Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat membuat grup keamanan dan menambahkan aturan-aturan yang mencerminkan peran dari instans yang dikaitkan dengan grup keamanan tersebut. Sebagai contoh, instans yang dikonfigurasi sebagai server web akan membutuhkan aturan-aturan grup keamanan yang mengizinkan akses HTTP dan HTTPS ke dalam. Demikian juga, instans basis data akan membutuhkan aturan-aturan yang mengizinkan akses untuk jenis basis data, seperti akses melalui port 3306 untuk MySQL.
Berikut ini adalah contoh jenis aturan yang dapat Anda tambahkan ke grup keamanan untuk jenis akses tertentu.
Lihat petunjuknya di Membuat grup keamanan dan Mengonfigurasi aturan grup keamanan.
Aturan-aturan server web
Aturan-aturan ke dalam berikut mengizinkan akses HTTP dan HTTPS dari alamat IP mana pun. Jika VPC diaktifkan IPv6, Anda dapat menambahkan aturan untuk mengontrol lalu lintas HTTP dan HTTPS masuk dari alamat. IPv6
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Memungkinkan akses HTTP masuk dari alamat apa pun IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Memungkinkan akses HTTPS masuk dari alamat apa pun IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | Memungkinkan akses HTTP ke dalam dari alamat IPv6 apa pun |
| TCP | 6 | 443 (HTTPS) | ::/0 | Memungkinkan akses HTTPS ke dalam dari alamat IPv6 apa pun |
Aturan-aturan server basis data
Aturan-aturan ke dalam berikut adalah contoh aturan yang dapat Anda tambahkan untuk akses basis data, tergantung dari jenis basis data apa yang Anda jalankan pada instans Anda. Untuk informasi selengkapnya tentang instans Amazon RDS, lihat Panduan Pengguna Amazon RDS.
Untuk IP sumber, pilih salah satu hal berikut:
-
alamat IP atau rentang alamat IP tertentu (dalam notasi blok CIDR) dalam jaringan lokal Anda
-
ID grup keamanan untuk sekelompok instans yang mengakses basis data
| Tipe protokol | Nomor protokol | Port | Catatan |
|---|---|---|---|
| TCP | 6 | 1433 (MS SQL) | Port default untuk mengakses basis data Microsoft SQL Server, contohnya, pada instans Amazon RDS |
| TCP | 6 | 3306 (MYSQL/Aurora) | Port default untuk mengakses basis data MySQL atau Aurora, contohnya, pada instans Amazon RDS |
| TCP | 6 | 5439 (Redshift) | Port default untuk mengakses basis data klaster Amazon Redshift. |
| TCP | 6 | 5432 (PostgreSQL) | Port default untuk mengakses basis data PostgreSQL, contohnya, pada instans Amazon RDS |
| TCP | 6 | 1521 (Oracle) | Port default untuk mengakses basis data Oracle, contohnya, pada instans Amazon RDS |
Opsional, Anda dapat membatasi lalu lintas ke luar dari server basis data Anda. Sebagai contoh, mungkin Anda ingin mengizinkan akses ke internet untuk pembaruan perangkat lunak, tetapi membatasi semua jenis lalu lintas lainnya. Anda harus terlebih dahulu menghapus aturan ke luar default yang mengizinkan semua lalu lintas ke luar.
| Tipe protokol | Nomor protokol | Port | IP Tujuan | Catatan |
|---|---|---|---|---|
| TCP | 6 | 80 (HTTP) | 0.0.0.0/0 | Memungkinkan akses HTTP keluar ke alamat apa pun IPv4 |
| TCP | 6 | 443 (HTTPS) | 0.0.0.0/0 | Memungkinkan akses HTTPS keluar ke alamat apa pun IPv4 |
| TCP | 6 | 80 (HTTP) | ::/0 | (Hanya VPC yang IPv6 diaktifkan) Memungkinkan akses HTTP keluar ke alamat apa pun IPv6 |
| TCP | 6 | 443 (HTTPS) | ::/0 | (Hanya VPC yang IPv6 diaktifkan) Memungkinkan akses HTTPS keluar ke alamat apa pun IPv6 |
Aturan-aturan untuk terhubung ke instans dari komputer Anda
Untuk terhubung ke instans Anda, grup keamanan Anda harus memiliki aturan-aturan ke dalam yang mengizinkan akses SSH (untuk instans Linux) atau akses RDP (untuk instans Windows).
| Tipe protokol | Nomor protokol | Port | IP sumber |
|---|---|---|---|
| TCP | 6 | 22 (SSH) | IPv4 Alamat publik komputer Anda, atau berbagai alamat IP di jaringan lokal Anda. Jika VPC Anda diaktifkan IPv6 dan instans Anda memiliki IPv6 alamat, Anda dapat memasukkan IPv6 alamat atau rentang. |
| TCP | 6 | 3389 (RDP) | IPv4 Alamat publik komputer Anda, atau berbagai alamat IP di jaringan lokal Anda. Jika VPC Anda diaktifkan IPv6 dan instans Anda memiliki IPv6 alamat, Anda dapat memasukkan IPv6 alamat atau rentang. |
Aturan-aturan untuk terhubung ke instans-instans dari instans dengan grup keamanan yang sama
Untuk mengizinkan instans yang dikaitkan dengan grup keamanan yang sama untuk saling berkomunikasi satu sama lain, Anda harus secara eksplisit menambahkan aturan untuk hal ini.
catatan
Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instans harus mereferensikan alamat IP privat instans lain, atau rentang CIDR dari subnet yang berisi instans yang lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.
Tabel berikut ini menjelaskan aturan ke dalam untuk grup keamanan yang memungkinkan instans yang dikaitkan untuk saling berkomunikasi satu sama lain. Aturan ini mengizinkan semua jenis lalu lintas.
| Tipe protokol | Nomor protokol | Port | IP sumber |
|---|---|---|---|
| -1 (Semua) | -1 (Semua) | -1 (Semua) | ID grup keamanan, atau rentang CIDR dari subnet yang berisi instans lainnya (lihat catatan). |
Aturan-aturan untuk melakukan ping/ICMP
Perintah ping merupakan jenis lalu lintas ICMP. Untuk melakukan ping pada instans Anda, Anda harus menambahkan aturan ICMP ke dalam berikut ini.
| Tipe | Protokol | Sumber |
|---|---|---|
| Kustom ICMP - IPv4 | Permintaan Echo | IPv4 Alamat publik komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. |
| Semua ICMP - IPv4 | IPv4 ICMP (1) | IPv4 Alamat publik komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. |
Untuk menggunakan ping6 perintah untuk melakukan ping ke IPv6 alamat untuk instance Anda, Anda harus menambahkan ICMPv6 aturan masuk berikut.
| Tipe | Protokol | Sumber |
|---|---|---|
| Semua ICMP - IPv6 | IPv6 ICMP (58) | IPv6 Alamat komputer Anda, IPv4 alamat tertentu, IPv4 atau IPv6 alamat dari mana saja. |
Aturan-aturan server DNS
Jika Anda telah mengatur EC2 instance Anda sebagai server DNS, Anda harus memastikan bahwa lalu lintas TCP dan UDP dapat mencapai server DNS Anda melalui port 53.
Untuk IP sumber, pilih salah satu hal berikut:
-
alamat IP atau rentang alamat IP (dalam notasi blok CIDR) di jaringan
-
ID dari grup keamanan untuk serangkaian instans dalam jaringan Anda yang membutuhkan akses ke server DNS
| Tipe protokol | Nomor protokol | Port |
|---|---|---|
| TCP | 6 | 53 |
| UDP | 17 | 53 |
Aturan-aturan Amazon EFS
Jika Anda menggunakan sistem file Amazon EFS dengan EC2 instans Amazon Anda, grup keamanan yang Anda kaitkan dengan target pemasangan Amazon EFS Anda harus mengizinkan lalu lintas melalui protokol NFS.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 2049 (NFS) | ID dari grup keamanan | Mengizinkan akses NFS ke dalam dari sumber daya (termasuk target pengaitan) yang dikaitkan dengan grup keamanan ini |
Untuk memasang sistem file Amazon EFS di EC2 instans Amazon, Anda harus terhubung ke instans Anda. Oleh karena itu, grup keamanan yang dikaitkan dengan instans Anda harus memiliki aturan-aturan yang mengizinkan SSH ke dalam dari komputer lokal atau jaringan lokal Anda.
| Tipe protokol | Nomor protokol | Port | IP sumber | Catatan |
|---|---|---|---|---|
| TCP | 6 | 22 (SSH) | Rentang alamat IP dari komputer lokal Anda, atau rentang alamat IP (dalam notasi blok CIDR) untuk jaringan Anda. | Mengizinkan akses SSH ke dalam dari komputer lokal Anda. |
Aturan-aturan Penyeimbangan Beban Elastis
Jika Anda mendaftarkan EC2 instans Anda dengan penyeimbang beban, grup keamanan yang terkait dengan penyeimbang beban Anda harus mengizinkan komunikasi dengan instans. Untuk informasi selengkapnya, lihat berikut ini dalam dokumentasi Elastic Load Balancing.
