Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengelola tanggung jawab keamanan untuk Amazon Virtual Private Cloud
<a name="security"></a>

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon Virtual Private Cloud, lihat [AWS Layanan dalam Lingkup menurut AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku. 

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Amazon VPC. Topik berikut menunjukkan cara mengonfigurasi Amazon VPC untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya VPC Amazon Anda. 

**Topics**
+ [Pastikan perlindungan data di Amazon Virtual Private Cloud](data-protection.md)
+ [Menerapkan enkripsi VPC dalam perjalanan](vpc-encryption-controls.md)
+ [Identity and access management untuk Amazon VPC](security-iam.md)
+ [Keamanan infrastruktur di Amazon VPC](infrastructure-security.md)
+ [Kontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan](vpc-security-groups.md)
+ [Kontrol lalu lintas subnet dengan daftar kontrol akses jaringan](vpc-network-acls.md)
+ [Ketahanan di Amazon Virtual Private Cloud](disaster-recovery-resiliency.md)
+ [Validasi kepatuhan untuk Amazon Virtual Private Cloud](VPC-compliance.md)
+ [Memblokir akses publik ke VPCs dan subnet](security-vpc-bpa.md)
+ [Praktik terbaik keamanan untuk VPC Anda](vpc-security-best-practices.md)

# Pastikan perlindungan data di Amazon Virtual Private Cloud
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Virtual Private Cloud. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon VPC atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

# Pastikan privasi lalu lintas internetwork di Amazon VPC
<a name="VPC_Security"></a>

Amazon Virtual Private Cloud menyediakan fitur yang dapat Anda gunakan untuk meningkatkan dan memantau keamanan untuk virtual private cloud (VPC) Anda:
+ **Grup keamanan**: Grup keamanan memungkinkan lalu lintas masuk dan keluar tertentu pada tingkat sumber daya (seperti instans EC2). Saat meluncurkan instance, Anda dapat mengaitkannya dengan satu atau beberapa grup keamanan. Setiap instans di VPC Anda bisa menjadi milik grup keamanan yang berbeda. Jika Anda tidak menentukan grup keamanan saat meluncurkan instance, instans secara otomatis dikaitkan dengan grup keamanan default untuk VPC-nya. Untuk informasi selengkapnya, lihat [Grup keamanan](vpc-security-groups.md).
+ **Network Access Control List (ACL)**: Jaringan ACLs mengizinkan atau menolak lalu lintas masuk dan keluar tertentu di tingkat subnet. Untuk informasi selengkapnya, lihat [Kontrol lalu lintas subnet dengan daftar kontrol akses jaringan](vpc-network-acls.md).
+ **Log alur**: Log alur menangkap informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPC Anda. Anda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan individu. Data log aliran dipublikasikan ke CloudWatch Log atau Amazon S3, dan ini dapat membantu Anda mendiagnosis aturan ACL grup dan jaringan keamanan yang terlalu ketat atau terlalu permisif. Untuk informasi selengkapnya, lihat [Mencatat lalu lintas IP menggunakan VPC Flow Logs](flow-logs.md).
+ **Mirroring lalu lintas**: Anda dapat menyalin lalu lintas jaringan dari antarmuka jaringan elastis dari instans Amazon EC2. Anda kemudian dapat mengirim lalu lintas ke peralatan out-of-band keamanan dan pemantauan. Untuk informasi lebih lanjut, lihat [Panduan Mirroring Lalu Lintas](https://docs.aws.amazon.com/vpc/latest/mirroring/).

# Menerapkan enkripsi VPC dalam perjalanan
<a name="vpc-encryption-controls"></a>

Kontrol Enkripsi VPC adalah fitur keamanan dan kepatuhan yang menawarkan kontrol otoritatif terpusat untuk memantau status enkripsi arus lalu lintas Anda, membantu Anda mengidentifikasi sumber daya yang memungkinkan komunikasi cleartext, dan akhirnya memberi Anda mekanisme untuk menegakkan enkripsi saat transit di dalam dan di seluruh wilayah Anda VPCs 

Kontrol Enkripsi VPC menggunakan enkripsi lapisan aplikasi dan enkripsi bawaan dalam kemampuan transit perangkat keras sistem AWS nitro untuk memastikan penegakan enkripsi. Fitur ini juga memperluas enkripsi lapisan perangkat keras asli di luar instans Nitro modern ke layanan lain AWS termasuk Fargate, Application Load Balancer, Transit Gateways, dan banyak lainnya.

Fitur ini dirancang untuk siapa saja yang ingin memastikan visibilitas dan kontrol ke dalam status enkripsi semua lalu lintas mereka. Ini sangat berguna dalam industri, di mana enkripsi data sangat penting untuk memenuhi standar kepatuhan seperti HIPAA, FedRamp dan PCI DSS. Administrator keamanan dan arsitek cloud dapat menggunakannya untuk menjalankan enkripsi secara terpusat dalam kebijakan transit di seluruh lingkungan mereka AWS 

Fitur ini dapat digunakan dalam dua mode: mode monitor dan mode penegakan.

## Mode Kontrol Enkripsi
<a name="encryption-controls-modes"></a>

**Mode monitor**  
Dalam mode monitor, Kontrol Enkripsi memberikan visibilitas ke dalam status enkripsi arus lalu lintas antara AWS sumber daya Anda di dalam dan di seberang VPCs. Ini juga membantu Anda mengidentifikasi sumber daya VPC yang tidak menerapkan enkripsi saat transit. Anda dapat mengonfigurasi log aliran VPC Anda untuk memancarkan bidang yang diperkaya - `encryption-status` - yang memberi tahu Anda apakah lalu lintas Anda dienkripsi. Anda juga dapat menggunakan konsol atau `GetVpcResourcesBlockingEncryptionEnforcement` perintah untuk mengidentifikasi sumber daya yang tidak menerapkan enkripsi dalam perjalanan.

**catatan**  
Yang ada hanya VPCs dapat diaktifkan di Mode Monitor terlebih dahulu. Ini memberi Anda visibilitas ke sumber daya yang memungkinkan lalu lintas cleartext. Anda hanya dapat mengaktifkan mode penegakan pada VPC Anda setelah sumber daya ini mulai menerapkan enkripsi (atau Anda membuat pengecualian untuk mereka).

**Menegakkan modus**  
Dalam mode penegakan, Kontrol Enkripsi VPC mencegah Anda menggunakan fitur atau layanan apa pun yang memungkinkan lalu lintas tidak terenkripsi dalam batas VPC. Anda tidak dapat mengaktifkan Kontrol Enkripsi dalam mode penegakan langsung pada mode yang sudah ada VPCs. Anda harus terlebih dahulu mengaktifkan Kontrol Enkripsi dalam mode monitor, mengidentifikasi dan memodifikasi sumber daya yang tidak sesuai untuk menegakkan enkripsi saat transit dan kemudian mengaktifkan mode penegakan. Namun Anda dapat mengaktifkan Kontrol Enkripsi dalam mode penerapan untuk yang baru VPCs selama pembuatan.

Saat diaktifkan, mode terapkan mencegah Anda membuat atau melampirkan sumber daya VPC yang tidak terenkripsi seperti instans EC2 lama yang tidak mendukung enkripsi bawaan asli, atau gateway internet, dll. Jika Anda ingin menjalankan sumber daya yang tidak sesuai dalam VPC yang diberlakukan enkripsi, Anda harus membuat pengecualian untuk sumber daya tersebut.

## Memantau status Enkripsi Arus Lalu Lintas
<a name="monitoring-encryption-status"></a>

Anda dapat mengaudit status enkripsi arus lalu lintas di dalam VPC menggunakan `encryption-status` bidang di Log Aliran VPC Anda. Itu dapat memiliki nilai-nilai berikut:
+ `0`= tidak dienkripsi
+ `1`= nitro-enkripsi (dikelola oleh Kontrol Enkripsi VPC)
+ `2`= aplikasi terenkripsi 
  +  mengalir pada port TCP 443 untuk titik akhir antarmuka ke layanan\$1 AWS  
  +  mengalir pada port TCP 443 untuk titik akhir gateway \$1 
  +  mengalir ke cluster Redshift terenkripsi melalui titik akhir VPC \$1\$1 
+ `3`= baik nitro DAN aplikasi dienkripsi
+ `(-)`= Status Enkripsi Tidak diketahui atau kontrol enkripsi VPC tidak aktif

**Catatan:**

\$1 Untuk antarmuka dan titik akhir gateway, AWS tidak melihat data paket untuk menentukan status enkripsi, kami malah mengandalkan port yang digunakan untuk mengasumsikan status enkripsi.

\$1\$1 Untuk titik akhir AWS terkelola yang AWS ditentukan, tentukan status enkripsi berdasarkan persyaratan untuk TLS dalam konfigurasi layanan.

**Batasan VPC Flow Log**
+ Untuk mengaktifkan log aliran untuk Kontrol Enkripsi VPC, Anda perlu membuat log aliran baru dengan bidang status enkripsi secara manual. Bidang enkripsi status tidak secara otomatis ditambahkan ke log aliran yang ada.
+ Disarankan untuk menambahkan bidang \$1 \$1traffic-path\$1 dan \$1 \$1flow-direction\$1 ke log aliran untuk informasi lebih rinci di log aliran.

  Contoh:

  ```
  aws ec2 create-flow-logs \
  --resource-type VPC \
  --resource-ids vpc-12345678901234567 \
  --traffic-type ALL \
  --log-group-name my-flow-logs \
  --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
  --log-format '${encryption-status} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${traffic-path} ${flow-direction} ${reject-reason}'
  ```

## Pengecualian Kontrol Enkripsi VPC
<a name="vpc-encryption-controls-exclusions"></a>

Kontrol enkripsi VPC menerapkan mode mengharuskan semua sumber daya Anda di VPC menegakkan enkripsi. Ini memastikan enkripsi AWS di dalam suatu wilayah. Namun, Anda mungkin memiliki sumber daya seperti gateway internet, gateway NAT, atau gateway pribadi virtual yang memungkinkan konektivitas di luar jaringan tempat Anda bertanggung jawab untuk mengonfigurasi dan memelihara AWS end-to-end enkripsi. Untuk menjalankan sumber daya ini dalam enkripsi yang diberlakukan VPCs, Anda dapat membuat pengecualian sumber daya. Pengecualian menciptakan pengecualian yang dapat diaudit untuk sumber daya di mana pelanggan bertanggung jawab untuk memelihara enkripsi (biasanya pada lapisan aplikasi).

Hanya ada 8 pengecualian yang didukung untuk Kontrol Enkripsi VPC. Jika Anda memiliki sumber daya ini di VPC dan ingin pindah ke mode penegakan, Anda harus menambahkan pengecualian ini saat beralih dari monitor ke mode penerapan. Tidak ada sumber daya lain yang dapat dikecualikan. Anda dapat memigrasikan VPC untuk menerapkan mode dengan membuat pengecualian untuk sumber daya ini. Anda bertanggung jawab atas enkripsi arus lalu lintas ke dan dari sumber daya ini
+ Internet Gateway
+ Gerbang NAT
+ Internet Gateway khusus Egress
+ Koneksi VPC Peering ke enkripsi tidak diberlakukan VPCs (lihat bagian dukungan peering VPC untuk skenario terperinci)
+ Gerbang Pribadi Virtual
+ Fungsi Lambda di dalam VPC Anda
+ Kisi VPC
+ Sistem File Elastis

## Alur kerja implementasi
<a name="implementation-workflow"></a>

1. **Aktifkan pemantauan** - Buat kontrol enkripsi VPC dalam mode monitor

1. **Menganalisis lalu lintas** - Tinjau Log Aliran untuk memantau status enkripsi arus lalu lintas

1. **Analisis Sumber Daya** - Gunakan konsol atau `GetVpcResourcesBlockingEncryptionEnforcement` perintah untuk mengidentifikasi sumber daya yang tidak menegakkan enkripsi dalam perjalanan.

1. **Siapkan [Opsional]** - Rencanakan migrasi sumber daya dan pengecualian yang diperlukan jika Anda ingin mengaktifkan mode terapkan

1. **Menegakkan [Opsional]** - Beralih ke mode penerapan dengan pengecualian yang diperlukan dikonfigurasi

1. **Audit** - Pemantauan kepatuhan yang sedang berlangsung melalui Flow Logs

Untuk petunjuk penyiapan terperinci, lihat blog [Memperkenalkan kontrol enkripsi VPC: menerapkan enkripsi saat transit di dalam dan VPCs di seluruh wilayah](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).

## Status Kontrol Enkripsi VPC
<a name="vpc-encryption-controls-states"></a>

Kontrol Enkripsi VPC dapat memiliki salah satu status berikut:

**menciptakan**  
Kontrol enkripsi VPC sedang dibuat di VPC.

**modify-in-progress**  
Kontrol Enkripsi VPC sedang dimodifikasi pada VPC

**menghapus**  
Kontrol Enkripsi VPC sedang dihapus pada VPC

**tersedia**  
Kontrol Enkripsi VPC berhasil menerapkan mode monitor atau menerapkan mode pada VPC

## AWS dukungan layanan dan kompatibilitas
<a name="aws-service-support-compatibility"></a>

Agar sesuai dengan enkripsi, sumber daya harus selalu menerapkan enkripsi dalam perjalanan, baik di lapisan perangkat keras atau di lapisan aplikasi. Untuk sebagian besar sumber daya, tidak ada tindakan yang diperlukan dari Anda.

### Layanan dengan kepatuhan otomatis
<a name="services-automatic-compliance"></a>

Sebagian besar AWS layanan yang didukung oleh PrivateLink, termasuk Cross-Region PrivateLinks akan menerima lalu lintas yang dienkripsi di lapisan aplikasi. Anda tidak diharuskan untuk membuat perubahan apa pun pada sumber daya ini. AWS secara otomatis menjatuhkan lalu lintas yang tidak application-layer-encrypted. Beberapa pengecualian termasuk kluster Redshift (baik yang disediakan maupun tanpa server - di mana Anda perlu memigrasikan sumber daya yang mendasarinya secara manual)

### Sumber daya yang bermigrasi secara otomatis
<a name="resources-migrate-automatically"></a>

Network Load Balancers, Application Load Balancers, Fargate cluster, EKS Control Plane akan secara otomatis bermigrasi ke perangkat keras yang secara native mendukung enkripsi setelah Anda mengaktifkan mode monitor. Anda tidak diharuskan untuk memodifikasi sumber daya ini. AWS menangani migrasi secara otomatis.

### Sumber daya yang membutuhkan migrasi manual
<a name="resources-requiring-manual-migration"></a>

Sumber daya dan layanan VPC tertentu mengharuskan Anda memilih jenis instans yang mendasarinya. Semua instans EC2 modern mendukung enkripsi dalam perjalanan. Anda tidak perlu melakukan perubahan apa pun jika layanan Anda sudah menggunakan instans EC2 modern. Anda dapat menggunakan konsol atau GetVpcResourcesBlockingEncryptionEnforcement perintah untuk mengidentifikasi apakah salah satu layanan ini menggunakan instance lama. Jika Anda mengidentifikasi sumber daya tersebut, Anda harus memutakhirkannya ke salah satu instans EC2 modern yang mendukung enkripsi asli perangkat keras sistem nitro. Layanan ini mencakup Instans EC2, Grup Auto Scaling, RDS (Semua Database dan Dokumen-DB), Elasticache Provisioned, Amazon Redshift Provisioned Clusters, EKS, ECS-EC2, Provisioned dan EMR. OpenSearch 

**Sumber daya yang kompatibel:**  
Sumber daya berikut kompatibel dengan Kontrol Enkripsi VPC:
+ [Instans EC2 berbasis Nitro](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit)
+ Network Load Balancers (dengan keterbatasan)
+ Application Load Balancer
+ AWS Cluster Fargate
+ Amazon Elastic Kubernetes Service (EKS)
+ Amazon EC2 Auto Scaling Groups
+ Amazon Relational Database Service (RDS - Semua Database)
+  ElastiCache Cluster berbasis node Amazon
+ Cluster Amazon Redshift yang Disediakan dan Tanpa Server
+ Amazon Elastic Container Service (ECS) - instans kontainer EC2
+  OpenSearch Layanan Amazon
+ Amazon Elastis MapReduce (EMR)
+ Amazon Managed Streaming for Apache Kafka (Amazon MSK)
+ Kontrol Enkripsi VPC memberlakukan enkripsi pada lapisan aplikasi untuk semua AWS layanan yang diakses melalui. PrivateLink Lalu lintas apa pun yang tidak dienkripsi pada lapisan aplikasi dijatuhkan oleh PrivateLink titik akhir yang dihosting di dalam VPC dengan kontrol Enkripsi dalam mode penegakan

### Batasan khusus layanan
<a name="service-specific-limitations"></a>

**Batasan Network Load Balancer**  
Konfigurasi TLS: Anda tidak dapat menggunakan pendengar TLS untuk menurunkan pekerjaan enkripsi dan dekripsi ke penyeimbang beban Anda saat menerapkan Kontrol Enkripsi pada VPC yang berisi. Namun Anda dapat mengonfigurasi target Anda untuk melakukan enkripsi dan dekripsi TLS

**Redshift Disediakan dan Tanpa Server**  
Pelanggan tidak dapat pindah ke mode Enforce pada VPC yang memiliki klaster/endpoint yang ada. Untuk menggunakan Kontrol Enkripsi VPC dengan Redshift, Anda harus memulihkan klaster atau namespace Anda dari snapshot. Untuk Provisioned Clusters, buat snapshot dari kluster Redshift yang ada, lalu pulihkan dari snapshot menggunakan operasi restore from cluster snapshot. Untuk Tanpa Server, buat snapshot dari namespace yang ada, lalu pulihkan dari snapshot menggunakan operasi restore from snapshot pada workgroup tanpa server Anda. Perhatikan bahwa Kontrol Enkripsi VPC tidak dapat diaktifkan pada cluster atau ruang nama yang ada tanpa melakukan proses snapshot dan restore. Lihat [dokumentasi Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/welcome.html) untuk pembuatan snapshot.

**Amazon MSK (Streaming terkelola untuk Apache Kafka)**  
Fungsionalitas ini didukung dalam cluster baru untuk 4.1 di VPC mereka sendiri. Langkah-langkah berikut akan membantu Anda menggunakan Enkripsi VPC dengan MSK.
+ Pelanggan mengaktifkan Enkripsi VPC pada VPC tanpa kluster MSK lainnya
+ Pelanggan membuat cluster dengan Kafka versi 4.1 dan instancetype sebagai m7g

### Batasan regional dan zona
<a name="regional-zone-limitations"></a>
+ **Subnet Zona Lokal**: Tidak didukung dalam mode penegakan - harus dihapus dari VPC

### Dukungan peering VPC
<a name="vpc-peering-support"></a>

Untuk memastikan enkripsi dalam perjalanan dengan VPC mengintip di antara keduanya VPCs, keduanya VPCs harus berada di wilayah yang sama dan memiliki kontrol enkripsi diaktifkan dalam mode penegakan tanpa pengecualian apa pun. Anda harus membuat pengecualian peering jika Anda ingin mengintip VPC yang diberlakukan enkripsi ke VPC lain yang berada di wilayah lain atau tidak memiliki kontrol enkripsi yang diaktifkan dalam mode penegakan (tanpa pengecualian).

Jika dua VPCs berada dalam mode penegakan dan mengintip satu sama lain, Anda tidak dapat mengubah mode dari menegakkan ke monitor. Anda harus membuat pengecualian peering terlebih dahulu, sebelum memodifikasi mode Kontrol Enkripsi VPC untuk memantau.

### Dukungan enkripsi Transit Gateway
<a name="transit-gateway-encryption-support"></a>

Anda harus mengaktifkan dukungan enkripsi pada Transit Gateway secara eksplisit untuk mengenkripsi lalu lintas antara Anda VPCs yang memiliki kontrol enkripsi diaktifkan. Mengaktifkan enkripsi pada Transit Gateway yang ada tidak mengganggu arus lalu lintas yang ada dan migrasi lampiran VPC ke jalur terenkripsi akan terjadi dengan mulus dan otomatis. Lalu lintas antara dua VPCs dalam mode penegakan (tanpa pengecualian) melalui Transit Gateway melintasi 100% jalur terenkripsi. Enkripsi pada Transit Gateway juga memungkinkan Anda untuk menghubungkan dua VPCs yang berada dalam mode Kontrol Enkripsi yang berbeda juga. Anda harus menggunakannya ketika Anda ingin menerapkan kontrol enkripsi di VPC yang terhubung ke VPC. non-encryption-enforced Dalam skenario seperti itu, semua lalu lintas Anda di dalam VPC yang diberlakukan enkripsi, termasuk lalu lintas antar-VPC dienkripsi. Lalu lintas antar-VPC dienkripsi antara sumber daya dalam VPC yang diberlakukan enkripsi dan Transit Gateway. Di luar itu, enkripsi tergantung pada sumber daya yang akan dituju lalu lintas di VPC yang tidak ditegakkan dan tidak dijamin akan dienkripsi (karena VPC tidak dalam mode penegakan). Semua VPCs harus berada di wilayah yang sama. (lihat detailnya [di sini](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html)).

![\[Arus lalu lintas antara VPCs dengan status kontrol enkripsi yang berbeda\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/vpc-enc-control-arch.png)

+ Dalam diagram ini, VPC 1, VPC 2 dan VPC3 memiliki kontrol enkripsi dalam mode penegakan dan mereka terhubung ke VPC 4 yang memiliki Kontrol Enkripsi berjalan dalam mode monitor.
+ Semua lalu lintas antara VPC1, VPC2 dan VPC3 akan dienkripsi.
+ Untuk menguraikan, setiap lalu lintas antara sumber daya di VPC 1 dan sumber daya di VPC 4 akan dienkripsi hingga Transit Gateway menggunakan enkripsi yang ditawarkan oleh perangkat keras sistem nitro. Di luar itu status enkripsi tergantung pada sumber daya di VPC 4 dan tidak dijamin akan dienkripsi.

Untuk detail selengkapnya tentang dukungan enkripsi Transit Gateway, lihat [dokumentasi gateway transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-encryption-support.html).

## Harga
<a name="pricing"></a>

Untuk informasi harga, lihat Harga [Amazon VPC](https://aws.amazon.com/vpc/pricing/).

## AWS CLI referensi perintah
<a name="cli-commands-reference"></a>

### Penyiapan dan konfigurasi
<a name="setup-configuration"></a>
+ [aws ec2 create-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-encryption-control.html)
+ [aws ec2 modify-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-encryption-control.html)
+ [aws ec2 tgw modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html)

### Pemantauan dan pemecahan masalah
<a name="monitoring-troubleshooting"></a>
+ [aws ec2 describe-vpc-encryption-controls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-encryption-controls.html)
+ [aws ec2 get-vpc-resources-blocking -enkripsi-penegakan](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpc-resources-blocking-encryption-enforcement.html)
+ [aws ec2 create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)
+ [aws ec2 describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)
+ [kueri log aws](https://docs.aws.amazon.com/cli/latest/reference/logs/query.html)

### Pembersihan
<a name="cleanup"></a>
+ [aws ec2 delete-vpc-encryption-control](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-encryption-control.html)

## Sumber daya tambahan
<a name="additional-resources"></a>

Untuk petunjuk penyiapan terperinci, lihat blog [Memperkenalkan kontrol enkripsi VPC: menerapkan enkripsi saat transit di dalam dan VPCs di seluruh wilayah](https://aws.amazon.com/blogs/aws/introducing-vpc-encryption-controls-enforce-encryption-in-transit-within-and-across-vpcs-in-a-region).

Untuk informasi API yang lebih detail, lihat [Panduan Referensi API EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/Welcome.html).

# Identity and access management untuk Amazon VPC
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengendalikan siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya Amazon VPC. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi menggunakan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana cara Amazon VPC bekerja sama dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan Amazon VPC](vpc-policy-examples.md)
+ [Pecahkan masalah identitas dan akses Amazon VPC](security_iam_troubleshoot.md)
+ [AWS kebijakan terkelola untuk Amazon Virtual Private Cloud](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk VPC](using-service-linked-roles.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda, tergantung pada pekerjaan yang Anda lakukan di Amazon VPC.

**Pengguna layanan** – Jika Anda menggunakan layanan Amazon VPC untuk melakukan tugas, maka administrator Anda akan memberikan kredensial dan izin yang dibutuhkan. Saat Anda menggunakan lebih banyak fitur di Amazon VPC untuk melakukan pekerjaan, Anda mungkin memerlukan izin tambahan. Memahami bagaimana akses yang dikelola dapat membantu Anda untuk meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur di Amazon VPC, lihat [Pecahkan masalah identitas dan akses Amazon VPC](security_iam_troubleshoot.md).

**Administrator layanan** – Jika Anda bertanggung jawab atas sumber daya Amazon VPC di perusahaan Anda, Anda mungkin memiliki akses penuh ke Amazon VPC. Anda bertanggung jawab untuk menentukan fitur-fitur Amazon VPC dan sumber daya mana yang dapat diakses oleh karyawan Anda. Anda harus mengirimkan permintaan ke administrator IAM Anda untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep dasar IAM. Untuk mempelajari selengkapnya tentang bagaimana perusahaan Anda dapat menggunakan IAM dengan Amazon VPC, lihat [Bagaimana cara Amazon VPC bekerja sama dengan IAM](security_iam_service-with-iam.md).

**Administrator IAM** – Jika Anda seorang administrator IAM, Anda mungkin ingin mempelajari detail tentang bagaimana Anda dapat menulis kebijakan untuk mengelola akses ke Amazon VPC. Untuk melihat contoh kebijakan, lihat [Contoh kebijakan Amazon VPC](vpc-policy-examples.md).

## Mengautentikasi menggunakan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensyal identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensyal dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensyal. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensyal sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Daftar kontrol akses (ACLs)
<a name="security_iam_access-manage-acl"></a>

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana cara Amazon VPC bekerja sama dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon EKS, Anda harus memahami fitur-fitur IAM apa saja yang tersedia untuk digunakan bersama Amazon VPC. *Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon VPC dan layanan AWS lainnya dengan IAM, [AWS lihat layanan yang bekerja dengan IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM.*

**Topics**
+ [Tindakan](#security_iam_service-with-iam-id-based-policies-actions)
+ [Sumber daya](#security_iam_service-with-iam-id-based-policies-resources)
+ [Kunci syarat](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [kebijakan berbasis sumber daya Amazon VPC](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tanda](#security_iam_service-with-iam-tags)
+ [Peran IAM](#security_iam_service-with-iam-roles)

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan yang diizinkan atau ditolak. Untuk beberapa tindakan, Anda dapat menentukan sumber daya dan syarat apakah suatu tindakan diizinkan atau ditolak. Amazon VPC men-support tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

## Tindakan
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam sebuah kebijakan untuk memberikan izin pelaksanaan operasi terkait.

Amazon VPC berbagi namespace API dengan Amazon EC2. Tindakan kebijakan di Amazon VPC menggunakan prefiks berikut ini sebelum tindakan: `ec2:`. Misalnya, untuk memberikan izin kepada pengguna untuk membuat VPC menggunakan operasi `CreateVpc` API, Anda memberikan akses ke tindakan tersebut`ec2:CreateVpc`. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti yang ditunjukkan dalam contoh berikut.

```
"Action": [
      "ec2:action1",
      "ec2:action2"
]
```

Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut. 

```
"Action": "ec2:Describe*"
```

*Untuk melihat daftar tindakan Amazon VPC, lihat [Tindakan yang ditentukan oleh Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) di Referensi Otorisasi Layanan.*

## Sumber daya
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Sumber daya VPC memiliki ARN yang ditunjukkan dalam contoh berikut.

```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```

Misalnya, untuk menentukan VPC `vpc-1234567890abcdef0` dalam pernyataan Anda, gunakan ARN yang ditunjukkan dalam contoh berikut ini.

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```

Untuk menentukan semua VPCs di Wilayah tertentu yang termasuk dalam akun tertentu, gunakan wildcard (\$1).

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```

Beberapa tindakan Amazon VPC, seperti membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).

```
"Resource": "*"
```

Banyak tindakan API Amazon EC2 yang melibatkan beberapa sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma. 

```
"Resource": [
      "resource1",
      "resource2"
]
```

*Untuk melihat daftar jenis sumber daya Amazon VPC dan jenisnya ARNs, lihat Jenis sumber daya yang [ditentukan oleh Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies) di Referensi Otorisasi Layanan.*

## Kunci syarat
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Semua tindakan Amazon EC2 mendukung kunci syarat `aws:RequestedRegion` dan `ec2:Region`. Untuk informasi selengkapnya, lihat [Contoh: Membatasi akses ke Wilayah tertentu](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).

Amazon VPC menentukan pengaturan kunci syaratnya sendiri dan juga men-support penggunaan beberapa kunci syarat global. *Untuk melihat daftar kunci kondisi Amazon VPC, lihat Kunci kondisi [untuk Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys) di Referensi Otorisasi Layanan.* Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions).

## kebijakan berbasis sumber daya Amazon VPC
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada sumber daya Amazon VPC dan dengan syarat apa.

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau entitas IAM di akun lain sebagai [prinsipal di kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Menambahkan principal akun silang ke kebijakan berbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya berada di AWS akun yang berbeda, Anda juga harus memberikan izin entitas utama untuk mengakses sumber daya. Berikan izin dengan melampirkan kebijakan berbasis identitas ke entitas tersebut. Namun, jika kebijakan berbasis sumber daya memberikan akses ke principal dalam akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Otorisasi berdasarkan tanda
<a name="security_iam_service-with-iam-tags"></a>

Anda dapat melampirkan tag ke sumber daya Amazon VPC atau meneruskan tag dalam sebuah permintaan. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) kebijakan menggunakan kunci kondisi. Untuk informasi selengkapnya, lihat [Memberikan izin untuk menandai sumber daya selama pembuatan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html) di *Panduan Pengguna Amazon EC2*.

Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Meluncurkan instans ke VPC tertentu](vpc-policy-examples.md#subnet-ami-example-iam).

## Peran IAM
<a name="security_iam_service-with-iam-roles"></a>

[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.

### Gunakan kredensial sementara
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 

Amazon VPC men-support penggunaan kredensial sementara. 

### Peran terkait layanan
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat menyunting izin untuk peran tertaut layanan.

[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html) men-support peran yang tertaut dengan layanan. 

### Peran layanan
<a name="security_iam_service-with-iam-roles-service"></a>

Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

Amazon VPC men-support peran layanan untuk log alur. Saat membuat log alur, Anda harus memilih peran yang memungkinkan layanan flow CloudWatch logs mengakses Log. Untuk informasi selengkapnya, lihat [Peran IAM untuk menerbitkan log alur ke CloudWatch Log](flow-logs-iam-role.md).

# Contoh kebijakan Amazon VPC
<a name="vpc-policy-examples"></a>

Secara default, peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya VPC. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin peran untuk melakukan operasi API tertentu pada sumber daya tertentu yang mereka butuhkan. Administrator kemudian harus melampirkan kebijakan tersebut ke peran IAM yang memerlukan izin tersebut.

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor).*

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Gunakan konsol Amazon VPC](#security_iam_id-based-policy-examples-console)
+ [Buat sebuah VPC dengan subnet publik](#vpc-public-subnet-iam)
+ [Modifikasi dan hapus sumber daya VPC](#modify-vpc-resources-iam)
+ [Mengelola grup keamanan](#vpc-security-groups-iam)
+ [Mengelola aturan grup keamanan](#vpc-security-group-rules-iam)
+ [Luncurkan instans ke dalam subnet tertentu](#subnet-sg-example-iam)
+ [Meluncurkan instans ke VPC tertentu](#subnet-ami-example-iam)
+ [Memblokir akses publik ke VPCs dan subnet](#vpc-bpa-example-iam)
+ [Contoh kebijakan Amazon VPC tambahan](#security-iam-additional-examples)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon VPC di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Gunakan konsol Amazon VPC
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses konsol Amazon VPC, Anda harus memiliki satu set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya VPC Amazon di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk entitas (peran IAM) dengan kebijakan tersebut.

Kebijakan berikut memberikan izin peran untuk mencantumkan sumber daya di konsol VPC, tetapi tidak untuk membuat, memperbarui, atau menghapusnya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeClassicLinkInstances",
                "ec2:DescribeClientVpnEndpoints",
                "ec2:DescribeCustomerGateways",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeEgressOnlyInternetGateways",
                "ec2:DescribeFlowLogs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeManagedPrefixLists",
                "ec2:DescribeMovingAddresses",
                "ec2:DescribeNatGateways",
                "ec2:DescribeNetworkAcls",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePrefixLists",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroupReferences",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeStaleSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeTags",
                "ec2:DescribeTrafficMirrorFilters",
                "ec2:DescribeTrafficMirrorSessions",
                "ec2:DescribeTrafficMirrorTargets",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeTransitGatewayVpcAttachments",
                "ec2:DescribeTransitGatewayRouteTables",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcClassicLink",
                "ec2:DescribeVpcClassicLinkDnsSupport",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcEndpointConnectionNotifications",
                "ec2:DescribeVpcEndpointConnections",
                "ec2:DescribeVpcEndpointServiceConfigurations",
                "ec2:DescribeVpcEndpointServicePermissions",
                "ec2:DescribeVpcEndpointServices",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpnConnections",
                "ec2:DescribeVpnGateways",
                "ec2:GetManagedPrefixListAssociations",
                "ec2:GetManagedPrefixListEntries"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Anda tidak perlu mengizinkan izin konsol minimum untuk peran yang membuat panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang cocok dengan operasi API yang perlu dilakukan peran.

## Buat sebuah VPC dengan subnet publik
<a name="vpc-public-subnet-iam"></a>

Contoh berikut memungkinkan peran untuk membuat VPCs, subnet, tabel rute, dan gateway internet. Peran juga dapat melampirkan gateway internet ke VPC dan membuat rute dalam tabel rute. `ec2:ModifyVpcAttribute`Tindakan ini memungkinkan peran untuk mengaktifkan nama host DNS untuk VPC, sehingga setiap instance yang diluncurkan ke VPC menerima nama host DNS.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:CreateVpc", 
        "ec2:CreateSubnet", 
        "ec2:DescribeAvailabilityZones",
        "ec2:CreateRouteTable", 
        "ec2:CreateRoute", 
        "ec2:CreateInternetGateway", 
        "ec2:AttachInternetGateway", 
        "ec2:AssociateRouteTable", 
        "ec2:ModifyVpcAttribute"
      ],
      "Resource": "*"
    }
   ]
}
```

------

Kebijakan sebelumnya juga memungkinkan peran untuk membuat VPC di konsol VPC Amazon.

## Modifikasi dan hapus sumber daya VPC
<a name="modify-vpc-resources-iam"></a>

Anda mungkin ingin mengontrol sumber daya VPC yang dapat dimodifikasi atau dihapus oleh peran. Misalnya, kebijakan berikut memungkinkan peran untuk bekerja dengan dan menghapus tabel rute yang memiliki tag`Purpose=Test`. Kebijakan ini juga menetapkan bahwa peran hanya dapat menghapus gateway internet yang memiliki tag. `Purpose=Test` Peran tidak dapat bekerja dengan tabel rute atau gateway internet yang tidak memiliki tag ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteInternetGateway",
            "Resource": "arn:aws:ec2:*:*:internet-gateway/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Purpose": "Test"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteRouteTable",
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:route-table/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Purpose": "Test"
                }
            }
        }
    ]
}
```

------

## Mengelola grup keamanan
<a name="vpc-security-groups-iam"></a>

Kebijakan berikut memungkinkan peran untuk mengelola grup keamanan. Pernyataan pertama memungkinkan peran untuk menghapus grup keamanan apa pun dengan tag `Stack=test` dan untuk mengelola aturan masuk dan keluar untuk grup keamanan apa pun dengan tag. `Stack=test` Pernyataan kedua membutuhkan peran untuk menandai grup keamanan apa pun yang mereka buat dengan tag`Stack=Test`. Pernyataan ketiga memungkinkan peran untuk membuat tag saat membuat grup keamanan. Pernyataan keempat memungkinkan peran untuk melihat kelompok keamanan dan aturan grup keamanan apa pun. Pernyataan kelima memungkinkan peran untuk membuat grup keamanan dalam VPC.

**catatan**  
Kebijakan ini tidak dapat digunakan oleh AWS CloudFormation layanan untuk membuat grup keamanan dengan tag yang diperlukan. Jika Anda menghapus kondisi pada `ec2:CreateSecurityGroup` tindakan yang memerlukan tag, kebijakan akan berfungsi.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:DeleteSecurityGroup",
                "ec2:ModifySecurityGroupRules",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Stack": "test"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateSecurityGroup",
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Stack": "test"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "Stack"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:security-group/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateSecurityGroup"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeVpcs",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateSecurityGroup",
            "Resource": "arn:aws:ec2:*:*:vpc/*"
        }
    ]
}
```

------

Untuk mengizinkan peran mengubah grup keamanan yang terkait dengan instance, tambahkan `ec2:ModifyInstanceAttribute` tindakan tersebut ke kebijakan Anda.

Untuk mengizinkan peran mengubah grup keamanan untuk antarmuka jaringan, tambahkan `ec2:ModifyNetworkInterfaceAttribute` tindakan ke kebijakan Anda.

## Mengelola aturan grup keamanan
<a name="vpc-security-group-rules-iam"></a>

Kebijakan berikut memberikan izin peran untuk melihat semua grup keamanan dan aturan grup keamanan, menambah dan menghapus aturan masuk dan keluar untuk grup keamanan untuk VPC tertentu, dan mengubah deskripsi aturan untuk VPC tertentu. Pernyataan pertama menggunakan kunci syarat `ec2:Vpc` untuk membatasi cakupan izin untuk VPC tertentu. 

Pernyataan kedua memberikan izin peran untuk menjelaskan semua grup keamanan, aturan grup keamanan, dan tag. Ini memungkinkan peran untuk melihat aturan grup keamanan untuk memodifikasinya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:ModifySecurityGroupRules"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:security-group/*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeTags"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifySecurityGroupRules"
            ],
            "Resource": "arn:aws:ec2:us-east-1:123456789012:security-group-rule/*"
        }
    ]
}
```

------

## Luncurkan instans ke dalam subnet tertentu
<a name="subnet-sg-example-iam"></a>

Kebijakan berikut memberikan izin peran untuk meluncurkan instans ke subnet tertentu dan menggunakan grup keamanan tertentu dalam permintaan. Kebijakan melakukan ini dengan menentukan ARN untuk subnet dan ARN untuk kelompok keamanan. Jika peran mencoba meluncurkan instance ke subnet yang berbeda atau menggunakan grup keamanan yang berbeda, permintaan akan gagal (kecuali kebijakan atau pernyataan lain memberikan izin peran untuk melakukannya).

Kebijakan ini juga memberikan izin untuk menggunakan sumber daya antarmuka jaringan. Saat meluncurkan ke subnet, `RunInstances` permintaan membuat antarmuka jaringan utama secara default, sehingga peran tersebut memerlukan izin untuk membuat sumber daya ini saat meluncurkan instance.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:us-east-1::image/ami-*",
                "arn:aws:ec2:us-east-1:123456789012:instance/*",
                "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-1234567890abcdef0",
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:volume/*",
                "arn:aws:ec2:us-east-1:123456789012:key-pair/*",
                "arn:aws:ec2:us-east-1:123456789012:security-group/sg-0abcdef1234567890"
            ]
        }
    ]
}
```

------

## Meluncurkan instans ke VPC tertentu
<a name="subnet-ami-example-iam"></a>

Kebijakan berikut memberikan izin peran untuk meluncurkan instance ke subnet apa pun dalam VPC tertentu. Kebijakan tersebut dapat berbuat demikian dengan menerapkan kunci syarat (`ec2:Vpc`) ke sumber daya subnet. 

Kebijakan ini juga memberikan izin peran untuk meluncurkan instance hanya menggunakan AMIs yang memiliki tag "”`department=dev`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:us-east-1:123456789012:subnet/*",
            "Condition": {
                "ArnEquals": {
                    "ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:us-east-1::image/ami-*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/department": "dev"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:us-east-1:123456789012:instance/*",
                "arn:aws:ec2:us-east-1:123456789012:volume/*",
                "arn:aws:ec2:us-east-1:123456789012:network-interface/*",
                "arn:aws:ec2:us-east-1:123456789012:key-pair/*",
                "arn:aws:ec2:us-east-1:123456789012:security-group/*"
            ]
        }
    ]
}
```

------

## Memblokir akses publik ke VPCs dan subnet
<a name="vpc-bpa-example-iam"></a>

Contoh kebijakan berikut memberikan izin peran untuk bekerja dengan [fitur VPC Block Public Access (BPA)](security-vpc-bpa.md) untuk memblokir akses publik ke sumber daya dan subnet. VPCs 

Contoh 1 - Izinkan akses hanya-baca ke pengaturan seluruh akun VPC BPA dan pengecualian VPC BPA.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VPCBPAReadOnlyAccess",
      "Action": [
        "ec2:DescribeVpcBlockPublicAccessOptions",
        "ec2:DescribeVpcBlockPublicAccessExclusions"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

Contoh 2 - Izinkan akses baca dan tulis penuh ke pengaturan seluruh akun VPC BPA dan pengecualian VPC BPA.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VPCBPAFullAccess",
      "Action": [
        "ec2:DescribeVpcBlockPublicAccessOptions",
        "ec2:DescribeVpcBlockPublicAccessExclusions",
        "ec2:ModifyVpcBlockPublicAccessOptions",
        "ec2:CreateVpcBlockPublicAccessExclusion",
        "ec2:ModifyVpcBlockPublicAccessExclusion",
        "ec2:DeleteVpcBlockPublicAccessExclusion"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

Contoh 3 - Izinkan akses ke semua EC2 APIs kecuali memodifikasi pengaturan VPC BPA dan membuat pengecualian.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EC2FullAccess",
            "Action": [
                "ec2:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Sid": "VPCBPAPartialAccess",
            "Action": [
                "ec2:ModifyVpcBlockPublicAccessOptions",
                "ec2:CreateVpcBlockPublicAccessExclusion"
            ],
            "Effect": "Deny",
            "Resource": "*"
        }
    ]
}
```

------

## Contoh kebijakan Amazon VPC tambahan
<a name="security-iam-additional-examples"></a>

Anda dapat menemukan contoh tambahan kebijakan IAM yang terkait dengan Amazon VPC dalam dokumentasi berikut:
+ [Daftar awalan terkelola](managed-prefix-lists.md#managed-prefix-lists-iam)
+ [Pencerminan lalu lintas](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html)
+ [Gerbang transit](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies)
+ [Titik akhir VPC dan layanan titik akhir VPC ()AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_id-based-policy-examples.html)
+ [Pengintip VPC](https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html)

# Pecahkan masalah identitas dan akses Amazon VPC
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan mengatasi masalah umum yang mungkin Anda temui saat bekerja menggunakan Amazon VPC dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Amazon VPC](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya VPC Amazon saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di Amazon VPC
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan suatu tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk melihat detail tentang subnet tetapi termasuk dalam peran IAM yang tidak memiliki izin. `ec2:DescribeSubnets`

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id
```

Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakan untuk memungkinkannya mengakses subnet.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon VPC.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi saat pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melaksanakan tindakan di Amazon VPC. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya VPC Amazon saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah Amazon VPC men-support fitur-fitur ini, lihat [Bagaimana cara Amazon VPC bekerja sama dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

# AWS kebijakan terkelola untuk Amazon Virtual Private Cloud
<a name="security-iam-awsmanpol"></a>

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

## AWS kebijakan terkelola: VPCFull Akses Amazon
<a name="security-iam-awsmanpol-AmazonVPCFullAccess"></a>

Anda dapat melampirkan kebijakan `AmazonVPCFullAccess` ke identitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan akses penuh ke Amazon VPC.

Untuk melihat izin kebijakan ini, lihat [Amazon VPCFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCFullAccess.html) di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: Amazon VPCRead OnlyAccess
<a name="security-iam-awsmanpol-AmazonVPCReadOnlyAccess"></a>

Anda dapat melampirkan kebijakan `AmazonVPCReadOnlyAccess` ke identitas IAM Anda. Kebijakan ini memberikan izin akses baca saja ke Amazon VPC.

Untuk melihat izin kebijakan ini, lihat [Amazon VPCRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReadOnlyAccess.html) di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: Amazon VPCCross AccountNetworkInterfaceOperations
<a name="security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations"></a>

Anda dapat melampirkan kebijakan `AmazonVPCCrossAccountNetworkInterfaceOperations` ke identitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan identitas untuk membuat antarmuka jaringan dan melampirkannya ke sumber daya lintas akun.

Untuk melihat izin kebijakan ini, lihat [Amazon VPCCross AccountNetworkInterfaceOperations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCCrossAccountNetworkInterfaceOperations.html) di *Referensi Kebijakan AWS Terkelola*.

## AWS kebijakan terkelola: AWSService RoleFor NATGateway
<a name="security-iam-awsmanpol-AWSServiceRoleForNATGateway"></a>

Anda dapat melampirkan kebijakan `AWSServiceRoleForNATGateway` ke identitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan identitas berfungsi atas nama Anda untuk secara otomatis menskalakan Gateway NAT regional.

Untuk melihat izin kebijakan ini, lihat [AWSServiceRoleForNATGateway ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForNATGateway.html)di *Referensi Kebijakan AWS Terkelola*.

## Amazon VPC memperbarui kebijakan terkelola AWS
<a name="security-iam-awsmanpol-updates"></a>

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon VPC sejak layanan ini mulai melacak perubahan ini pada Maret 2021.


| Ubah | Deskripsi | Tanggal | 
| --- | --- | --- | 
| [AWS kebijakan terkelola: VPCFull Akses Amazon](#security-iam-awsmanpol-AmazonVPCFullAccess) — Permbaruan ke kebijakan yang sudah ada | Tindakan ditambahkan ke kebijakan AWSIPAMService RolePolicy terkelola (ec2:ModifyManagedPrefixList,ec2:DescribeManagedPrefixLists, danec2:GetManagedPrefixListEntries) untuk mengaktifkan IPAM mengubah dan membaca daftar awalan terkelola. | Oktober 31, 2025 | 
| [AWS kebijakan terkelola: AWSService RoleFor NATGateway](#security-iam-awsmanpol-AWSServiceRoleForNATGateway) – Kebijakan baru |  AWSServiceRoleForNATGateway Kebijakan baru memungkinkan identitas untuk secara otomatis menskalakan Gateway NAT regional. | November 19, 2025 | 
| [AWS kebijakan terkelola: VPCFull Akses Amazon](#security-iam-awsmanpol-AmazonVPCFullAccess) – Pembaruan ke kebijakan yang ada | MenambahkanAssociateSecurityGroupVpc,DescribeSecurityGroupVpcAssociations, dan DisassociateSecurityGroupVpc tindakan, yang memungkinkan Anda untuk mengaitkan, memisahkan, dan melihat asosiasi grup keamanan dengan VPCs. | Desember 9, 2024 | 
| [AWS kebijakan terkelola: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Pembaruan ke kebijakan yang ada | Menambahkan DescribeSecurityGroupVpcAssociations tindakan, yang memungkinkan Anda untuk melihat asosiasi grup keamanan dengan VPCs. | Desember 9, 2024 | 
| [AWS kebijakan terkelola: VPCFull Akses Amazon](#security-iam-awsmanpol-AmazonVPCFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan GetSecurityGroupsForVpc tindakan, yang memungkinkan Anda mendapatkan grup keamanan yang dapat digunakan di VPC Anda. | Februari 8, 2024 | 
| [AWS kebijakan terkelola: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Pembaruan ke kebijakan yang ada | Menambahkan GetSecurityGroupsForVpc tindakan, yang memungkinkan Anda mendapatkan grup keamanan yang dapat digunakan di VPC Anda. | Februari 8, 2024 | 
| [AWS kebijakan terkelola: Amazon VPCCross AccountNetworkInterfaceOperations](#security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations) – Pembaruan ke kebijakan yang ada | Ditambahkan AssignIpv6Addresses dan UnassignIpv6Addresses tindakan, yang memungkinkan Anda untuk mengelola IPv6 alamat yang terkait dengan antarmuka jaringan. | 25 September 2023 | 
| [AWS kebijakan terkelola: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Pembaruan ke kebijakan yang ada | Menambahkan DescribeSecurityGroupRules tindakan, yang memungkinkan Anda untuk melihat [aturan grup keamanan](security-group-rules.md). | 2 Agustus 2021 | 
| [AWS kebijakan terkelola: VPCFull Akses Amazon](#security-iam-awsmanpol-AmazonVPCFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan DescribeSecurityGroupRules dan ModifySecurityGroupRules tindakan, yang memungkinkan Anda untuk melihat dan memodifikasi [aturan grup keamanan](security-group-rules.md). | 2 Agustus 2021 | 
| [AWS kebijakan terkelola: VPCFull Akses Amazon](#security-iam-awsmanpol-AmazonVPCFullAccess) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan untuk gateway operator, IPv6 kolam renang, gateway lokal, dan tabel rute gateway lokal. | 23 Juni 2021 | 
| [AWS kebijakan terkelola: Amazon VPCRead OnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess) – Pembaruan ke kebijakan yang ada | Menambahkan tindakan untuk gateway operator, IPv6 kolam renang, gateway lokal, dan tabel rute gateway lokal. | 23 Juni 2021 | 

# Menggunakan peran terkait layanan untuk VPC
<a name="using-service-linked-roles"></a>

[Amazon VPC menggunakan peran terkait layanan AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke VPC. Peran terkait layanan telah ditentukan sebelumnya oleh VPC dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS 

Peran terkait layanan membuat pengaturan VPC lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. VPC mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya VPC yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya VPC Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

## Izin peran terkait layanan untuk VPC
<a name="slr-permissions"></a>

VPC menggunakan peran terkait layanan yang diberi nama **AWSServiceRoleForNATGateway**— Peran terkait layanan ini memungkinkan Amazon VPC mengalokasikan alamat IP Elastis atas nama Anda untuk secara otomatis menskalakan Gateway NAT regional, untuk mengaitkan dan memisahkan IPs Elastic yang ada ke Gateway NAT regional atas permintaan Anda, dan untuk menjelaskan Antarmuka Jaringan guna mengidentifikasi infrastruktur Anda yang ada agar secara otomatis diperluas ke Availability Zone baru.

Peran AWSService RoleFor NATGateway terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `ec2-nat-gateway.amazonaws.com`

Kebijakan izin peran bernama AWSNATGateway ServiceRolePolicy memungkinkan VPC menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `AllocateAddress` pada Layanan Dikelola EIPs untuk mengalokasikan EIPs atas nama Anda. Service Managed EIPs menangani penandaan berikutnya dengan tag terkelola layanan dan ReleaseAddress secara otomatis.
+ Tindakan: `AssociateAddress` pada alamat IP Elastis Anda yang sudah ada sebelumnya untuk mengaitkannya secara manual ke NAT Gateway regional Anda sesuai permintaan Anda.
+ Tindakan: `DisassociateAddress` pada alamat IP Elastis yang sudah ada sebelumnya untuk menghapusnya dari NAT Gateway regional atas permintaan Anda.
+ Tindakan: `DescribeAddresses` untuk mendapatkan informasi Alamat IP Publik dari pelanggan yang disediakan EIPs di asosiasi.
+ Tindakan: `DescribeNetworkInterface` pada Antarmuka Jaringan yang ada untuk secara otomatis mengidentifikasi Zona Ketersediaan tempat infrastruktur Anda berada untuk secara otomatis skala keluar ke zona baru.

Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran terkait layanan untuk VPC
<a name="create-slr"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat Gateway NAT dengan Mode Ketersediaan “regional” di Konsol Manajemen AWS, API AWS CLI, atau AWS API, VPC membuat peran terkait layanan untuk Anda. 

**penting**  
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Juga, jika Anda menggunakan layanan VPC sebelum 1 Januari 2017, ketika mulai mendukung peran terkait layanan, maka VPC membuat peran di akun Anda. AWSService RoleFor NATGateway Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di saya Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat Gateway NAT dengan Mode Ketersediaan “regional”, VPC membuat peran terkait layanan untuk Anda lagi. 

Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan. **AWSServiceRoleForNATGateway** Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `ec2-nat-gateway.amazonaws.com` layanan. Untuk informasi selengkapnya, lihat [Membuat peran tertaut layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dalam *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.

## Mengedit peran terkait layanan untuk VPC
<a name="edit-slr"></a>

VPC tidak memungkinkan Anda untuk mengedit peran terkait AWSService RoleFor NATGateway layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan untuk VPC
<a name="delete-slr"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

**catatan**  
Jika layanan VPC menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

**Untuk menghapus sumber daya VPC yang digunakan oleh AWSService RoleFor NATGateway**
+ Hapus semua Gateway NAT regional di semua Wilayah di mana mereka telah digunakan.

**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleFor NATGateway terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran terkait layanan VPC
<a name="slr-regions"></a>

VPC mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).

VPC tidak mendukung penggunaan peran terkait layanan di setiap Wilayah tempat layanan tersedia. Anda dapat menggunakan AWSService RoleFor NATGateway peran di Wilayah berikut.


| Nama wilayah | Identitas wilayah | Support di VPC | 
| --- | --- | --- | 
| US East (Northern Virginia) | us-east-1 | Ya | 
| US East (Ohio) | us-east-2 | Ya | 
| US West (N. California) | us-west-1 | Ya | 
| US West (Oregon) | us-west-2 | Ya | 
| Africa (Cape Town) | af-south-1 | Ya | 
| Asia Pasifik (Hong Kong) | ap-east-1 | Ya | 
| Asia Pasifik (Taipei) | ap-timur-2 | Ya | 
| Asia Pasifik (Jakarta) | ap-southeast-3 | Ya | 
| Asia Pacific (Mumbai) | ap-south-1 | Ya | 
| Asia Pasifik (Hyderabad) | ap-south-2 | Ya | 
| Asia Pacific (Osaka) | ap-northeast-3 | Ya | 
| Asia Pacific (Seoul) | ap-northeast-2 | Ya | 
| Asia Pacific (Singapore) | ap-southeast-1 | Ya | 
| Asia Pacific (Sydney) | ap-southeast-2 | Ya | 
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya | 
| Asia Pacific (Melbourne) | ap-southeast-4 | Ya | 
| Asia Pasifik (Malaysia) | ap-southeast-5 | Ya | 
| Asia Pasifik (Selandia Baru) | ap-tenggara 6 | Ya | 
| Asia Pasifik (Thailand) | ap-tenggara 7 | Ya | 
| Canada (Central) | ca-sentral-1 | Ya | 
| Kanada Barat (Calgary) | ca-west-1 | Ya | 
| Eropa (Frankfurt) | eu-central-1 | Ya | 
| Europe (Zurich) | eu-central-2 | Ya | 
| Eropa (Irlandia) | eu-west-1 | Ya | 
| Eropa (London) | eu-west-2 | Ya | 
| Europe (Milan) | eu-south-1 | Ya | 
| Eropa (Spanyol) | eu-south-2 | Ya | 
| Europe (Paris) | eu-west-3 | Ya | 
| Eropa (Stockholm) | eu-north-1 | Ya | 
| Israel (Tel Aviv) | il-central-1 | Ya | 
| Timur Tengah (Bahrain) | me-south-1 | Ya | 
| Timur Tengah (UAE) | me-central-1 | Ya | 
| Timur Tengah (Arab Saudi) | me-west-1 | Ya | 
| Meksiko (Tengah) | mx-pusat-1 | Ya | 
| South America (São Paulo) | sa-east-1 | Ya | 
| AWS GovCloud (AS-Timur) | us-gov-east-1 | Tidak | 
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Tidak | 

# Keamanan infrastruktur di Amazon VPC
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, Amazon Virtual Private Cloud dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon VPC melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

## Isolasi jaringan
<a name="network-isolation"></a>

Virtual Private Cloud (VPC) adalah jaringan virtual di area Anda sendiri yang terisolasi secara logis di AWS Cloud. Gunakan terpisah VPCs untuk mengisolasi infrastruktur berdasarkan beban kerja atau entitas organisasi.

 subnet adalah serangkaian alamat IP di VPC. Saat Anda meluncurkan instans, Anda meluncurkan instans tersebut ke dalam subnet dalam VPC Anda. Gunakan subnet untuk melakukan isolasi terhadap jenjang-jenjang aplikasi Anda (misalnya web, aplikasi, dan basis data) dalam satu VPC. Gunakan subnet privat untuk instans Anda jika instan tersebut tidak dapat diakses secara langsung dari internet.

Anda dapat menggunakan [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/)untuk mengaktifkan sumber daya di VPC Anda untuk terhubung Layanan AWS menggunakan alamat IP pribadi, seolah-olah layanan tersebut di-host langsung di VPC Anda. Oleh karena itu, Anda tidak perlu menggunakan gateway internet atau perangkat NAT untuk mengakses Layanan AWS.

## Mengendalikan lalu lintas jaringan
<a name="control-network-traffic"></a>

Pertimbangkan opsi berikut untuk mengontrol lalu lintas jaringan ke sumber daya di VPC Anda, seperti instans EC2:
+ Gunakan [grup keamanan](vpc-security-groups.md) sebagai mekanisme utama untuk mengontrol akses jaringan ke Anda VPCs. Bila perlu, gunakan [jaringan ACLs untuk menyediakan kontrol jaringan](vpc-network-acls.md) butir kasar tanpa kewarganegaraan. Grup keamanan lebih fleksibel daripada jaringan ACLs, karena kemampuan mereka untuk melakukan penyaringan paket stateful dan membuat aturan yang merujuk kelompok keamanan lainnya. Jaringan ACLs dapat efektif sebagai kontrol sekunder (misalnya, untuk menolak subset tertentu dari lalu lintas) atau sebagai rel penjaga subnet tingkat tinggi. Juga, karena jaringan ACLs berlaku untuk seluruh subnet, mereka dapat digunakan seolah-olah defense-in-depth sebuah instance pernah diluncurkan tanpa grup keamanan yang benar.
+ Gunakan subnet privat untuk instans Anda jika instan tersebut tidak dapat diakses secara langsung dari internet. Gunakan host bastion atau gateway NAT untuk akses internet dari instance di subnet pribadi.
+ Konfigurasikan [tabel rute](VPC_Route_Tables.md) subnet dengan rute jaringan minimum untuk mendukung persyaratan konektivitas Anda.
+ Pertimbangkan untuk menggunakan grup keamanan tambahan atau antarmuka jaringan untuk mengontrol dan meng-audit lalu lintas pengelolaan instans Amazon EC2 secara terpisah dari lalu lintas aplikasi reguler. Oleh karena itu, Anda dapat menerapkan kebijakan IAM khusus untuk kontrol perubahan, sehingga lebih mudah untuk mengaudit perubahan aturan grup keamanan atau skrip verifikasi aturan otomatis. Beberapa antarmuka jaringan juga menyediakan opsi tambahan untuk mengontrol lalu lintas jaringan, termasuk kemampuan untuk membuat kebijakan perutean berbasis host atau memanfaatkan aturan perutean subnet VPC yang berbeda berdasarkan antarmuka jaringan yang ditetapkan ke subnet.
+ Gunakan AWS Virtual Private Network atau Direct Connect untuk membuat koneksi pribadi dari jaringan jarak jauh Anda ke jaringan Anda VPCs. Untuk informasi selengkapnya, lihat [Network-to-Amazon opsi konektivitas VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html).
+ Gunakan [Log Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) untuk memantau lalu lintas yang menjangkau instans Anda.
+ Gunakan [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) untuk memeriksa aksesibilitas jaringan yang tidak disengaja pada instans Anda.
+ Gunakan [AWS Network Firewall](network-firewall.md)untuk melindungi subnet di VPC Anda dari ancaman jaringan umum.

## Bandingkan grup keamanan dan jaringan ACLs
<a name="VPC_Security_Comparison"></a>

Tabel berikut merangkum perbedaan dasar antara kelompok keamanan dan jaringan ACLs.


| Karakteristik | Grup keamanan | ACL jaringan | 
| --- | --- | --- | 
| Tingkat operasi | Tingkat instans | Tingkat subnet | 
| Lingkup | Berlaku untuk semua instance yang terkait dengan grup keamanan | Berlaku untuk semua instance di subnet terkait | 
| Jenis aturan | Izinkan aturan saja | Izinkan dan tolak aturan | 
| Evaluasi aturan | Mengevaluasi semua aturan sebelum memutuskan apakah akan mengizinkan lalu lintas | Mengevaluasi aturan dalam urutan menaik sampai kecocokan untuk lalu lintas ditemukan | 
| Kembalikan lalu lintas | Diizinkan secara otomatis (stateful) | Harus diizinkan secara eksplisit (tanpa kewarganegaraan) | 

Diagram berikut menggambarkan lapisan keamanan yang disediakan oleh kelompok keamanan dan jaringan ACLs. Sebagai contoh, lalu lintas dari gateway internet dirutekan ke subnet yang sesuai menggunakan rute dalam tabel perutean. Aturan ACL jaringan yang terkait dengan kontrol subnet yang lalu lintas diperbolehkan untuk subnet. Aturan grup keamanan yang terkait dengan kontrol instans yang lalu lintasnya diizinkan untuk instans tersebut.

![\[Lalu lintas dikendalikan menggunakan grup keamanan dan jaringan ACLs\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/security-comparison.png)


Anda dapat mengamankan instans Anda hanya menggunakan grup keamanan. Namun, Anda dapat menambahkan jaringan ACLs sebagai lapisan pertahanan tambahan. Untuk informasi selengkapnya, lihat [Contoh: Kontrol akses ke instans dalam subnet](nacl-examples.md).

# Kontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan
<a name="vpc-security-groups"></a>

*Grup keamanan* mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan sumber daya yang terkait dengannya. Misalnya, setelah Anda mengaitkan grup keamanan dengan instans EC2, grup ini mengontrol lalu lintas masuk dan keluar untuk instans tersebut.

Saat Anda membuat VPC, VPC dilengkapi dengan grup keamanan default. Anda dapat membuat grup keamanan tambahan untuk VPC, masing-masing dengan aturan masuk dan keluar mereka sendiri. Anda dapat menentukan sumber, rentang port, dan protokol untuk setiap aturan masuk. Anda dapat menentukan tujuan, rentang port, dan protokol untuk setiap aturan keluar.

Diagram berikut menunjukkan VPC dengan subnet, gateway internet, dan grup keamanan. Subnet berisi instance EC2. Grup keamanan ditugaskan ke instance. Grup keamanan bertindak sebagai firewall virtual. Satu-satunya lalu lintas yang mencapai instance adalah lalu lintas yang diizinkan oleh aturan grup keamanan. Misalnya, jika grup keamanan berisi aturan yang memungkinkan lalu lintas ICMP ke instance dari jaringan Anda, maka Anda dapat melakukan ping instance dari komputer Anda. Jika grup keamanan tidak berisi aturan yang memungkinkan lalu lintas SSH, maka Anda tidak dapat terhubung ke instance Anda menggunakan SSH.

![\[VPC dengan 2 subnet, 2 grup keamanan, server dalam subnet yang terkait dengan kelompok keamanan yang berbeda\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/security-group-overview.png)


**Topics**
+ [Dasar-dasar grup keamanan](#security-group-basics)
+ [Contoh grup keamanan](#security-group-example-details)
+ [Aturan-aturan grup keamanan](security-group-rules.md)
+ [Grup keamanan default](default-security-group.md)
+ [Membuat grup keamanan](creating-security-groups.md)
+ [Mengonfigurasi aturan grup keamanan](working-with-security-group-rules.md)
+ [Menghapus grup keamanan](deleting-security-groups.md)
+ [Mengaitkan grup keamanan dengan beberapa VPCs](security-group-assoc.md)
+ [Bagikan grup keamanan dengan AWS Organizations](security-group-sharing.md)

**Harga**  
Tidak ada biaya tambahan untuk menggunakan grup keamanan.

## Dasar-dasar grup keamanan
<a name="security-group-basics"></a>
+ Anda dapat menetapkan grup keamanan ke sumber daya yang dibuat di VPC yang sama dengan grup keamanan atau ke sumber daya VPCs lainnya jika menggunakan fitur [Asosiasi VPC Grup](security-group-assoc.md) Keamanan untuk mengaitkan grup keamanan dengan grup keamanan VPCs lainnya di Wilayah yang sama. Anda juga dapat menetapkan beberapa grup keamanan ke satu sumber daya.
+ Saat Anda membuat grup keamanan, Anda harus memberi nama dan deskripsi untuknya. Aturan-aturan berikut berlaku:
  + Nama grup keamanan harus unik di VPC.
  + Nama grup keamanan tidak peka huruf besar/kecil.
  + Nama dan deskripsi dapat memiliki panjang hingga 255 karakter.
  + Nama dan deskripsi terbatas pada karakter berikut: a-z, A-Z, 0-9, spasi, dan .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
  + Ketika nama berisi spasi tambahan, kami memangkas spasi di akhir nama. Sebagai contoh, jika Anda memasukkan "Grup Keamanan Pengujian " sebagai namanya, maka kami menyimpannya sebagai "Grup Keamanan Pengujian".
  + Nama grup keamanan tidak dapat dimulai dengan`sg-`.
+ Grup keamanan bersifat stateful. Misalnya, jika Anda mengirim permintaan dari instans, lalu lintas respons untuk permintaan tersebut diizinkan untuk mencapai instance terlepas dari aturan grup keamanan masuk. Tanggapan terhadap lalu lintas masuk yang diizinkan diizinkan untuk meninggalkan instance, terlepas dari aturan keluar.
+ Grup keamanan tidak memfilter lalu lintas yang ditujukan ke dan dari yang berikut ini:
  + Layanan Nama Domain Amazon (DNS)
  + Protokol Konfigurasi Host Dinamis (DHCP)
  + Metadata instans Amazon EC2
  + Titik akhir metadata tugas Amazon ECS
  + Aktivasi lisensi untuk instance Windows
  + Layanan Amazon Time Sync
  + Alamat IP yang dicadangkan yang digunakan oleh router VPC default
+ Ada kuota jumlah grup keamanan yang dapat Anda buat per VPC, jumlah aturan yang dapat Anda tambahkan ke setiap grup keamanan, dan jumlah grup keamanan yang dapat Anda kaitkan dengan antarmuka jaringan. Untuk informasi selengkapnya, lihat [Kuota Amazon VPC](amazon-vpc-limits.md).

**Praktik terbaik**
+ Otorisasi hanya prinsipal IAM tertentu untuk membuat dan memodifikasi grup keamanan.
+ Buat jumlah minimum grup keamanan yang Anda butuhkan, untuk mengurangi risiko kesalahan. Gunakan setiap grup keamanan untuk mengelola akses ke sumber daya yang memiliki fungsi dan persyaratan keamanan yang serupa.
+ Saat Anda menambahkan aturan masuk untuk port 22 (SSH) atau 3389 (RDP) sehingga Anda dapat mengakses instans EC2 Anda, otorisasi hanya rentang alamat IP tertentu. Jika Anda menentukan 0.0.0.0/0 (IPv4) dan: :/ (IPv6), ini memungkinkan siapa saja untuk mengakses instance Anda dari alamat IP apa pun menggunakan protokol yang ditentukan.
+ Jangan membuka rentang port yang besar. Pastikan akses melalui setiap port dibatasi pada sumber atau tujuan yang membutuhkannya.
+ Pertimbangkan untuk membuat jaringan ACLs dengan aturan yang mirip dengan grup keamanan Anda, untuk menambahkan lapisan keamanan tambahan ke VPC Anda. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan jaringan ACLs, lihat[Bandingkan grup keamanan dan jaringan ACLs](infrastructure-security.md#VPC_Security_Comparison).

## Contoh grup keamanan
<a name="security-group-example-details"></a>

Diagram berikut menunjukkan VPC dengan dua kelompok keamanan dan dua subnet. Instans di subnet A memiliki persyaratan konektivitas yang sama, sehingga terkait dengan grup keamanan 1. Instans di subnet B memiliki persyaratan konektivitas yang sama, sehingga terkait dengan grup keamanan 2. Aturan grup keamanan mengizinkan lalu lintas sebagai berikut:
+ Aturan masuk pertama dalam grup keamanan 1 memungkinkan lalu lintas SSH ke instance di subnet A dari rentang alamat yang ditentukan (misalnya, rentang di jaringan Anda sendiri).
+ Aturan inbound kedua dalam grup keamanan 1 memungkinkan instance di subnet A untuk berkomunikasi satu sama lain menggunakan protokol dan port apa pun.
+ Aturan inbound pertama dalam kelompok keamanan 2 memungkinkan instance di subnet B untuk berkomunikasi satu sama lain menggunakan protokol dan port apa pun.
+ Aturan inbound kedua dalam grup keamanan 2 memungkinkan instance di subnet A untuk berkomunikasi dengan instance di subnet B menggunakan SSH.
+ Kedua grup keamanan menggunakan aturan keluar default, yang memungkinkan semua lalu lintas.

![\[VPC dengan dua grup keamanan dan server dalam dua subnet. Server di subnet A dikaitkan dengan grup keamanan 1. Server di subnet B dikaitkan dengan grup keamanan 2.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/security-group-details.png)


# Aturan-aturan grup keamanan
<a name="security-group-rules"></a>

Aturan grup keamanan mengontrol lalu lintas masuk yang diizinkan untuk mencapai sumber daya yang terkait dengan grup keamanan. Aturan-aturan tersebut juga mengontrol lalu lintas ke luar yang diperbolehkan untuk meninggalkannya.

Anda dapat menambahkan atau menghapus aturan untuk sebuah grup keamanan (juga disebut sebagai *memberikan otorisasi* atau *mencabut* akses masuk atau keluar). Suatu aturan berlaku baik untuk lalu lintas masuk (ingress) atau lalu lintas keluar (egress). Anda dapat memberikan akses ke sumber atau tujuan tertentu.

**Topics**
+ [Dasar-dasar aturan grup keamanan](#security-group-rule-characteristics)
+ [Komponen aturan grup keamanan](#security-group-rule-components)
+ [Referensi kelompok keamanan](#security-group-referencing)
+ [Ukuran grup keamanan](#security-group-size)
+ [Aturan grup keamanan yang kedaluwarsa](#vpc-stale-security-group-rules)

## Dasar-dasar aturan grup keamanan
<a name="security-group-rule-characteristics"></a>

Berikut ini adalah karakteristik dari aturan-aturan grup keamanan:
+ Anda dapat menentukan untuk mengizinkan aturan, tetapi tidak menolak aturan.
+ Saat Anda pertama kali membuat grup keamanan, grup keamanan tersebut tidak memiliki aturan masuk. Oleh karena itu, tidak ada lalu lintas masuk yang diizinkan sampai Anda menambahkan aturan masuk ke grup keamanan.
+ Saat pertama kali membuat grup keamanan, ia memiliki aturan keluar yang memungkinkan semua lalu lintas keluar dari sumber daya. Anda dapat menghapus aturan dan menambahkan aturan keluar yang hanya mengizinkan lalu lintas keluar tertentu. Jika grup keamanan Anda tidak memiliki aturan keluar, lalu lintas keluar tidak diperbolehkan.
+ Saat Anda mengaitkan beberapa grup keamanan dengan sumber daya, aturan dari setiap grup keamanan digabungkan untuk membentuk satu set aturan yang digunakan untuk menentukan apakah akan mengizinkan akses.
+ Saat Anda menambahkan, memperbarui, atau menghapus aturan, perubahan Anda secara otomatis diterapkan ke semua sumber daya yang terkait dengan grup keamanan. Untuk petunjuk, lihat [Mengonfigurasi aturan grup keamanan](working-with-security-group-rules.md).
+ Dampak dari beberapa perubahan aturan dapat bergantung pada cara pelacakan lalu lintas yang digunakan. Untuk informasi selengkapnya, lihat [Pelacakan koneksi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) di *Panduan Pengguna Amazon EC2*.
+ Saat Anda membuat aturan grup keamanan, AWS tetapkan ID unik ke aturan tersebut. Anda dapat menggunakan ID aturan tersebut ketika Anda menggunakan API atau CLI untuk mengubah atau menghapus aturan tersebut.

**Batasan**  
[Grup keamanan tidak dapat memblokir permintaan DNS ke atau dari Resolver Route 53, kadang-kadang disebut sebagai 'alamat IP VPC\$12 '(lihat [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)di Panduan Pengembang *Amazon Route 53*), atau sebagai DNS. AmazonProvided](DHCPOptionSet.md) Untuk memfilter permintaan DNS melalui Resolver Route 53, gunakan [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).

## Komponen aturan grup keamanan
<a name="security-group-rule-components"></a>

Berikut ini adalah komponen aturan grup keamanan masuk dan keluar:
+ **Protocol**: Protokol yang akan diizinkan. Protokol yang paling umum adalah 6 (TCP), 17 (UDP), dan 1 (ICMP).
+ **Port range**: Untuk TCP, UDP, atau protokol kustom, ada rentang port yang diizinkan. Anda dapat menentukan satu nomor port (misalnya, `22`), atau rentang nomor port (misalnya, `7000-8000`).
+ **Tipe dan kode ICMP**: Untuk ICMP, jenis dan kode ICMP. Misalnya, gunakan tipe 8 untuk ICMP Echo Request atau ketik 128 untuk ICMPv6 Echo Request. Untuk informasi selengkapnya, lihat [Aturan untuk Ping/ICMP di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) Pengguna *Amazon* EC2.
+ **Source or destination**: Sumber (aturan ke dalam) atau tujuan (aturan ke luar) untuk lalu lintas yang akan diizinkan. Tentukan satu dari yang berikut ini:
  + Satu IPv4 alamat. Anda harus menggunakan panjang awalan `/32`. Sebagai contoh, `203.0.113.1/32`. 
  + Satu IPv6 alamat. Anda harus menggunakan panjang awalan `/128`. Sebagai contoh, `2001:db8:1234:1a00::123/128`.
  + Berbagai IPv4 alamat, dalam notasi blok CIDR. Misalnya, `203.0.113.0/24`.
  + Berbagai IPv6 alamat, dalam notasi blok CIDR. Sebagai contoh, `2001:db8:1234:1a00::/64`.
  + ID daftar awalan. Sebagai contoh, `pl-1234abc1234abc123`. Untuk informasi selengkapnya, lihat [Daftar prefiks terkelola](managed-prefix-lists.md).
  + ID grup keamanan. Sebagai contoh, `sg-1234567890abcdef0`. Untuk informasi selengkapnya, lihat [Referensi kelompok keamanan](#security-group-referencing).
+ **(Opsional) Deskripsi**: Anda dapat menambahkan deskripsi untuk aturan, yang dapat membantu Anda untuk mengidentifikasinya nanti. deskripsi dapat memiliki panjang hingga 255 karakter. Karakter yang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.

Sebagai contoh, lihat [Aturan grup keamanan untuk kasus penggunaan yang berbeda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) di *Panduan Pengguna Amazon EC2*.

## Referensi kelompok keamanan
<a name="security-group-referencing"></a>

Saat Anda menentukan grup keamanan sebagai sumber atau tujuan aturan, aturan akan memengaruhi semua instance yang terkait dengan grup keamanan. Instance dapat berkomunikasi dalam arah yang ditentukan, menggunakan alamat IP pribadi dari instance, melalui protokol dan port yang ditentukan.

Misalnya, berikut ini mewakili aturan masuk untuk grup keamanan yang mereferensikan grup keamanan sg-0abcdef1234567890. Aturan ini memungkinkan lalu lintas SSH masuk dari instance yang terkait dengan sg-0abcdef1234567890.


| Sumber | Protokol | Rentang port | 
| --- | --- | --- | 
| sg-0abcdef1234567890 | TCP | 22 | 

Saat mereferensikan grup keamanan dalam aturan grup keamanan, perhatikan hal berikut:
+ Anda dapat mereferensikan grup keamanan dalam aturan masuk grup keamanan lain jika salah satu dari berikut ini benar:
  + Grup keamanan dikaitkan dengan VPC yang sama.
  + Ada hubungan mengintip antara VPCs yang terkait dengan kelompok keamanan.
  + Ada gerbang transit antara VPCs yang terkait dengan kelompok keamanan.
+ Anda dapat mereferensikan grup keamanan dalam aturan keluar jika salah satu dari berikut ini benar:
  + Grup keamanan dikaitkan dengan VPC yang sama.
  + Ada hubungan mengintip antara VPCs yang terkait dengan kelompok keamanan.
+ Tidak ada aturan dari grup keamanan yang direferensikan ditambahkan ke grup keamanan yang mereferensikannya.
+ Untuk aturan masuk, instans EC2 yang terkait dengan grup keamanan dapat menerima lalu lintas masuk dari alamat IP pribadi dari antarmuka jaringan untuk instans EC2 yang terkait dengan grup keamanan yang direferensikan.
+ Untuk aturan keluar, instans EC2 yang terkait dengan grup keamanan dapat mengirim lalu lintas keluar ke alamat IP pribadi dari antarmuka jaringan untuk instans EC2 yang terkait dengan grup keamanan yang direferensikan.
+ Kami tidak memberikan otorisasi terhadap kelompok keamanan yang direferensikan dalam tindakan berikut:`AuthorizeSecurityGroupIngress`,, `AuthorizeSecurityGroupEgress``RevokeSecurityGroupIngress`, dan. `RevokeSecurityGroupEgress` Kami hanya memeriksa apakah grup keamanan ada. Ini menghasilkan yang berikut:
  + Menentukan grup keamanan yang direferensikan dalam kebijakan IAM untuk tindakan ini tidak berpengaruh.
  + Ketika grup keamanan yang direferensikan dimiliki oleh akun lain, akun pemilik tidak menerima CloudTrail peristiwa untuk tindakan ini.

**Batasan**

Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instance harus mereferensikan alamat IP pribadi dari instance lain atau rentang CIDR dari subnet yang berisi instance lain sebagai sumber. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

**Contoh**

Diagram berikut menunjukkan VPC dengan subnet di dua Availability Zones, gateway internet, dan Application Load Balancer. Setiap Availability Zone memiliki subnet publik untuk server web dan subnet pribadi untuk server database. Ada grup keamanan terpisah untuk penyeimbang beban, server web, dan server database. Buat aturan grup keamanan berikut untuk mengizinkan lalu lintas.
+ Tambahkan aturan ke grup keamanan penyeimbang beban untuk memungkinkan lalu lintas HTTP dan HTTPS dari internet. Sumbernya adalah 0.0.0.0/0.
+ Tambahkan aturan ke grup keamanan untuk server web untuk mengizinkan lalu lintas HTTP dan HTTPS hanya dari penyeimbang beban. Sumbernya adalah grup keamanan untuk penyeimbang beban.
+ Tambahkan aturan ke grup keamanan untuk server database untuk mengizinkan permintaan database dari server web. Sumbernya adalah grup keamanan untuk server web.

![\[Arsitektur dengan server web dan db, grup keamanan, gateway internet, dan penyeimbang beban\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/security-group-referencing.png)


## Ukuran grup keamanan
<a name="security-group-size"></a>

Jenis sumber atau tujuan menentukan bagaimana setiap aturan diperhitungkan terhadap jumlah maksimum aturan yang dapat Anda miliki per grup keamanan.
+ Aturan yang mereferensikan blok CIDR dihitung sebagai satu aturan.
+ Aturan yang merujuk kelompok keamanan lain dianggap sebagai satu aturan, tidak peduli ukuran kelompok keamanan yang direferensikan.
+ Aturan yang mereferensikan daftar awalan yang dikelola pelanggan dihitung sebagai ukuran maksimum daftar awalan. Misalnya, jika ukuran maksimum daftar awalan Anda adalah 20, aturan yang mereferensikan daftar awalan ini dihitung sebagai 20 aturan.
+ Aturan yang mereferensikan daftar awalan AWS-managed dihitung sebagai bobot daftar awalan. Misalnya, jika bobot daftar awalan adalah 10, aturan yang mereferensikan daftar awalan ini dihitung sebagai 10 aturan. Untuk informasi selengkapnya, lihat [Daftar awalan AWS-terkelola yang tersedia](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).

## Aturan grup keamanan yang kedaluwarsa
<a name="vpc-stale-security-group-rules"></a>

Jika VPC Anda memiliki koneksi peering VPC dengan VPC lain, atau jika VPC menggunakan VPC yang dibagikan oleh akun lain, aturan grup keamanan di VPC Anda dapat mereferensikan grup keamanan di VPC rekan atau VPC bersama tersebut. Hal ini memungkinkan sumber daya yang terkait dengan kelompok keamanan yang direferensikan dan yang terkait dengan kelompok keamanan referensi untuk berkomunikasi satu sama lain. Untuk informasi selengkapnya, lihat [Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan Peering](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) *VPC Amazon*.

Jika Anda memiliki aturan grup keamanan yang mereferensikan grup keamanan di VPC rekan atau VPC bersama dan grup keamanan di VPC bersama dihapus atau koneksi peering VPC dihapus, aturan grup keamanan ditandai sebagai basi. Anda dapat menghapus aturan grup keamanan kedaluwarsa seperti yang Anda lakukan terhadap aturan grup keamanan lainnya.

# Grup keamanan default untuk VPCs
<a name="default-security-group"></a>

Default Anda VPCs dan apa pun VPCs yang Anda buat datang dengan grup keamanan default. Nama grup keamanan default adalah "default”.

Kami menyarankan Anda membuat grup keamanan untuk sumber daya atau grup sumber daya tertentu, bukan menggunakan grup keamanan default. Namun, jika Anda tidak mengaitkan grup keamanan dengan beberapa sumber daya pada saat pembuatan, kami mengaitkannya dengan grup keamanan default. Misalnya, jika Anda tidak menentukan grup keamanan saat meluncurkan instans EC2, kami mengaitkan instance tersebut dengan grup keamanan default untuk VPC-nya.

## Dasar-dasar grup keamanan default
<a name="default-security-group-basics"></a>
+ Anda dapat mengubah aturan untuk grup keamanan default.
+ Anda tidak dapat menghapus grup keamanan default. Jika Anda mencoba menghapus grup keamanan default, kami akan menampilkan kode kesalahan berikut: `Client.CannotDelete`.

## Peraturan default
<a name="default-security-group-default-rules"></a>

Tabel berikut menjelaskan aturan masuk default untuk grup keamanan default.


| Sumber | Protokol | Rentang Port | Deskripsi | 
| --- | --- | --- | --- | 
| sg-1234567890abcdef0  | Semua | Semua | Mengizinkan lalu lintas jalur masuk dari semua sumber daya yang ditetapkan untuk grup keamanan ini. Sumbernya adalah ID dari grup keamanan ini. | 

Tabel berikut menjelaskan aturan keluar default untuk grup keamanan default.


| Destinasi | Protokol | Rentang Port | Deskripsi | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | Semua | Semua | Memungkinkan semua IPv4 lalu lintas keluar. | 
| ::/0 | Semua | Semua | Memungkinkan semua IPv6 lalu lintas keluar. Aturan ini ditambahkan hanya jika VPC Anda memiliki blok IPv6 CIDR terkait. | 

## Contoh
<a name="default-security-group-example"></a>

Diagram berikut menunjukkan VPC dengan grup keamanan default, gateway internet, dan gateway NAT. Keamanan default hanya berisi aturan defaultnya, dan dikaitkan dengan dua instans EC2 yang berjalan di VPC. Dalam skenario ini, setiap instance dapat menerima lalu lintas masuk dari instance lain di semua port dan protokol. Aturan default tidak mengizinkan instance menerima lalu lintas dari gateway internet atau gateway NAT. Jika instans Anda harus menerima lalu lintas tambahan, sebaiknya Anda membuat grup keamanan dengan aturan yang diperlukan dan mengaitkan grup keamanan baru dengan instans, bukan grup keamanan default.

![\[VPC dengan 2 subnet, grup keamanan default, 2 instans EC2, gateway internet, dan gateway NAT\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/default-security-group.png)


# Buat grup keamanan untuk VPC Anda
<a name="creating-security-groups"></a>

Virtual Private Cloud (VPC) Anda dilengkapi dengan grup keamanan default. Anda dapat membuat grup keamanan tambahan. Grup keamanan hanya dapat digunakan dengan sumber daya di VPC tempat ia dibuat.

Secara default, grup keamanan baru dimulai dengan hanya aturan keluar yang memungkinkan semua lalu lintas meninggalkan sumber daya. Anda harus menambahkan aturan-aturan lain untuk mengizinkan lalu lintas ke dalam atau membatasi lalu lintas ke luar. Anda dapat menambahkan aturan saat membuat grup keamanan atau nanti. Untuk informasi selengkapnya, lihat [Aturan-aturan grup keamanan](security-group-rules.md).

**Izin yang diperlukan**

Sebelum memulai, pastikan Anda memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat berikut ini:
+ [Mengelola grup keamanan](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Mengelola aturan grup keamanan](vpc-policy-examples.md#vpc-security-group-rules-iam)

**Untuk membuat grup keamanan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih **Buat grup keamanan**.

1. Masukkan nama dan deskripsi untuk grup keamanan tersebut. Anda tidak dapat mengubah nama dan deskripsi grup keamanan setelah dibuat.

1. Untuk **VPC**, pilih VPC tempat Anda akan membuat sumber daya yang akan Anda kaitkan dengan grup keamanan.

1. (Opsional) Untuk menambahkan aturan masuk, pilih Aturan **masuk**. Untuk setiap aturan, pilih **Tambahkan aturan** dan tentukan protokol, port, dan sumber. Untuk informasi selengkapnya, lihat [Mengonfigurasi aturan grup keamanan](working-with-security-group-rules.md).

1. (Opsional) Untuk menambahkan aturan keluar, pilih Aturan **keluar**. Untuk setiap aturan, pilih **Tambahkan aturan** dan tentukan protokol, port, dan tujuan.

1. (Opsional) Untuk menambahkan tag, pilih **Tambahkan tag baru** dan masukkan kunci tag dan nilai.

1. Pilih **Buat grup keamanan**.

**Untuk membuat grup keamanan menggunakan AWS CLI**  
Gunakan perintah [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

Sebagai alternatif, Anda dapat membuat grup keamanan baru dengan menyalin yang sudah ada. Saat Anda menyalin grup keamanan, kami secara otomatis menambahkan aturan masuk dan keluar yang sama dengan grup keamanan asli dan menggunakan VPC yang sama dengan grup keamanan asli. Anda dapat memasukkan nama dan deskripsi untuk grup keamanan baru. Anda dapat memilih VPC yang berbeda secara opsional, dan Anda dapat memodifikasi aturan masuk dan keluar sesuai kebutuhan. Namun, Anda tidak dapat menyalin grup keamanan dari satu Wilayah ke Wilayah lain.

**Untuk membuat grup keamanan berdasarkan yang sudah ada**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih grup keamanan.

1. Pilih **Tindakan**, **Salin ke grup keamanan baru**.

1. Masukkan nama dan deskripsi untuk grup keamanan tersebut.

1. (Opsional) Pilih VPC yang berbeda jika diperlukan.

1. (Opsional) Tambahkan, hapus, atau edit aturan grup keamanan sesuai kebutuhan.

1. Pilih **Buat grup keamanan**.

# Mengonfigurasi aturan grup keamanan
<a name="working-with-security-group-rules"></a>

Setelah membuat grup keamanan, Anda dapat menambahkan, memperbarui, dan menghapus aturan grup keamanannya. Saat Anda menambahkan, memperbarui, atau menghapus aturan, perubahan secara otomatis diterapkan ke sumber daya yang terkait dengan grup keamanan.

**Izin yang diperlukan**  
Sebelum memulai, pastikan Anda memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat [Mengelola aturan grup keamanan](vpc-policy-examples.md#vpc-security-group-rules-iam).

**Protokol dan port**
+ Dengan konsol, ketika Anda memilih jenis yang telah ditentukan, **Protokol** dan **rentang Port** ditentukan untuk Anda. Untuk memasukkan rentang port, Anda harus memilih salah satu dari jenis kustom berikut: **TCP Kustom** atau **UDP Kustom**.
+ Dengan itu AWS CLI, Anda dapat menambahkan satu aturan dengan satu port menggunakan `--port` opsi `--protocol` dan. Untuk menambahkan beberapa aturan, atau aturan dengan rentang port, gunakan `--ip-permissions` opsi sebagai gantinya.

**Sumber dan tujuan**
+ Dengan konsol, Anda dapat menentukan yang berikut ini sebagai sumber untuk aturan masuk atau tujuan untuk aturan keluar:
  + **Kustom** — Blok IPv4 CIDR, blok IPv6 CIDR, grup keamanan, atau daftar awalan.
  + **Di mana saja- IPv4** - Blok CIDR 0.0.0.0/0 IPv4 .
  + **Di mana saja- IPv6** - Blok IPv6 CIDR: :/0.
  + **IP saya** — IPv4 Alamat publik komputer lokal Anda.
+ Dengan AWS CLI, Anda dapat menentukan blok IPv4 CIDR menggunakan `--cidr` opsi atau grup keamanan menggunakan `--source-group` opsi. Untuk menentukan daftar awalan atau blok IPv6 CIDR, gunakan opsi. `--ip-permissions`

**Awas**  
Jika Anda memilih **Anywhere- IPv4**, Anda mengizinkan lalu lintas dari semua IPv4 alamat. Jika Anda memilih **Anywhere- IPv6**, Anda mengizinkan lalu lintas dari semua IPv6 alamat. Ini adalah praktik terbaik untuk mengotorisasi hanya rentang alamat IP tertentu yang memerlukan akses ke sumber daya Anda.

**Untuk mengonfigurasi aturan grup keamanan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih grup keamanan.

1. Untuk mengedit aturan masuk, pilih **Edit aturan masuk** dari **Tindakan** atau tab Aturan **masuk**.

   1. Untuk menambahkan aturan, pilih **Tambahkan aturan** dan masukkan jenis, protokol, port, dan sumber untuk aturan tersebut.

      Jika jenisnya adalah TCP atau UDP, Anda harus memasukkan rentang port untuk mengizinkan. Untuk ICMP kustom, Anda harus memilih jenis ICMP dari **Protokol**, dan, jika memungkinkan, nama kode dari **Rentang port**. Untuk jenis lainnya, protokol dan rentang port akan dikonfigurasikan untuk Anda.

   1. Untuk memperbarui aturan, ubah protokol, deskripsi, dan sumbernya sesuai kebutuhan. Namun, Anda tidak dapat mengubah jenis sumber. Misalnya, jika sumbernya adalah blok IPv4 CIDR, Anda tidak dapat menentukan blok IPv6 CIDR, daftar awalan, atau grup keamanan.

   1. Untuk menghapus aturan, pilih tombol **Hapus**.

1. Untuk mengedit aturan keluar, pilih **Edit aturan keluar** dari **Tindakan** atau tab Aturan **keluar**.

   1. Untuk menambahkan aturan, pilih **Tambahkan aturan** dan masukkan jenis, protokol, port, dan tujuan untuk aturan tersebut. Anda juga dapat memasukkan deskripsi opsional.

      Jika jenisnya adalah TCP atau UDP, Anda harus memasukkan rentang port untuk mengizinkan. Untuk ICMP kustom, Anda harus memilih jenis ICMP dari **Protokol**, dan, jika memungkinkan, nama kode dari **Rentang port**. Untuk jenis lainnya, protokol dan rentang port akan dikonfigurasikan untuk Anda.

   1. Untuk memperbarui aturan, ubah protokol, deskripsi, dan sumbernya sesuai kebutuhan. Namun, Anda tidak dapat mengubah jenis sumber. Misalnya, jika sumbernya adalah blok IPv4 CIDR, Anda tidak dapat menentukan blok IPv6 CIDR, daftar awalan, atau grup keamanan.

   1. Untuk menghapus aturan, pilih tombol **Hapus**.

1. Pilih **Simpan aturan**.

**Untuk mengonfigurasi aturan grup keamanan menggunakan AWS CLI**
+ **Tambahkan** — Gunakan [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)perintah [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)dan.
+ **Hapus** — Gunakan [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)perintah [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)dan.
+ **Memodifikasi** [— Gunakan perintah [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress, dan -description-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html). update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)

# Menghapus grup keamanan
<a name="deleting-security-groups"></a>

Setelah selesai dengan grup keamanan yang Anda buat, Anda dapat menghapusnya.

**Persyaratan**
+ Grup keamanan tidak dapat dikaitkan dengan sumber daya apa pun.
+ Grup keamanan tidak dapat direferensikan oleh aturan di grup keamanan lain.
+ Grup keamanan tidak dapat menjadi grup keamanan default untuk VPC.

**Untuk menghapus grup keamanan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih grup keamanan lalu pilih **Tindakan**, **Hapus Grup Keamanan**.

1. Jika Anda memilih lebih dari satu grup keamanan, Anda akan diminta untuk konfirmasi. Jika beberapa grup keamanan tidak dapat dihapus, kami menampilkan status setiap grup keamanan, yang menunjukkan apakah itu akan dihapus. **Untuk mengonfirmasi penghapusan, masukkan Hapus.**

1. Pilih **Hapus**.

**Untuk menghapus grup keamanan menggunakan AWS CLI**  
Gunakan perintah [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

# Mengaitkan grup keamanan dengan beberapa VPCs
<a name="security-group-assoc"></a>

Jika Anda memiliki beban kerja yang berjalan di beberapa VPCs yang berbagi persyaratan keamanan jaringan, Anda dapat menggunakan fitur Asosiasi VPC Grup Keamanan untuk mengaitkan grup keamanan dengan VPCs beberapa di Wilayah yang sama. Ini memungkinkan Anda untuk mengelola dan memelihara grup keamanan di satu tempat untuk beberapa VPCs di akun Anda.

![\[Diagram kelompok keamanan yang terkait dengan dua VPCs.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/sec-group-vpc-assoc.png)


Diagram di atas menunjukkan AWS akun A dengan dua VPCs di dalamnya. Masing-masing VPCs memiliki beban kerja yang berjalan di subnet pribadi. Dalam hal ini, beban kerja di subnet VPC A dan B berbagi persyaratan lalu lintas jaringan yang sama, sehingga Akun A dapat menggunakan fitur asosiasi VPC Grup Keamanan untuk mengaitkan grup keamanan di VPC A dengan VPC B. Setiap pembaruan yang dilakukan ke grup keamanan terkait secara otomatis diterapkan ke lalu lintas ke beban kerja di subnet VPC B.

**Persyaratan fitur Asosiasi VPC Grup Keamanan**
+ Anda harus memiliki VPC atau memiliki salah satu subnet VPC yang dibagikan dengan Anda untuk mengaitkan grup keamanan dengan VPC.
+ VPC dan grup keamanan harus berada di Wilayah yang sama AWS .
+ Anda tidak dapat mengaitkan grup keamanan default dengan VPC lain atau mengaitkan grup keamanan dengan VPC default.
+ Baik pemilik grup keamanan dan pemilik VPC dapat melihat asosiasi VPC grup keamanan.

**Layanan yang mendukung fitur ini**
+ Amazon API Gateway ( APIs hanya REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
  + Penyeimbang Beban Aplikasi
  + Penyeimbang Beban Jaringan

## Kaitkan grup keamanan dengan VPC lain
<a name="assoc-sg"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan AWS CLI untuk mengaitkan grup keamanan dengan VPCs.

------
#### [ AWS Management Console ]

**Untuk mengaitkan grup keamanan dengan VPC lain**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **asosiasi VPC**.

1. Pilih **Kaitkan VPC**.

1. Di bawah **ID VPC**, pilih VPC untuk diasosiasikan dengan grup keamanan.

1. Pilih **Kaitkan VPC**.

------
#### [ Command line ]

**Untuk mengaitkan grup keamanan dengan VPC lain**

1. Buat asosiasi VPC dengan. [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html)

1. Periksa status asosiasi VPC dengan [describe-security-group-vpc-asosiasi](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) dan tunggu statusnya. `associated`

------

VPC sekarang dikaitkan dengan grup keamanan.

 Setelah Anda mengaitkan VPC dengan grup keamanan, Anda dapat, misalnya, [meluncurkan instance ke VPC dan memilih grup keamanan baru ini atau mereferensikan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) [ini dalam aturan grup keamanan yang ada](security-group-rules.md#security-group-referencing).

## Putuskan grup keamanan dari VPC lain
<a name="disassoc-sg"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan AWS CLI untuk memisahkan grup keamanan dari VPCs. Anda mungkin ingin melakukan ini jika tujuan Anda adalah menghapus grup keamanan. Grup keamanan tidak dapat dihapus jika mereka terkait. Anda hanya dapat memisahkan grup keamanan jika tidak ada antarmuka jaringan di VPC terkait menggunakan grup keamanan tersebut.

------
#### [ AWS Management Console ]

**Untuk memisahkan grup keamanan dari VPC**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **asosiasi VPC**.

1. Pilih **Putuskan VPC**.

1. Di bawah **ID VPC**, pilih VPC untuk dipisahkan dari grup keamanan.

1. Pilih **Putuskan VPC**.

1. Lihat **Status** pemisahan di tab asosiasi VPC dan tunggu statusnya. `disassociated`

------
#### [ Command line ]

**Untuk memisahkan grup keamanan dari VPC**

1. Putuskan asosiasi VPC dengan. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)

1. Periksa status pemisahan VPC dengan [describe-security-group-vpc-asosiasi](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) dan tunggu statusnya. `disassociated`

------

VPC sekarang terpisah dengan kelompok keamanan.

# Bagikan grup keamanan dengan AWS Organizations
<a name="security-group-sharing"></a>

Fitur Grup Keamanan Bersama memungkinkan Anda berbagi grup keamanan dengan akun AWS Organizations lain dalam AWS Wilayah yang sama dan membuat grup keamanan tersedia untuk digunakan oleh akun tersebut.

Diagram berikut menunjukkan bagaimana Anda dapat menggunakan fitur Grup Keamanan Bersama untuk menyederhanakan pengelolaan grup keamanan di seluruh akun di Organizations AWS Anda:

![\[Diagram berbagi grup keamanan dengan akun lain di subnet VPC bersama.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/sec-group-sharing.png)


Diagram ini menunjukkan tiga akun yang merupakan bagian dari Organisasi yang sama. Akun A berbagi subnet VPC dengan Akun B dan C. Akun A berbagi grup keamanan dengan Akun B dan C menggunakan fitur Grup Keamanan Bersama. Akun B dan C kemudian menggunakan grup keamanan itu ketika mereka meluncurkan instance di subnet bersama. Ini memungkinkan Akun A untuk mengelola grup keamanan; pembaruan apa pun pada grup keamanan berlaku untuk sumber daya yang telah dijalankan Akun B dan C di subnet VPC bersama.

**Persyaratan fitur Grup Keamanan Bersama**
+ Fitur ini hanya tersedia untuk akun di Organization in AWS Organizations yang sama. [Berbagi sumber daya](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) harus diaktifkan di AWS Organizations.
+ Akun yang berbagi grup keamanan harus memiliki VPC dan grup keamanan. 
+ Anda tidak dapat berbagi grup keamanan default.
+ Anda tidak dapat berbagi grup keamanan yang ada di VPC default.
+ Akun peserta dapat membuat grup keamanan di VPC bersama tetapi mereka tidak dapat berbagi grup keamanan tersebut.
+ Satu set izin minimum diperlukan untuk kepala sekolah IAM untuk berbagi grup keamanan dengan. AWS RAM Gunakan kebijakan IAM yang `AWSResourceAccessManagerFullAccess` dikelola `AmazonEC2FullAccess` dan dikelola untuk memastikan kepala sekolah IAM Anda memiliki izin yang diperlukan untuk berbagi dan menggunakan grup keamanan bersama. Jika Anda menggunakan kebijakan IAM kustom, `ec2:DeleteResourcePolicy` tindakan `c2:PutResourcePolicy` dan tindakan diperlukan. Ini adalah tindakan IAM khusus izin. Jika prinsipal IAM tidak memiliki izin ini diberikan, kesalahan akan terjadi ketika mencoba untuk berbagi grup keamanan menggunakan. AWS RAM

**Layanan yang mendukung fitur ini**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Penyeimbang Beban Aplikasi
  + Penyeimbang Beban Jaringan

**Bagaimana fitur ini memengaruhi kuota yang ada**

[Kuota grup keamanan](amazon-vpc-limits.md#vpc-limits-security-groups) berlaku. Namun, untuk kuota 'Grup keamanan per antarmuka jaringan', jika peserta menggunakan grup milik dan bersama pada antarmuka jaringan Elastic (ENI), minimum kuota pemilik dan peserta berlaku.

Contoh untuk menunjukkan bagaimana kuota dipengaruhi oleh fitur ini:
+ Kuota akun pemilik: 4 grup keamanan per antarmuka
+ Kuota akun peserta: 5 grup keamanan per antarmuka.
+ Pemilik berbagi grup SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 dengan peserta. Peserta sudah memiliki grup mereka sendiri di VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Jika peserta membuat ENI dan hanya menggunakan grup milik mereka, mereka dapat mengaitkan semua 5 grup keamanan (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) karena itulah kuota mereka.
+ Jika peserta membuat ENI dan menggunakan grup bersama di dalamnya, mereka hanya dapat mengasosiasikan hingga 4 grup. Dalam hal ini, kuota untuk ENI semacam itu adalah minimum kuota pemilik dan peserta. Kemungkinan konfigurasi yang valid akan terlihat seperti ini:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Bagikan grup keamanan
<a name="share-sg-org"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan berbagi grup keamanan dengan akun lain di Organisasi Anda. AWS CLI 

------
#### [ AWS Management Console ]

**Untuk berbagi grup keamanan**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **Berbagi**.

1. Pilih **Bagikan grup keamanan**.

1. Pilih **Buat berbagi sumber daya**. Akibatnya, AWS RAM konsol terbuka di mana Anda akan membuat pembagian sumber daya untuk grup keamanan.

1. Masukkan **Nama** untuk berbagi sumber daya.

1. Di bawah **Sumber Daya - opsional**, pilih **Grup Keamanan**.

1. Pilih grup keamanan. Grup keamanan tidak dapat menjadi grup keamanan default dan tidak dapat dikaitkan dengan VPC default.

1. Pilih **Berikutnya**.

1. **Tinjau tindakan yang akan diizinkan oleh prinsipal untuk dilakukan dan pilih Berikutnya.**

1. Di bawah **Prinsipal - opsional**, pilih **Izinkan berbagi hanya dalam organisasi** Anda.

1. Di bawah **Prinsipal**, pilih salah satu jenis utama berikut dan masukkan nomor yang sesuai:
   + **AWS akun**: Nomor akun akun di Organisasi Anda.
   + **Organisasi: AWS Organizations** ID.
   + **Unit Organisasi (OU)**: ID OU dalam Organisasi.
   + Peran **IAM: ARN dari peran** IAM. Akun yang membuat peran harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.
   + **Pengguna IAM**: ARN dari pengguna IAM. Akun yang membuat pengguna harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.
   + **Prinsipal layanan**: Anda tidak dapat berbagi grup keamanan dengan kepala layanan.

1. Pilih **Tambahkan**.

1. Pilih **Berikutnya**.

1. Pilih **Buat berbagi sumber daya**.

1. Di bawah **Sumber daya bersama**, tunggu untuk melihat **Status**`Associated`. Jika ada kegagalan asosiasi kelompok keamanan, itu mungkin karena salah satu batasan yang tercantum di atas. Lihat detail grup keamanan dan tab **Berbagi** di halaman detail untuk melihat pesan apa pun yang terkait dengan alasan grup keamanan mungkin tidak dapat dibagikan.

1. Kembali ke daftar grup keamanan konsol VPC.

1. Pilih grup keamanan yang Anda bagikan.

1. Pilih tab **Berbagi**. AWS RAM Sumber daya Anda harus terlihat di sana. Jika tidak, pembuatan pembagian sumber daya mungkin gagal dan Anda mungkin perlu membuatnya kembali.

------
#### [ Command line ]

**Untuk berbagi grup keamanan**

1. Anda harus terlebih dahulu membuat pembagian sumber daya untuk grup keamanan yang ingin Anda bagikan AWS RAM. Untuk langkah-langkah tentang cara membuat berbagi sumber daya dengan AWS RAM menggunakan AWS CLI, lihat [Membuat berbagi sumber daya AWS RAM di](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Panduan AWS RAM Pengguna* 

1. Untuk melihat asosiasi berbagi sumber daya yang dibuat, gunakan [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Kelompok keamanan sekarang dibagikan. Anda dapat memilih grup keamanan saat [meluncurkan instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) di subnet bersama dalam VPC yang sama.

## Berhenti berbagi grup keamanan
<a name="stop-share-sg-org"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan AWS CLI menghentikan berbagi grup keamanan dengan akun lain di Organisasi Anda.

------
#### [ AWS Management Console ]

**Untuk berhenti berbagi grup keamanan**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **Berbagi**.

1. Pilih berbagi sumber daya grup keamanan dan pilih **Berhenti berbagi**.

1. Pilih **Ya, berhenti berbagi**.

------
#### [ Command line ]

**Untuk berhenti berbagi grup keamanan**

Hapus berbagi sumber daya dengan [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Kelompok keamanan tidak lagi dibagikan. Setelah pemilik berhenti berbagi grup keamanan, aturan berikut berlaku: 
+ Peserta yang ada Elastic Network Interfaces (ENIs) terus mendapatkan pembaruan aturan grup keamanan apa pun yang dibuat untuk grup keamanan yang tidak dibagikan. Tidak berbagi hanya mencegah peserta membuat asosiasi baru dengan grup yang tidak dibagikan.
+ Peserta tidak dapat lagi mengaitkan grup keamanan yang tidak dibagikan dengan yang ENIs mereka miliki.
+ Peserta dapat mendeskripsikan dan menghapus ENIs yang masih terkait dengan grup keamanan yang tidak dibagikan.
+ Jika peserta masih ENIs terkait dengan grup keamanan yang tidak dibagikan, pemilik tidak dapat menghapus grup keamanan yang tidak dibagikan. Pemilik hanya dapat menghapus grup keamanan setelah peserta memisahkan (menghapus) grup keamanan dari semua grup keamanan mereka ENIs.
+ Peserta tidak dapat meluncurkan instans EC2 baru menggunakan ENI yang terkait dengan grup keamanan yang tidak dibagikan.

# Kontrol lalu lintas subnet dengan daftar kontrol akses jaringan
<a name="vpc-network-acls"></a>

*Network Access Control List (ACL)* memungkinkan atau menolak lalu lintas masuk atau keluar tertentu di tingkat subnet. Anda dapat menggunakan ACL jaringan default untuk VPC Anda, atau Anda dapat membuat ACL jaringan khusus untuk VPC Anda dengan aturan yang mirip dengan aturan untuk grup keamanan Anda untuk menambahkan lapisan keamanan tambahan ke VPC Anda.

Tidak ada biaya tambahan untuk menggunakan jaringan ACLs.

Diagram berikut menunjukkan VPC dengan dua subnet. Setiap subnet memiliki jaringan ACL. Ketika lalu lintas memasuki VPC (misalnya, dari VPC peered, koneksi VPN, atau internet), router mengirimkan lalu lintas ke tujuannya. Jaringan ACL A menentukan lalu lintas yang ditujukan untuk subnet 1 yang diizinkan masuk ke subnet 1, dan lalu lintas mana yang ditujukan untuk lokasi di luar subnet 1 diizinkan untuk meninggalkan subnet 1. Demikian pula, jaringan ACL B menentukan lalu lintas mana yang diizinkan masuk dan keluar dari subnet 2.

![\[VPC dengan dua subnet dan ACL jaringan untuk setiap subnet.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/network-acl.png)


Untuk informasi tentang perbedaan antara grup keamanan dan jaringan ACLs, lihat[Bandingkan grup keamanan dan jaringan ACLs](infrastructure-security.md#VPC_Security_Comparison).

**Topics**
+ [Dasar-dasar ACL jaringan](#nacl-basics)
+ [Aturan ACL Jaringan](nacl-rules.md)
+ [ACL jaringan default untuk VPC](default-network-acl.md)
+ [Jaringan khusus ACLs untuk VPC Anda](custom-network-acl.md)
+ [Path MTU Discovery dan jaringan ACLs](path_mtu_discovery.md)
+ [Membuat ACL jaringan untuk VPC anda](create-network-acl.md)
+ [Kelola asosiasi ACL jaringan untuk VPC Anda](network-acl-associations.md)
+ [Hapus ACL jaringan untuk VPC Anda](delete-network-acl.md)
+ [Contoh: Kontrol akses ke instans dalam subnet](nacl-examples.md)

## Dasar-dasar ACL jaringan
<a name="nacl-basics"></a>

Berikut ini adalah hal-hal dasar yang perlu diketahui tentang jaringan ACLs sebelum Anda mulai.

**Asosiasi ACL jaringan**
+ Setiap subnet di VPC Anda harus dihubungkan dengan sebuah ACL jaringan. [Jika Anda tidak secara eksplisit mengaitkan subnet dengan ACL jaringan, subnet secara otomatis dikaitkan dengan ACL jaringan default.](default-network-acl.md)
+ Anda dapat membuat [ACL jaringan khusus](custom-network-acl.md) dan mengaitkannya dengan subnet untuk mengizinkan atau menolak lalu lintas masuk atau keluar tertentu di tingkat subnet.
+ Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, subnet hanya dapat dihubungkan ke satu ACL jaringan saja dalam satu waktu. Ketika Anda menghubungkan ACL jaringan dengan sebuah subnet, hubungan sebelumnya akan dihapus.

**Aturan ACL Jaringan**
+ ACL jaringan memiliki aturan masuk dan aturan keluar. Ada [kuota (atau batasan) untuk jumlah aturan yang dapat Anda miliki per ACL jaringan](amazon-vpc-limits.md#vpc-limits-nacls). Setiap aturan dapat mengizinkan atau menolak lalu lintas. Setiap aturan memiliki angka dari 1 hingga 32766. Kami mengevaluasi aturan secara berurutan, dimulai dengan aturan bernomor terendah, ketika memutuskan apakah mengizinkan atau menolak lalu lintas. Jika lalu lintas cocok dengan aturan, aturan diterapkan dan kami tidak mengevaluasi aturan tambahan apa pun. Kami menyarankan Anda memulai dengan membuat aturan secara bertahap (misalnya, kenaikan 10 atau 100) sehingga Anda dapat memasukkan aturan baru nanti, jika diperlukan.
+ Kami mengevaluasi aturan ACL jaringan ketika lalu lintas masuk dan meninggalkan subnet, bukan karena dirutekan dalam subnet.
+ NACLs *tanpa kewarganegaraan*, yang berarti bahwa informasi tentang lalu lintas yang dikirim atau diterima sebelumnya tidak disimpan. Jika, misalnya, Anda membuat aturan NACL untuk mengizinkan lalu lintas masuk tertentu ke subnet, respons terhadap lalu lintas tersebut tidak diizinkan secara otomatis. Ini berbeda dengan cara kerja kelompok keamanan. Kelompok keamanan bersifat *stateful*, yang berarti bahwa informasi tentang lalu lintas yang dikirim atau diterima sebelumnya disimpan. Jika, misalnya, grup keamanan mengizinkan lalu lintas masuk ke instans EC2, respons secara otomatis diizinkan terlepas dari aturan grup keamanan keluar.

**Batasan**
+ Ada kuota (juga dikenal sebagai batas) untuk jaringan ACLs. Untuk informasi selengkapnya, lihat [Jaringan ACLs](amazon-vpc-limits.md#vpc-limits-nacls).
+ Jaringan tidak ACLs dapat memblokir permintaan DNS ke atau dari Resolver Route 53 (juga dikenal sebagai alamat IP VPC\$12 atau DNS). AmazonProvided Untuk memfilter permintaan DNS melalui Resolver Route 53, Anda dapat mengaktifkan [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) DNS Firewall.
+ Jaringan tidak ACLs dapat memblokir lalu lintas ke Layanan Metadata Instans (IMDS). Untuk mengelola akses ke IMDS, lihat [Mengonfigurasi opsi metadata instans di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) Pengguna *Amazon* EC2.
+ Jaringan ACLs tidak memfilter lalu lintas yang ditujukan ke dan dari yang berikut ini:
  + Layanan Nama Domain Amazon (DNS)
  + Protokol Konfigurasi Host Dinamis (DHCP)
  + Metadata instans Amazon EC2
  + Titik akhir metadata tugas Amazon ECS
  + Aktivasi lisensi untuk instance Windows
  + Layanan Amazon Time Sync
  + Alamat IP yang dicadangkan yang digunakan oleh router VPC default

# Aturan ACL Jaringan
<a name="nacl-rules"></a>

Anda dapat menambah atau menghapus aturan dari ACL jaringan default, atau membuat jaringan tambahan ACLs untuk VPC Anda. Ketika Anda menambahkan atau menghapus aturan dari ACL jaringan, perubahan secara otomatis diterapkan ke subnet yang terhubung dengannya.

Berikut ini adalah bagian-bagian dari aturan ACL jaringan:
+ **Nomor aturan**. Aturan dievaluasi mulai dari aturan bernomor terendah. Setelah aturan cocok dengan lalu lintas, aturan tersebut langsung diterapkan terlepas dari apakah ada aturan bernomor lebih tinggi yang mungkin bertentangan dengan itu.
+ **Jenis**. Jenis lalu lintas; misalnya, SSH. Anda juga dapat menentukan semua lalu lintas atau rentang kustom.
+ **Protokol**. Anda dapat menetapkan protokol manapun yang memiliki nomor protokol standar. Untuk informasi selengkapnya, lihat [Nomor Protokol](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). Jika Anda menetapkan ICMP sebagai protokol, Anda dapat menetapkan satu atau semua jenis dan kode ICMP.
+ **Rentang port**. Listening port atau rentang port untuk lalu lintas. Misalnya, 80 untuk lalu lintas HTTP.
+ **Sumber**. [Aturan masuk saja] Sumber lalu lintas (rentang CIDR).
+ **Tujuan**. [Aturan keluar saja] Tujuan untuk lalu lintas (rentang CIDR).
+ **Izinkan/Tolak**. Apakah *mengizinkan* atau *menolak* lalu lintas yang ditentukan.

Misalnya aturan, lihat[Contoh: Kontrol akses ke instans dalam subnet](nacl-examples.md).

## Pertimbangan-pertimbangan
<a name="nacl-rule-considerations"></a>
+ Ada kuota (juga dikenal sebagai batas) untuk jumlah aturan per jaringan ACLs. Untuk informasi selengkapnya, lihat [Kuota Amazon VPC](amazon-vpc-limits.md).
+ Ketika Anda menambahkan atau menghapus aturan dari ACL, subnet yang terkait dengan ACL tunduk pada perubahan tersebut. Perubahan berlaku setelah beberapa saat.
+ Jika Anda menambahkan aturan menggunakan alat baris perintah atau API Amazon EC2, rentang CIDR secara otomatis diubah ke bentuk kanonisnya. Misalnya, jika Anda menetapkan `100.68.0.18/18` untuk rentang CIDR, kami membuat aturan dengan rentang CIDR `100.68.0.0/18`.
+ Anda mungkin ingin menambahkan aturan penolakan dalam situasi di mana Anda harus membuka berbagai port, tetapi ada port tertentu dalam kisaran yang ingin Anda tolak. Pastikan untuk memberikan aturan penolakan angka yang lebih rendah daripada aturan yang memungkinkan jangkauan lalu lintas pelabuhan yang lebih luas.
+ Jika Anda menambahkan dan menghapus aturan dari ACL jaringan secara bersamaan, berhati-hatilah. *Jika Anda menghapus aturan masuk atau keluar dan kemudian menambahkan lebih banyak entri baru daripada yang diizinkan (lihat[Kuota Amazon VPC](amazon-vpc-limits.md), entri yang dipilih untuk dihapus akan dihapus dan entri baru tidak ditambahkan.* Hal ini dapat menyebabkan masalah konektivitas yang tidak terduga dan mencegah akses ke dan dari VPC Anda.

# ACL jaringan default untuk VPC
<a name="default-network-acl"></a>

Virtual Private Cloud (VPC) Anda secara otomatis dilengkapi dengan ACL jaringan default. ACL jaringan default dikonfigurasi untuk memungkinkan semua lalu lintas mengalir masuk dan keluar dari subnet yang terkait dengannya. Setiap jaringan ACL juga mencakup aturan di mana nomor aturan adalah tanda bintang (\$1). Aturan-aturan ini memastikan bahwa jika sebuah paket tidak cocok dengan aturan bernomor lainnya, itu ditolak.

Anda dapat memodifikasi ACL jaringan default dengan menambahkan aturan atau menghapus aturan bernomor default. Anda tidak dapat menghapus aturan di mana nomor aturan adalah tanda bintang.

**Aturan masuk default**  
Tabel berikut menunjukkan aturan masuk default untuk ACL jaringan default. Aturan untuk IPv6 ditambahkan hanya jika Anda membuat VPC dengan blok CIDR terkait atau mengaitkan blok IPv6 IPv6 CIDR dengan VPC. Namun, jika Anda telah memodifikasi aturan masuk ACL jaringan default, kami tidak menambahkan aturan yang mengizinkan semua IPv6 lalu lintas masuk saat Anda mengaitkan IPv6 blok dengan VPC.


| Aturan \$1 | Tipe | Protokol | Rentang port  | Sumber | Izinkan/Tolak | 
| --- | --- | --- | --- | --- | --- | 
|  100  | Semua IPv4 lalu lintas |  Semua  |  Semua  | 0.0.0.0/0 |  IZINKAN  | 
|  101  |  Semua IPv6 lalu lintas  |  Semua  |  Semua  |  ::/0  |  IZINKAN  | 
|  \$1  | Semua Lalu lintas |  Semua  |  Semua  | 0.0.0.0/0 |  MENOLAK  | 
|  \$1  |  Semua IPv6 lalu lintas  |  Semua  |  Semua  |  ::/0  |  TOLAK  | 

**Aturan keluar default**  
Tabel berikut menunjukkan aturan outbound default untuk ACL jaringan default. Aturan untuk IPv6 ditambahkan hanya jika Anda membuat VPC dengan blok CIDR terkait atau mengaitkan blok IPv6 IPv6 CIDR dengan VPC. Namun, jika Anda telah memodifikasi aturan keluar dari ACL jaringan default, kami tidak menambahkan aturan yang memungkinkan semua IPv6 lalu lintas keluar saat Anda mengaitkan IPv6 blok dengan VPC.


| Aturan \$1 | Tipe | Protokol | Rentang Port | Destinasi | Izinkan/Tolak | 
| --- | --- | --- | --- | --- | --- | 
|  100  | Semua Lalu lintas |  Semua  |  Semua  | 0.0.0.0/0 |  IZINKAN  | 
|  101  |  Semua IPv6 lalu lintas  |  Semua  |  Semua  |  ::/0  |  IZINKAN  | 
|  \$1  | Semua Lalu lintas |  Semua  |  Semua  | 0.0.0.0/0 |  MENOLAK  | 
|  \$1  |  Semua IPv6 lalu lintas  |  Semua  |  Semua  |  ::/0  |  TOLAK  | 

# Jaringan khusus ACLs untuk VPC Anda
<a name="custom-network-acl"></a>

Anda dapat membuat ACL jaringan khusus dan mengaitkannya dengan subnet untuk mengizinkan atau menolak lalu lintas masuk atau keluar tertentu di tingkat subnet. Untuk informasi selengkapnya, lihat [Membuat ACL jaringan untuk VPC anda](create-network-acl.md).

Setiap ACL jaringan menyertakan aturan masuk default dan aturan keluar default yang nomor aturannya adalah tanda bintang (\$1). Aturan-aturan ini memastikan bahwa jika paket tidak cocok dengan aturan lainnya, itu ditolak.

Anda dapat memodifikasi ACL jaringan dengan menambahkan atau menghapus aturan. Anda tidak dapat menghapus aturan di mana nomor aturan adalah tanda bintang.

Untuk setiap aturan yang Anda tambahkan, harus ada aturan masuk atau keluar yang memungkinkan lalu lintas respons. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat [Ephemeral port](#nacl-ephemeral-ports).

**Contoh aturan masuk**  
Tabel berikut menunjukkan contoh aturan inbound untuk ACL jaringan. Aturan untuk IPv6 ditambahkan hanya jika VPC memiliki blok IPv6 CIDR terkait. IPv4 Lalu IPv6 lintas dievaluasi secara terpisah. Oleh karena itu, tidak ada aturan untuk IPv4 lalu lintas yang berlaku untuk IPv6 lalu lintas. Anda dapat menambahkan IPv6 aturan di sebelah IPv4 aturan yang sesuai, atau menambahkan IPv6 aturan setelah IPv4 aturan terakhir.

Ketika sebuah paket datang ke subnet, kami mengevaluasinya terhadap aturan inbound ACL jaringan yang terkait dengan subnet, dimulai dengan aturan bernomor terendah. Misalnya, ada IPv4 lalu lintas yang ditujukan untuk port HTTPS (443). Paket tidak cocok dengan aturan 100 atau 105. Ini cocok dengan aturan 110, yang memungkinkan lalu lintas ke subnet. Jika paket telah ditakdirkan untuk port 139 (NetBIOS), itu tidak akan cocok dengan salah satu aturan bernomor, sehingga aturan\$1 untuk IPv4 lalu lintas pada akhirnya menyangkal paket tersebut.


| Aturan \$1 | Tipe | Protokol | Rentang port | Sumber | Izinkan/Tolak | Komentar | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | IZINKAN |  Mengizinkan lalu lintas HTTP masuk dari IPv4 alamat apa pun.  | 
| 105 | HTTP | TCP | 80 | ::/0 | IZINKAN |  Mengizinkan lalu lintas HTTP masuk dari IPv6 alamat apa pun.  | 
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | IZINKAN |  Mengizinkan lalu lintas HTTPS masuk dari IPv4 alamat apa pun.  | 
| 115 | HTTPS | TCP | 443 | ::/0 | IZINKAN | Mengizinkan lalu lintas HTTPS masuk dari IPv6 alamat apa pun. | 
| 120 | SSH | TCP | 22 | *192.0.2.0/24* | IZINKAN |  Memungkinkan lalu lintas SSH masuk dari jangkauan IPv4 alamat publik jaringan rumah Anda (melalui gateway internet).  | 
| 140 | TCP Kustom | TCP | *32768-65535* | 0.0.0.0/0 | IZINKAN |  Memungkinkan IPv4 lalu lintas pengembalian masuk dari internet (untuk permintaan yang berasal dari subnet).  | 
| 145 | TCP Kustom | TCP | *32768-65535* | ::/0 | IZINKAN |  Memungkinkan IPv6 lalu lintas pengembalian masuk dari internet (untuk permintaan yang berasal dari subnet).  | 
| \$1 | Semua Lalu lintas | Semua | Semua | 0.0.0.0/0 | MENOLAK |  Menyangkal semua IPv4 lalu lintas masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).  | 
| \$1 | Semua Lalu lintas | Semua | Semua | ::/0 | TOLAK |  Menyangkal semua IPv6 lalu lintas masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat dimodifikasi).  | 

**Contoh aturan keluar**  
Tabel berikut menunjukkan contoh aturan keluar untuk ACL jaringan kustom. Aturan untuk IPv6 ditambahkan hanya jika VPC memiliki blok IPv6 CIDR terkait. IPv4 Lalu IPv6 lintas dievaluasi secara terpisah. Oleh karena itu, tidak ada aturan untuk IPv4 lalu lintas yang berlaku untuk IPv6 lalu lintas. Anda dapat menambahkan IPv6 aturan di sebelah IPv4 aturan yang sesuai, atau menambahkan IPv6 aturan setelah IPv4 aturan terakhir.


| Aturan \$1 | Tipe | Protokol | Rentang Port | Destinasi | Izinkan/Tolak | Komentar | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | HTTP | TCP | 80 | 0.0.0.0/0 | IZINKAN | Memungkinkan lalu lintas IPv4 HTTP keluar dari subnet ke internet. | 
| 105 | HTTP | TCP | 80 | ::/0 | IZINKAN | Memungkinkan lalu lintas IPv6 HTTP keluar dari subnet ke internet. | 
| 110 | HTTPS | TCP | 443 | 0.0.0.0/0 | IZINKAN | Memungkinkan lalu lintas IPv4 HTTPS keluar dari subnet ke internet. | 
| 115 | HTTPS | TCP | 443 | ::/0 | IZINKAN | Memungkinkan lalu lintas IPv6 HTTPS keluar dari subnet ke internet. | 
| 120 | TCP Kustom | TCP | *1024-65535* | *192.0.2.0/24* | IZINKAN |  Memungkinkan respons keluar untuk lalu lintas SSH dari jaringan rumah Anda.  | 
| 140 | TCP Kustom | TCP | *32768-65535* | 0.0.0.0/0 | IZINKAN | Memungkinkan IPv4 tanggapan keluar ke klien di internet (misalnya, melayani halaman web). | 
| 145 | TCP Kustom | TCP | *32768-65535* | ::/0 | IZINKAN | Memungkinkan IPv6 tanggapan keluar ke klien di internet (misalnya, melayani halaman web).  | 
| \$1 | Semua Lalu lintas | Semua | Semua | 0.0.0.0/0 | MENOLAK | Menyangkal semua IPv4 lalu lintas keluar yang belum ditangani oleh aturan sebelumnya. | 
| \$1 | Semua Lalu lintas | Semua | Semua | ::/0 | TOLAK | Menyangkal semua IPv6 lalu lintas keluar yang belum ditangani oleh aturan sebelumnya. | 

## Ephemeral port
<a name="nacl-ephemeral-ports"></a>

Contoh ACL jaringan di bagian sebelumnya menggunakan rentang ephemeral port 32768-65535. Namun, Anda mungkin ingin menggunakan rentang yang berbeda untuk jaringan Anda ACLs tergantung pada jenis klien yang Anda gunakan atau dengan mana Anda berkomunikasi.

Klien yang menginisiasi permintaan memilih rentang ephemeral port. Rentang bervariasi tergantung pada sistem operasi klien. 
+ Banyak kernel Linux (termasuk kernel Amazon Linux) menggunakan port 32768-61000.
+ Permintaan yang berasal dari Elastic Load Balancing menggunakan port 1024-65535.
+ Sistem operasi Windows melalui Windows Server 2003 menggunakan port 1025-5000.
+ Windows Server 2008 dan versi yang lebih baru menggunakan port 49152-65535.
+ Gateway NAT menggunakan port 1024-65535.
+ AWS Lambda fungsi menggunakan port 1024-65535.

Sebagai contoh, jika permintaan datang ke server web di VPC Anda dari klien Windows 10 di internet, ACL jaringan Anda harus memiliki aturan keluar untuk mengaktifkan lalu lintas yang ditujukan untuk port 49152-65535. 

Jika instance di VPC Anda adalah klien yang memulai permintaan, ACL jaringan Anda harus memiliki aturan masuk untuk mengaktifkan lalu lintas yang ditujukan untuk port sementara khusus untuk sistem operasi instance. 

Dalam prakteknya, untuk mencakup berbagai jenis klien yang mungkin menginisiasi lalu lintas untuk ke instans yang menghadap publik di VPC Anda, Anda dapat membuka ephemeral port 1024-65535. Namun, Anda juga dapat menambahkan aturan ke ACL untuk menolak lalu lintas pada setiap port yang berbahaya dalam rentang tersebut. Pastikan bahwa Anda menempatkan aturan Tolak sebelumnya dalam tabel daripada aturan Izinkan yang membuka berbagai macam ephemeral port.

## Jaringan kustom ACLs dan AWS layanan lainnya
<a name="nacl-other-services"></a>

Jika Anda membuat ACL jaringan kustom, perhatikan bagaimana hal itu dapat memengaruhi sumber daya yang Anda buat menggunakan AWS layanan lain.

Dengan Elastic Load Balancing, jika subnet untuk instans backend Anda memiliki ACL jaringan di mana Anda telah menambahkan aturan *Tolak* untuk semua lalu lintas dengan sumber `0.0.0.0/0` atau CIDR subnet, penyeimbang beban Anda tidak dapat melakukan pemeriksaan kondisi pada instans. Untuk informasi selengkapnya tentang aturan ACL jaringan yang direkomendasikan untuk penyeimbang beban dan instans backend, lihat berikut ini:
+ [Jaringan ACLs untuk Application Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-troubleshooting.html)
+ [Jaringan ACLs untuk Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-register-targets.html#network-acls)
+ [Jaringan ACLs untuk Classic Load Balancer Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-network-acls.html)

## Memecahkan masalah keterjangkauan
<a name="network-acl-rules-troubleshoot"></a>

Reachability Analyzer adalah alat analisis konfigurasi statis. Gunakan Reachability Analyzer untuk menganalisis dan men-debug jangkauan jaringan antara dua sumber daya di VPC Anda. Reachability Analyzer hop-by-hop menghasilkan rincian jalur virtual antara sumber daya ini ketika mereka dapat dijangkau, dan mengidentifikasi komponen pemblokiran sebaliknya. Misalnya, dapat mengidentifikasi aturan ACL jaringan yang hilang atau salah konfigurasi.

Untuk informasi selengkapnya, lihat Panduan [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/).

# Path MTU Discovery dan jaringan ACLs
<a name="path_mtu_discovery"></a>

Path MTU Discovery digunakan untuk menentukan jalur MTU antara dua perangkat. Jalur MTU adalah ukuran paket maksimum yang didukung pada jalur antara host asal dan host penerima. 

Sebab IPv4, ketika host mengirim paket yang lebih besar dari MTU host penerima atau yang lebih besar dari MTU perangkat di sepanjang jalur, host penerima atau perangkat menjatuhkan paket, dan kemudian mengembalikan pesan ICMP berikut: `Destination Unreachable: Fragmentation Needed and Don't Fragment was Set` (Tipe 3, Kode 4). Ini menginstruksikan host transmisi untuk membagi muatan menjadi beberapa paket yang lebih kecil, dan kemudian mentrasmisikannya kembali. 

 IPv6 Protokol tidak mendukung fragmentasi dalam jaringan. Jika suatu host mengirimkan paket yang lebih besar daripada MTU host penerima atau yang lebih besar daripada MTU perangkat di sepanjang jalur, host atau perangkat penerima menjatuhkan paket, lalu mengembalikan pesan ICMP berikut: `ICMPv6 Packet Too Big (PTB)` (Tipe 2). Ini menginstruksikan host transmisi untuk membagi muatan menjadi beberapa paket yang lebih kecil, dan kemudian mentrasmisikannya kembali. 

Jika unit transmisi maksimum (MTU) antar host di subnet Anda berbeda, atau instans Anda berkomunikasi dengan rekan-rekan melalui internet, Anda harus menambahkan aturan ACL jaringan berikut, baik masuk maupun keluar. Hal ini memastikan bahwa Path MTU Discovery dapat berfungsi dengan benar dan mencegah kehilangan paket. Pilih **Aturan ICMP Kustom** untuk jenis tersebut dan **Tujuan yang Tidak Dapat Dihubungi**, **fragmentasi yang diperlukan, dan bendera DF yang ditetapkan** untuk rentang port tersebut (tipe 3, kode 4). Jika Anda menggunakan traceroute, tambahkan juga aturan berikut: pilih **Aturan ICMP Kustom** untuk jenis ini dan **Waktu Terlampaui**, **Transit kedaluwarsa TTL** untuk rentang port ini (tipe 11, kode 0). Untuk informasi selengkapnya, lihat [Unit transmisi maksimum jaringan (MTU) untuk instans EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html) di Panduan Pengguna *Amazon EC2*.

# Membuat ACL jaringan untuk VPC anda
<a name="create-network-acl"></a>

Tugas-tugas berikut menunjukkan cara membuat ACL jaringan, menambahkan aturan ke ACL jaringan, dan kemudian mengaitkan ACL jaringan dengan subnet.

**Topics**
+ [Langkah 1: Buat ACL jaringan](#CreateACL)
+ [Langkah 2: Tambahkan aturan](#Rules)
+ [Langkah 3: Kaitkan subnet dengan ACL jaringan](#NetworkACL)
+ [(Opsional) Kelola jaringan ACLs menggunakan Firewall Manager](#nacls-using-firewall-manager)

## Langkah 1: Buat ACL jaringan
<a name="CreateACL"></a>

Anda dapat membuat ACL jaringan kustom untuk VPC Anda. Aturan awal untuk jaringan khusus ACL memblokir semua lalu lintas masuk dan keluar. ACL jaringan kustom baru Anda tidak terkait dengan subnet secara default dan harus secara eksplisit dikaitkan dengan subnet.

**Untuk membuat ACL jaringan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Jaringan ACLs**.

1. Pilih **Buat ACL jaringan**.

1. (Opsional) Untuk **Nama**, masukkan nama untuk ACL jaringan Anda.

1. Untuk **VPC**, pilih VPC.

1. (Opsional) Untuk **Tag**, pilih **Tambahkan tag** lalu masukkan kunci tag dan nilai tag.

1. Pilih **Buat ACL jaringan**.

**Untuk membuat jaringan ACL menggunakan baris perintah**
+ [create-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html) (AWS CLI)
+ [New-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)

## Langkah 2: Tambahkan aturan
<a name="Rules"></a>

Anda dapat menambahkan aturan yang mengizinkan atau menolak lalu lintas masuk atau keluar.

Kami memproses aturan secara berurutan, dimulai dengan aturan dengan angka terendah. Kami sarankan Anda membiarkan adanya selisih lebar di antara nomor aturan (seperti 100, 200, 300), daripada menggunakan nomor berurutan (101, 102, 103). Hal ini memudahkan penambahan aturan baru tanpa harus mengatur ulang nomor aturan yang ada.

Jika Anda menggunakan API Amazon EC2 atau alat baris perintah, Anda tidak dapat mengubah aturan. Anda hanya dapat menambahkan dan menghapus aturan. Jika Anda menggunakan konsol Amazon VPC, Anda dapat mengubah entri untuk aturan yang ada. Konsol tersebut menghapus aturan yang ada dan menambahkan aturan baru untuk Anda. Jika Anda perlu mengubah urutan aturan di ACL, Anda harus menambahkan aturan baru dengan nomor aturan baru, dan kemudian menghapus aturan semula.

**Untuk menambahkan aturan ke ACL jaringan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Jaringan ACLs**.

1. Pilih ACL jaringan.

1. Untuk menambahkan aturan masuk, lakukan hal berikut:

   1. Pilih tab **Aturan masuk**.

   1. Pilih **Edit aturan masuk**, **Tambahkan aturan baru**.

   1. Masukkan nomor aturan yang belum digunakan, jenis, protokol, rentang port, sumber, dan apakah akan mengizinkan atau menolak lalu lintas. Untuk beberapa jenis, kami mengisi protokol dan port untuk Anda. Jika Anda diminta untuk rentang port, masukkan nomor port atau rentang port (misalnya, 49152-65535).

      Untuk menggunakan protokol yang tidak terdaftar, pilih **Protokol Kustom** untuk jenis dan kemudian pilih protokol. Untuk informasi selengkapnya, lihat [Nomor Protokol IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).

   1. Pilih **Simpan perubahan**.

1. Untuk menambahkan aturan keluar, lakukan hal berikut:

   1. Pilih tab **Aturan keluar**.

   1. Pilih **Edit aturan keluar**, **Tambahkan aturan baru**.

   1. Masukkan nomor aturan yang belum digunakan, jenis, protokol, rentang port, sumber, dan apakah akan mengizinkan atau menolak lalu lintas. Untuk beberapa jenis, kami mengisi protokol dan port untuk Anda. Jika Anda diminta untuk rentang port, masukkan nomor port atau rentang port (misalnya, 49152-65535).

      Untuk menggunakan protokol yang tidak terdaftar, pilih **Protokol Kustom** untuk jenis dan kemudian pilih protokol. Untuk informasi selengkapnya, lihat [Nomor Protokol IANA](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).

   1. Pilih **Simpan perubahan**.

**Untuk menambahkan aturan ke ACL jaringan menggunakan baris perintah**
+ [create-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html) (AWS CLI)
+ [New-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

**Untuk mengganti aturan dalam jaringan ACL menggunakan baris perintah**
+ [replace-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html) (AWS CLI)
+ [Set-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

**Untuk menghapus aturan dari ACL jaringan menggunakan baris perintah**
+ [delete-network-acl-entry](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html) (AWS CLI)
+ [Remove-EC2NetworkAclEntry](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html) (AWS Tools for Windows PowerShell)

## Langkah 3: Kaitkan subnet dengan ACL jaringan
<a name="NetworkACL"></a>

Untuk menerapkan aturan ACL jaringan untuk subnet tertentu, Anda harus mengaitkan subnet tersebut dengan ACL jaringan. Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, suatu subnet dapat dikaitkan dengan hanya satu ACL jaringan. Setiap subnet yang tidak terkait dengan ACL tertentu dikaitkan dengan ACL jaringan default secara default.

**Untuk mengaitkan subnet dengan ACL jaringan**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Jaringan ACLs**, lalu pilih ACL jaringan.

1. Di panel rincian, pada tab **Pengaitan Subnet**, pilih **Edit**. Pilih kotak centang **Pengaitan** untuk mengaitkan subnet dengan ACL jaringan, dan kemudian pilih **Simpan**.

## (Opsional) Kelola jaringan ACLs menggunakan Firewall Manager
<a name="nacls-using-firewall-manager"></a>

AWS Firewall Manager menyederhanakan administrasi ACL jaringan dan tugas pemeliharaan di beberapa akun dan subnet. Anda dapat menggunakan Firewall Manager untuk memantau akun dan subnet di organisasi Anda dan untuk secara otomatis menerapkan konfigurasi ACL jaringan yang telah Anda tetapkan. Firewall Manager sangat berguna ketika Anda ingin melindungi seluruh organisasi Anda, atau jika Anda sering menambahkan subnet baru yang ingin Anda lindungi secara otomatis dari akun administrator pusat.

Dengan kebijakan ACL jaringan Manajer Firewall, menggunakan satu akun administrator, Anda dapat mengonfigurasi, memantau, dan mengelola kumpulan aturan minimum yang ingin Anda tetapkan di jaringan ACLs yang Anda gunakan di seluruh organisasi. Anda menentukan akun dan subnet di organisasi Anda yang berada dalam cakupan kebijakan Firewall Manager. Firewall Manager melaporkan status kepatuhan jaringan ACLs untuk subnet dalam lingkup, dan Anda dapat mengonfigurasi Firewall Manager untuk mengotomatiskan remediasi jaringan yang tidak sesuai. ACLs

Untuk informasi selengkapnya, lihat sumber daya berikut di *Panduan AWS Firewall Manager Pengembang*:
+ [AWS Firewall Manager prasyarat](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html)
+ [Menyiapkan AWS Firewall Manager kebijakan ACL jaringan](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html)
+ [Menggunakan kebijakan ACL jaringan dengan Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-acl-policies.html)

# Kelola asosiasi ACL jaringan untuk VPC Anda
<a name="network-acl-associations"></a>

Setiap subnet dikaitkan dengan satu jaringan ACL. Ketika Anda pertama kali membuat subnet, itu terkait dengan ACL jaringan default untuk VPC. Anda dapat membuat ACL jaringan khusus dan mengaitkannya dengan satu atau lebih subnet, menggantikan asosiasi ACL jaringan sebelumnya.

**Topics**
+ [Jelaskan asosiasi ACL jaringan Anda](#describe-network-acl-association)
+ [Ubah subnet yang terkait dengan ACL jaringan](#DisassociateNetworkACL)
+ [Ubah ACL jaringan yang terkait dengan subnet](#ChangeNetworkACL)

## Jelaskan asosiasi ACL jaringan Anda
<a name="describe-network-acl-association"></a>

Anda dapat menggambarkan ACL jaringan yang terkait dengan subnet dan Anda juga dapat menjelaskan subnet mana yang terkait dengan jaringan ACL.

**Untuk menggambarkan ACL jaringan yang terkait dengan subnet menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Pengguna**.

1. Pilih subnet.

1. Pilih tab **Network ACL**.

**Untuk menggambarkan ACL jaringan yang terkait dengan subnet menggunakan AWS CLI**  
Gunakan [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)perintah berikut untuk daftar ACL jaringan yang terkait dengan subnet yang ditentukan.

```
aws ec2 describe-network-acls --filters Name=association.subnet-id,Values=subnet-0d2d1b81e0bc9c6d4 --query NetworkAcls[*].NetworkAclId
```

Berikut ini adalah output contoh.

```
[
    "acl-03701d1f82d8c3fd6"
]
```

**Untuk menggambarkan subnet yang terkait dengan jaringan ACL menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Jaringan ACLs**.

1. Pilih ACL jaringan.

1. Pilih tab **Asosiasi Subnet**.

**Untuk menggambarkan subnet yang terkait dengan jaringan ACL menggunakan AWS CLI**  
Gunakan [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)perintah berikut untuk daftar subnet yang terkait dengan ACL jaringan yang ditentukan.

```
aws ec2 describe-network-acls --network-acl-ids acl-060415a18fcc9afde --query NetworkAcls[*].Associations[].SubnetId
```

Berikut ini adalah output contoh.

```
[
    "subnet-0d2d1b81e0bc9c6d4",
    "subnet-0e990c67809773b19",
    "subnet-0eb17d85f5dfd33b1",
    "subnet-0e01d500780bb7468"
]
```

## Ubah subnet yang terkait dengan ACL jaringan
<a name="DisassociateNetworkACL"></a>

Anda dapat melepaskan ACL jaringan dari subnet. Setelah Anda memisahkan subnet dari ACL jaringan kustom, kami secara otomatis mengaitkannya dengan ACL jaringan default untuk VPC. Perubahan berlaku setelah periode waktu yang singkat.

**Untuk mengubah subnet yang terkait dengan jaringan ACL**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Jaringan ACLs**.

1. Pilih ACL jaringan.

1. Pilih **Tindakan**, **Edit asosiasi subnet**.

1. Hapus subnet dari subnet **yang dipilih**.

1. Pilih **Simpan perubahan**.

## Ubah ACL jaringan yang terkait dengan subnet
<a name="ChangeNetworkACL"></a>

Anda dapat mengubah ACL jaringan yang terkait dengan suatu subnet. Misalnya, ketika Anda membuat subnet, awalnya dikaitkan dengan ACL jaringan default untuk VPC. Jika Anda membuat ACL jaringan kustom, Anda menerapkan aturan ACL jaringan dengan mengaitkan ACL jaringan dengan satu atau beberapa subnet.

Setelah Anda mengubah ACL jaringan untuk subnet, perubahan akan berlaku setelah periode waktu yang singkat.

**Untuk mengubah ACL jaringan yang terkait dengan subnet**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Pengguna**.

1. Pilih subnet.

1. Pilih **Tindakan**, **Edit asosiasi ACL jaringan**.

1. Untuk **ID ACL Jaringan**, pilih ACL jaringan yang akan dikaitkan dengan subnet, dan tinjau aturan masuk dan keluar untuk ACL jaringan yang dipilih.

1. Pilih **Simpan**.

**Untuk mengganti asosiasi ACL jaringan menggunakan baris perintah**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)

# Hapus ACL jaringan untuk VPC Anda
<a name="delete-network-acl"></a>

Setelah Anda selesai dengan ACL jaringan, Anda dapat menghapusnya. Anda tidak dapat menghapus ACL jaringan jika ada subnet yang terkait dengannya. Anda tidak dapat menghapus ACL jaringan default.

**Untuk menghapus asosiasi subnet dari ACL jaringan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Jaringan ACLs**. Kolom **Terkait dengan** menunjukkan jumlah subnet yang terkait dengan setiap jaringan ACL. Kolom ini `-` jika tidak ada subnet terkait.

1. Pilih ACL jaringan.

1. Pilih **Tindakan**, **Edit asosiasi subnet**.

1. Hapus asosiasi subnet.

1. Pilih **Simpan perubahan**.

**Untuk menggambarkan jaringan Anda ACLs, termasuk asosiasi, menggunakan baris perintah**
+ [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) (AWS CLI)
+ [Get-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)

**Untuk mengganti asosiasi ACL jaringan menggunakan baris perintah**
+ [replace-network-acl-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html) (AWS CLI)
+ [Set-EC2NetworkAclAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html) (AWS Tools for Windows PowerShell)

**Untuk menghapus ACL jaringan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih **Jaringan ACLs**.

1. Pilih ACL jaringan.

1. Pilih **Tindakan**, **Hapus jaringan ACLs**.

1. Saat diminta konfirmasi, masukkan **delete**, lalu pilih **Hapus**.

**Untuk menghapus ACL jaringan menggunakan baris perintah**
+ [delete-network-acl](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html) (AWS CLI)
+ [Remove-EC2NetworkAcl](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html) (AWS Tools for Windows PowerShell)

# Contoh: Kontrol akses ke instans dalam subnet
<a name="nacl-examples"></a>

Dalam contoh ini, contoh di subnet dapat berkomunikasi satu sama lain, dan dapat diakses dari komputer jarak jauh tepercaya untuk melakukan tugas-tugas administratif. Komputer jarak jauh mungkin komputer di jaringan lokal Anda, seperti yang ditunjukkan dalam diagram, atau mungkin contoh di subnet atau VPC yang berbeda. Aturan ACL jaringan untuk subnet, dan aturan grup keamanan untuk instance, memungkinkan akses dari alamat IP komputer jarak jauh Anda. Semua lalu lintas lain dari internet atau jaringan lain ditolak.

![\[Menggunakan grup keamanan dan NACL\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/nacl-example-diagram.png)


Menggunakan ACL jaringan memberi Anda fleksibilitas untuk mengubah grup keamanan atau aturan grup keamanan untuk instance Anda sambil mengandalkan ACL jaringan sebagai lapisan pertahanan cadangan. Misalnya, jika Anda secara tidak sengaja memperbarui grup keamanan untuk memungkinkan akses SSH masuk dari mana saja, tetapi ACL jaringan hanya mengizinkan akses dari rentang alamat IP komputer jarak jauh, maka jaringan ACL menolak lalu lintas SSH masuk dari alamat IP lainnya.

## Aturan ACL Jaringan
<a name="nacl-examples-network-acl-rules"></a>

Berikut ini adalah contoh aturan inbound untuk ACL jaringan yang terkait dengan subnet. Aturan-aturan ini berlaku untuk semua instance di subnet.


| Aturan \$1 | Tipe | Protokol | Rentang port | Sumber | Izinkan/Tolak | Komentar | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | SSH | TCP | 22 | 172.31.1.2/32 | IZINKAN | Izinkan lalu lintas masuk dari komputer jarak jauh. | 
| \$1 | Semua Lalu lintas | Semua | Semua | 0.0.0.0/0 | MENOLAK | Tolak semua lalu lintas masuk lainnya. | 

Berikut ini adalah contoh aturan outbound untuk ACL jaringan yang terkait dengan subnet. Jaringan ACLs tidak memiliki kewarganegaraan. Oleh karena itu, Anda harus menyertakan aturan yang memungkinkan tanggapan terhadap lalu lintas masuk.


| Aturan \$1 | Tipe | Protokol | Rentang Port | Destinasi | Izinkan/Tolak | Komentar | 
| --- | --- | --- | --- | --- | --- | --- | 
| 100 | TCP Kustom | TCP | 1024-65535 | 172.31.1.2/32 | IZINKAN | Mengizinkan respon keluar ke komputer jarak jauh. | 
| \$1 | Semua lalu lintas | Semua | Semua | 0.0.0.0/0 | TOLAK | Menolak semua lalu lintas keluar lainnya. | 

## Aturan-aturan grup keamanan
<a name="nacl-examples-security-group-rules"></a>

Berikut ini adalah contoh aturan masuk untuk grup keamanan yang terkait dengan instans. Aturan ini berlaku untuk semua instance yang terkait dengan grup keamanan. Seorang pengguna dengan kunci pribadi untuk key pair yang terkait dengan instance dapat terhubung ke instance dari komputer jarak jauh menggunakan SSH.


| Tipe protokol | Protokol | Rentang port | Sumber | Komentar | 
| --- | --- | --- | --- | --- | 
| Semua lalu lintas | Semua | Semua | sg-1234567890abcdef0 | Izinkan komunikasi antara instans yang terkait dengan grup keamanan ini. | 
| SSH | TCP | 22 | 172.31.1.2/32 | Izinkan akses SSH masuk dari komputer jarak jauh. | 

Berikut ini adalah contoh aturan outbound bound untuk grup keamanan yang terkait dengan instance. Grup keamanan bersifat stateful. Oleh karena itu, Anda tidak memerlukan aturan yang memungkinkan respons terhadap lalu lintas masuk.


| Jenis protokol | Protokol | Rentang Port | Destinasi | Komentar | 
| --- | --- | --- | --- | --- | 
| Semua lalu lintas | Semua | Semua | sg-1234567890abcdef0 | Izinkan komunikasi antara instans yang terkait dengan grup keamanan ini. | 

## Perbedaan antara jaringan ACLs dan kelompok keamanan
<a name="compare-security-layers"></a>

Tabel berikut merangkum perbedaan dasar antara jaringan ACLs dan kelompok keamanan.


| Karakteristik | ACL jaringan | Grup keamanan | 
| --- | --- | --- | 
| Tingkat operasi | Tingkat subnet | Tingkat instans | 
| Lingkup | Berlaku untuk semua instance di subnet terkait | Berlaku untuk semua instance yang terkait dengan grup keamanan | 
| Jenis aturan | Izinkan dan tolak aturan | Izinkan aturan saja | 
| Evaluasi aturan | Mengevaluasi aturan dalam urutan menaik sampai kecocokan untuk lalu lintas ditemukan | Mengevaluasi semua aturan sebelum memutuskan apakah akan mengizinkan lalu lintas | 
| Kembalikan lalu lintas | Harus diizinkan secara eksplisit (tanpa kewarganegaraan) | Diizinkan secara otomatis (stateful) | 

# Ketahanan di Amazon Virtual Private Cloud
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung menggunakan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.

Wilayah AWS adalah blok bangunan utama, masing-masing mewakili lokasi geografis yang berbeda yang menampung beberapa Zona Ketersediaan yang terpisah secara fisik dan terisolasi. Availability Zone ini terhubung melalui jaringan latensi rendah, throughput tinggi, dan sangat redundan, memungkinkan komunikasi dan transfer data yang mulus di antara keduanya.

Arsitektur Availability Zones adalah pembeda utama, karena dirancang agar jauh lebih kuat dan toleran terhadap kesalahan daripada pengaturan pusat data tunggal atau ganda tradisional. Dengan mendistribusikan sumber daya di beberapa Availability Zone dalam suatu Wilayah, aplikasi dan database dapat direkayasa untuk secara otomatis gagal di antara zona tanpa gangguan pada layanan. Tingkat redundansi dan ketersediaan tinggi ini merupakan persyaratan penting untuk beban kerja yang sangat penting dan memungkinkan organisasi untuk membangun solusi cloud-native yang tangguh.

Selain itu, skala dan jangkauan global AWS infrastruktur memberdayakan pelanggan untuk menyebarkan aplikasi mereka lebih dekat ke pengguna akhir, mengurangi latensi dan meningkatkan pengalaman pengguna secara keseluruhan. Ketersediaan beberapa Wilayah di seluruh dunia juga memungkinkan kedaulatan dan kepatuhan data yang efektif, karena pelanggan dapat menyimpan dan memproses data dalam batas-batas geografis yang disyaratkan oleh kebutuhan regulasi dan bisnis spesifik mereka.

Dengan memanfaatkan infrastruktur AWS global, organisasi dapat merancang lingkungan cloud mereka agar sangat tersedia, toleran terhadap kesalahan, dan skalabel, dengan fleksibilitas untuk beradaptasi dengan perubahan persyaratan dan kebutuhan bisnis yang berkembang. Fondasi yang kuat ini adalah enabler kunci untuk keberhasilan implementasi aplikasi dan layanan berbasis cloud modern.

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

Anda dapat mengonfigurasi VPCs untuk memenuhi persyaratan ketahanan untuk beban kerja Anda. Untuk informasi selengkapnya, lihat berikut ini:
+ [Memahami pola ketahanan dan trade-off](https://aws.amazon.com/blogs/architecture/understand-resiliency-patterns-and-trade-offs-to-architect-efficiently-in-the-cloud/) (Blog Arsitektur)AWS 
+ [Rencanakan topologi jaringan Anda](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-your-network-topology.html) (AWS Well-Architected Framework)
+ [Opsi Konektivitas Amazon Virtual Private Cloud](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html) (AWS Whitepaper)

# Validasi kepatuhan untuk Amazon Virtual Private Cloud
<a name="VPC-compliance"></a>

Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).

# Memblokir akses publik ke VPCs dan subnet
<a name="security-vpc-bpa"></a>

VPC Block Public Access (BPA) adalah fitur keamanan terpusat yang memungkinkan Anda untuk secara otoritatif mencegah akses internet publik ke sumber daya VPC di seluruh AWS akun, memastikan kepatuhan terhadap persyaratan keamanan sambil memberikan fleksibilitas untuk pengecualian dan kemampuan audit tertentu.

Fitur VPC BPA memiliki mode berikut:
+ **Dua arah**: Semua lalu lintas ke dan dari gateway internet dan gateway internet khusus pintu masuk di Wilayah ini (kecuali untuk dikecualikan dan subnet) diblokir. VPCs 
+ **Ingress-only**: Semua lalu lintas internet ke VPCs dalam Wilayah ini (kecuali untuk VPCs atau subnet yang dikecualikan) diblokir. Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.

Anda juga dapat membuat “pengecualian” untuk fitur ini untuk lalu lintas yang tidak ingin Anda blokir. Pengecualian adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode VPC BPA akun dan akan memungkinkan akses dua arah atau egress-only. 

Pengecualian dapat memiliki salah satu dari mode berikut:
+ **Dua arah**: Semua lalu lintas internet ke dan dari yang dikecualikan VPCs dan subnet diperbolehkan.
+ **Egress-only**: Lalu lintas internet keluar dari yang dikecualikan VPCs dan subnet diizinkan. Lalu lintas internet masuk ke yang dikecualikan VPCs dan subnet diblokir. Ini hanya berlaku ketika VPC BPA disetel ke Dua Arah.

**Topics**
+ [Dasar-dasar VPC BPA](security-vpc-bpa-basics.md)
+ [Menilai dampak VPC BPA dan memantau VPC BPA](security-vpc-bpa-assess-impact-main.md)
+ [Contoh lanjutan](security-vpc-bpa-example.md)

# Dasar-dasar VPC BPA
<a name="security-vpc-bpa-basics"></a>

Bagian ini mencakup detail penting tentang VPC BPA, termasuk layanan mana yang mendukungnya dan bagaimana Anda dapat bekerja dengannya.

**Topics**
+ [Ketersediaan wilayah](#security-vpc-bpa-reg-avail)
+ [AWS dampak dan dukungan layanan](#security-vpc-bpa-service-support)
+ [Batasan VPC BPA](#security-vpc-bpa-limits)
+ [Kontrol akses ke VPC BPA dengan kebijakan IAM](#security-vpc-bpa-iam-example)
+ [Aktifkan mode dua arah VPC BPA untuk akun Anda](#security-vpc-bpa-enable-bidir)
+ [Ubah mode BPA VPC menjadi hanya masuk](#security-vpc-bpa-ingress-only)
+ [Membuat dan menghapus pengecualian](#security-vpc-bpa-exclusions)
+ [Aktifkan BPA VPC di tingkat Organisasi](#security-vpc-bpa-exclusions-orgs)

## Ketersediaan wilayah
<a name="security-vpc-bpa-reg-avail"></a>

VPC BPA tersedia di semua [AWS Wilayah komersial termasuk dan Wilayah](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/) GovCloud Tiongkok.

Dalam panduan ini, Anda juga akan menemukan informasi tentang penggunaan Network Access Analyzer dan Reachability Analyzer dengan VPC BPA. Perhatikan bahwa Network Access Analyzer dan Reachability Analyzer tidak tersedia di semua Wilayah komersial. [https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)

## AWS dampak dan dukungan layanan
<a name="security-vpc-bpa-service-support"></a>

Sumber daya dan layanan berikut mendukung VPC BPA dan lalu lintas ke layanan dan sumber daya ini dipengaruhi oleh VPC BPA:
+ **Internet gateway**: Semua lalu lintas masuk dan keluar diblokir.
+ **Gateway internet khusus Egress**: Semua lalu lintas keluar diblokir. Gateway internet khusus Egress tidak mengizinkan lalu lintas masuk.
+ **Gateway Load Balancer (GWLB)**: Semua lalu lintas masuk dan keluar diblokir meskipun subnet yang berisi titik akhir GWLB dikecualikan.
+ **Gateway NAT**: Semua lalu lintas masuk dan keluar diblokir. Gateway NAT membutuhkan gateway internet untuk konektivitas internet.
+ **Network Load Balancer yang menghadap ke Internet**: Semua lalu lintas masuk dan keluar diblokir. Network Load Balancer yang menghadap ke internet memerlukan gateway internet untuk konektivitas internet.
+ **Application Load Balancer yang menghadap ke Internet**: Semua lalu lintas masuk dan keluar diblokir. Application Load Balancer yang menghadap ke Internet memerlukan gateway internet untuk konektivitas internet.
+ **Amazon CloudFront VPC Origins**: Semua lalu lintas masuk dan keluar diblokir.
+ **Direct Connect**Semua lalu lintas masuk dan keluar yang menggunakan antarmuka virtual publik ( IPv6 alamat unicast publik IPv4 atau global) diblokir. Lalu lintas ini menggunakan gateway internet (atau egress-only internet-gateway) untuk konektivitas. 
+ **AWS Akselerator Global**: Lalu lintas masuk ke VPCs diblokir, terlepas dari apakah target tersebut dapat diakses dari internet atau tidak.
+ **AWS Network Firewall**: Semua lalu lintas masuk dan keluar diblokir bahkan jika subnet yang berisi titik akhir firewall dikecualikan.
+ **AWS Wavelength gateway operator**: Semua lalu lintas masuk dan keluar diblokir.

Lalu lintas yang terkait dengan konektivitas pribadi, seperti lalu lintas untuk layanan dan sumber daya berikut, tidak diblokir atau dipengaruhi oleh VPC BPA:
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts gerbang lokal
+ AWS Site-to-Site VPN
+ Gateway transit
+ Akses Terverifikasi AWS

  

**penting**  
Jika Anda merutekan lalu lintas masuk dan keluar melalui alat (seperti alat keamanan atau pemantauan pihak ketiga) yang berjalan pada instans EC2 di subnet, saat menggunakan VPC BPA, subnet tersebut harus menjadi pengecualian agar lalu lintas mengalir masuk dan keluar darinya. Subnet lain yang mengirimkan lalu lintas ke subnet alat dan bukan ke gateway internet tidak perlu ditambahkan sebagai pengecualian.
Lalu lintas yang dikirim secara pribadi dari sumber daya di VPC Anda ke layanan lain yang berjalan di VPC Anda, seperti Resolver Route 53, diizinkan bahkan ketika VPC BPA dihidupkan karena tidak melewati gateway internet di VPC Anda. Ada kemungkinan bahwa layanan ini dapat mengajukan permintaan ke sumber daya di luar VPC atas nama Anda, misalnya, untuk menyelesaikan kueri DNS, dan dapat mengekspos informasi tentang aktivitas sumber daya dalam VPC Anda jika tidak dikurangi melalui kontrol keamanan lainnya.

## Batasan VPC BPA
<a name="security-vpc-bpa-limits"></a>

Mode khusus masuk VPC BPA tidak didukung di Local Zones (LZs) di mana gateway NAT dan gateway internet khusus pintu masuk tidak diizinkan.

## Kontrol akses ke VPC BPA dengan kebijakan IAM
<a name="security-vpc-bpa-iam-example"></a>

Untuk contoh kebijakan IAM yang allow/deny mengakses fitur BPA VPC, lihat. [Memblokir akses publik ke VPCs dan subnet](vpc-policy-examples.md#vpc-bpa-example-iam)

## Aktifkan mode dua arah VPC BPA untuk akun Anda
<a name="security-vpc-bpa-enable-bidir"></a>

Mode dua arah VPC BPA memblokir semua lalu lintas ke dan dari gateway internet dan gateway internet khusus jalan keluar di Wilayah ini (kecuali untuk dikecualikan dan subnet). VPCs Untuk informasi selengkapnya tentang pengecualian, lihat[Membuat dan menghapus pengecualian](#security-vpc-bpa-exclusions).

**penting**  
Kami sangat menyarankan agar Anda meninjau secara menyeluruh beban kerja yang memerlukan akses Internet sebelum mengaktifkan VPC BPA di akun produksi Anda.

**catatan**  
Untuk mengaktifkan VPC BPA pada VPCs dan subnet di akun Anda, Anda harus memiliki dan subnet. VPCs 
Jika saat ini Anda berbagi subnet VPC dengan akun lain, mode BPA VPC yang diberlakukan oleh pemilik subnet juga berlaku untuk lalu lintas peserta, tetapi peserta tidak dapat mengontrol pengaturan BPA VPC yang memengaruhi subnet bersama.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Pilih **Edit setelan akses publik**.

1. Pilih **Aktifkan blokir akses publik** dan **dua arah**, lalu pilih **Simpan** perubahan.

1. Tunggu **Status** berubah menjadi **On**. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

Mode dua arah VPC BPA sekarang aktif.

------
#### [ AWS CLI ]

1. Aktifkan VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

1. Lihat status VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Ubah mode BPA VPC menjadi hanya masuk
<a name="security-vpc-bpa-ingress-only"></a>

Mode hanya masuk VPC BPA memblokir semua lalu lintas internet ke VPCs dalam Wilayah ini (kecuali untuk VPCs atau subnet yang dikecualikan). Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Pilih **Edit setelan akses publik**.

1. Ubah arah ke **Ingress-only**.

1. Simpan perubahan dan tunggu statusnya diperbarui. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

------
#### [ AWS CLI ]

1. Ubah arah blok VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

1. Lihat status VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Membuat dan menghapus pengecualian
<a name="security-vpc-bpa-exclusions"></a>

Pengecualian VPC BPA adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode BPA VPC akun dan akan memungkinkan akses dua arah atau egress-only. Anda dapat membuat pengecualian BPA VPC untuk VPCs dan subnet bahkan ketika VPC BPA tidak diaktifkan pada akun untuk memastikan bahwa tidak ada gangguan lalu lintas ke pengecualian ketika VPC BPA dihidupkan. Pengecualian untuk VPC secara otomatis berlaku untuk semua subnet di VPC.

Anda dapat membuat maksimal 50 pengecualian. Untuk informasi tentang meminta kenaikan batas, lihat *pengecualian VPC BPA* per akun di. [Kuota Amazon VPC](amazon-vpc-limits.md)

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Di tab **Blokir akses publik**, di bawah **Pengecualian**, lakukan salah satu hal berikut:
   + Untuk menghapus pengecualian, pilih pengecualian dan kemudian pilih **Tindakan** > **Hapus** pengecualian.
   + Untuk membuat pengecualian, pilih **Buat pengecualian** dan lanjutkan dengan langkah selanjutnya.

1. Pilih arah blok: 
   + **Dua arah**: Memungkinkan semua lalu lintas internet ke dan dari yang dikecualikan VPCs dan subnet.
   + **Egress-only**: Memungkinkan lalu lintas internet keluar dari yang dikecualikan dan subnet. VPCs Memblokir lalu lintas internet masuk ke yang dikecualikan VPCs dan subnet. **Pengaturan ini berlaku ketika VPC BPA diatur ke dua arah.**

1. Pilih VPC atau subnet.

1. Pilih **Buat pengecualian.**

1. Tunggu **status Pengecualian** berubah menjadi **Aktif**. Anda mungkin perlu menyegarkan tabel pengecualian untuk melihat perubahannya.

Pengecualian telah dibuat.

------
#### [ AWS CLI ]

1. Ubah arah izin pengecualian:

   ```
   aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
   ```

1. Diperlukan waktu untuk memperbarui status pengecualian. Untuk melihat status pengecualian:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
   ```

------

## Aktifkan BPA VPC di tingkat Organisasi
<a name="security-vpc-bpa-exclusions-orgs"></a>

Jika Anda menggunakan AWS Organizations untuk mengelola akun di organisasi, Anda dapat menggunakan [kebijakan deklaratif AWS Organizations untuk menerapkan](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) BPA VPC pada akun di organisasi. *Untuk informasi selengkapnya tentang kebijakan deklaratif VPC BPA, lihat Kebijakan deklaratif yang [didukung di Panduan Pengguna Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access).AWS *

**catatan**  
Anda dapat menggunakan kebijakan deklaratif VPC BPA untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan kebijakan tersebut. Untuk membuat pengecualian, Anda masih harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian VPC BPA, lihat. [Membuat dan menghapus pengecualian](#security-vpc-bpa-exclusions)
Jika kebijakan deklaratif VPC BPA diaktifkan, di **Blokir pengaturan akses publik**, Anda akan melihat **Dikelola oleh Kebijakan Deklaratif** dan Anda tidak akan dapat mengubah pengaturan BPA VPC di tingkat akun.

# Menilai dampak VPC BPA dan memantau VPC BPA
<a name="security-vpc-bpa-assess-impact-main"></a>

Bagian ini berisi informasi tentang Anda dapat menilai dampak VPC BPA sebelum Anda menyalakannya dan bagaimana Anda memantau apakah lalu lintas diblokir setelah Anda menyalakannya.

**Topics**
+ [Menilai dampak VPC BPA menggunakan Network Access Analyzer](#security-vpc-bpa-assess-impact)
+ [Pantau dampak VPC BPA dengan log aliran](#security-vpc-bpa-fl)
+ [Lacak penghapusan pengecualian dengan CloudTrail](#security-vpc-bpa-cloudtrail)
+ [Verifikasi konektivitas diblokir dengan Reachability Analyzer](#security-vpc-bpa-verify-RA)

## Menilai dampak VPC BPA menggunakan Network Access Analyzer
<a name="security-vpc-bpa-assess-impact"></a>

Di bagian ini, Anda akan menggunakan Network Access Analyzer untuk melihat sumber daya di akun Anda yang menggunakan gateway internet *sebelum* Anda mengaktifkan VPC BPA dan memblokir akses. Gunakan analisis ini untuk memahami dampak mengaktifkan VPC BPA di akun Anda dan memblokir lalu lintas.

**catatan**  
Network Access Analyzer tidak mendukung IPv6; jadi Anda tidak akan dapat menggunakannya untuk melihat dampak potensial VPC BPA pada lalu lintas keluar gateway internet khusus egres. IPv6 
Anda dikenakan biaya untuk analisis yang Anda lakukan dengan Network Access Analyzer. Untuk informasi selengkapnya, lihat [Harga](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#pricing) di *Panduan Penganalisis Akses Jaringan*.
Untuk informasi tentang ketersediaan regional Network Access Analyzer, lihat [Batasan](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) dalam Panduan *Penganalisis Akses Jaringan*.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol AWS Network Insights di[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).

1. Pilih **Network Access Analyzer**.

1. Pilih **Buat Lingkup Akses Jaringan**.

1. **Pilih **Menilai dampak VPC Blokir Akses Publik** dan pilih Berikutnya.**

1. Template sudah dikonfigurasi untuk menganalisis lalu lintas ke dan dari gateway internet di akun Anda. Anda dapat melihat ini di bawah **Sumber** dan **Tujuan**.

1. Pilih **Berikutnya**.

1. Pilih **Buat Lingkup Akses Jaringan**.

1. Pilih ruang lingkup yang baru saja Anda buat dan pilih **Analisis**.

1. Tunggu analisis selesai.

1. Lihat temuan analisis. Setiap baris di bawah **Temuan** menunjukkan jalur jaringan yang dapat diambil paket dalam jaringan ke atau dari gateway internet di akun Anda. Dalam hal ini, jika Anda mengaktifkan VPC BPA dan tidak ada subnet VPCs dan atau yang muncul dalam temuan ini dikonfigurasi sebagai pengecualian VPC BPA, lalu lintas ke subnet tersebut dan subnet akan dibatasi. VPCs 

1. Analisis setiap temuan untuk memahami dampak VPC BPA pada sumber daya di Anda. VPCs

Analisis dampak selesai.

------
#### [ AWS CLI ]

1. Buat cakupan akses jaringan:

   ```
   aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
   ```

1. Mulai analisis ruang lingkup:

   ```
   aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id
   ```

1. Dapatkan hasil analisis:

   ```
   aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
   ```

   Hasilnya menunjukkan lalu lintas ke dan dari gateway internet di semua akun Anda. VPCs Hasilnya diatur sebagai “temuan”. “FindingId“:" AnalysisFinding -1" menunjukkan bahwa ini adalah temuan pertama dalam analisis. Perhatikan bahwa ada beberapa temuan dan masing-masing menunjukkan arus lalu lintas yang akan terpengaruh dengan menyalakan VPC BPA. Temuan pertama akan menunjukkan bahwa lalu lintas dimulai di gateway internet (” SequenceNumber “: 1), diteruskan ke NACL (” SequenceNumber “: 2) ke grup keamanan (” SequenceNumber “: 3) dan berakhir pada sebuah instance (” SequenceNumber “: 4).

1. Analisis temuan untuk memahami dampak VPC BPA pada sumber daya di Anda. VPCs

Analisis dampak selesai.

------

## Pantau dampak VPC BPA dengan log aliran
<a name="security-vpc-bpa-fl"></a>

VPC Flow Logs adalah fitur yang memungkinkan Anda menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan Elastis di VPC Anda. Anda dapat menggunakan fitur ini untuk memantau lalu lintas yang diblokir oleh VPC BPA agar tidak mencapai antarmuka jaringan instans Anda.

Buat log alur untuk VPC Anda menggunakan langkah-langkah di. [Bekerja dengan log alur](working-with-flow-logs.md) 

Saat Anda membuat log alur, pastikan Anda menggunakan format kustom yang menyertakan bidang`reject-reason`.

Ketika Anda melihat log aliran, jika lalu lintas ke ENI ditolak karena VPC BPA, Anda akan melihat `reject-reason` dari `BPA` dalam entri log aliran.

Selain [batasan](flow-logs-limitations.md) standar untuk log aliran VPC, perhatikan batasan berikut khusus untuk VPC BPA:
+ [Log aliran untuk VPC BPA tidak termasuk catatan yang dilewati.](flow-logs-records-examples.md#flow-log-example-no-data)
+ Log aliran untuk VPC BPA tidak termasuk [`bytes`](flow-log-records.md#flow-logs-fields)bahkan jika Anda menyertakan `bytes` bidang dalam log aliran Anda.

## Lacak penghapusan pengecualian dengan CloudTrail
<a name="security-vpc-bpa-cloudtrail"></a>

Bagian ini menjelaskan bagaimana Anda dapat menggunakan AWS CloudTrail untuk memantau dan melacak penghapusan pengecualian VPC BPA.

------
#### [ Konsol Manajemen AWS ]

Anda dapat melihat pengecualian yang dihapus dalam **riwayat CloudTrail Acara** dengan mencari **Jenis sumber daya** > `AWS::EC2::VPCBlockPublicAccessExclusion` di AWS CloudTrail konsol di[https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/).

------
#### [ AWS CLI ]

Anda dapat menggunakan `lookup-events` perintah untuk melihat peristiwa yang terkait dengan penghapusan pengecualian:

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```

------

## Verifikasi konektivitas diblokir dengan Reachability Analyzer
<a name="security-vpc-bpa-verify-RA"></a>

[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) dapat digunakan untuk mengevaluasi apakah jalur jaringan tertentu dapat dicapai mengingat konfigurasi jaringan Anda, termasuk pengaturan VPC BPA.

*Untuk informasi tentang ketersediaan regional Reachability Analyzer, lihat [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) dalam Panduan Reachability Analyzer.*

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol AWS Network Insights di[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).

1. Klik **Buat dan analisis jalur**.

1. Untuk **Jenis Sumber**, pilih **Internet Gateways** dan pilih gateway internet yang ingin Anda blokir lalu lintas dari dropdown **Sumber**.

1. Untuk **Jenis Tujuan**, pilih **Instans** dan pilih instance yang ingin Anda blokir lalu lintas dari dropdown **Tujuan**.

1. Klik **Buat dan analisis jalur**.

1. Tunggu analisis selesai. Ini bisa memakan waktu beberapa menit.

1. Setelah selesai, Anda akan melihat bahwa **Status Reachability** **Tidak dapat dijangkau** dan **detail Path** menunjukkan bahwa `VPC_BLOCK_PUBLIC_ACCESS_ENABLED ` itulah penyebab masalah jangkauan ini.

------
#### [ AWS CLI ]

1. Buat jalur jaringan menggunakan ID Internet Gateway yang ingin Anda blokir lalu lintas (sumber) dan ID instance yang ingin Anda blokir lalu lintas ke (tujuan):

   ```
   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
   ```

1. Mulai analisis pada jalur jaringan:

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Ambil hasil analisis:

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Verifikasi bahwa `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` itu `ExplanationCode` karena kurangnya jangkauan.

------

# Contoh lanjutan
<a name="security-vpc-bpa-example"></a>

Bagian ini berisi contoh lanjutan yang akan membantu Anda memahami cara kerja fitur Akses Publik Blok VPC dalam berbagai skenario. Setiap skenario dibangun dari skenario sebelumnya, jadi penting untuk menyelesaikan langkah-langkahnya secara berurutan.

**penting**  
Jangan melalui contoh ini di akun produksi. Kami sangat menyarankan agar Anda meninjau secara menyeluruh beban kerja yang memerlukan akses Internet sebelum mengaktifkan VPC BPA di akun produksi Anda.

**catatan**  
Untuk sepenuhnya memahami fitur VPC BPA, Anda memerlukan sumber daya tertentu di akun Anda. Di bagian ini, kami menyediakan CloudFormation templat yang dapat Anda gunakan untuk menyediakan sumber daya yang Anda butuhkan untuk sepenuhnya memahami cara kerja fitur ini. Ada biaya yang terkait dengan sumber daya yang Anda berikan dengan CloudFormation template dan analisis yang Anda lakukan dengan Network Access Analyzer dan Reachability Analyzer. Jika Anda menggunakan templat di bagian ini, pastikan Anda menyelesaikan langkah-langkah Pembersihan setelah selesai dengan contoh ini.

**Topics**
+ [Menyebarkan CloudFormation template (opsional)](#security-vpc-bpa-example-deploy-cfn)
+ [Lihat dampak VPC BPA dengan Network Access Analyzer](#vpc-bpa-naa)
+ [Skenario 1 - Connect ke instance tanpa VPC BPA dihidupkan](#vpc-bpa-scenario-1-connect-scen1)
+ [Skenario 2 - Nyalakan VPC BPA dalam mode Dua Arah](#vpc-bpa-scenario-1-connect-scen2)
+ [Skenario 3 - Ubah VPC BPA ke mode Ingress-only](#vpc-bpa-scenario-3)
+ [Skenario 4 - Buat pengecualian](#vpc-bpa-scenario-4)
+ [Skenario 5 - Ubah mode pengecualian](#vpc-bpa-scenario-5)
+ [Skenario 6 - Memodifikasi mode VPC BPA](#vpc-bpa-scenario-6)
+ [Pembersihan](#vpc-bpa-scenario-cleanup)

## Menyebarkan CloudFormation template (opsional)
<a name="security-vpc-bpa-example-deploy-cfn"></a>

Untuk mendemonstrasikan cara kerja fitur ini, Anda memerlukan VPC, subnet, instance, dan sumber daya lainnya. Untuk membuatnya lebih mudah untuk menyelesaikan demonstrasi ini, kami telah menyediakan CloudFormation template di bawah ini yang dapat Anda gunakan untuk dengan cepat memutar sumber daya yang diperlukan untuk skenario dalam demo ini. Langkah ini opsional dan Anda mungkin ingin hanya melihat diagram di Skenario di bagian ini.

**catatan**  
Ada biaya yang terkait dengan sumber daya yang Anda buat di bagian ini dengan CloudFormation templat, seperti biaya gateway NAT dan IPv4 alamat publik. Untuk menghindari kelebihan biaya, pastikan Anda menyelesaikan langkah-langkah Pembersihan untuk menghapus semua sumber daya yang dibuat untuk tujuan contoh ini.
 CloudFormation Template ini menciptakan sumber daya dasar yang diperlukan untuk VPC BPA tetapi tidak mengaktifkan fitur VPC BPA itu sendiri. Sumber daya yang digunakan di sini dimaksudkan untuk membantu Anda memahami dan menguji fungsionalitas VPC BPA setelah Anda memilih untuk mengaktifkannya secara terpisah.

Template membuat sumber daya berikut di akun Anda:
+ Gateway internet khusus egress
+ gateway internet
+ Gateway NAT
+ Dua subnet publik
+ Satu subnet pribadi
+ Dua instans EC2 dengan alamat publik dan pribadi IPv4 
+ Satu instans EC2 dengan IPv6 alamat dan alamat pribadi IPv4 
+ Satu instans EC2 dengan IPv4 alamat pribadi saja
+ Grup keamanan dengan lalu lintas masuk SSH dan ICMP diizinkan dan SEMUA lalu lintas keluar diizinkan
+ Log aliran VPC
+ Satu titik akhir Connect Instans EC2 di Subnet B

Salin template di bawah ini dan simpan ke file.yaml.

```
AWSTemplateFormatVersion: '2010-09-09'
Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA.

Parameters:
  InstanceAMI:
    Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template
    Type: AWS::EC2::Image::Id
  InstanceType:
    Description: EC2 Instance type to use with the instances launched by this template
    Type: String
    Default: t2.micro
 
Resources:

  # VPC
  VPCBPA:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      InstanceTenancy: default
      Tags:
        - Key: Name
          Value: VPC BPA

  # VPC IPv6 CIDR
  VPCBPAIpv6CidrBlock:
    Type: AWS::EC2::VPCCidrBlock
    Properties:
      VpcId: !Ref VPCBPA
      AmazonProvidedIpv6CidrBlock: true

  # EC2 Key Pair
  VPCBPAKeyPair:
    Type: AWS::EC2::KeyPair
    Properties:
      KeyName: vpc-bpa-key

  # Internet Gateway  
  VPCBPAInternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: VPC BPA Internet Gateway
    
  VPCBPAInternetGatewayAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPCBPA
      InternetGatewayId: !Ref VPCBPAInternetGateway

  # Egress-Only Internet Gateway
  VPCBPAEgressOnlyInternetGateway:
    Type: AWS::EC2::EgressOnlyInternetGateway
    Properties:
      VpcId: !Ref VPCBPA

  # Subnets
  VPCBPAPublicSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.1.0/24
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: VPC BPA Public Subnet A
      
  VPCBPAPublicSubnetB:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.2.0/24
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: VPC BPA Public Subnet B
      
  VPCBPAPrivateSubnetC:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.3.0/24
      MapPublicIpOnLaunch: false
      Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks]
      AssignIpv6AddressOnCreation: true
      Tags:
        - Key: Name
          Value: VPC BPA Private Subnet C

  # NAT Gateway
  VPCBPANATGateway:
    Type: AWS::EC2::NatGateway
    Properties:
      AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId
      SubnetId: !Ref VPCBPAPublicSubnetB
      Tags:
        - Key: Name
          Value: VPC BPA NAT Gateway

  VPCBPANATGatewayEIP:
    Type: AWS::EC2::EIP
    Properties:
      Domain: vpc
      Tags:
        - Key: Name
          Value: VPC BPA NAT Gateway EIP

  # Route Tables
  VPCBPAPublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Public Route Table
      
  VPCBPAPublicRoute:
    Type: AWS::EC2::Route
    DependsOn: VPCBPAInternetGatewayAttachment
    Properties:
      RouteTableId: !Ref VPCBPAPublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref VPCBPAInternetGateway
      
  VPCBPAPublicSubnetARouteTableAssoc:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPublicSubnetA
      RouteTableId: !Ref VPCBPAPublicRouteTable
      
  VPCBPAPublicSubnetBRouteTableAssoc:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPublicSubnetB
      RouteTableId: !Ref VPCBPAPublicRouteTable
      
  VPCBPAPrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Private Route Table
      
  VPCBPAPrivateRoute:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId: !Ref VPCBPAPrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId: !Ref VPCBPANATGateway
      
  VPCBPAPrivateSubnetCRoute:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId: !Ref VPCBPAPrivateRouteTable
      DestinationIpv6CidrBlock: ::/0
      EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway
      
  VPCBPAPrivateSubnetCRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPrivateSubnetC
      RouteTableId: !Ref VPCBPAPrivateRouteTable

  # EC2 Instances Security Group
  VPCBPAInstancesSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: VPC BPA Instances Security Group
      GroupDescription: Allow SSH and ICMP access
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: 0.0.0.0/0
        - IpProtocol: icmp
          FromPort: -1
          ToPort: -1
          CidrIp: 0.0.0.0/0
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Instances Security Group

  # EC2 Instances
  VPCBPAInstanceA:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: t2.micro
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPublicSubnetA
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance A

  VPCBPAInstanceB:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPublicSubnetB
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance B

  VPCBPAInstanceC:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPrivateSubnetC
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance C

  VPCBPAInstanceD:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      NetworkInterfaces:
        - DeviceIndex: '0'
          GroupSet:
            - !Ref VPCBPAInstancesSecurityGroup
          SubnetId: !Ref VPCBPAPrivateSubnetC
          Ipv6AddressCount: 1
      Tags:
        - Key: Name
          Value: VPC BPA Instance D

  # Flow Logs IAM Role
  VPCBPAFlowLogRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: vpc-flow-logs.amazonaws.com
            Action: 'sts:AssumeRole'
      Tags:
        - Key: Name
          Value: VPC BPA Flow Logs Role
      
  VPCBPAFlowLogPolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: VPC-BPA-FlowLogsPolicy
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Action:
              - 'logs:CreateLogGroup'
              - 'logs:CreateLogStream'
              - 'logs:PutLogEvents'
              - 'logs:DescribeLogGroups'
              - 'logs:DescribeLogStreams'
            Resource: '*'
      Roles:
        - !Ref VPCBPAFlowLogRole

  # Flow Logs
  VPCBPAFlowLog:
    Type: AWS::EC2::FlowLog
    Properties:
      ResourceId: !Ref VPCBPA
      ResourceType: VPC
      TrafficType: ALL
      LogDestinationType: cloud-watch-logs
      LogGroupName: /aws/vpc-flow-logs/VPC-BPA
      DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn
      LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}'
      Tags:
        - Key: Name
          Value: VPC BPA Flow Logs

  # EC2 Instance Connect Endpoint
  VPCBPAEC2InstanceConnectEndpoint:
    Type: AWS::EC2::InstanceConnectEndpoint
    Properties:
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      SubnetId: !Ref VPCBPAPublicSubnetB

Outputs:
  VPCBPAVPCId:
    Description: A reference to the created VPC
    Value: !Ref VPCBPA
    Export:
      Name: vpc-id

  VPCBPAPublicSubnetAId:
    Description: The ID of the public subnet A
    Value: !Ref VPCBPAPublicSubnetA
    
  VPCBPAPublicSubnetAName:
    Description: The name of the public subnet A
    Value: VPC BPA Public Subnet A

  VPCBPAPublicSubnetBId:
    Description: The ID of the public subnet B
    Value: !Ref VPCBPAPublicSubnetB
    
  VPCBPAPublicSubnetBName:
    Description: The name of the public subnet B
    Value: VPC BPA Public Subnet B

  VPCBPAPrivateSubnetCId:
    Description: The ID of the private subnet C
    Value: !Ref VPCBPAPrivateSubnetC
    
  VPCBPAPrivateSubnetCName:
    Description: The name of the private subnet C
    Value: VPC BPA Private Subnet C

  VPCBPAInstanceAId:
    Description: The ID of instance A
    Value: !Ref VPCBPAInstanceA

  VPCBPAInstanceBId:
    Description: The ID of instance B
    Value: !Ref VPCBPAInstanceB

  VPCBPAInstanceCId:
    Description: The ID of instance C
    Value: !Ref VPCBPAInstanceC

  VPCBPAInstanceDId:
    Description: The ID of instance D
    Value: !Ref VPCBPAInstanceD
```

------
#### [ Konsol Manajemen AWS ]

1. Buka CloudFormation konsol di[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).

1. Pilih **Buat tumpukan** dan unggah file template.yaml.

1. Ikuti langkah-langkah untuk meluncurkan template. Anda harus memasukkan [ID gambar](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html) dan [jenis instance](https://aws.amazon.com/ec2/instance-types/) (seperti t2.micro). Anda juga harus mengizinkan CloudFormation untuk membuat peran IAM bagi Anda untuk pembuatan log alur dan izin untuk CloudWatch masuk.

1. Setelah Anda meluncurkan tumpukan, lihat tab **Peristiwa** untuk melihat kemajuan dan memastikan bahwa tumpukan selesai sebelum Anda melanjutkan.

------
#### [ AWS CLI ]

1. Jalankan perintah berikut untuk membuat CloudFormation tumpukan:

   ```
   aws cloudformation create-stack --stack-name VPC-BPA-stack --template-body file://sampletemplate.yaml --capabilities CAPABILITY_IAM --region us-east-2
   ```

   Output:

   ```
   {
       "StackId": "arn:aws:cloudformation:us-east-2:470889052923:stack/VPC-BPA-stack/8a7a2cc0-8001-11ef-b196-06386a84b72f"
   }
   ```

1. Lihat kemajuan dan pastikan tumpukan selesai sebelum Anda melanjutkan:

   ```
   aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
   ```

------

## Lihat dampak VPC BPA dengan Network Access Analyzer
<a name="vpc-bpa-naa"></a>

Di bagian ini, Anda akan menggunakan Network Access Analyzer untuk melihat sumber daya di akun Anda yang menggunakan gateway internet. Gunakan analisis ini untuk memahami dampak mengaktifkan VPC BPA di akun Anda dan memblokir lalu lintas.

Untuk informasi tentang ketersediaan regional Network Access Analyzer, lihat [Batasan](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) dalam Panduan *Penganalisis Akses Jaringan*.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol AWS Network Insights di[https://console.aws.amazon.com/networkinsights/](https://console.aws.amazon.com/networkinsights/).

1. Pilih **Network Access Analyzer**.

1. Pilih **Buat Lingkup Akses Jaringan**.

1. **Pilih **Menilai dampak VPC Blokir Akses Publik** dan pilih Berikutnya.**

1. Template sudah dikonfigurasi untuk menganalisis lalu lintas ke dan dari gateway internet di akun Anda. Anda dapat melihat ini di bawah **Sumber** dan **Tujuan**.

1. Pilih **Berikutnya**.

1. Pilih **Buat Lingkup Akses Jaringan**.

1. Pilih ruang lingkup yang baru saja Anda buat dan pilih **Analisis**.

1. Tunggu analisis selesai.

1. Lihat temuan analisis. Setiap baris di bawah **Temuan** menunjukkan jalur jaringan yang dapat diambil paket dalam jaringan ke atau dari gateway internet di akun Anda. Dalam hal ini, jika Anda mengaktifkan VPC BPA dan tidak ada subnet VPCs dan atau yang muncul dalam temuan ini dikonfigurasi sebagai pengecualian VPC BPA, lalu lintas ke subnet tersebut dan subnet akan dibatasi. VPCs 

1. Analisis setiap temuan untuk memahami dampak VPC BPA pada sumber daya di Anda. VPCs

Analisis dampak selesai.

------
#### [ AWS CLI ]

1. Buat cakupan akses jaringan:

   ```
   aws ec2 create-network-insights-access-scope --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" --region us-east-2
   ```

   Output:

   ```
   {
     "NetworkInsightsAccessScope": {
       "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
       "NetworkInsightsAccessScopeArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope/nis-04cad3c4b3a1d5e3e",
       "CreatedDate": "2024-09-30T15:55:53.171000+00:00",
       "UpdatedDate": "2024-09-30T15:55:53.171000+00:00"
     },
     "NetworkInsightsAccessScopeContent": {
       "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
       "MatchPaths": [
         {
           "Source": {
             "ResourceStatement": {
               "ResourceTypes": [
                 "AWS::EC2::InternetGateway"
               ]
             }
           }
         },
         {
           "Destination": {
             "ResourceStatement": {
               "ResourceTypes": [
                 "AWS::EC2::InternetGateway"
               ]
             }
           }
         }
       ]
     }
   }
   ```

1. Mulai analisis ruang lingkup:

   ```
   aws ec2 start-network-insights-access-scope-analysis --network-insights-access-scope-id nis-04cad3c4b3a1d5e3e --region us-east-2
   ```

   Output:

   ```
   {
     "NetworkInsightsAccessScopeAnalysis": {
       "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
       "NetworkInsightsAccessScopeAnalysisArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope-analysis/nisa-0aa383a1938f94cd",
       "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
       "Status": "running",
       "StartDate": "2024-09-30T15:56:59.109000+00:00",
       "AnalyzedEniCount": 0
     }
   }
   ```

1. Dapatkan hasil analisis:

   ```
   aws ec2 get-network-insights-access-scope-analysis-findings --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --region us-east-2 --max-items 1
   ```

   Output:

   ```
   {
     "AnalysisFindings": [
       {
         "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
         "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
         "FindingId": "AnalysisFinding-1",
         "FindingComponents": [
           {
             "SequenceNumber": 1,
             "Component": {
               "Id": "igw-04a5344b4e30486f1",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:internet-gateway/igw-04a5344b4e30486f1",
               "Name": "VPC BPA Internet Gateway"
             },
             "OutboundHeader": {
               "DestinationAddresses": [
                 "10.0.1.85/32"
               ]
             },
             "InboundHeader": {
               "DestinationAddresses": [
                 "10.0.1.85/32"
               ],
               "DestinationPortRanges": [
                 {
                   "From": 22,
                   "To": 22
                 }
               ],
               "Protocol": "6",
               "SourceAddresses": [
                 "0.0.0.0/5",
                 "100.0.0.0/10",
                 "96.0.0.0/6"
               ],
               "SourcePortRanges": [
                 {
                   "From": 0,
                   "To": 65535
                 }
               ]
             },
             "Vpc": {
               "Id": "vpc-0762547ec48b6888d",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
               "Name": "VPC BPA"
             }
           },
           {
             "SequenceNumber": 2,
             "AclRule": {
               "Cidr": "0.0.0.0/0",
               "Egress": false,
               "Protocol": "all",
               "RuleAction": "allow",
               "RuleNumber": 100
             },
             "Component": {
               "Id": "acl-06194fc3a4a03040b",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:network-acl/acl-06194fc3a4a03040b"
             }
           },
           {
             "SequenceNumber": 3,
             "Component": {
               "Id": "sg-093dde06415d03924",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:security-group/sg-093dde06415d03924",
               "Name": "VPC BPA Instances Security Group"
             },
             "SecurityGroupRule": {
               "Cidr": "0.0.0.0/0",
               "Direction": "ingress",
               "PortRange": {
                 "From": 22,
                 "To": 22
               },
               "Protocol": "tcp"
             }
           },
           {
             "SequenceNumber": 4,
             "AttachedTo": {
               "Id": "i-058db34f9a0997895",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:instance/i-058db34f9a0997895",
               "Name": "VPC BPA Instance A"
             },
             "Component": {
               "Id": "eni-0fa23f2766f03b286",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:network-interface/eni-0fa23f2766f03b286"
             },
             "InboundHeader": {
               "DestinationAddresses": [
                 "10.0.1.85/32"
               ],
               "DestinationPortRanges": [
                 {
                   "From": 22,
                   "To": 22
                 }
               ],
               "Protocol": "6",
               "SourceAddresses": [
                 "0.0.0.0/5",
                 "100.0.0.0/10",
                 "96.0.0.0/6"
               ],
               "SourcePortRanges": [
                 {
                   "From": 0,
                   "To": 65535
                 }
               ]
             },
             "Subnet": {
               "Id": "subnet-035d235a762eeed04",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:subnet/subnet-035d235a762eeed04",
               "Name": "VPC BPA Public Subnet A"
             },
             "Vpc": {
               "Id": "vpc-0762547ec48b6888d",
               "Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
               "Name": "VPC BPA"
             }
           }
         ]
       }
     ],
     "AnalysisStatus": "succeeded",
     "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
     "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
   }
   ```

   Hasilnya menunjukkan lalu lintas ke dan dari gateway internet di semua akun Anda. VPCs Hasilnya diatur sebagai “temuan”. “FindingId“:" AnalysisFinding -1" menunjukkan bahwa ini adalah temuan pertama dalam analisis. Perhatikan bahwa ada beberapa temuan dan masing-masing menunjukkan arus lalu lintas yang akan terpengaruh dengan menyalakan VPC BPA. Temuan pertama akan menunjukkan bahwa lalu lintas dimulai di gateway internet (” SequenceNumber “: 1), diteruskan ke NACL (” SequenceNumber “: 2) ke grup keamanan (” SequenceNumber “: 3) dan berakhir pada sebuah instance (” SequenceNumber “: 4).

1. Analisis temuan untuk memahami dampak VPC BPA pada sumber daya di Anda. VPCs

Analisis dampak selesai.

------

## Skenario 1 - Connect ke instance tanpa VPC BPA dihidupkan
<a name="vpc-bpa-scenario-1-connect-scen1"></a>

Pada bagian ini, instans EC2 di subnet publik A dan B dapat dijangkau dari internet melalui gateway internet, yang memungkinkan lalu lintas masuk dan keluar. Contoh C dan D di subnet pribadi dapat memulai lalu lintas keluar melalui gateway NAT atau gateway internet khusus egres, tetapi tidak dapat dijangkau secara langsung dari internet. Pengaturan ini menyediakan akses internet ke beberapa sumber daya sambil melindungi yang lain. Tujuan dari pengaturan ini adalah untuk menetapkan garis dasar dan memastikan bahwa, sebelum Anda mengaktifkan VPC BPA, semua instance dapat dicapai, Anda akan terhubung ke semua instance dan melakukan ping ke alamat IP publik. 

Diagram VPC tanpa VPC BPA dihidupkan:

![\[Diagram yang menunjukkan VPC tanpa VPC BPA diaktifkan.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/vpc-bpa-1.png)


### 1.1 Connect ke instance
<a name="vpc-bpa-scenario-1-connect-scen1-sub"></a>

Lengkapi bagian ini untuk terhubung ke instans Anda dengan VPC BPA dimatikan untuk memastikan Anda dapat terhubung tanpa masalah. Semua instance yang dibuat dengan CloudFormation untuk contoh ini memiliki nama seperti, “VPC BPA Instance A”.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Buka detail Instance A.

1. Hubungkan ke instans A menggunakan opsi **EC2 Instance Connect > Connect** **menggunakan opsi EC2 Instance Connect Endpoint**.

1. Pilih **Hubungkan**. Setelah Anda berhasil terhubung ke instans, ping www.amazon.com untuk memverifikasi Anda dapat mengirim permintaan keluar ke internet.

1. Gunakan metode yang sama yang Anda gunakan untuk terhubung ke instance A untuk terhubung ke instance B, C, dan D. Dari setiap instance, ping www.amazon.com untuk memverifikasi Anda dapat mengirim permintaan keluar ke internet.

------
#### [ AWS CLI ]

1. Ping Instance A menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 18.225.8.244
   ```

   Output:

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
   Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 18:27:57 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING www-amazon-com.customer.fastly.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=15 ttl=58 time=2.06 ms
   64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=16 ttl=58 time=2.26 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Ping Instance B menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 3.18.106.198
   ```

   Output:

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Reply from 3.18.106.198: bytes=32 time=83ms TTL=110
   Reply from 3.18.106.198: bytes=32 time=54ms TTL=110
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id  i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.
   Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Fri Sep 27 18:12:27 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.55 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.67 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Connect to Instance C. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.
   Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Thu Sep 19 20:31:26 2024 from 10.0.2.86
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.75 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.97 ms
   64 bytes from server-3-160-24-26.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=3 ttl=248 time=1.08 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Connect to Instance D. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   The authenticity of host '10.0.3.59 can't be established.
   ECDSA key fingerprint is SHA256:c4naBCqbC61/cExDyccEproNU+1HHSpMSzl2J6cOtIZA8g.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.3.59' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ _/
   _/m/'
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121)) 56 data bytes
   64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.19 ms
   64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.38 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

------

## Skenario 2 - Nyalakan VPC BPA dalam mode Dua Arah
<a name="vpc-bpa-scenario-1-connect-scen2"></a>

Di bagian ini Anda akan mengaktifkan VPC BPA dan memblokir lalu lintas ke dan dari gateway internet di akun Anda.

Diagram yang menunjukkan mode dua arah VPC BPA dihidupkan:

![\[Diagram yang menunjukkan VPC dengan VPC BPA dua arah diaktifkan.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/vpc-bpa-2.png)


### 2.1 Aktifkan mode dua arah VPC BPA
<a name="vpc-bpa-scenario-1-connect-scen2-sub1"></a>

Lengkapi bagian ini untuk mengaktifkan VPC BPA. Mode dua arah VPC BPA memblokir semua lalu lintas ke dan dari gateway internet dan gateway internet khusus jalan keluar di Wilayah ini (kecuali untuk dikecualikan dan subnet). VPCs 

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Pilih **Edit setelan akses publik**.

1. Pilih **Aktifkan blokir akses publik** dan **dua arah**, lalu pilih **Simpan** perubahan.

1. Tunggu **Status** berubah menjadi **On**. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

VPC BPA sekarang aktif.

------
#### [ AWS CLI ]

1. Gunakan perintah modify-vpc-block-public -access-options untuk mengaktifkan VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

1. Lihat status VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

### 2.2 Connect ke instance
<a name="vpc-bpa-scenario-1-connect-scen2-sub2"></a>

Lengkapi bagian ini untuk terhubung ke instans Anda.

------
#### [ Konsol Manajemen AWS ]

1. Ping IPv4 alamat publik Instance A dan Instance B seperti yang Anda lakukan di Skenario 1. Perhatikan bahwa lalu lintas diblokir.

1. Connect ke instans A menggunakan opsi **EC2 Instance Connect > Connect** **menggunakan EC2 Instance Connect Endpoint** seperti yang Anda lakukan di Skenario 1. Pastikan Anda menggunakan opsi endpoint.

1. Pilih **Hubungkan**. Setelah Anda berhasil terhubung ke instance, ping www.amazon.com. Perhatikan bahwa semua lalu lintas keluar diblokir.

1. Gunakan metode yang sama yang Anda gunakan untuk terhubung ke instance A untuk terhubung ke instance B, C, dan D, uji permintaan keluar ke internet. Perhatikan bahwa semua lalu lintas keluar diblokir.

------
#### [ AWS CLI ]

1. Ping Instance A menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 18.225.8.244
   ```

   Output:

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   The authenticity of host '10.0.1.85' can't be established.
   ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Ping Instance B menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 3.18.106.198
   ```

   Output:

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id  i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   The authenticity of host '10.0.2.98' can't be established.
   ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Connect to Instance C. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   / /
   /m/'
   Last login: Tue Sep 24 15:17:56 2024 from 10.0.2.86
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Connect to Instance D. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ _/
   _/m/'
   Last login: Fri Sep 27 16:42:01 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:8200:7:49a5:5fd4:b121 (2600:9000:25f3:8200:7:49a5:5fd4:b121)) 56 data bytes
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

------

### 2.3 Opsional: Verifikasi konektivitas diblokir dengan Reachability Analyzer
<a name="vpc-bpa-scenario-1-connect-scen2-sub3"></a>

[VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) dapat digunakan untuk memahami apakah jalur jaringan tertentu dapat dicapai mengingat konfigurasi jaringan Anda, termasuk pengaturan VPC BPA. Dalam contoh ini Anda akan menganalisis jalur jaringan yang sama yang telah dicoba sebelumnya untuk mengonfirmasi bahwa VPC BPA adalah alasan mengapa konektivitas gagal.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol Network Insights di[https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer](https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer).

1. Klik **Buat dan analisis jalur**.

1. **Untuk **Jenis Sumber**, pilih **Internet Gateways** dan pilih gateway internet yang diberi tag **VPC BPA Internet** Gateway dari dropdown Sumber.**

1. **Untuk **Jenis Tujuan**, pilih **Instans** dan pilih instance yang ditandai dengan **VPC BPA Instance A** dari dropdown Destination.**

1. Klik **Buat dan analisis jalur**.

1. Tunggu analisis selesai. Ini bisa memakan waktu beberapa menit.

1. Setelah selesai, Anda akan melihat bahwa **Status Reachability** **tidak dapat dijangkau** dan **detail Path** menunjukkan bahwa itulah `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` penyebabnya.

------
#### [ AWS CLI ]

1. Buat jalur jaringan menggunakan ID gateway internet yang diberi tag VPC BPA Internet Gateway dan ID instance yang ditandai VPC BPA Instance A:

   ```
   aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
   ```

1. Mulai analisis pada jalur jaringan:

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Ambil hasil analisis:

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Verifikasi bahwa `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` itu `ExplanationCode` karena kurangnya jangkauan.

------

Perhatikan bahwa Anda juga bisa[Pantau dampak VPC BPA dengan log aliran](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl).

## Skenario 3 - Ubah VPC BPA ke mode Ingress-only
<a name="vpc-bpa-scenario-3"></a>

Di bagian ini Anda akan mengubah arah lalu lintas VPC BPA dan hanya mengizinkan lalu lintas yang menggunakan gateway NAT atau gateway internet khusus egres. Instans EC2 A dan B di subnet publik tidak dapat dijangkau dari internet karena BPA memblokir lalu lintas masuk melalui Internet Gateway. Contoh C dan D di subnet pribadi akan tetap dapat memulai lalu lintas keluar melalui gateway NAT dan gateway internet khusus egres, dan karena itu masih dapat menjangkau internet.

Diagram mode VPC BPA Ingress-only dihidupkan:

![\[Diagram yang menampilkan VPC dengan VPC BPA ingres-only diaktifkan.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/vpc-bpa-3.png)


### 3.1 Ubah mode ke ingress-only
<a name="vpc-bpa-scenario-1-connect-scen3-sub1"></a>

Lengkapi bagian ini untuk mengubah mode.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Di tab **Blokir akses publik**, pilih **Edit pengaturan akses publik**.

1. **Ubah pengaturan akses publik di konsol VPC dan ubah arah ke Ingress-only.**

1. Simpan perubahan dan tunggu statusnya diperbarui. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

------
#### [ AWS CLI ]

1. Ubah mode VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

1. Lihat status VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

### 3.2 Connect ke instance
<a name="vpc-bpa-scenario-1-connect-scen3-sub2"></a>

Lengkapi bagian ini untuk terhubung ke instance.

------
#### [ Konsol Manajemen AWS ]

1. Ping IPv4 alamat publik Instance A dan Instance B seperti yang Anda lakukan di Skenario 1. Perhatikan bahwa lalu lintas diblokir.

1. Connect ke Instance A dan B menggunakan instans EC2 connect seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com dari mereka. Perhatikan bahwa Anda tidak dapat melakukan ping ke situs publik di internet dari Instance A atau B dan lalu lintas diblokir.

1. Connect ke Instance C dan D menggunakan instans EC2 connect seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com dari mereka. Perhatikan bahwa Anda dapat melakukan ping ke situs publik di internet dari Instance C atau D dan lalu lintas diperbolehkan.

------
#### [ AWS CLI ]

1. Ping Instance A menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 18.225.8.244
   ```

   Output:

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   The authenticity of host '10.0.1.85' can't be established.
   ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Ping Instance B menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 3.18.106.198
   ```

   Output:

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   The authenticity of host '10.0.2.98 ' can't be established.
   ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
   Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
   Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ /
   /m/'
   Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Connect to Instance C. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'                                                                                        
   Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86                                                     
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com                                                         
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.                                 
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Connect to Instance D. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 16:48:38 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121)) 56 data bytes
   64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=14 ttl=58 time=1.47 ms
   64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=16 ttl=58 time=1.59 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

------

## Skenario 4 - Buat pengecualian
<a name="vpc-bpa-scenario-4"></a>

Di bagian ini, Anda akan membuat pengecualian. *VPC BPA kemudian hanya akan memblokir lalu lintas pada subnet tanpa pengecualian.* Pengecualian VPC BPA adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode BPA VPC akun dan akan memungkinkan akses dua arah atau egress-only. Anda dapat membuat pengecualian BPA VPC untuk VPCs dan subnet bahkan ketika VPC BPA tidak diaktifkan pada akun untuk memastikan bahwa tidak ada gangguan lalu lintas ke pengecualian ketika VPC BPA dihidupkan. 

Dalam contoh ini, kita akan membuat pengecualian untuk Subnet A untuk menunjukkan bagaimana lalu lintas ke pengecualian dipengaruhi oleh VPC BPA.

Diagram mode VPC BPA Ingress-only diaktifkan dan Subnet Pengecualian dengan mode Dua Arah diaktifkan:

![\[Diagram yang menunjukkan VPC dengan VPC BPA dalam mode ingress-only dengan pengecualian.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/vpc-bpa-4.png)


### 4.1 Buat pengecualian untuk Subnet A
<a name="vpc-bpa-scenario-1-connect-scen4-sub1"></a>

Lengkapi bagian ini untuk membuat pengecualian. Pengecualian VPC BPA adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode BPA VPC akun dan akan memungkinkan akses dua arah atau egress-only. Anda dapat membuat pengecualian BPA VPC untuk VPCs dan subnet bahkan ketika VPC BPA tidak diaktifkan pada akun untuk memastikan bahwa tidak ada gangguan lalu lintas ke pengecualian ketika VPC BPA dihidupkan.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Di tab **Blokir akses publik**, di bawah **Pengecualian**, pilih **Buat pengecualian**.

1. **Pilih **VPC BPA Public Subnet A**, pastikan bahwa allow direction **Dua Arah** dipilih, dan pilih Buat pengecualian.**

1. Tunggu **status Pengecualian** berubah menjadi **Aktif**. Anda mungkin perlu menyegarkan tabel pengecualian untuk melihat perubahannya.

Pengecualian telah dibuat.

------
#### [ AWS CLI ]

1. Ubah arah izin pengecualian:

   ```
   aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
   ```

1. Diperlukan waktu untuk memperbarui status pengecualian. Untuk melihat status pengecualian:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
   ```

------

### 4.2 Connect ke instance
<a name="vpc-bpa-scenario-1-connect-scen4-sub2"></a>

Lengkapi bagian ini untuk terhubung ke instance.

------
#### [ Konsol Manajemen AWS ]

1. Ping IPv4 alamat publik Instance A. Perhatikan bahwa lalu lintas diperbolehkan.

1. Ping IPv4 alamat publik Instance B. Perhatikan bahwa lalu lintas diblokir.

1. Connect to Instance A menggunakan koneksi instans EC2 seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com. Perhatikan bahwa Anda dapat melakukan ping ke situs publik di internet dari Instance A. Lalu lintas diperbolehkan.

1. Connect ke Instance B menggunakan EC2 instance connect seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com darinya. Perhatikan bahwa Anda tidak dapat melakukan ping ke situs publik di internet dari Instance B. Lalu lintas diblokir.

1. Connect ke Instance C dan D menggunakan instans EC2 connect seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com dari mereka. Perhatikan bahwa Anda dapat melakukan ping ke situs publik di internet dari Instance C atau D. Lalu lintas diperbolehkan.

------
#### [ AWS CLI ]

1. Ping Instance A menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 18.225.8.244
   ```

   Output:

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   
   Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
   Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~_  ####_        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~._.   _/
   / /
   /m/'
   Last login: Fri Sep 27 17:58:12 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.03 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.72 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Ping Instance B menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 3.18.106.198
   ```

   Output:

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ /
   /m/'
   Last login: Fri Sep 27 18:12:03 2024 from 3.16.146.5
   [ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Connect to Instance C. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice
   ```

   Output

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #   ~_  ####        Amazon Linux 2023
   ~~  _#####\  ~~     ###|
   ~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
   ~~~         /
   ~~..   _/
   _/ /
   /m/'                                                                                           
   Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86                                                     
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com                                                         
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.                                 
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
   64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Connect to Instance D. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Output

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:00:52 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4)) 56 data bytes
   64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=1 ttl=48 time=15.9 ms
   64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=2 ttl=48 time=15.8 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

------

### 4.3 Opsional: Verifikasi konektivitas dengan Reachability Analyzer
<a name="vpc-bpa-scenario-1-connect-scen4-sub3"></a>

Menggunakan jalur jaringan yang sama yang dibuat di Reachability Analyzer di Skenario 2, Anda sekarang dapat menjalankan analisis baru dan mengonfirmasi bahwa jalur tersebut dapat dijangkau sekarang setelah pengecualian telah dibuat untuk Public Subnet A.

*Untuk informasi tentang ketersediaan regional Reachability Analyzer, lihat [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations) dalam Panduan Reachability Analyzer.*

------
#### [ Konsol Manajemen AWS ]

1. Dari Jalur Jaringan yang Anda buat sebelumnya di konsol Network Insights, klik **Re-run analysis**.

1. Tunggu analisis selesai. Mungkin perlu beberapa menit.

1. Konfirmasikan bahwa jalurnya sekarang Dapat **Dijangkau**.

------
#### [ AWS CLI ]

1. Menggunakan ID jalur jaringan yang dibuat sebelumnya, mulai analisis baru:

   ```
   aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
   ```

1. Ambil hasil analisis:

   ```
   aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
   ```

1. Konfirmasikan bahwa kode `VPC_BLOCK_PUBLIC_ACCESS_ENABLED` penjelasan tidak lagi ada.

------

## Skenario 5 - Ubah mode pengecualian
<a name="vpc-bpa-scenario-5"></a>

Di bagian ini Anda akan mengubah arah lalu lintas izinkan pada pengecualian untuk melihat bagaimana pengaruhnya terhadap VPC BPA. 

**catatan**  
Dalam skenario ini, Anda akan mengubah mode pengecualian menjadi Egress-only. Perhatikan bahwa ketika Anda melakukan ini, pengecualian khusus Egress di Subnet A tidak mengizinkan lalu lintas keluar, yang berlawanan dengan intuisi karena Anda mengharapkannya mengizinkan lalu lintas keluar. Namun, karena BPA tingkat akun hanya masuk, pengecualian khusus Egress diabaikan, dan perutean Subnet A ke gateway internet dibatasi oleh VPC BPA, memblokir lalu lintas keluar. Untuk mengaktifkan lalu lintas keluar di Subnet A, Anda harus mengganti VPC BPA ke mode Bidirectional.

Diagram mode VPC BPA Ingress-only diaktifkan dan Subnet Pengecualian dengan mode egress-only diaktifkan:

![\[Diagram yang menunjukkan VPC dengan VPC BPA dalam mode masuk saja, memungkinkan lalu lintas keluar melalui gateway NAT.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/vpc-bpa-5.png)


### 5.1 Ubah pengecualian, izinkan arah ke egress-only
<a name="vpc-bpa-scenario-1-connect-scen5-sub1"></a>

Lengkapi bagian ini untuk mengubah arah izin pengecualian.

------
#### [ Konsol Manajemen AWS ]

1. Edit pengecualian yang Anda buat di Skenario 4 dan ubah arah allow menjadi **Egress-only**.

1. Pilih **Simpan perubahan**.

1. Tunggu status **Pengecualian** berubah menjadi **Aktif**. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui. Anda mungkin perlu menyegarkan tabel pengecualian untuk melihat perubahannya.

------
#### [ AWS CLI ]

1. Ubah arah izin pengecualian:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-exclusion --exclusion-id exclusion-id --internet-gateway-exclusion-mode allow-egress
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

1. Diperlukan waktu untuk memperbarui status pengecualian. Untuk melihat status pengecualian:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusion
   ```

------

### 5.2 Connect ke instance
<a name="vpc-bpa-scenario-1-connect-scen5-sub2"></a>

Lengkapi bagian ini untuk terhubung ke instance.

------
#### [ Konsol Manajemen AWS ]

1. Ping IPv4 alamat publik Instance A dan B. Perhatikan bahwa lalu lintas diblokir.

1. Connect ke Instance A dan B menggunakan koneksi instans EC2 seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com. Perhatikan bahwa Anda tidak dapat melakukan ping ke situs publik di internet dari Instance A atau B. Lalu lintas diblokir.

1. Connect ke Instance C dan D menggunakan instans EC2 connect seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com dari mereka. Perhatikan bahwa Anda dapat melakukan ping ke situs publik di internet dari Instance C atau D. Lalu lintas diperbolehkan.

------
#### [ AWS CLI ]

1. Ping Instance A menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 18.225.8.244
   ```

   Output:

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Ping Instance B menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 3.18.106.198
   ```

   Output:

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Connect to Instance C. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice      
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:00:31 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121)) 56 data bytes
   64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.51 ms
   64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.49 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

1. Connect to Instance D. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:13:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2606:2cc0::374 (2606:2cc0::374)) 56 data bytes
   64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=1 ttl=58 time=1.21 ms
   64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=2 ttl=58 time=1.51 ms
   ```

   Perhatikan bahwa ping berhasil dan lalu lintas tidak diblokir.

------

## Skenario 6 - Memodifikasi mode VPC BPA
<a name="vpc-bpa-scenario-6"></a>

Di bagian ini Anda akan mengubah arah blok VPC BPA untuk melihat bagaimana pengaruhnya terhadap lalu lintas. Dalam skenario ini, VPC BPA diaktifkan dalam mode dua arah memblokir semua lalu lintas seperti di Skenario 1. Kecuali pengecualian memiliki akses ke gateway NAT atau gateway internet khusus egres, lalu lintas diblokir.

Diagram mode dua arah VPC BPA dihidupkan dan Subnet Pengecualian dengan mode egress-only diaktifkan:

![\[Diagram yang menunjukkan VPC dengan VPC BPA dalam mode masuk saja, memungkinkan lalu lintas keluar melalui gateway NAT\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/vpc-bpa-6.png)


### 6.1 Ubah VPC BPA ke mode dua arah
<a name="vpc-bpa-scenario-1-connect-scen6-sub1"></a>

Lengkapi bagian ini untuk mengubah mode VPC BPA.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Pilih **Edit setelan akses publik**.

1. Ubah arah blok menjadi **Bidirectional** lalu pilih **Simpan** perubahan.

1. Tunggu **Status** berubah menjadi **On**. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

------
#### [ AWS CLI ]

1. Ubah arah blok VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan statusnya diperbarui.

1. Lihat status VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

### 6.2 Connect ke instance
<a name="vpc-bpa-scenario-1-connect-scen6-sub2"></a>

Lengkapi bagian ini untuk terhubung ke instance.

------
#### [ Konsol Manajemen AWS ]

1. Ping IPv4 alamat publik Instance A dan B. Perhatikan bahwa lalu lintas diblokir.

1. Connect ke Instance A dan B menggunakan koneksi instans EC2 seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com. Perhatikan bahwa Anda tidak dapat melakukan ping ke situs publik di internet dari Instance A atau B. Lalu lintas diblokir.

1. Connect ke Instance C dan D menggunakan instans EC2 connect seperti yang Anda lakukan di Skenario 1 dan ping www.amazon.com dari mereka. Perhatikan bahwa Anda tidak dapat melakukan ping ke situs publik di internet dari Instance C atau D. Lalu lintas diblokir.

------
#### [ AWS CLI ]

1. Ping Instance A menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 18.225.8.244
   ```

   Output:

   ```
   Pinging 18.225.8.244 with 32 bytes of data:
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:17:44 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Ping Instance A menggunakan IPv4 alamat publik untuk memeriksa lalu lintas masuk:

   ```
   ping 3.18.106.198
   ```

   Output:

   ```
   Pinging 3.18.106.198 with 32 bytes of data:
   Request timed out.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Gunakan IPv4 alamat pribadi untuk menghubungkan dan memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
   [ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
   PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Connect to Instance C. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2 --connection-type eice                                   
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:19:45 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:6200:7:49a5:5fd4:b121 (2600:9000:25f3:6200:7:49a5:5fd4:b121)) 56 data bytes
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

1. Connect to Instance D. Karena tidak ada alamat IP publik untuk melakukan ping, gunakan EC2 Instance Connect untuk menghubungkan dan kemudian ping IP publik dari instance untuk memeriksa lalu lintas keluar:

   ```
   aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2 --connection-type eice                                  
   ```

   Output:

   ```
   A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
   Run "/usr/bin/dnf check-release-update" for full release and version update info
      ,     #_   ~\_  ####_        Amazon Linux 2023
     ~~  \_#####\  ~~     \###|
     ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
      ~~       V~' '->
       ~~~         /
         ~~._.   _/
            _/ _/
          _/m/'
   Last login: Fri Sep 27 18:20:58 2024 from 3.16.146.5
   [ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
   PING www.amazon.com(2600:9000:25f3:b400:7:49a5:5fd4:b121 (2600:9000:25f3:b400:7:49a5:5fd4:b121)) 56 data bytes
   ```

   Perhatikan bahwa ping gagal dan lalu lintas diblokir.

------

## Pembersihan
<a name="vpc-bpa-scenario-cleanup"></a>

Di bagian ini Anda akan menghapus semua sumber daya yang telah Anda buat untuk contoh lanjutan ini. Penting untuk membersihkan sumber daya untuk menghindari biaya tambahan berlebih untuk sumber daya yang dibuat di akun Anda.

### Hapus CloudFormation sumber daya
<a name="vpc-bpa-scenario-1-connect-cleanup-sub1"></a>

Lengkapi bagian ini untuk menghapus sumber daya yang Anda buat dengan CloudFormation templat.

------
#### [ Konsol Manajemen AWS ]

1. Buka CloudFormation konsol di[https://console.aws.amazon.com/cloudformation/](https://console.aws.amazon.com/cloudformation/).

1. Pilih tumpukan VPC BPA.

1. Pilih **Hapus**.

1. Setelah Anda mulai menghapus tumpukan, lihat tab **Acara** untuk melihat kemajuan dan memastikan bahwa tumpukan dihapus. Anda mungkin harus [memaksa menghapus tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) agar dapat dihapus sepenuhnya.

------
#### [ AWS CLI ]

1. Hapus CloudFormation tumpukan. Anda mungkin harus [memaksa menghapus tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) agar dapat dihapus sepenuhnya.

   ```
   aws cloudformation delete-stack --stack-name VPC-BPA-stack --region us-east-2
   ```

1. Lihat kemajuan dan pastikan tumpukan dihapus.

   ```
   aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
   ```

------

### Lacak penghapusan pengecualian menggunakan CloudTrail
<a name="vpc-bpa-scenario-1-connect-cleanup-sub2"></a>

Lengkapi bagian ini untuk melacak penghapusan pengecualian menggunakan. AWS CloudTrail CloudTrail entri muncul saat Anda menghapus pengecualian.

------
#### [ Konsol Manajemen AWS ]

Anda dapat melihat pengecualian yang dihapus dalam riwayat CloudTrail Acara dengan mencari **Jenis sumber daya** > **AWS: :EC2:: VPCBlock PublicAccessExclusion di konsol** di AWS CloudTrail . [https://console.aws.amazon.com/cloudtrailv2/](https://console.aws.amazon.com/cloudtrailv2/)

------
#### [ AWS CLI ]

Anda dapat menggunakan perintah lookup-events untuk melihat peristiwa yang terkait dengan penghapusan pengecualian:

```
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
```

------

Contoh lanjutan selesai.

# Praktik terbaik keamanan untuk VPC Anda
<a name="vpc-security-best-practices"></a>

 Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
+ Saat Anda menambahkan subnet ke VPC untuk meng-host aplikasi Anda, buat subnet di beberapa Availability Zone. Availability Zone adalah satu atau lebih pusat data diskrit dengan daya redundan, jaringan, dan konektivitas di suatu Wilayah. AWS Menggunakan beberapa Availability Zone membuat aplikasi produksi Anda sangat tersedia, toleran terhadap kesalahan, dan skalabel.
+ Gunakan grup keamanan untuk mengontrol lalu lintas ke instans EC2 di subnet Anda. Untuk informasi selengkapnya, lihat [Grup keamanan](vpc-security-groups.md).
+ Gunakan jaringan ACLs untuk mengontrol lalu lintas masuk dan keluar di tingkat subnet. Untuk informasi selengkapnya, lihat [Kontrol lalu lintas subnet dengan daftar kontrol akses jaringan](vpc-network-acls.md).
+ Kelola akses ke AWS sumber daya di VPC Anda menggunakan federasi identitas, pengguna, dan peran AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat [Identity and access management untuk Amazon VPC](security-iam.md).
+ Gunakan VPC Flow Logs untuk memantau lalu lintas IP yang menuju dan dari antarmuka VPC, subnet, atau jaringan. Untuk informasi selengkapnya, lihat [Log Alur VPC](flow-logs.md).
+ Gunakan Network Access Analyzer untuk mengidentifikasi akses jaringan yang tidak diinginkan ke sumber daya di kami. VPCs Untuk informasi selengkapnya, lihat [Panduan Penganalisis Akses Jaringan](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
+ Gunakan AWS Network Firewall untuk memantau dan melindungi VPC Anda dengan memfilter lalu lintas masuk dan keluar. Untuk informasi lebih lanjut, lihat [AWS Network Firewall Panduan](https://docs.aws.amazon.com/network-firewall/latest/developerguide/).
+ Gunakan Amazon GuardDuty untuk mendeteksi potensi ancaman terhadap akun, container, beban kerja, dan data di AWS lingkungan Anda. Deteksi ancaman dasar mencakup pemantauan log aliran VPC yang terkait dengan instans Amazon EC2 Anda. Untuk informasi selengkapnya, lihat [Log Aliran VPC](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc) di * GuardDuty Panduan Pengguna Amazon*.

[Untuk jawaban atas pertanyaan umum terkait keamanan VPC, lihat *Keamanan dan Pemfilteran* di Amazon VPC. FAQs](https://aws.amazon.com/vpc/faqs/)