Penyiapan untuk menggunakan Amazon EC2 - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyiapan untuk menggunakan Amazon EC2

Selesaikan tugas dalam bagian ini untuk menyiapkan peluncuran instans Amazon EC2 untuk pertama kalinya:

Setelah selesai, Anda akan siap untuk mengikuti tutorial Memulai Amazon EC2.

Daftar Akun AWS

Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

Untuk mendaftar Akun AWS
  1. Buka https://portal.aws.amazon.com/billing/signup.

  2. Ikuti petunjuk secara online.

    Anda akan diminta untuk menerima panggilan telepon dan memasukkan kode verifikasi pada keypad telepon sebagai bagian dari prosedur pendaftaran.

    Saat Anda mendaftar Akun AWS, Pengguna root akun AWS akan dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya dalam akun. Sebagai praktik terbaik keamanan, tetapkan akses administratif ke pengguna administratif, dan hanya gunakan pengguna root untuk melakukan tugas yang memerlukan akses pengguna root.

AWS akan mengirimkan email konfirmasi kepada Anda setelah proses pendaftaran selesai. Anda dapat melihat aktivitas akun saat ini dan mengelola akun dengan mengunjungi https://aws.amazon.com/ dan memilih Akun Saya.

Membuat pengguna administratif

Setelah mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat sebuah pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.

Mengamankan Pengguna root akun AWS Anda
  1. Masuk ke AWS Management Console sebagai pemilik akun dengan memilih Pengguna root dan memasukkan alamat email Akun AWS Anda. Di halaman berikutnya, masukkan kata sandi Anda.

    Untuk bantuan masuk menggunakan pengguna root, lihat Masuk sebagai pengguna root dalam Panduan Pengguna AWS Sign-In.

  2. Aktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.

    Untuk petunjuknya, silakan lihat Mengaktifkan perangkat MFA virtual untuk pengguna root Akun AWS Anda (konsol) dalam Panduan Pengguna IAM.

Membuat pengguna administratif
  1. Aktifkan Pusat Identitas IAM.

    Untuk mendapatkan petunjuk, silakan lihat Mengaktifkan AWS IAM Identity Center di Panduan Pengguna AWS IAM Identity Center.

  2. Di Pusat Identitas IAM, berikan akses administratif ke sebuah pengguna administratif.

    Untuk mendapatkan tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, silakan lihat Mengonfigurasi akses pengguna dengan Direktori Pusat Identitas IAM default di Panduan Pengguna AWS IAM Identity Center.

Masuk sebagai pengguna administratif
  • Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email Anda saat Anda membuat pengguna Pusat Identitas IAM.

    Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat Masuk ke portal akses AWS dalam Panduan Pengguna AWS Sign-In.

Membuat pasangan kunci

AWS menggunakan kriptografi kunci publik untuk mengamankan informasi masuk instans Anda. Tentukan nama pasangan kunci saat meluncurkan instans, lalu berikan kunci privat agar bisa mendapatkan kata sandi administrator untuk instans Windows sehingga Anda dapat masuk menggunakan Remote Desktop Protocol (RDP).

Jika belum membuat pasangan kunci, Anda dapat membuatnya menggunakan konsol Amazon EC2. Perlu diperhatikan bahwa jika Anda berencana untuk meluncurkan instans di banyak Wilayah AWS, Anda perlu membuat pasangan kunci di setiap Wilayah. Untuk informasi selengkapnya tentang Wilayah, lihat Wilayah dan Zona.

Untuk membuat pasangan kunci Anda
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Pasangan Kunci.

  3. Pilih Buat pasangan kunci.

  4. Untuk Nama, masukkan nama deskriptif untuk pasangan kunci tersebut. Amazon EC2 akan mengaitkan kunci publik dengan nama yang Anda cantumkan sebagai nama kunci. Nama kunci dapat terdiri dari hingga 255 karakter ASCII. Tidak boleh mengandung spasi di depan maupun belakang.

  5. Untuk Key pair type (Tipe pasangan kunci), pilih salah satu, RSA atau ED25519. Perhatikan bahwa kunci ED25519 tidak didukung untuk instans Windows.

  6. Untuk Format file kunci privat, pilih format untuk menyimpan kunci privat tersebut. Untuk menyimpan kunci privat dalam format yang dapat digunakan dengan OpenSSH, pilih pem. Untuk menyimpan kunci pribadi dalam format yang dapat digunakan dengan PuTTY, pilih ppk.

  7. Pilih Buat pasangan kunci.

  8. File kunci pribadi secara otomatis akan diunduh oleh peramban Anda. Nama file dasar adalah nama yang Anda tentukan sebagai nama pasangan kunci, dan ekstensi nama file tersebut ditentukan oleh format file yang Anda pilih. Simpan file kunci pribadi di tempat yang aman.

    penting

    Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci privat tersebut.

Untuk informasi selengkapnya, lihat Pasangan kunci Amazon EC2 dan instans Windows.

Membuat grup keamanan

Grup keamanan bertindak sebagai firewall untuk instans-instans yang dikaitkan, mengontrol lalu lintas ke dalam dan ke luar pada tingkat instans. Anda harus menambahkan aturan ke grup keamanan agar Anda dapat terhubung ke instans dari alamat IP menggunakan RDP. Anda juga dapat menambahkan aturan yang mengizinkan akses HTTP dan HTTPS masuk serta keluar dari mana saja.

Perlu diperhatikan bahwa jika Anda berencana untuk meluncurkan instans di banyak Wilayah Wilayah AWS, Anda perlu membuat grup keamanan di setiap Wilayah. Untuk informasi selengkapnya tentang Wilayah, lihat Wilayah dan Zona.

Prasyarat

Anda akan membutuhkan alamat publik IPv4 pada komputer lokal Anda. Editor grup keamanan dalam konsol Amazon EC2 dapat secara otomatis mendeteksi alamat IPv4 publik komputer lokal Anda. Atau, Anda dapat menggunakan frasa pencarian "apa alamat IP saya" di peramban internet, atau menggunakan layanan berikut: Periksa IP. Jika Anda terhubung melalui penyedia layanan internet (ISP) atau dari belakang firewall tanpa alamat IP statis, maka Anda perlu menemukan rentang alamat IP yang digunakan oleh komputer klien.

Anda dapat membuat grup keamanan kustom menggunakan salah satu metode berikut.

Console
Untuk membuat grup keamanan dengan hak akses paling rendah
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi yang ada di bagian atas, pilih satu Wilayah AWS untuk grup keamanan. Grup keamanan dikhususkan untuk satu Wilayah, jadi Anda harus memilih Wilayah yang sama dengan tempat Anda membuat pasangan kunci.

  3. Di panel navigasi kiri, pilih Grup Keamanan.

  4. Pilih Buat grup keamanan.

  5. Untuk Detail dasar, lakukan hal berikut:

    1. Masukkan nama untuk grup keamanan baru dan deskripsinya. Gunakan nama yang mudah diingat, seperti nama pengguna Anda, diikuti dengan _SG_ dan nama Wilayah. Misalnya, me_SG_uswest2.

    2. Pada daftar VPC, pilih VPC default Anda untuk Wilayah tersebut.

  6. Untuk Aturan masuk, buat aturan yang mengizinkan lalu lintas tertentu mencapai instans Anda. Misalnya, gunakan aturan berikut untuk server web yang menerima lalu lintas HTTP dan HTTPS. Untuk contoh lainnya, lihat Aturan-aturan grup keamanan untuk kasus penggunaan yang berbeda.

    1. Pilih Tambahkan aturan. Untuk Tipe, pilih HTTP. Untuk Sumber, pilih Anywhere-IPv4 untuk mengizinkan lalu lintas HTTP masuk dari alamat IPv4 apa pun, atau di mana-mana-IPv6 untuk memungkinkan lalu lintas HTTP masuk dari alamat IPv6 apa pun.

    2. Pilih Tambahkan aturan. Untuk Tipe, pilih HTTPS. Untuk Sumber, pilih Anywhere-IPv4 untuk mengizinkan lalu lintas HTTPS masuk dari alamat IPv4 apa pun, atau di mana-mana-IPv6 untuk memungkinkan lalu lintas HTTPS masuk dari alamat IPv6 apa pun.

    3. Pilih Add rule (Tambahkan aturan). Untuk Tipe, pilih RDP. Untuk Sumber, lakukan salah satu dari berikut ini:

      • Pilih IP Saya untuk secara otomatis menambahkan alamat IPv4 publik komputer lokal Anda.

      • Pilih Kustom dan tentukan alamat IPv4 publik komputer atau jaringan Anda dalam notasi CIDR. Untuk menentukan alamat IP individu dalam notasi CIDR, tambahkan sufiks perutean /32, misalnya 203.0.113.25/32. Jika perusahaan atau router Anda mengalokasikan alamat-alamat dari suatu rentang, maka masukkan rentang tersebut secara keseluruhan, seperti 203.0.113.0/24.

      Awas

      Pilihan ini akan mengizinkan akses ke instans Anda dari semua alamat IP di internet. Hal ini dapat diterima untuk waktu yang singkat di lingkungan pengujian, tetapi tidak aman untuk lingkungan produksi.

  7. Untuk Aturan keluar, biarkan aturan default yang mengizinkan semua lalu lintas keluar.

  8. Pilih Buat grup keamanan.

AWS CLI

Saat Anda menggunakan AWS CLI untuk membuat grup keamanan, aturan keluar yang mengizinkan semua lalu lintas keluar secara otomatis ditambahkan ke grup keamanan. Aturan masuk tidak ditambahkan secara otomatis. Anda perlu menambahkannya.

Dalam prosedur ini, Anda akan menggabungkan perintah create-security-group dan authorize-security-group-ingress AWS CLI untuk membuat grup keamanan dan menambahkan aturan masuk yang mengizinkan lalu lintas yang ditentukan untuk masuk. Alternatif untuk prosedur berikut adalah menjalankan perintah secara terpisah, dengan cara pertama membuat grup keamanan, lalu menambahkan aturan masuk ke grup keamanan tersebut.

Untuk membuat grup keamanan dan menambahkan aturan masuk ke grup keamanan

Gunakan perintah create-security-group dan authorize-security-group-ingress AWS CLI sebagai berikut:

aws ec2 authorize-security-group-ingress \ --region us-west-2 \ --group-id $(aws ec2 create-security-group \ --group-name myname_SG_uswest2 \ --description "Security group description" \ --vpc-id vpc-12345678 \ --output text \ --region us-west-2) \ --ip-permissions \ IpProtocol=tcp,FromPort=80,ToPort=80,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTP from anywhere"}]' \ IpProtocol=tcp,FromPort=443,ToPort=443,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTPS from anywhere"}]' \ IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=172.31.0.0/16,Description="RDP from private network"}]' \ IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=203.0.113.25/32,Description="RDP from public IP"}]'

Untuk:

  • --region – Tentukan Wilayah tempat membuat aturan masuk.

  • --group-id – Tentukan perintah create-security-group dan parameter berikut untuk membuat grup keamanan:

    • --group-name – Tentukan nama untuk grup keamanan baru. Gunakan nama yang mudah diingat, seperti nama pengguna Anda, diikuti dengan _SG_ dan nama Wilayah. Misalnya, myname_SG_uswest2.

    • --description – Tentukan deskripsi yang akan membantu Anda mengetahui lalu lintas yang diizinkan oleh grup keamanan.

    • --vpc-id – Tentukan VPC default Anda untuk Wilayah tersebut.

    • --output – Tentukan text sebagai format output perintah.

    • --region – Tentukan Wilayah yang akan digunakan untuk membuat grup keamanan. Wilayah tersebut harus Wilayah yang sama dengan yang Anda tentukan untuk aturan masuk.

  • --ip-permissions – Tentukan aturan masuk yang akan ditambahkan ke grup keamanan. Aturan dalam contoh ini adalah untuk server web yang menerima lalu lintas HTTP dan HTTPS dari mana saja, dan yang menerima lalu lintas RDP dari jaringan privat (jika perusahaan atau router Anda mengalokasikan alamat-alamat dari suatu rentang) serta alamat IP publik yang ditentukan (seperti alamat IPv4 publik komputer atau jaringan Anda dalam notasi CIDR).

    Awas

    Untuk alasan keamanan, jangan tentukan 0.0.0.0/0 pada CidrIp dengan aturan untuk RDP. Pilihan ini akan mengizinkan akses ke instans Anda dari semua alamat IP di internet. Hal ini dapat diterima untuk waktu yang singkat di lingkungan pengujian, tetapi tidak aman untuk lingkungan produksi.

PowerShell

Saat Anda menggunakan AWS Tools for Windows PowerShell untuk membuat grup keamanan, aturan keluar yang mengizinkan semua lalu lintas keluar secara otomatis ditambahkan ke grup keamanan. Aturan masuk tidak ditambahkan secara otomatis. Anda perlu menambahkannya.

Dalam prosedur ini, Anda akan menggabungkan perintah New-EC2SecurityGroup dan Grant-EC2SecurityGroupIngress AWS Tools for Windows PowerShell untuk membuat grup keamanan dan menambahkan aturan masuk yang mengizinkan lalu lintas yang ditentukan untuk masuk. Alternatif untuk prosedur berikut adalah menjalankan perintah secara terpisah, dengan cara pertama membuat grup keamanan, lalu menambahkan aturan masuk ke grup keamanan tersebut.

Cara membuat grup keamanan

Gunakan perintah New-EC2SecurityGroup dan Grant-EC2SecurityGroupIngress AWS Tools for Windows PowerShell sebagai berikut.

Import-Module AWS.Tools.EC2 New-EC2SecurityGroup -GroupName myname_SG_uswest2 -Description 'Security group description' -VpcId vpc-12345678 -Region us-west-2 | ` Grant-EC2SecurityGroupIngress ` -GroupName $_ ` -Region us-west-2 ` -IpPermission @( (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 80; ToPort = 80; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTP from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 443; ToPort = 443; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTPS from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 3389; ToPort = 3389; Ipv4Ranges = @( @{CidrIp = '172.31.0.0/16'; Description = 'RDP from private network'}, @{CidrIp = '203.0.113.25/32'; Description = 'RDP from public IP'} ) }) )

Untuk grup keamanan:

  • -GroupName – Tentukan nama untuk grup keamanan baru. Gunakan nama yang mudah diingat, seperti nama pengguna Anda, diikuti dengan _SG_ dan nama Wilayah. Misalnya, myname_SG_uswest2.

  • -Description – Tentukan deskripsi yang akan membantu Anda mengetahui lalu lintas yang diizinkan oleh grup keamanan.

  • -VpcId – Tentukan VPC default Anda untuk Wilayah tersebut.

  • -Region – Tentukan Wilayah yang akan digunakan untuk membuat grup keamanan.

Untuk aturan masuk:

  • -GroupName – Tentukan $_ untuk merujuk grup keamanan yang Anda buat.

  • -Region – Tentukan Wilayah tempat membuat aturan masuk. Wilayah tersebut harus Wilayah yang sama dengan yang Anda tentukan untuk grup keamanan.

  • -IpPermission – Tentukan aturan masuk yang akan ditambahkan ke grup keamanan. Aturan dalam contoh ini adalah untuk server web yang menerima lalu lintas HTTP dan HTTPS dari mana saja, dan yang menerima lalu lintas RDP dari jaringan privat (jika perusahaan atau router Anda mengalokasikan alamat-alamat dari suatu rentang) serta alamat IP publik yang ditentukan (seperti alamat IPv4 publik komputer atau jaringan Anda dalam notasi CIDR).

    Awas

    Untuk alasan keamanan, jangan tentukan 0.0.0.0/0 pada CidrIp dengan aturan untuk RDP. Pilihan ini akan mengizinkan akses ke instans Anda dari semua alamat IP di internet. Hal ini dapat diterima untuk waktu yang singkat di lingkungan pengujian, tetapi tidak aman untuk lingkungan produksi.

Lihat informasi yang lebih lengkap di Grup keamanan Amazon EC2 untuk instans Windows.