Bagikan grup keamanan dengan AWS Organizations - Amazon Virtual Private Cloud
Bagikan grup keamananBerhenti membagikan grup keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagikan grup keamanan dengan AWS Organizations

Fitur Grup Keamanan Bersama memungkinkan Anda berbagi grup keamanan dengan akun AWS Organizations lain dan membuat grup keamanan tersedia untuk digunakan oleh akun tersebut.

Diagram berikut menunjukkan bagaimana Anda dapat menggunakan fitur Grup Keamanan Bersama untuk menyederhanakan pengelolaan grup keamanan di seluruh akun di Organizations AWS Anda:

Diagram berbagi grup keamanan dengan akun lain di VPC subnet bersama.

Diagram ini menunjukkan tiga akun yang merupakan bagian dari Organisasi yang sama. Akun A berbagi VPC subnet dengan Akun B dan C. Akun A berbagi grup keamanan dengan Akun B dan C menggunakan fitur Grup Keamanan Bersama. Akun B dan C kemudian menggunakan grup keamanan itu ketika mereka meluncurkan instance di subnet bersama. Ini memungkinkan Akun A untuk mengelola grup keamanan; pembaruan apa pun pada grup keamanan berlaku untuk sumber daya yang telah dijalankan Akun B dan C di VPC subnet bersama.

Persyaratan fitur Grup Keamanan Bersama

  • Fitur ini hanya tersedia untuk akun di Organization in AWS Organizations yang sama. Berbagi sumber daya harus diaktifkan di AWS Organizations.

  • Akun yang berbagi grup keamanan harus memiliki kelompok keamanan VPC dan kelompok keamanan.

  • Anda tidak dapat berbagi grup keamanan default.

  • Anda tidak dapat berbagi grup keamanan yang berada dalam defaultVPC.

  • Akun peserta dapat membuat grup keamanan dalam berbagi VPC tetapi mereka tidak dapat berbagi grup keamanan tersebut.

  • Satu set izin minimum diperlukan bagi IAM kepala sekolah untuk berbagi grup keamanan dengan AWS RAM. Gunakan IAM kebijakan AmazonEC2FullAccess dan AWSResourceAccessManagerFullAccess terkelola untuk memastikan IAM kepala sekolah Anda memiliki izin yang diperlukan untuk berbagi dan menggunakan grup keamanan bersama. Jika Anda menggunakan IAM kebijakan khusus, ec2:DeleteResourcePolicy tindakan c2:PutResourcePolicy dan tindakan diperlukan. Ini adalah tindakan hanya izinIAM. Jika IAM prinsipal tidak memiliki izin ini diberikan, kesalahan akan terjadi ketika mencoba untuk berbagi grup keamanan menggunakan. AWS RAM

Layanan yang mendukung fitur ini

  • Amazon API Gateway

  • Amazon EC2

  • Amazon ECS

  • Amazon EFS

  • Amazon EKS

  • Amazon EMR

  • Amazon FSx

  • Amazon ElastiCache

  • AWS Elastic Beanstalk

  • AWS Glue

  • Amazon MQ

  • Amazon SageMaker

  • Penyeimbang Beban Elastis

    • Penyeimbang Beban Aplikasi

    • Penyeimbang Beban Jaringan

Bagaimana fitur ini memengaruhi kuota yang ada

Kuota grup keamanan berlaku. Namun, untuk kuota 'Grup keamanan per antarmuka jaringan', jika peserta menggunakan grup milik dan bersama pada antarmuka jaringan Elastic (ENI), minimum kuota pemilik dan peserta berlaku.

Contoh untuk menunjukkan bagaimana kuota dipengaruhi oleh fitur ini:

  • Kuota akun pemilik: 4 grup keamanan per antarmuka

  • Kuota akun peserta: 5 grup keamanan per antarmuka.

  • Pemilik berbagi grup SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 dengan peserta. Peserta sudah memiliki kelompok mereka sendiri diVPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.

  • Jika peserta membuat ENI dan hanya menggunakan grup milik mereka, mereka dapat mengaitkan semua 5 grup keamanan (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) karena itulah kuota mereka.

  • Jika peserta membuat ENI dan menggunakan grup bersama di dalamnya, mereka hanya dapat mengaitkan hingga 4 grup. Dalam hal ini, kuota untuk kuota tersebut ENI adalah minimum kuota pemilik dan peserta. Konfigurasi yang valid akan terlihat seperti ini:

    • SG-O1, SG-P1, SG-P2, SG-P3

    • SG-O1, SG-O2, SG-O3, SG-O4

Bagikan grup keamanan

Bagian ini menjelaskan cara menggunakan AWS Management Console dan berbagi grup keamanan dengan akun lain di Organisasi Anda. AWS CLI

AWS Management Console
Untuk berbagi grup keamanan

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi sebelah kiri, pilih Grup keamanan.

  3. Pilih grup keamanan untuk melihat detailnya.

  4. Pilih tab Berbagi.

  5. Pilih Bagikan grup keamanan.

  6. Pilih Buat berbagi sumber daya. Akibatnya, AWS RAM konsol terbuka di mana Anda akan membuat pembagian sumber daya untuk grup keamanan.

  7. Masukkan Nama untuk berbagi sumber daya.

  8. Di bawah Sumber Daya - opsional, pilih Grup Keamanan.

  9. Pilih grup keamanan. Grup keamanan tidak dapat menjadi grup keamanan default dan tidak dapat dikaitkan dengan defaultVPC.

  10. Pilih Berikutnya.

  11. Tinjau tindakan yang akan diizinkan oleh prinsipal untuk dilakukan dan pilih Berikutnya.

  12. Di bawah Prinsipal - opsional, pilih Izinkan berbagi hanya dalam organisasi Anda.

  13. Di bawah Prinsipal, pilih salah satu jenis utama berikut dan masukkan nomor yang sesuai:

    • AWS akun: Nomor akun akun di Organisasi Anda.

    • Organisasi: ID AWS Organisasi.

    • Unit Organisasi (OU): ID OU dalam Organisasi.

    • IAMperan: ARN IAM Peran. Akun yang membuat peran harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.

    • IAMpengguna: ARN dari seorang IAM pengguna. Akun yang membuat pengguna harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.

    • Prinsipal layanan: Anda tidak dapat berbagi grup keamanan dengan kepala layanan.

  14. Pilih Tambahkan.

  15. Pilih Berikutnya.

  16. Pilih Buat berbagi sumber daya.

  17. Di bawah Sumber daya bersama, tunggu untuk melihat StatusAssociated. Jika ada kegagalan asosiasi kelompok keamanan, itu mungkin karena salah satu batasan yang tercantum di atas. Lihat detail grup keamanan dan tab Berbagi di halaman detail untuk melihat pesan apa pun yang terkait dengan alasan grup keamanan mungkin tidak dapat dibagikan.

  18. Kembali ke daftar grup keamanan VPC konsol.

  19. Pilih grup keamanan yang Anda bagikan.

  20. Pilih tab Berbagi. AWS RAM Sumber daya Anda harus terlihat di sana. Jika tidak, pembuatan pembagian sumber daya mungkin gagal dan Anda mungkin perlu membuatnya kembali.

Kelompok keamanan sekarang dibagikan.

Command line
Untuk berbagi grup keamanan

  1. Anda harus terlebih dahulu membuat pembagian sumber daya untuk grup keamanan yang ingin Anda bagikan AWS RAM. Untuk langkah-langkah tentang cara membuat berbagi sumber daya dengan AWS RAM menggunakan AWS CLI, lihat Membuat berbagi sumber daya AWS RAM di Panduan AWS RAM Pengguna

  2. Untuk melihat asosiasi berbagi sumber daya yang dibuat, gunakan get-resource-share-associations.

Kelompok keamanan sekarang dibagikan.

Berhenti membagikan grup keamanan

Bagian ini menjelaskan cara menggunakan AWS Management Console dan AWS CLI menghentikan berbagi grup keamanan dengan akun lain di Organisasi Anda.

AWS Management Console
Untuk berhenti berbagi grup keamanan

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi sebelah kiri, pilih Grup keamanan.

  3. Pilih grup keamanan untuk melihat detailnya.

  4. Pilih tab Berbagi.

  5. Pilih berbagi sumber daya grup keamanan dan pilih Berhenti berbagi.

  6. Pilih Ya, berhenti berbagi.

Command line

Untuk berhenti berbagi grup keamanan

Hapus berbagi sumber daya dengan delete-resource-share.

Kelompok keamanan tidak lagi dibagikan. Setelah pemilik berhenti berbagi grup keamanan, berlaku aturan berikut:

  • Peserta yang ada Elastic Network Interfaces (ENIs) terus mendapatkan pembaruan aturan grup keamanan apa pun yang dibuat untuk grup keamanan yang tidak dibagikan. Tidak berbagi hanya mencegah peserta membuat asosiasi baru dengan grup yang tidak dibagikan.

  • Peserta tidak dapat lagi mengaitkan grup keamanan yang tidak dibagikan dengan yang ENIs mereka miliki.

  • Peserta dapat mendeskripsikan dan menghapus ENIs yang masih terkait dengan grup keamanan yang tidak dibagikan.

  • Jika peserta masih ENIs terkait dengan grup keamanan yang pembagiannya dibatalkan, pemilik tidak dapat menghapus grup keamanan yang pembagiannya dibatalkan. Pemilik hanya dapat menghapus grup keamanan setelah peserta memisahkan (menghapus) grup keamanan dari semua grup keamanan merekaENIs.