Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Aturan-aturan grup keamanan untuk kasus penggunaan yang berbeda
Anda dapat membuat grup keamanan dan menambahkan aturan-aturan yang mencerminkan peran dari instans yang dikaitkan dengan grup keamanan tersebut. Sebagai contoh, instans yang dikonfigurasi sebagai server web akan membutuhkan aturan-aturan grup keamanan yang mengizinkan akses HTTP dan HTTPS ke dalam. Demikian juga, instans basis data akan membutuhkan aturan-aturan yang mengizinkan akses untuk jenis basis data, seperti akses melalui port 3306 untuk MySQL.
Berikut ini adalah contoh jenis aturan yang dapat Anda tambahkan ke grup keamanan untuk jenis akses tertentu.
Contoh
- Aturan-aturan server web
- Aturan-aturan server basis data
- Aturan-aturan untuk terhubung ke instans dari komputer Anda
- Aturan-aturan untuk terhubung ke instans-instans dari instans dengan grup keamanan yang sama
- Aturan-aturan untuk melakukan ping/ICMP
- Aturan-aturan server DNS
- Aturan-aturan Amazon EFS
- Aturan-aturan Penyeimbangan Beban Elastis
- Aturan-aturan peering VPC
Aturan-aturan server web
Aturan-aturan ke dalam berikut mengizinkan akses HTTP dan HTTPS dari alamat IP mana pun. Jika VPC Anda diaktifkan untuk IPv6, maka Anda dapat menambahkan aturan-aturan untuk mengendalikan lalu lintas HTTP dan HTTPS ke dalam dari alamat IPv6.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Mengizinkan akses HTTP ke dalam dari alamat IPv4 mana pun |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Mengizinkan akses HTTPS ke dalam dari alamat IPv4 mana pun |
| TCP | 6 | 80 (HTTP) | ::/0 | Mengizinkan akses HTTP ke dalam dari alamat IPv6 mana pun |
| TCP | 6 | 443 (HTTPS) | ::/0 | Mengizinkan akses HTTPS ke dalam dari alamat IPv6 mana pun |
Aturan-aturan server basis data
Aturan-aturan ke dalam berikut adalah contoh aturan yang dapat Anda tambahkan untuk akses basis data, tergantung dari jenis basis data apa yang Anda jalankan pada instans Anda. Untuk informasi selengkapnya tentang instans Amazon RDS, lihat Panduan Pengguna Amazon RDS.
Untuk IP sumber, pilih salah satu hal berikut:
-
alamat IP atau rentang alamat IP tertentu (dalam notasi blok CIDR) dalam jaringan lokal Anda
-
ID grup keamanan untuk sekelompok instans yang mengakses basis data
| Tipe protokol | Nomor protokol | Port | Catatan |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | Port default untuk mengakses basis data Microsoft SQL Server, contohnya, pada instans Amazon RDS |
| TCP | 6 | 3306 (MYSQL/Aurora) | Port default untuk mengakses basis data MySQL atau Aurora, contohnya, pada instans Amazon RDS |
| TCP | 6 | 5439 (Redshift) | Port default untuk mengakses basis data klaster Amazon Redshift. |
| TCP | 6 | 5432 (PostgreSQL) | Port default untuk mengakses basis data PostgreSQL, contohnya, pada instans Amazon RDS |
| TCP | 6 | 1521 (Oracle) | Port default untuk mengakses basis data Oracle, contohnya, pada instans Amazon RDS |
Opsional, Anda dapat membatasi lalu lintas ke luar dari server basis data Anda. Sebagai contoh, mungkin Anda ingin mengizinkan akses ke internet untuk pembaruan perangkat lunak, tetapi membatasi semua jenis lalu lintas lainnya. Anda harus terlebih dahulu menghapus aturan ke luar default yang mengizinkan semua lalu lintas ke luar.
| Tipe protokol | Nomor protokol | Port | IP Tujuan | Catatan |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Mengizinkan akses HTTP ke luar ke alamat IPv4 mana pun |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Mengizinkan akses HTTPS ke luar ke alamat IPv4 mana pun |
| TCP | 6 | 80 (HTTP) | ::/0 | (Khusus VPC yang diaktifkan IPv6) Mengizinkan akses HTTP ke luar ke alamat IPv6 mana pun |
| TCP | 6 | 443 (HTTPS) | ::/0 | (Khusus VPC yang diaktifkan IPv6) Mengizinkan akses HTTPS ke luar ke alamat IPv6 mana pun |
Aturan-aturan untuk terhubung ke instans dari komputer Anda
Untuk terhubung ke instans Anda, grup keamanan Anda harus memiliki aturan-aturan ke dalam yang mengizinkan akses SSH (untuk instans Linux) atau akses RDP (untuk instans Windows).
| Tipe protokol | Nomor protokol | Port | IP sumber |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | Alamat IPv4 publik dari komputer Anda, atau rentang alamat IP di jaringan lokal Anda. Jika VPC Anda diaktifkan untuk IPv6 dan instans Anda memiliki alamat IPv6, maka Anda dapat memasukkan alamat atau rentang alamat IPv6. |
| TCP | 6 | 3389 (RDP) | Alamat IPv4 publik dari komputer Anda, atau rentang alamat IP di jaringan lokal Anda. Jika VPC Anda diaktifkan untuk IPv6 dan instans Anda memiliki alamat IPv6, maka Anda dapat memasukkan alamat atau rentang alamat IPv6. |
Aturan-aturan untuk terhubung ke instans-instans dari instans dengan grup keamanan yang sama
Untuk mengizinkan instans yang dikaitkan dengan grup keamanan yang sama untuk saling berkomunikasi satu sama lain, Anda harus secara eksplisit menambahkan aturan untuk hal ini.
catatan
Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instans harus mereferensikan alamat IP privat instans lain, atau rentang CIDR dari subnet yang berisi instans yang lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.
Tabel berikut ini menjelaskan aturan ke dalam untuk grup keamanan yang memungkinkan instans yang dikaitkan untuk saling berkomunikasi satu sama lain. Aturan ini mengizinkan semua jenis lalu lintas.
| Tipe protokol | Nomor protokol | Port | IP sumber |
|---|---|---|---|
| -1 (Semua) | -1 (Semua) | -1 (Semua) | ID grup keamanan, atau rentang CIDR dari subnet yang berisi instans lainnya (lihat catatan). |
Aturan-aturan untuk melakukan ping/ICMP
Perintah ping merupakan jenis lalu lintas ICMP. Untuk melakukan ping pada instans Anda, Anda harus menambahkan aturan ICMP ke dalam berikut ini.
| Tipe | Protokol | Sumber |
|---|---|---|
| ICMP - IPv4 Kustom | Permintaan Echo | Alamat IPv4 publik dari komputer Anda, alamat IPv4 tertentu, atau alamat IPv4 atau IPv6 dari mana saja. |
| Semua ICMP - IPv4 | IPv4 ICMP (1) | Alamat IPv4 publik dari komputer Anda, alamat IPv4 tertentu, atau alamat IPv4 atau IPv6 dari mana saja. |
Untuk menggunakan perintah ping6 untuk melakukan ping pada alamat IPv6 untuk instans Anda, Anda harus menambahkan aturan ICMPv6 ke dalam berikut ini.
| Tipe | Protokol | Sumber |
|---|---|---|
| Semua ICMP - IPv6 | IPv6 ICMP (58) | Alamat IPv6 dari komputer Anda, alamat IPv4 tertentu, atau alamat IPv4 atau IPv6 dari mana saja. |
Aturan-aturan server DNS
Jika Anda telah mengatur instans EC2 Anda sebagai server DNS, maka Anda harus memastikan bahwa lalu lintas TCP dan UDP dapat menjangkau server DNS Anda melalui port 53.
Untuk IP sumber, pilih salah satu hal berikut:
-
alamat IP atau rentang alamat IP (dalam notasi blok CIDR) di jaringan
-
ID dari grup keamanan untuk serangkaian instans dalam jaringan Anda yang membutuhkan akses ke server DNS
| Tipe protokol | Nomor protokol | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Aturan-aturan Amazon EFS
Jika Anda menggunakan sistem file Amazon EFS dengan instans Amazon EC2 Anda, maka grup keamanan yang Anda kaitkan dengan target pengaitan Amazon EFS Anda harus mengizinkan lalu lintas melalui protokol NFS.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | ID dari grup keamanan | Mengizinkan akses NFS ke dalam dari sumber daya (termasuk target pengaitan) yang dikaitkan dengan grup keamanan ini |
Untuk mengaitkan sistem file Amazon EFS pada instans Amazon EC2 Anda, Anda harus terhubung ke instans Anda. Oleh karena itu, grup keamanan yang dikaitkan dengan instans Anda harus memiliki aturan-aturan yang mengizinkan SSH ke dalam dari komputer lokal atau jaringan lokal Anda.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | Rentang alamat IP dari komputer lokal Anda, atau rentang alamat IP (dalam notasi blok CIDR) untuk jaringan Anda. | Mengizinkan akses SSH ke dalam dari komputer lokal Anda. |
Aturan-aturan Penyeimbangan Beban Elastis
Jika Anda menggunakan penyeimbang beban, maka grup keamanan yang dikaitkan dengan penyeimbang beban Anda harus memiliki aturan-aturan yang mengizinkan komunikasi dengan instans atau target Anda. Untuk informasi selengkapnya, lihat mengonfigurasi grup keamanan untuk Penyeimbang Beban Klasik Anda dalam Panduan Pengguna untuk Penyeimbang Beban Klasik, dan Grup Keamanan untuk Penyeimbang Beban Aplikasi Anda dalam Panduan Pengguna untuk Penyeimbang Beban Aplikasi.
Aturan-aturan peering VPC
Anda dapat memperbarui aturan-aturan ke dalam atau ke luar untuk grup keamanan VPC Anda untuk mereferensikan grup keamanan di VPC yang tersambung. Dengan melakukan hal itu, lalu lintas dapat mengalir ke dan dari instans yang dikaitkan dengan grup keamanan yang dirujuk di VPC yang tersambung. Untuk informasi selengkapnya tentang cara mengonfigurasi grup keamanan untuk peering VPC, lihat Memperbarui grup keamanan Anda untuk mereferensikan grup VPC rekan.
