Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perbarui grup keamanan Anda untuk mereferensikan grup keamanan sejawat
Anda dapat memperbarui aturan masuk atau keluar untuk grup keamanan VPC Anda untuk mereferensikan grup keamanan untuk peered. VPCs Melakukan hal itu memungkinkan lalu lintas mengalir ke dan dari instans yang terkait dengan grup keamanan yang dirujuk di VPC yang menjadi rekan/peer.
catatan
Grup keamanan di VPC rekan tidak ditampilkan di konsol untuk Anda pilih.
Persyaratan
-
Untuk mereferensikan grup keamanan di VPC rekan, koneksi peering VPC harus berstatus
active
. -
VPC rekan dapat berupa VPC di akun Anda, atau VPC di akun lain. AWS Untuk mereferensikan grup keamanan yang ada di AWS akun lain tetapi Wilayah yang sama, sertakan nomor akun dengan ID grup keamanan. Misalnya,
123456789012/sg-1a2b3c4d
. -
Anda tidak dapat mereferensikan grup keamanan VPC rekan yang berada di Wilayah berbeda. Sebagai gantinya, gunakan blok CIDR dari VPC rekan.
-
Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instans harus mereferensikan alamat IP privat instans lain, atau rentang CIDR dari subnet yang berisi instans yang lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.
Untuk memperbarui aturan keamanan menggunakan konsol
Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi, pilih Grup keamanan.
-
Pilih grup keamanan, dan lakukan salah satu hal berikut:
Untuk mengubah aturan masuk, pilih Tindakan, Edit aturan masuk.
Untuk mengubah aturan keluar, pilih Tindakan, Edit aturan keluar.
-
Untuk menambahkan aturan, pilih Tambahkan aturan dan tentukan jenis, protokol, dan rentang port. Untuk Sumber (aturan masuk) atau Tujuan (aturan keluar), lakukan salah satu hal berikut:
Untuk VPC rekan di akun dan Wilayah yang sama, masukkan ID grup keamanan.
Untuk VPC rekan di akun yang berbeda tetapi Wilayah yang sama, masukkan ID akun dan ID grup keamanan, dipisahkan oleh garis miring (misalnya,).
123456789012/sg-1a2b3c4d
Untuk VPC rekan di Wilayah yang berbeda, masukkan blok CIDR dari VPC rekan.
-
Untuk mengedit aturan yang ada, ubah nilainya (misalnya, sumber atau deskripsi).
-
Untuk menghapus aturan, pilih Hapus di sebelah aturan.
-
Pilih Simpan aturan.
Untuk memperbarui aturan inbound menggunakan baris perintah
-
authorize-security-group-ingress
dan revoke-security-group-ingress AWS CLI -
Grant-EC2SecurityGroupIngressdan Revoke-EC2SecurityGroupIngressAWS Tools for Windows PowerShell
Misalnya, untuk memperbarui grup keamanan Anda sg-aaaa1111
agar memungkinkan akses masuk melalui HTTP dari sg-bbbb2222
VPC rekan, gunakan perintah berikut. Jika VPC rekan berada di Wilayah yang sama tetapi akun yang berbeda, tambahkan. --group-owner
aws-account-id
aws ec2 authorize-security-group-ingress --group-id
sg-aaaa1111
--protocol tcp --port80
--source-groupsg-bbbb2222
Untuk memperbarui aturan outbound menggunakan baris perintah
-
authorize-security-group-egress
dan revoke-security-group-egress AWS CLI -
Grant-EC2SecurityGroupEgressdan Revoke-EC2SecurityGroupEgressAWS Tools for Windows PowerShell
Setelah memperbarui aturan grup keamanan, gunakan describe-security-groups
Identifikasi grup keamanan yang direferensikan
Untuk menentukan apakah grup keamanan Anda sedang direferensikan dalam aturan grup keamanan di VPC rekan, gunakan salah satu dari perintah berikut untuk satu atau lebih grup keamanan di akun Anda.
-
describe-security-group-references
(AWS CLI) -
Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)
Pada contoh berikut, respons menunjukkan bahwa grup keamanan sg-bbbb2222
sedang direferensikan oleh grup keamanan di VPC vpc-aaaaaaaa
:
aws ec2 describe-security-group-references --group-id
sg-bbbb2222
{
"SecurityGroupsReferenceSet": [
{
"ReferencingVpcId": "vpc-aaaaaaaa",
"GroupId": "sg-bbbb2222",
"VpcPeeringConnectionId": "pcx-b04deed9"
}
]
}
Jika koneksi peering VPC dihapus, atau jika pemilik dari VPC rekan menghapus grup keamanan yang direferensikan, aturan grup keamanan menjadi kedaluwarsa.
Lihat dan hapus dengan aturan grup keamanan basi
Aturan grup keamanan basi adalah aturan yang mereferensikan grup keamanan yang dihapus dalam VPC yang sama atau dalam VPC rekan, atau yang mereferensikan grup keamanan dalam VPC rekan yang koneksi peering VPC telah dihapus. Bila aturan grup keamanan menjadi kedaluwarsa, aturan grup tidak secara otomatis terhapus dari grup keamanan Anda—Anda harus menghapusnya secara manual. Jika aturan grup keamanan basi karena koneksi peering VPC telah dihapus, aturan tidak akan lagi ditandai sebagai basi jika Anda membuat koneksi peering VPC baru dengan yang sama. VPCs
Anda dapat melihat dan menghapus aturan grup keamanan kedaluwarsa untuk VPC menggunakan konsol Amazon VPC.
Untuk melihat dan menghapus aturan grup keamanan yang kedaluwarsa
Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi, pilih Grup keamanan.
-
Pilih Tindakan, Kelola aturan kedaluwarsa.
-
Untuk VPC, pilih VPC dengan aturan kedaluwarsa.
-
Pilih Sunting.
-
Pilih tombol Hapus di samping aturan yang ingin Anda hapus. Pilih Tinjau perubahan, Simpan aturan.
Untuk mendeskripsikan aturan grup keamanan basi Anda menggunakan baris perintah
-
describe-stale-security-groups
(AWS CLI) -
Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)
Pada contoh berikut, VPC A (vpc-aaaaaaaa
) dan VPC B disambungkan, dan koneksi peering VPC telah dihapus. Grup keamanan Anda sg-aaaa1111
di VPC A mereferensikan sg-bbbb2222
di VPC B. Ketika Anda menjalankan perintah describe-stale-security-groups
untuk VPC Anda, respons menunjukkan bahwa grup keamanan sg-aaaa1111
memiliki aturan SSH kedaluwarsa yang mereferensikan sg-bbbb2222
.
aws ec2 describe-stale-security-groups --vpc-id
vpc-aaaaaaaa
{
"StaleSecurityGroupSet": [
{
"VpcId": "vpc-aaaaaaaa",
"StaleIpPermissionsEgress": [],
"GroupName": "Access1",
"StaleIpPermissions": [
{
"ToPort": 22,
"FromPort": 22,
"UserIdGroupPairs": [
{
"VpcId": "vpc-bbbbbbbb",
"PeeringStatus": "deleted",
"UserId": "123456789101",
"GroupName": "Prod1",
"VpcPeeringConnectionId": "pcx-b04deed9",
"GroupId": "sg-bbbb2222"
}
],
"IpProtocol": "tcp"
}
],
"GroupId": "sg-aaaa1111",
"Description": "Reference remote SG"
}
]
}
Setelah mengidentifikasi aturan grup keamanan basi, Anda dapat menghapusnya menggunakan revoke-security-group-egress