan dalam grup keamanan yang mengizinkan akses dari rentang alamat IP, port, atau grup keamanan. Setelah aturan masuk dikonfigurasi, aturan yang sama berlaku untuk semua klaster DB yang terkait dengan grup keamanan tersebut. Anda dapat menentukan hingga 20 aturan dalam satu grup keamanan.

Ikhtisar kelompok VPC keamanan

Setiap aturan grup VPC keamanan memungkinkan sumber tertentu untuk mengakses cluster DB di VPC yang terkait dengan grup VPC keamanan tersebut. Sumbernya bisa berupa berbagai alamat (misalnya, 203.0.113.0/24), atau grup keamanan lainnya. VPC Dengan menentukan grup VPC keamanan sebagai sumber, Anda mengizinkan lalu lintas masuk dari semua instance (biasanya server aplikasi) yang menggunakan grup keamanan sumberVPC. VPCKelompok keamanan dapat memiliki aturan yang mengatur lalu lintas masuk dan keluar. Namun, aturan lalu lintas keluar biasanya tidak berlaku untuk klaster DB. Aturan lalu lintas keluar hanya berlaku jika klaster DB bertindak sebagai klien. Anda harus menggunakan opsi Amazon EC2 API atau Grup Keamanan di VPC konsol untuk membuat grup VPC keamanan.

Saat Anda membuat aturan untuk grup VPC keamanan yang mengizinkan akses ke cluster di dalamVPC, Anda harus menentukan port untuk setiap rentang alamat yang diizinkan oleh aturan tersebut. Misalnya, jika Anda ingin mengaktifkan akses Secure Shell (SSH) untuk instance diVPC, buat aturan yang mengizinkan akses ke TCP port 22 untuk rentang alamat yang ditentukan.

Anda dapat mengonfigurasi beberapa grup VPC keamanan yang memungkinkan akses ke port yang berbeda untuk instans yang berbeda di AndaVPC. Misalnya, Anda dapat membuat grup VPC keamanan yang memungkinkan akses ke TCP port 80 untuk server web di server AndaVPC. Anda kemudian dapat membuat grup VPC keamanan lain yang memungkinkan akses ke TCP port 3306 My SQL DB di Anda. VPC

catatan

Dalam cluster Aurora DB, grup VPC keamanan yang terkait dengan cluster DB juga dikaitkan dengan semua instance DB di cluster DB. Jika Anda mengubah grup VPC keamanan untuk cluster DB atau untuk instans DB, perubahan diterapkan secara otomatis ke semua instance DB di cluster DB.

Untuk informasi selengkapnya tentang grup VPC keamanan, lihat Grup keamanan di Panduan Pengguna Amazon Virtual Private Cloud.

catatan

Jika cluster DB Anda berada dalam VPC tetapi tidak dapat diakses publik, Anda juga dapat menggunakan AWS Koneksi situs-ke-situs VPN atau AWS Direct Connect koneksi untuk mengaksesnya dari jaringan pribadi. Untuk informasi selengkapnya, lihat Privasi lalu lintas antarjaringan.

Skenario grup keamanan

Penggunaan umum cluster DB di a VPC adalah untuk berbagi data dengan server aplikasi yang berjalan di EC2 instance Amazon dalam hal yang samaVPC, yang diakses oleh aplikasi klien di luar fileVPC. Untuk skenario ini, Anda menggunakan RDS dan VPC halaman di AWS Management Console atau RDS dan EC2 API operasi untuk membuat instance dan kelompok keamanan yang diperlukan:

  1. Buat grup VPC keamanan (misalnya,sg-0123ec2example) dan tentukan aturan masuk yang menggunakan alamat IP aplikasi klien sebagai sumbernya. Grup keamanan ini memungkinkan aplikasi klien Anda untuk terhubung ke EC2 instance di VPC yang menggunakan grup keamanan ini.

  2. Buat EC2 instance untuk aplikasi dan tambahkan EC2 instance ke grup VPC keamanan (sg-0123ec2example) yang Anda buat di langkah sebelumnya.

  3. Buat grup VPC keamanan kedua (misalnya,sg-6789rdsexample) dan buat aturan baru dengan menentukan grup VPC keamanan yang Anda buat di langkah 1 (sg-0123ec2example) sebagai sumber.

  4. Buat cluster DB baru dan tambahkan cluster DB ke grup VPC keamanan (sg-6789rdsexample) yang Anda buat pada langkah sebelumnya. Saat Anda membuat cluster DB, gunakan nomor port yang sama dengan yang ditentukan untuk aturan grup VPC keamanan (sg-6789rdsexample) yang Anda buat di langkah 3.

Diagram berikut menunjukkan skenario ini.

Kluster DB dan EC2 instance dalam a VPC

Untuk petunjuk terperinci tentang mengonfigurasi skenario ini, lihatTutorial: Membuat VPC untuk digunakan dengan klaster DB (khusus IPv4). VPC Untuk informasi selengkapnya tentang menggunakan aVPC, lihatAmazon VPC dan Aurora.

Membuat grup VPC keamanan

Anda dapat membuat grup VPC keamanan untuk instans DB dengan menggunakan VPC konsol. Untuk informasi tentang pembuatan grup keamanan, lihat Menyediakan akses ke cluster DB di VPC dengan membuat grup keamanan dan Grup Keamanan dalam Panduan Pengguna Amazon Virtual Private Cloud.

Mengaitkan grup keamanan dengan klaster DB

Anda dapat mengaitkan grup keamanan dengan cluster DB menggunakan Modify cluster di RDS konsol, ModifyDBCluster Amazon RDSAPI, atau modify-db-cluster AWS CLI perintah.

CLIContoh berikut mengaitkan VPC grup tertentu dan menghapus grup keamanan DB dari cluster DB

aws rds modify-db-cluster --db-cluster-identifier dbName --vpc-security-group-ids sg-ID

Untuk informasi tentang mengubah klaster DB, lihat Memodifikasi klaster DB Amazon Aurora.