Grup keamanan untuk EC2 Instans Connect Endpoint

Grup keamanan mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan sumber daya yang terkait dengannya. Misalnya, kami menolak lalu lintas ke dan dari instans Amazon EC2 kecuali diizinkan secara khusus oleh grup keamanan yang terkait dengan instans tersebut.

Contoh berikut menunjukkan cara mengonfigurasi aturan grup keamanan untuk Titik Akhir Connect Instance Connect EC2 dan instance target.

Aturan grup keamanan EC2 Instance Connect Endpoint

Aturan grup keamanan untuk Titik Akhir Connect Instans EC2 harus mengizinkan lalu lintas keluar yang ditujukan untuk instans target untuk meninggalkan titik akhir. Anda dapat menentukan grup keamanan instans atau rentang alamat IPv4 VPC sebagai tujuan.

Lalu lintas ke titik akhir berasal dari Layanan Titik Akhir Connect Instance Connect EC2, dan itu diizinkan terlepas dari aturan masuk untuk grup keamanan titik akhir. Untuk mengontrol siapa yang dapat menggunakan EC2 Instance Connect Endpoint untuk menyambung ke instans, gunakan kebijakan IAM. Untuk informasi selengkapnya, lihat Izin untuk menggunakan EC2 Instance Connect Endpoint untuk menyambung ke instans.

Contoh aturan keluar: Referensi grup keamanan

Contoh berikut menggunakan referensi grup keamanan, yang berarti bahwa tujuan adalah grup keamanan yang terkait dengan instance target. Aturan ini memungkinkan lalu lintas keluar dari titik akhir ke semua instance yang menggunakan grup keamanan ini.

Protokol	Tujuan	Rentang port	Komentar
TCP	ID grup keamanan instans	22	Mengizinkan lalu lintas SSH keluar ke semua instance yang terkait dengan grup keamanan instance

Contoh aturan keluar: rentang alamat IPv4

Contoh berikut memungkinkan lalu lintas keluar ke kisaran alamat IPv4 yang ditentukan. Alamat IPv4 dari sebuah instans ditetapkan dari subnetnya, sehingga Anda dapat menggunakan rentang alamat IPv4 dari VPC.

Protokol	Tujuan	Rentang port	Komentar
TCP	VPC IPv4 CIDR	22	Memungkinkan lalu lintas SSH keluar ke VPC

Aturan grup keamanan instans target

Aturan grup keamanan untuk instans target harus mengizinkan lalu lintas masuk dari Titik Akhir Connect Instans EC2. Anda dapat menentukan grup keamanan titik akhir atau rentang alamat IPv4 sebagai sumbernya. Jika Anda menentukan rentang alamat IPv4, sumbernya tergantung pada apakah pelestarian IP klien tidak aktif atau aktif. Untuk informasi selengkapnya, lihat Pertimbangan.

Karena grup keamanan stateful, lalu lintas respons diizinkan untuk meninggalkan VPC terlepas dari aturan keluar untuk grup keamanan instance.

Contoh aturan masuk: Referensi grup keamanan

Contoh berikut menggunakan referensi grup keamanan, yang berarti bahwa sumbernya adalah grup keamanan yang terkait dengan titik akhir. Aturan ini memungkinkan lalu lintas SSH masuk dari titik akhir ke semua instance yang menggunakan grup keamanan ini, baik pelestarian IP klien aktif atau tidak aktif. Jika tidak ada aturan grup keamanan masuk lainnya untuk SSH, maka instance menerima lalu lintas SSH hanya dari titik akhir.

Protokol	Sumber	Rentang port	Komentar
TCP	ID grup keamanan endpoint	22	Mengizinkan lalu lintas SSH masuk dari sumber daya yang terkait dengan grup keamanan titik akhir

Contoh aturan masuk: Pelestarian IP klien tidak aktif

Contoh berikut memungkinkan lalu lintas SSH masuk dari rentang alamat IPv4 yang ditentukan. Karena pelestarian IP klien tidak aktif, alamat IPv4 sumber adalah alamat antarmuka jaringan titik akhir. Alamat antarmuka jaringan endpoint ditetapkan dari subnetnya, sehingga Anda dapat menggunakan rentang alamat IPv4 dari VPC untuk memungkinkan koneksi ke semua instance di VPC.

Protokol	Sumber	Rentang port	Komentar
TCP	VPC IPv4 CIDR	22	Memungkinkan lalu lintas SSH masuk dari VPC

Contoh aturan masuk: Pelestarian IP klien aktif

Contoh berikut memungkinkan lalu lintas SSH masuk dari rentang alamat IPv4 yang ditentukan. Karena pelestarian IP klien aktif, alamat IPv4 sumber adalah alamat klien.

Protokol	Sumber	Rentang port	Komentar
TCP	Rentang alamat IPv4 publik	22	Mengizinkan lalu lintas masuk dari rentang alamat IPv4 klien yang ditentukan