Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh: Kontrol akses ke instans dalam subnet
Dalam contoh ini, instans di subnet Anda dapat berkomunikasi satu sama lain, dan dapat diakses dari komputer jarak jauh yang terpercaya. Komputer jarak jauh tersebut mungkin berupa komputer di jaringan lokal Anda atau instans di subnet yang berbeda atauVPC. Anda menggunakannya untuk terhubung ke instans Anda untuk melakukan tugas-tugas administratif. Aturan grup keamanan dan ACL aturan jaringan Anda mengizinkan akses dari alamat IP komputer jarak jauh Anda (172.31.1.1.1.2/32). Semua lalu lintas lain dari internet atau jaringan lain ditolak. Skenario ini memberi Anda fleksibilitas untuk mengubah grup keamanan atau aturan grup keamanan untuk instans Anda, dan membuat jaringan ACL sebagai lapisan backup untuk pertahanan.
Tabel berikut menunjukkan aturan masuk untuk grup keamanan contoh untuk instance.
| Tipe protokol | Protokol | Rentang port | Sumber | Komentar |
|---|---|---|---|---|
| Semua lalu lintas | Semua | Semua | sg-1234567890abcdef0 | Semua instans yang terkait dengan grup keamanan ini dapat berkomunikasi satu sama lain. |
| SSH | TCP | 22 | 172.31.1.2/32 | Mengizinkan SSH akses masuk dari komputer jarak jauh Anda. |
Tabel berikut menunjukkan aturan outbound bound untuk contoh grup keamanan untuk instance. Grup keamanan bersifat stateful. Oleh karena itu Anda tidak memerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.
| Jenis protokol | Protokol | Rentang Port | Tujuan | Komentar |
|---|---|---|---|---|
| Semua lalu lintas | Semua | Semua | sg-1234567890abcdef0 | Semua instans yang terkait dengan grup keamanan ini dapat berkomunikasi satu sama lain. |
Tabel berikut menunjukkan aturan keluar untuk jaringan contoh ACL untuk mengaitkan dengan subnet untuk instans. ACLAturan jaringan berlaku untuk semua instans di subnet.
| Aturan # | Tipe | Protokol | Rentang port | Sumber | Izinkan/Tolak | Komentar |
|---|---|---|---|---|---|---|
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | ALLOW | Mengizinkan lalu lintas masuk dari komputer jarak jauh. |
| * | Semua lalu lintas | Semua | Semua | 0.0.0.0/0 | DENY | Menolak semua lalu lintas masuk lainnya. |
Tabel berikut menunjukkan aturan keluar untuk jaringan contoh ACL untuk mengaitkan dengan subnet untuk instans. Jaringan ACLs bersifat stateless. Oleh karena itu, Anda memerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.
| Aturan # | Tipe | Protokol | Rentang Port | Tujuan | Izinkan/Tolak | Komentar |
|---|---|---|---|---|---|---|
| 100 | Kustom TCP | TCP | 1024-65535 | 172.31.1.2/32 | ALLOW | Mengizinkan respon keluar ke komputer jarak jauh. |
| * | Semua lalu lintas | Semua | Semua | 0.0.0.0/0 | DENY | Menolak semua lalu lintas keluar lainnya. |
Jika Anda secara tidak sengaja membuat aturan grup keamanan Anda terlalu permisif, jaringan ACL dalam hal ini terus mengizinkan akses hanya dari alamat IP yang ditentukan. Misalnya, grup keamanan berikut berisi aturan yang mengizinkan SSH akses masuk dari alamat IP mana pun. Namun, jika Anda mengaitkan grup keamanan ini dengan instans di subnet yang menggunakan jaringanACL, hanya instans lain dalam subnet dan komputer jarak jauh Anda yang dapat mengakses instans ini, karena ACL aturan jaringan menolak lalu lintas masuk lain ke subnet tersebut.
Tabel berikut menunjukkan aturan masuk untuk jaringan contoh ACL untuk mengizinkan akses hanya dari alamat IP yang ditentukan.
| Tipe | Protokol | Rentang port | Sumber | Komentar |
|---|---|---|---|---|
| Semua lalu lintas | Semua | Semua | sg-1234567890abcdef0 | Semua instans yang terkait dengan grup keamanan ini dapat berkomunikasi satu sama lain. |
| SSH | TCP | 22 | 0.0.0.0/0 | SSHMengizinkan akses dari alamat IP mana pun. |
Tabel berikut menunjukkan aturan keluar untuk jaringan contoh ACL untuk mengizinkan akses hanya dari alamat IP yang ditentukan.
| Tipe | Protokol | Rentang Port | Tujuan | Komentar |
|---|---|---|---|---|
| Semua lalu lintas | Semua | Semua | 0.0.0.0/0 | Mengizinkan semua lalu lintas keluar. |
