Menggunakan kebijakan grup keamanan umum dengan Firewall Manager - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan grup keamanan umum dengan Firewall Manager

Halaman ini menjelaskan cara kerja kebijakan grup keamanan umum Firewall Manager.

Dengan kebijakan grup keamanan umum, Firewall Manager menyediakan asosiasi grup keamanan yang dikontrol secara terpusat ke akun dan sumber daya di seluruh organisasi Anda. Anda menentukan di mana dan bagaimana menerapkan kebijakan di organisasi Anda.

Anda dapat menerapkan kebijakan grup keamanan umum ke jenis sumber daya berikut:

  • Contoh Amazon Elastic Compute Cloud (AmazonEC2)

  • Antarmuka Jaringan Elastis

  • Penyeimbang Beban Aplikasi

  • Classic Load Balancer

Untuk panduan cara membuat kebijakan grup keamanan umum menggunakan konsol, lihatMembuat kebijakan grup keamanan umum.

Berbagi VPCs

Dalam pengaturan cakupan kebijakan untuk kebijakan grup keamanan umum, Anda dapat memilih untuk menyertakan bersamaVPCs. Pilihan ini termasuk VPCs yang dimiliki oleh akun lain dan dibagikan dengan akun dalam lingkup. VPCsbahwa akun dalam ruang lingkup sendiri selalu disertakan. Untuk informasi tentang berbagiVPCs, lihat Bekerja dengan dibagikan VPCs di Panduan VPC Pengguna Amazon.

Peringatan berikut berlaku untuk menyertakan bersamaVPCs. Ini adalah tambahan dari peringatan umum untuk kebijakan kelompok keamanan diPeringatan dan batasan kebijakan kelompok keamanan.

  • Firewall Manager mereplikasi grup keamanan utama ke dalam VPCs untuk setiap akun dalam lingkup. Untuk berbagiVPC, Firewall Manager mereplikasi grup keamanan utama satu kali untuk setiap akun dalam lingkup yang VPC dibagikan. Ini dapat menghasilkan beberapa replika dalam satu bersamaVPC.

  • Saat membuat bersama baruVPC, Anda tidak akan melihatnya terwakili dalam detail kebijakan grup keamanan Firewall Manager hingga setelah Anda membuat setidaknya satu sumber daya dalam cakupan kebijakan tersebut. VPC

  • Saat Anda menonaktifkan berbagi VPCs dalam kebijakan yang telah VPCs diaktifkan bersama, di SharedVPCs, Firewall Manager menghapus grup keamanan replika yang tidak terkait dengan sumber daya apa pun. Firewall Manager meninggalkan grup keamanan replika yang tersisa di tempatnya, tetapi berhenti mengelolanya. Penghapusan grup keamanan yang tersisa ini memerlukan manajemen manual di setiap VPC instance bersama.

Kelompok keamanan utama

Untuk setiap kebijakan grup keamanan umum, Anda AWS Firewall Manager menyediakan satu atau beberapa grup keamanan utama:

  • Grup keamanan utama harus dibuat oleh akun administrator Firewall Manager dan dapat berada di VPC instans Amazon apa pun di akun.

  • Anda mengelola grup keamanan utama melalui Amazon Virtual Private Cloud (AmazonVPC) atau Amazon Elastic Compute Cloud (AmazonEC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan VPC Pengguna Amazon.

  • Anda dapat memberi nama satu atau beberapa grup keamanan sebagai pendahuluan untuk kebijakan grup keamanan Firewall Manager. Secara default, jumlah grup keamanan yang diizinkan dalam kebijakan adalah satu, tetapi Anda dapat mengirimkan permintaan untuk meningkatkannya. Untuk informasi, lihat AWS Firewall Manager kuota.

Pengaturan aturan kebijakan

Anda dapat memilih satu atau beberapa perilaku kontrol perubahan berikut untuk grup keamanan dan sumber daya kebijakan grup keamanan umum Anda:

  • Identifikasi dan laporkan setiap perubahan yang dibuat oleh pengguna lokal ke grup keamanan replika.

  • Putuskan hubungan kelompok keamanan lain dari AWS sumber daya yang berada dalam lingkup kebijakan.

  • Mendistribusikan tag dari grup utama ke grup keamanan replika.

    penting

    Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan oleh AWS layanan ke dalam grup keamanan replika. Tag sistem dimulai dengan aws: awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan tersebut memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat Kebijakan tag di Panduan AWS Organizations Pengguna.

  • Mendistribusikan referensi grup keamanan dari grup utama ke grup keamanan replika.

    Ini memungkinkan Anda untuk dengan mudah membuat aturan referensi grup keamanan umum di semua sumber daya dalam lingkup ke instance yang terkait dengan grup keamanan yang ditentukan. VPC Saat Anda mengaktifkan opsi ini, Firewall Manager hanya menyebarkan referensi grup keamanan jika grup keamanan mereferensikan grup keamanan rekan di Amazon Virtual Private Cloud. Jika grup keamanan replika tidak mereferensikan grup keamanan sejawat dengan benar, Firewall Manager menandai grup keamanan yang direplikasi ini sebagai tidak sesuai. Untuk informasi tentang cara mereferensikan grup keamanan rekan di AmazonVPC, lihat Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan VPCPeering Amazon.

    Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak menyebarkan referensi grup keamanan ke grup keamanan replika. Untuk informasi tentang VPC mengintip di AmazonVPC, lihat Panduan VPCPeering Amazon.

Pembuatan dan manajemen kebijakan

Saat Anda membuat kebijakan grup keamanan umum, Firewall Manager mereplikasi grup keamanan utama ke setiap VPC instans Amazon dalam cakupan kebijakan, dan mengaitkan grup keamanan yang direplikasi ke akun dan sumber daya yang berada dalam cakupan kebijakan. Saat Anda memodifikasi grup keamanan utama, Firewall Manager menyebarkan perubahan ke replika.

Saat menghapus kebijakan grup keamanan umum, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan tersebut. Untuk grup keamanan umum Firewall Manager, sumber daya ini adalah grup keamanan replika. Pilih opsi pembersihan kecuali Anda ingin mengelola setiap replika secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana.

Bagaimana replika dikelola

Grup keamanan replika dalam VPC instans Amazon dikelola seperti grup VPC keamanan Amazon lainnya. Untuk selengkapnya, lihat Grup Keamanan untuk Anda VPC di Panduan VPC Pengguna Amazon.