Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
VPCgrup keamanan mengontrol akses yang dimiliki lalu lintas masuk dan keluar dari instans DB. Secara default, akses jaringan untuk instans DB dinonaktifkan. Anda dapat menentukan aturan dalam grup keamanan yang mengizinkan akses dari rentang alamat IP, port, atau grup keamanan. Setelah aturan masuk dikonfigurasi, aturan yang sama berlaku untuk semua instans DB yang terkait dengan grup keamanan tersebut. Anda dapat menentukan hingga 20 aturan dalam satu grup keamanan.
Ikhtisar kelompok VPC keamanan
Setiap aturan grup VPC keamanan memungkinkan sumber tertentu untuk mengakses instans DB di VPC yang terkait dengan grup VPC keamanan tersebut. Sumbernya bisa berupa berbagai alamat (misalnya, 203.0.113.0/24), atau grup keamanan lainnya. VPC Dengan menentukan grup VPC keamanan sebagai sumber, Anda mengizinkan lalu lintas masuk dari semua instance (biasanya server aplikasi) yang menggunakan grup keamanan sumberVPC. VPCKelompok keamanan dapat memiliki aturan yang mengatur lalu lintas masuk dan keluar. Namun, aturan lalu lintas keluar biasanya tidak berlaku untuk instans DB. Aturan lalu lintas keluar hanya berlaku jika instans DB bertindak sebagai klien. Misalnya, aturan lalu lintas keluar berlaku untuk instans DB Oracle dengan tautan basis data keluar. Anda harus menggunakan opsi Amazon EC2 API atau Grup Keamanan di VPC konsol untuk membuat grup VPC keamanan.
Saat Anda membuat aturan untuk grup VPC keamanan yang mengizinkan akses ke instance di dalamVPC, Anda harus menentukan port untuk setiap rentang alamat yang diizinkan oleh aturan tersebut. Misalnya, jika Anda ingin mengaktifkan akses Secure Shell (SSH) untuk instance diVPC, buat aturan yang mengizinkan akses ke TCP port 22 untuk rentang alamat yang ditentukan.
Anda dapat mengonfigurasi beberapa grup VPC keamanan yang memungkinkan akses ke port yang berbeda untuk instans yang berbeda di AndaVPC. Misalnya, Anda dapat membuat grup VPC keamanan yang memungkinkan akses ke TCP port 80 untuk server web di server AndaVPC. Anda kemudian dapat membuat grup VPC keamanan lain yang memungkinkan akses ke TCP port 3306 RDSuntuk instans My SQL Aurora DB di Anda. VPC
Untuk informasi selengkapnya tentang grup VPC keamanan, lihat Grup keamanan di Panduan Pengguna Amazon Virtual Private Cloud.
catatan
Jika instans DB Anda berada dalam VPC tetapi tidak dapat diakses publik, Anda juga dapat menggunakan AWS Koneksi situs-ke-situs VPN atau AWS Direct Connect koneksi untuk mengaksesnya dari jaringan pribadi. Untuk informasi selengkapnya, lihat Privasi lalu lintas antarjaringan.
Skenario grup keamanan
Penggunaan umum instans DB di a VPC adalah untuk berbagi data dengan server aplikasi yang berjalan di EC2 instance Amazon dalam hal yang samaVPC, yang diakses oleh aplikasi klien di luar fileVPC. Untuk skenario ini, Anda menggunakan RDS dan VPC halaman di AWS Management Console atau RDS dan EC2 API operasi untuk membuat instance dan kelompok keamanan yang diperlukan:
-
Buat grup VPC keamanan (misalnya,
sg-0123ec2example) dan tentukan aturan masuk yang menggunakan alamat IP aplikasi klien sebagai sumbernya. Grup keamanan ini memungkinkan aplikasi klien Anda untuk terhubung ke EC2 instance di VPC yang menggunakan grup keamanan ini. -
Buat EC2 instance untuk aplikasi dan tambahkan EC2 instance ke grup VPC keamanan (
sg-0123ec2example) yang Anda buat di langkah sebelumnya. -
Buat grup VPC keamanan kedua (misalnya,
sg-6789rdsexample) dan buat aturan baru dengan menentukan grup VPC keamanan yang Anda buat di langkah 1 (sg-0123ec2example) sebagai sumber. -
Buat instans DB baru dan tambahkan instans DB ke grup VPC keamanan (
sg-6789rdsexample) yang Anda buat pada langkah sebelumnya. Saat Anda membuat instans DB, gunakan nomor port yang sama dengan yang ditentukan untuk aturan grup VPC keamanan (sg-6789rdsexample) yang Anda buat di langkah 3.
Diagram berikut menunjukkan skenario ini.
Untuk petunjuk terperinci tentang mengonfigurasi skenario ini, lihatTutorial: Membuat VPC untuk digunakan dengan instans DB (khusus IPv4). VPC Untuk informasi selengkapnya tentang menggunakan aVPC, lihatAmazon VPC dan RDSAmazon.
Membuat grup VPC keamanan
Anda dapat membuat grup VPC keamanan untuk instans DB dengan menggunakan VPC konsol. Untuk informasi tentang pembuatan grup keamanan, lihat Berikan akses ke instans DB Anda VPC dengan membuat grup keamanan dan Grup Keamanan dalam Panduan Pengguna Amazon Virtual Private Cloud.
Mengaitkan grup keamanan dengan instans DB
Anda dapat mengaitkan grup keamanan dengan instans DB menggunakan Modify di RDS konsol, ModifyDBInstance Amazon RDSAPI, atau modify-db-instance AWS CLI perintah.
CLIContoh berikut mengaitkan grup VPC keamanan tertentu dan menghapus grup keamanan DB dari instans DB
aws rds modify-db-instance --db-instance-identifierdbName--vpc-security-group-idssg-ID
Untuk mengetahui informasi tentang cara mengubah instans DB, lihat Memodifikasi instans Amazon RDS DB. Untuk pertimbangan grup keamanan saat Anda memulihkan instans DB dari snapshot DB, lihat Pertimbangan grup keamanan.
catatan
RDSKonsol menampilkan nama aturan grup keamanan yang berbeda untuk database Anda jika nilai Port dikonfigurasi ke nilai non-default.
RDSUntuk instans Oracle DB, grup keamanan tambahan dapat dikaitkan dengan mengisi pengaturan opsi grup keamanan untuk Oracle Enterprise Manager Database Express (OEM), Oracle Management Agent for Enterprise Manager Cloud Control (OEMAgent) dan opsi Oracle Secure Sockets Layer. Dalam hal ini, kedua grup keamanan yang terkait dengan instans DB dan pengaturan opsi berlaku untuk instans DB. Untuk informasi selengkapnya tentang grup opsi ini, lihatOracle Enterprise Manager,Oracle Management Agent untuk Kontrol Cloud Enterprise Manager, danLapisan Soket Aman Oracle.
