Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Grup keamanan untuk Application Load Balancer Anda
Grup keamanan untuk Application Load Balancer Anda mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan penyeimbang beban. Anda harus memastikan bahwa penyeimbang beban dapat berkomunikasi dengan target terdaftar pada port listener dan port pemeriksaan kondisi. Setiap kali menambahkan listener ke penyeimbang beban atau memperbarui port pemeriksaan kondisi untuk grup target yang digunakan oleh penyeimbang beban untuk merutekan permintaan, Anda harus memverifikasi bahwa grup keamanan yang terkait dengan penyeimbang beban mengizinkan lalu lintas pada port baru di kedua arah. Jika tidak, Anda dapat mengedit aturan untuk grup keamanan yang saat ini terkait atau mengaitkan grup keamanan yang berbeda dengan penyeimbang beban. Anda dapat memilih port dan protokol untuk memungkinkan. Misalnya, Anda dapat membuka koneksi Internet Control Message Protocol (ICMP) untuk penyeimbang beban untuk merespons permintaan ping (namun, permintaan ping tidak diteruskan ke instans apa pun).
**Pertimbangan-pertimbangan**
+ Untuk memastikan target Anda menerima lalu lintas secara eksklusif dari penyeimbang beban, batasi kelompok keamanan yang terkait dengan target Anda untuk menerima lalu lintas semata-mata dari penyeimbang beban. Hal ini dapat dicapai dengan menetapkan kelompok keamanan load balancer sebagai sumber dalam aturan ingress dari kelompok keamanan target.
+ Jika Application Load Balancer Anda adalah target Network Load Balancer, grup keamanan untuk Application Load Balancer Anda menggunakan pelacakan koneksi untuk melacak informasi tentang lalu lintas yang berasal dari Network Load Balancer. Ini terjadi terlepas dari aturan grup keamanan yang ditetapkan untuk Application Load Balancer Anda. Untuk informasi selengkapnya, lihat [Pelacakan koneksi grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) di *Panduan Pengguna Amazon EC2*.
+ Kami menyarankan Anda mengizinkan lalu lintas ICMP masuk untuk mendukung Path MTU Discovery. Untuk informasi selengkapnya, lihat [Path MTU Discovery](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery) di Panduan *Pengguna Amazon EC2*.
## Aturan yang disarankan
Aturan berikut direkomendasikan untuk penyeimbang beban yang menghadap ke internet dengan instance sebagai target.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| 0.0.0.0/0 | *listener* | Izinkan semua lalu lintas masuk pada port listener penyeimbang beban |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Izinkan lalu lintas keluar ke instans pada port listener instans |
| *instance security group* | *health check* | Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Aturan berikut direkomendasikan untuk penyeimbang beban internal dengan instance sebagai target.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| *VPC CIDR* | *listener* | Izinkan lalu lintas masuk dari VPC CIDR pada port listener penyeimbang beban |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Izinkan lalu lintas keluar ke instans pada port listener instans |
| *instance security group* | *health check* | Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
Aturan berikut direkomendasikan untuk Application Load Balancer dengan instance sebagai target yang merupakan target Network Load Balancer.
|
|
| **Inbound** |
| --- |
| Source | Port Range | Comment |
| *client IP addresses/CIDR* | *`alb `listener* | Izinkan lalu lintas klien masuk pada port pendengar penyeimbang beban |
| *VPC CIDR* | *`alb `listener* | Izinkan lalu lintas klien masuk melalui AWS PrivateLink pada port pendengar penyeimbang beban |
| *VPC CIDR* | *`alb `listener* | Izinkan lalu lintas kesehatan masuk dari Network Load Balancer |
| **Outbound** |
| --- |
| Destination | Port Range | Comment |
| *instance security group* | *instance listener* | Izinkan lalu lintas keluar ke instans pada port listener instans |
| *instance security group* | *health check* | Izinkan lalu lintas keluar ke instans pada port pemeriksaan kondisi |
## Memperbarui grup keamanan terkait
Anda dapat memperbarui grup keamanan yang terkait dengan penyeimbang beban kapan saja.
------
#### [ Console ]
**Untuk memperbarui grup keamanan**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Pada panel navigasi, pilih **Load Balancers**.
1. Pilih penyeimbang beban.
1. Pada tab **Keamanan**, pilih **Edit**.
1. Untuk mengaitkan grup keamanan dengan penyeimbang beban Anda, pilih grup tersebut. Untuk menghapus asosiasi grup keamanan, pilih ikon **X** untuk grup keamanan.
1. Pilih **Simpan perubahan**.
------
#### [ AWS CLI ]
**Untuk memperbarui grup keamanan**
Gunakan perintah [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html).
```
aws elbv2 set-security-groups \
--load-balancer-arn load-balancer-arn \
--security-groups sg-01dd3383691d02f42 sg-00f4e409629f1a42d
```
------
#### [ CloudFormation ]
**Untuk memperbarui grup keamanan**
Perbarui [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html)sumber daya.
```
Resources:
myLoadBalancer:
Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
Properties:
Name: my-alb
Type: application
Scheme: internal
Subnets:
- !Ref subnet-AZ1
- !Ref subnet-AZ2
SecurityGroups:
- !Ref mySecurityGroup
- !Ref myNewSecurityGroup
```
------