Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup keamanan: aturan masuk dan keluar
Grup keamanan bertindak sebagai firewall virtual untuk instans Anda guna mengontrol lalu lintas masuk dan keluar. Untuk setiap grup keamanan, Anda menambahkan aturan yang mengontrol lalu lintas masuk ke instans, dan seperangkat aturan terpisah yang mengontrol lalu lintas keluar.
Untuk koneksi VPC Anda, buat grup keamanan baru dengan deskripsi. QuickSight-VPC Grup keamanan ini harus mengizinkan semua lalu lintas TCP masuk dari grup keamanan tujuan data yang ingin Anda jangkau. Contoh berikut membuat grup keamanan baru di VPC dan mengembalikan ID grup keamanan baru.
aws ec2 create-security-group \ --name QuickSight-VPC \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-idvpc-0daeb67adda59e0cd
penting
Konfigurasi jaringan cukup kompleks sehingga kami sangat menyarankan Anda membuat grup keamanan baru untuk digunakan QuickSight. Ini juga memudahkan AWS Support untuk membantu Anda jika Anda perlu menghubungi mereka. Membuat grup baru tidak mutlak diperlukan. Namun, topik-topik berikut didasarkan pada asumsi bahwa Anda mengikuti rekomendasi ini.
Agar Amazon QuickSight berhasil tersambung ke instans di VPC Anda, konfigurasikan aturan grup keamanan Anda untuk mengizinkan lalu lintas antara antarmuka QuickSight jaringan dan instans yang berisi data Anda. Untuk melakukan ini, konfigurasikan grup keamanan yang dilampirkan ke aturan inbound instance database Anda untuk mengizinkan lalu lintas berikut:
-
Dari port yang QuickSight terhubung ke
-
Dari salah satu opsi berikut:
-
ID grup keamanan yang terkait dengan antarmuka QuickSight jaringan (disarankan)
atau
-
Alamat IP pribadi dari antarmuka QuickSight jaringan
-
Untuk informasi selengkapnya, lihat Grup keamanan untuk VPC dan VPC serta subnet Anda di Panduan Pengguna Amazon VPC.
Aturan-aturan ke dalam
penting
Bagian berikut berlaku untuk koneksi VPC Anda jika koneksi dibuat sebelum 27 April 2023.
Saat Anda membuat grup keamanan, grup ini tidak memiliki aturan masuk. Tidak ada lalu lintas masuk yang berasal dari host lain ke instans Anda yang diizinkan hingga Anda menambahkan aturan masuk ke grup keamanan.
Grup keamanan yang melekat pada antarmuka QuickSight jaringan berperilaku berbeda dari kebanyakan grup keamanan, karena tidak stateful. Kelompok keamanan lainnya biasanya stateful. Ini berarti bahwa, setelah mereka membuat koneksi keluar ke grup keamanan sumber daya, mereka secara otomatis mengizinkan lalu lintas kembali. Sebaliknya, grup keamanan antarmuka QuickSight jaringan tidak secara otomatis mengizinkan lalu lintas kembali. Karena itu, menambahkan aturan jalan keluar ke grup keamanan antarmuka QuickSight jaringan tidak berfungsi. Untuk membuatnya bekerja untuk grup keamanan antarmuka QuickSight jaringan, pastikan untuk menambahkan aturan masuk yang secara eksplisit mengotorisasi lalu lintas kembali dari host database.
Aturan masuk dalam grup keamanan Anda harus mengizinkan lalu lintas di semua port. Ini perlu dilakukan karena nomor port tujuan dari setiap paket pengembalian masuk diatur ke nomor port yang dialokasikan secara acak.
Untuk membatasi QuickSight koneksi hanya ke instance tertentu, Anda dapat menentukan ID grup keamanan (disarankan) atau alamat IP pribadi dari instance yang ingin Anda izinkan. Dalam kedua kasus tersebut, aturan masuk grup keamanan Anda masih perlu mengizinkan lalu lintas di semua port (0—65535).
Untuk memungkinkan QuickSight untuk terhubung ke instance apa pun di VPC, Anda dapat mengkonfigurasi grup keamanan antarmuka QuickSight jaringan. Dalam hal ini, berikan aturan masuk untuk mengizinkan lalu lintas di 0.0.0.0/0 di semua port (0—65535). Grup keamanan yang digunakan oleh antarmuka QuickSight jaringan harus berbeda dari grup keamanan yang digunakan untuk database Anda. Kami menyarankan Anda menggunakan grup keamanan terpisah untuk koneksi VPC.
penting
Jika Anda menggunakan instans Amazon RDS DB yang sudah lama ada, periksa konfigurasi Anda untuk melihat apakah Anda menggunakan grup keamanan DB. Grup keamanan DB digunakan dengan instans DB yang tidak ada dalam VPC dan berada di platform EC2-Classic.
Jika ini adalah konfigurasi Anda, dan Anda tidak memindahkan instans DB Anda ke VPC untuk digunakan QuickSight, pastikan untuk memperbarui aturan masuk grup keamanan DB Anda. Perbarui mereka untuk memungkinkan lalu lintas masuk dari grup keamanan VPC yang Anda gunakan. QuickSight Untuk informasi selengkapnya, lihat Mengontrol Akses dengan Grup Keamanan di Panduan Pengguna Amazon RDS.
Aturan-aturan ke luar
penting
Bagian berikut berlaku untuk koneksi VPC Anda jika koneksi dibuat sebelum 27 April 2023.
Secara default, suatu grup keamanan mencakup aturan keluar yang mengizinkan semua lalu lintas keluar. Kami menyarankan Anda menghapus aturan default ini dan menambahkan aturan keluar yang mengizinkan lalu lintas keluar tertentu saja.
Awas
Jangan mengkonfigurasi grup keamanan pada antarmuka QuickSight jaringan dengan aturan keluar untuk memungkinkan lalu lintas di semua port. Untuk informasi tentang pertimbangan dan rekomendasi utama untuk mengelola lalu lintas keluar jaringan dari VPC, lihat Praktik terbaik keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.
Grup keamanan yang dilampirkan ke antarmuka QuickSight jaringan harus memiliki aturan keluar yang memungkinkan lalu lintas ke setiap instance database di VPC yang ingin QuickSight Anda sambungkan. Untuk membatasi koneksi hanya QuickSight ke instance tertentu, tentukan ID grup keamanan (disarankan) atau alamat IP pribadi dari instans yang akan diizinkan. Anda mengatur ini, bersama dengan nomor port yang sesuai untuk instance Anda (port tempat instans mendengarkan), dalam aturan keluar.
Grup keamanan VPC juga harus mengizinkan lalu lintas keluar ke grup keamanan tujuan data, khususnya pada port atau port yang didengarkan database.
