Identifikasi grup keamanan yang direferensikan Lihat dan hapus dengan aturan grup keamanan basi

Perbarui grup keamanan Anda untuk mereferensikan grup keamanan sejawat

Anda dapat memperbarui aturan masuk atau keluar untuk grup VPC keamanan Anda untuk referensi grup keamanan untuk peered. VPCs Melakukan hal itu memungkinkan lalu lintas mengalir ke dan dari instance yang terkait dengan grup keamanan yang direferensikan di peered. VPC

catatan

Grup keamanan dalam rekan tidak VPC ditampilkan di konsol untuk Anda pilih.

Persyaratan

Untuk mereferensikan kelompok keamanan dalam rekanVPC, koneksi VPC peering harus dalam keadaan. active
Rekan VPC dapat berupa VPC akun Anda, atau VPC di AWS akun lain. Untuk mereferensikan grup keamanan yang ada di AWS akun lain tetapi Wilayah yang sama, sertakan nomor akun dengan ID grup keamanan. Misalnya, 123456789012/sg-1a2b3c4d.
Anda tidak dapat mereferensikan grup keamanan rekan VPC yang berada di Wilayah yang berbeda. Sebagai gantinya, gunakan CIDR blok rekan. VPC
Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instance harus mereferensikan alamat IP pribadi dari instance lain, atau CIDR rentang subnet yang berisi instance lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

Untuk memperbarui aturan keamanan menggunakan konsol

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih Grup keamanan.
Pilih grup keamanan, dan lakukan salah satu hal berikut:
- Untuk mengubah aturan masuk, pilih Tindakan, Edit aturan masuk.
- Untuk mengubah aturan keluar, pilih Tindakan, Edit aturan keluar.
Untuk menambahkan aturan, pilih Tambahkan aturan dan tentukan jenis, protokol, dan rentang port. Untuk Sumber (aturan masuk) atau Tujuan (aturan keluar), lakukan salah satu hal berikut:
- Untuk rekan VPC di akun dan Wilayah yang sama, masukkan ID grup keamanan.
- Untuk peer VPC di akun yang berbeda tetapi Wilayah yang sama, masukkan ID akun dan ID grup keamanan, dipisahkan dengan garis miring (misalnya,123456789012/sg-1a2b3c4d).
- Untuk rekan VPC di Wilayah yang berbeda, masukkan CIDR blok rekanVPC.
Untuk mengedit aturan yang ada, ubah nilainya (misalnya, sumber atau deskripsi).
Untuk menghapus aturan, pilih Hapus di sebelah aturan.
Pilih Simpan aturan.

Untuk memperbarui aturan inbound menggunakan baris perintah

authorize-security-group-ingress (AWS CLI)
Grant-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
Revoke-EC2SecurityGroupIngress (AWS Tools for Windows PowerShell)
revoke-security-group-ingress (AWS CLI)

Misalnya, untuk memperbarui grup keamanan Anda sg-aaaa1111 agar mengizinkan akses masuk HTTP dari sg-bbbb2222 peerVPC, gunakan perintah berikut. Jika rekan VPC berada di Wilayah yang sama tetapi akun yang berbeda, tambahkan --group-owner aws-account-id.


aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222

Untuk memperbarui aturan outbound menggunakan baris perintah

authorize-security-group-egress (AWS CLI)
Grant-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
Revoke-EC2SecurityGroupEgress (AWS Tools for Windows PowerShell)
revoke-security-group-egress (AWS CLI)

Setelah memperbarui aturan grup keamanan, gunakan describe-security-groupsperintah untuk melihat grup keamanan yang direferensikan dalam aturan grup keamanan Anda.

Identifikasi grup keamanan yang direferensikan

Untuk menentukan apakah grup keamanan Anda direferensikan dalam aturan grup keamanan di peerVPC, gunakan salah satu perintah berikut untuk satu atau beberapa grup keamanan di akun Anda.

describe-security-group-references (AWS CLI)
Get-EC2SecurityGroupReference (AWS Tools for Windows PowerShell)
DescribeSecurityGroupReferences(EC2Kueri AmazonAPI)

Dalam contoh berikut, respons menunjukkan bahwa grup keamanan sg-bbbb2222 sedang direferensikan oleh grup keamanan di VPCvpc-aaaaaaaa:


aws ec2 describe-security-group-references --group-id sg-bbbb2222


{    
  "SecurityGroupsReferenceSet": [
    {
      "ReferencingVpcId": "vpc-aaaaaaaa",
      "GroupId": "sg-bbbb2222",
      "VpcPeeringConnectionId": "pcx-b04deed9"       
    }   
  ]
}

Jika koneksi VPC peering dihapus, atau jika pemilik peer VPC menghapus grup keamanan yang direferensikan, aturan grup keamanan menjadi basi.

Lihat dan hapus dengan aturan grup keamanan basi

Aturan grup keamanan basi adalah aturan yang mereferensikan grup keamanan yang dihapus dalam kelompok yang sama VPC atau dalam rekanVPC, atau yang mereferensikan grup keamanan dalam rekan VPC yang koneksi VPC peering telah dihapus. Bila aturan grup keamanan menjadi kedaluwarsa, aturan grup tidak secara otomatis terhapus dari grup keamanan Anda—Anda harus menghapusnya secara manual. Jika aturan grup keamanan basi karena koneksi VPC peering telah dihapus, aturan tidak akan lagi ditandai sebagai basi jika Anda membuat koneksi VPC peering baru dengan yang sama. VPCs

Anda dapat melihat dan menghapus aturan grup keamanan basi untuk VPC menggunakan VPC konsol Amazon.

Untuk melihat dan menghapus aturan grup keamanan yang kedaluwarsa

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih Grup keamanan.
Pilih Tindakan, Kelola aturan kedaluwarsa.
Untuk VPC, pilih VPC dengan aturan basi.
Pilih Sunting.
Pilih tombol Hapus di samping aturan yang ingin Anda hapus. Pilih Tinjau perubahan, Simpan aturan.

Untuk mendeskripsikan aturan grup keamanan basi Anda menggunakan baris perintah atau API

describe-stale-security-groups (AWS CLI)
Get-EC2StaleSecurityGroup (AWS Tools for Windows PowerShell)
DescribeStaleSecurityGroups(EC2Kueri AmazonAPI)

Dalam contoh berikut, VPC A(vpc-aaaaaaaa) dan VPC B diintip, dan koneksi VPC peering dihapus. Grup keamanan Anda sg-aaaa1111 dalam referensi VPC A sg-bbbb2222 di VPC B. Ketika Anda menjalankan describe-stale-security-groups perintah untuk AndaVPC, respons menunjukkan bahwa grup keamanan sg-aaaa1111 memiliki SSH aturan basi yang merujuksg-bbbb2222.


aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa


{
    "StaleSecurityGroupSet": [
        {
            "VpcId": "vpc-aaaaaaaa", 
            "StaleIpPermissionsEgress": [], 
            "GroupName": "Access1", 
            "StaleIpPermissions": [
                {
                    "ToPort": 22, 
                    "FromPort": 22, 
                    "UserIdGroupPairs": [
                        {
                            "VpcId": "vpc-bbbbbbbb", 
                            "PeeringStatus": "deleted", 
                            "UserId": "123456789101", 
                            "GroupName": "Prod1", 
                            "VpcPeeringConnectionId": "pcx-b04deed9", 
                            "GroupId": "sg-bbbb2222"
                        }
                    ], 
                    "IpProtocol": "tcp"
                }
            ], 
            "GroupId": "sg-aaaa1111", 
            "Description": "Reference remote SG"
        }
    ]
}

Setelah mengidentifikasi aturan grup keamanan basi, Anda dapat menghapusnya menggunakan revoke-security-group-egressperintah revoke-security-group-ingressatau.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Perbarui tabel rute

Aktifkan DNS resolusi untuk koneksi VPC peering