Identifikasi grup keamanan yang direferensikan Lihat dan hapus dengan aturan grup keamanan basi

Perbarui grup keamanan Anda untuk mereferensikan grup keamanan sejawat

Anda dapat memperbarui aturan masuk atau keluar untuk grup keamanan VPC Anda untuk mereferensikan grup keamanan untuk peered. VPCs Melakukan hal itu memungkinkan lalu lintas mengalir ke dan dari instans yang terkait dengan grup keamanan yang dirujuk di VPC yang menjadi rekan/peer.

catatan

Grup keamanan di VPC rekan tidak ditampilkan di konsol untuk Anda pilih.

Persyaratan

Untuk mereferensikan grup keamanan di VPC rekan, koneksi peering VPC harus berstatus active.
VPC rekan dapat berupa VPC di akun Anda, atau VPC di akun lain. AWS Untuk mereferensikan grup keamanan yang ada di AWS akun lain tetapi Wilayah yang sama, sertakan nomor akun dengan ID grup keamanan. Misalnya, 123456789012/sg-1a2b3c4d.
Anda tidak dapat mereferensikan grup keamanan VPC rekan yang berada di Wilayah berbeda. Sebagai gantinya, gunakan blok CIDR dari VPC rekan.
Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instans harus mereferensikan alamat IP privat instans lain, atau rentang CIDR dari subnet yang berisi instans yang lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

Untuk memperbarui aturan keamanan menggunakan konsol

Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
Di panel navigasi, pilih Grup keamanan.
Pilih grup keamanan, dan lakukan salah satu hal berikut:
- Untuk mengubah aturan masuk, pilih Tindakan, Edit aturan masuk.
- Untuk mengubah aturan keluar, pilih Tindakan, Edit aturan keluar.
Untuk menambahkan aturan, pilih Tambahkan aturan dan tentukan jenis, protokol, dan rentang port. Untuk Sumber (aturan masuk) atau Tujuan (aturan keluar), lakukan salah satu hal berikut:
- Untuk VPC rekan di akun dan Wilayah yang sama, masukkan ID grup keamanan.
- Untuk VPC rekan di akun yang berbeda tetapi Wilayah yang sama, masukkan ID akun dan ID grup keamanan, dipisahkan oleh garis miring (misalnya,). 123456789012/sg-1a2b3c4d
- Untuk VPC rekan di Wilayah yang berbeda, masukkan blok CIDR dari VPC rekan.
Untuk mengedit aturan yang ada, ubah nilainya (misalnya, sumber atau deskripsi).
Untuk menghapus aturan, pilih Hapus di sebelah aturan.
Pilih Simpan aturan.

Untuk memperbarui aturan inbound menggunakan baris perintah

authorize-security-group-ingressdan revoke-security-group-ingressAWS CLI
Grant-EC2SecurityGroupIngressdan Revoke-EC2SecurityGroupIngressAWS Tools for Windows PowerShell

Misalnya, untuk memperbarui grup keamanan Anda sg-aaaa1111 agar memungkinkan akses masuk melalui HTTP dari sg-bbbb2222 VPC rekan, gunakan perintah berikut. Jika VPC rekan berada di Wilayah yang sama tetapi akun yang berbeda, tambahkan. --group-owner aws-account-id


aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222

Untuk memperbarui aturan outbound menggunakan baris perintah

authorize-security-group-egressdan revoke-security-group-egressAWS CLI
Grant-EC2SecurityGroupEgressdan Revoke-EC2SecurityGroupEgressAWS Tools for Windows PowerShell

Setelah memperbarui aturan grup keamanan, gunakan describe-security-groupsperintah untuk melihat grup keamanan yang direferensikan dalam aturan grup keamanan Anda.

Identifikasi grup keamanan yang direferensikan

Untuk menentukan apakah grup keamanan Anda sedang direferensikan dalam aturan grup keamanan di VPC rekan, gunakan salah satu dari perintah berikut untuk satu atau lebih grup keamanan di akun Anda.

describe-security-group-references (AWS CLI)
Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)

Pada contoh berikut, respons menunjukkan bahwa grup keamanan sg-bbbb2222 sedang direferensikan oleh grup keamanan di VPC vpc-aaaaaaaa:


aws ec2 describe-security-group-references --group-id sg-bbbb2222


{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}

Jika koneksi peering VPC dihapus, atau jika pemilik dari VPC rekan menghapus grup keamanan yang direferensikan, aturan grup keamanan menjadi kedaluwarsa.

Lihat dan hapus dengan aturan grup keamanan basi

Aturan grup keamanan basi adalah aturan yang mereferensikan grup keamanan yang dihapus dalam VPC yang sama atau dalam VPC rekan, atau yang mereferensikan grup keamanan dalam VPC rekan yang koneksi peering VPC telah dihapus. Bila aturan grup keamanan menjadi kedaluwarsa, aturan grup tidak secara otomatis terhapus dari grup keamanan Anda—Anda harus menghapusnya secara manual. Jika aturan grup keamanan basi karena koneksi peering VPC telah dihapus, aturan tidak akan lagi ditandai sebagai basi jika Anda membuat koneksi peering VPC baru dengan yang sama. VPCs

Anda dapat melihat dan menghapus aturan grup keamanan kedaluwarsa untuk VPC menggunakan konsol Amazon VPC.

Untuk melihat dan menghapus aturan grup keamanan yang kedaluwarsa

Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
Di panel navigasi, pilih Grup keamanan.
Pilih Tindakan, Kelola aturan kedaluwarsa.
Untuk VPC, pilih VPC dengan aturan kedaluwarsa.
Pilih Sunting.
Pilih tombol Hapus di samping aturan yang ingin Anda hapus. Pilih Tinjau perubahan, Simpan aturan.

Untuk mendeskripsikan aturan grup keamanan basi Anda menggunakan baris perintah

describe-stale-security-groups (AWS CLI)
Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)

Pada contoh berikut, VPC A (vpc-aaaaaaaa) dan VPC B disambungkan, dan koneksi peering VPC telah dihapus. Grup keamanan Anda sg-aaaa1111 di VPC A mereferensikan sg-bbbb2222 di VPC B. Ketika Anda menjalankan perintah describe-stale-security-groups untuk VPC Anda, respons menunjukkan bahwa grup keamanan sg-aaaa1111 memiliki aturan SSH kedaluwarsa yang mereferensikan sg-bbbb2222.


aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa


{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}

Setelah mengidentifikasi aturan grup keamanan basi, Anda dapat menghapusnya menggunakan revoke-security-group-egressperintah revoke-security-group-ingressatau.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Perbarui tabel rute

Aktifkan resolusi DNS untuk koneksi peering VPC