Aturan-aturan grup keamanan - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aturan-aturan grup keamanan

Aturan-aturan dari grup keamanan mengontrol lalu lintas ke dalam yang diperbolehkan untuk mencapai instans yang dikaitkan dengan grup keamanan. Aturan-aturan tersebut juga mengontrol lalu lintas ke luar yang diperbolehkan untuk meninggalkannya.

Berikut ini adalah karakteristik dari aturan-aturan grup keamanan:

  • Secara default, grup keamanan berisi aturan keluar yang mengizinkan semua lalu lintas keluar. Anda dapat menghapus aturan ini. Perlu diperhatikan bahwa Amazon EC2 memblokir lalu lintas pada port 25 secara default. Untuk informasi selengkapnya, lihat Pembatasan pada email yang dikirim menggunakan port 25.

  • Aturan-aturan grup keamanan selalu bersifat permisif; Anda tidak dapat membuat aturan-aturan yang menolak akses.

  • Aturan-aturan grup keamanan memungkinkan Anda untuk memfilter lalu lintas berdasarkan protokol dan jumlah port.

  • Grup keamanan bersifat stateful—jika Anda mengirimkan permintaan dari instans Anda, maka lalu lintas tanggapan untuk permintaan tersebut diperbolehkan untuk mengalir tanpa memedulikan aturan-aturan ke dalam grup keamanan. Untuk grup keamanan VPC, hal ini juga berarti tanggapan terhadap lalu lintas ke dalam yang diperbolehkan dapat mengalir ke luar, tanpa memedulikan aturan-aturan ke luar. Untuk informasi selengkapnya, lihat Pelacakan koneksi grup keamanan.

  • Anda dapat menambahkan dan menghapus aturan kapan saja. Perubahan-perubahan yang Anda buat akan diterapkan secara otomatis ke instans yang dikaitkan dengan grup keamanan.

    Dampak dari beberapa perubahan aturan dapat bergantung pada cara pelacakan lalu lintas yang digunakan. Untuk informasi selengkapnya, lihat Pelacakan koneksi grup keamanan.

  • Saat Anda mengaitkan beberapa grup keamanan dengan instans, aturan-aturan dari masing-masing grup keamanan akan digabungkan secara efektif untuk membuat satu set aturan. Amazon EC2 akan menggunakan set aturan tersebut untuk menentukan apakah akses diperbolehkan atau tidak.

    Anda dapat menetapkan beberapa grup keamanan pada instans. Oleh karena itu, instans dapat memiliki ratusan aturan yang berlaku. Hal ini dapat menyebabkan masalah saat Anda mengakses instans tersebut. Kami menyarankan agar Anda sedapat mungkin membuat aturan-aturan yang padat.

catatan

Grup keamanan tidak dapat memblokir permintaan DNS ke atau dari Resolver Route 53, kadang-kadang disebut sebagai 'alamat IP VPC+2 '(lihat Apa itu Amazon Route 53 Resolver? di Panduan Pengembang Amazon Route 53), atau 'AmazonProvidedDNS' (lihat set opsi Bekerja dengan DHCP di Panduan Pengguna Amazon Virtual Private Cloud). Jika Anda ingin memfilter permintaan DNS melalui Route 53 Resolver, Anda dapat mengaktifkan Firewall DNS Route 53 Resolver (lihat Firewall DNS Route 53 Resolver di Panduan Developer Amazon Route 53).

Untuk setiap aturan, Anda harus menentukan hal-hal berikut:

  • Nama: Nama untuk grup keamanan (misalnya, "my-security-group“).

    nama dapat memiliki panjang hingga 255 karakter. Karakter yang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=;{}!$*. Saat nama tersebut berisi spasi di bagian paling belakang, kami akan menghapus spasi tersebut saat kami menyimpan nama tersebut. Sebagai contoh, jika Anda memasukkan "Grup Keamanan Pengujian " sebagai namanya, maka kami menyimpannya sebagai "Grup Keamanan Pengujian".

  • Protocol: Protokol yang akan diizinkan. Protokol yang paling umum adalah 6 (TCP), 17 (UDP), dan 1 (ICMP).

  • Port range: Untuk TCP, UDP, atau protokol kustom, ada rentang port yang diizinkan. Anda dapat menentukan satu nomor port (misalnya, 22), atau rentang nomor port (misalnya, 7000-8000).

  • Tipe dan kode ICMP: Untuk ICMP, jenis dan kode ICMP. Sebagai contoh, gunakan tipe 8 untuk ICMP Echo Request atau tipe 128 untuk ICMPv6 Echo Request.

  • Source or destination: Sumber (aturan ke dalam) atau tujuan (aturan ke luar) untuk lalu lintas yang akan diizinkan. Tentukan satu dari yang berikut ini:

    • Satu alamat IPv4. Anda harus menggunakan panjang awalan /32. Sebagai contoh, 203.0.113.1/32.

    • Satu alamat IPv6. Anda harus menggunakan panjang awalan /128. Sebagai contoh, 2001:db8:1234:1a00::123/128.

    • Rentang alamat IPv4, dalam notasi blok CIDR. Sebagai contoh, 203.0.113.0/24.

    • Rentang alamat IPv6, dalam notasi blok CIDR. Sebagai contoh, 2001:db8:1234:1a00::/64.

    • ID daftar awalan. Sebagai contoh, pl-1234abc1234abc123. Untuk informasi lebih lanjut, lihat Daftar awalan di Panduan Pengguna Amazon VPC.

    • ID dari grup keamanan (di sini disebut sebagai grup keamanan yang ditentukan). Sebagai contoh, grup keamanan saat ini, grup keamanan dari VPC yang sama, atau grup keamanan untuk VPC yang di-peering. Hal ini memungkinkan lalu lintas berdasarkan alamat IP privat dari sumber daya yang dikaitkan dengan grup keamanan yang ditentukan. Hal ini tidak akan menambah aturan-aturan dari grup keamanan yang ditentukan ke grup keamanan saat ini.

  • (Opsional) Deskripsi: Anda dapat menambahkan deskripsi untuk aturan, yang dapat membantu Anda untuk mengidentifikasinya nanti. deskripsi dapat memiliki panjang hingga 255 karakter. Karakter yang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=;{}!$*.

Saat Anda membuat aturan grup keamanan, AWS tetapkan ID unik ke aturan tersebut. Anda dapat menggunakan ID aturan tersebut ketika Anda menggunakan API atau CLI untuk mengubah atau menghapus aturan tersebut.

Saat Anda menentukan grup keamanan sebagai sumber atau tujuan dari aturan, aturan tersebut akan memengaruhi semua instans yang dikaitkan dengan grup keamanan tersebut. Lalu lintas masuk diizinkan berdasarkan alamat IP privat dari instans yang dikaitkan dengan grup keamanan sumber (dan bukan alamat IP publik atau alamat IP Elastis). Untuk informasi selengkapnya tentang alamat IP, lihat Pengalamatan IP instans Amazon EC2. Jika aturan grup keamanan Anda mereferensikan grup keamanan yang sudah dihapus dalam VPC yang sama atau di VPC rekan, atau jika mereferensikan grup keamanan di VPC rekan yang koneksi peering VPC-nya telah dihapus, aturan tersebut akan ditandai sebagai kedaluwarsa. Untuk informasi selengkapnya, lihat Cara Menggunakan Aturan Grup Keamanan Kedaluwarsa dalam Panduan Peering VPC Amazon.

Jika ada lebih dari satu aturan untuk port tertentu, maka Amazon EC2 akan menerapkan aturan yang paling permisif. Misalnya, jika Anda memiliki aturan yang memungkinkan akses ke port TCP 22 (SSH) dari alamat IP 203.0.113.1, dan aturan lain yang memungkinkan akses ke port TCP 22 dari semua orang, maka setiap orang memiliki akses ke port TCP 22.

Saat Anda menambahkan, memperbarui atau menghapus aturan, perubahan-perubahan tersebut akan diterapkan secara otomatis pada semua instans yang dikaitkan dengan grup keamanan.