Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol lalu lintas ke sumber daya menggunakan grup keamanan

SEBUAHgrup keamananmengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan sumber daya yang terkait dengannya. Misalnya, setelah Anda mengaitkan grup keamanan dengan instans EC2, grup tersebut mengontrol lalu lintas masuk dan keluar untuk instans.

Saat Anda membuat VPC, terdapat grup keamanan default. Anda dapat membuat grup keamanan tambahan untuk setiap VPC. Anda dapat mengaitkan grup keamanan hanya dengan sumber daya di VPC yang menjadi tujuan pembuatan grup keamanan tersebut.

Untuk setiap grup keamanan, Anda menambahkanaturanyang mengontrol lalu lintas berdasarkan protokol dan jumlah port. Ada seperangkat aturan terpisah untuk lalu lintas masuk dan lalu lintas keluar.

Anda boleh mengatur ACL jaringan dengan aturan yang mirip dengan grup keamanan Anda untuk menambahkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi lebih lanjut tentang perbedaan antara grup keamanan dan ACL jaringan, lihat Membandingkan grup keamanan dan ACL jaringan.

Dasar-dasar grup keamanan

Berikut ini adalah karakteristik grup keamanan:

  • Saat Anda membuat grup keamanan, Anda harus memberi nama dan deskripsi untuknya. Aturan-aturan berikut berlaku:

    • Nama grup keamanan harus unik di VPC.

    • Nama dan deskripsi dapat memiliki panjang hingga 255 karakter.

    • Nama dan deskripsi terbatas pada karakter berikut: a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=&;{}!$*.

    • Saat nama tersebut berisi spasi di bagian paling belakang, kami akan menghapus spasi di akhir nama. Sebagai contoh, jika Anda memasukkan "Grup Keamanan Pengujian " sebagai namanya, maka kami menyimpannya sebagai "Grup Keamanan Pengujian".

    • Nama grup keamanan tidak dapat dimulai dengan sg-.

  • Grup keamanan bersifat stateful. Misalnya, jika Anda mengirimkan sebuah permintaan dari instans, lalu lintas respon untuk permintaan tersebut diperbolehkan untuk mencapai instans terlepas dari aturan grup keamanan masuk. Respon terhadap lalu lintas masuk diperbolehkan meninggalkan instans, terlepas dari aturan keluar.

  • Ada kuota jumlah grup keamanan yang dapat Anda buat per VPC, jumlah aturan yang dapat Anda tambahkan ke setiap grup keamanan, dan jumlah grup keamanan yang dapat Anda kaitkan dengan antarmuka jaringan. Untuk informasi selengkapnya, lihat Kuota Amazon VPC.

Berikut ini adalah karakteristik dari aturan-aturan grup keamanan:

  • Anda dapat menentukan untuk mengizinkan aturan, tetapi tidak menolak aturan.

  • Saat Anda pertama kali membuat grup keamanan, grup keamanan tersebut tidak memiliki aturan masuk. Oleh karena itu, tidak ada lalu lintas masuk yang diperbolehkan hingga Anda menambahkan aturan masuk ke grup keamanan.

  • Saat Anda pertama kali membuat grup keamanan, terdapat aturan keluar yang mengizinkan semua lalu lintas keluar dari sumber daya. Anda dapat menghapus aturan dan menambahkan aturan keluar yang hanya mengizinkan lalu lintas keluar tertentu. Jika grup keamanan Anda tidak memiliki aturan keluar, tidak ada lalu lintas keluar diperbolehkan.

  • Saat Anda mengaitkan beberapa grup keamanan dengan sumber daya, aturan dari masing-masing grup keamanan digabungkan untuk membentuk satu set aturan yang digunakan untuk menentukan apakah akan mengizinkan akses.

  • Saat Anda menambahkan, memperbarui atau menghapus aturan, perubahan Anda secara otomatis diterapkan ke semua sumber daya yang terkait dengan grup keamanan. Dampak dari beberapa perubahan aturan dapat bergantung pada cara pelacakan lalu lintas yang digunakan. Untuk informasi selengkapnya, lihat Pelacakan koneksi dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

  • Bila Anda membuat suatu aturan grup keamanan, AWS akan memberikan ID unik untuk aturan tersebut. Anda dapat menggunakan ID aturan tersebut ketika Anda menggunakan API atau CLI untuk mengubah atau menghapus aturan tersebut.

Grup keamanan default untuk VPC Anda

VPC default Anda dan VPC yang Anda buat dilengkapi dengan grup keamanan default. Dengan beberapa sumber daya, jika Anda tidak mengaitkan grup keamanan saat membuat sumber daya, kami akan mengaitkan grup keamanan default. Misalnya, jika Anda tidak menentukan grup keamanan saat meluncurkan instans EC2, kami akan mengaitkan grup keamanan default.

Anda dapat mengubah aturan untuk grup keamanan default. Anda tidak dapat menghapus grup keamanan default. Jika Anda mencoba menghapus grup keamanan default, Anda akan mendapatkan pesan kesalahan berikut: Client.CannotDelete.

Tabel berikut ini menjelaskan aturan default untuk grup keamanan default.

Inbound
Sumber Protokol Rentang Port Deskripsi

ID grup keamanan (ID sumber daya sendiri)

Semua

Semua

Mengizinkan lalu lintas ke dalam dari sumber daya yang ditetapkan ke grup keamanan yang sama.

Outbound

Tujuan Protokol Rentang Port Deskripsi

0.0.0.0/0

Semua

Semua

Mengizinkan semua lalu lintas IPv4 ke luar.

::/0 All All Allows all outbound IPv6 traffic. This rule is added only if your VPC has an associated IPv6 CIDR block.

Aturan-aturan grup keamanan

Aturan-aturan grup keamanan mengontrol lalu lintas masuk yang diizinkan untuk mencapai sumber daya yang terkait dengan grup keamanan. Aturan-aturan tersebut juga mengontrol lalu lintas ke luar yang diperbolehkan untuk meninggalkannya.

Anda dapat menambahkan atau menghapus aturan untuk sebuah grup keamanan (juga disebut sebagai memberikan otorisasi atau mencabut akses masuk atau keluar). Suatu aturan berlaku baik untuk lalu lintas masuk (ingress) atau lalu lintas keluar (egress). Anda dapat memberikan akses ke rentang CIDR tertentu, atau ke grup keamanan lain di VPC Anda atau VPC peer (memerlukan koneksi peering VPC).

Untuk setiap aturan, Anda harus menentukan hal-hal berikut:

  • Protokol: Protokol yang diperbolehkan. Protokol yang paling umum adalah 6 (TCP), 17 (UDP), dan 1 (ICMP).

  • Rentang port: Untuk TCP, UDP, atau protokol khusus, ada rentang port yang diperbolehkan. Anda dapat menentukan angka port tunggal (misalnya, 22), atau sebuah rentang angka port (misalnya, 7000-8000).

  • Jenis dan kode ICMP: Untuk ICMP, jenis dan kode ICMP. Sebagai contoh, gunakan tipe 8 untuk ICMP Echo Request atau tipe 128 untuk ICMPv6 Echo Request.

  • Sumber atau tujuan: Sumber (aturan ke dalam) atau tujuan (aturan ke luar) untuk lalu lintas yang akan diizinkan. Tentukan satu dari yang berikut ini:

    • Satu alamat IPv4. Anda harus menggunakan panjang awalan /32. Sebagai contoh, 203.0.113.1/32.

    • Satu alamat IPv6. Anda harus menggunakan panjang awalan /128. Sebagai contoh, 2001:db8:1234:1a00::123/128.

    • Rentang alamat IPv4, dalam notasi blok CIDR. Sebagai contoh, 203.0.113.0/24.

    • Rentang alamat IPv6, dalam notasi blok CIDR. Sebagai contoh, 2001:db8:1234:1a00::/64.

    • ID daftar awalan. Sebagai contoh, pl-1234abc1234abc123. Untuk informasi selengkapnya, lihat Mengelompokkan blok CIDR menggunakan daftar awalan terkelola.

    • ID dari grup keamanan (di sini disebut sebagai grup keamanan yang ditentukan). Sebagai contoh, grup keamanan saat ini, grup keamanan dari VPC yang sama, atau grup keamanan untuk VPC yang di-peering. Hal ini memungkinkan lalu lintas berdasarkan alamat IP privat dari sumber daya yang dikaitkan dengan grup keamanan yang ditentukan. Hal ini tidak akan menambah aturan-aturan dari grup keamanan yang ditentukan ke grup keamanan saat ini. †

  • Deskripsi (Opsional): Anda dapat menambahkan deskripsi untuk aturan, yang dapat membantu Anda untuk mengidentifikasinya nanti. Sebuah deskripsi dapat memiliki panjang hingga 255 karakter. Karakter yang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=;{}!$*.

† Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instans harus mereferensikan alamat IP privat instans lain, atau rentang CIDR dari subnet yang berisi instans yang lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

Contoh aturan

Aturan-aturan yang Anda tambahkan ke grup keamanan seringkali bergantung pada tujuan grup keamanan. Tabel berikut ini menjelaskan aturan contoh untuk sebuah grup keamanan yang terkait dengan server web. Server web Anda dapat menerima lalu lintas HTTP dan HTTPS dari semua alamat IPv4 dan IPv6 dan mengirimkan lalu lintas SQL atau MySQL ke server basis data Anda.

Inbound
Sumber Protokol Rentang Port Deskripsi

0.0.0.0/0

TCP

80

Mengizinkan akses HTTP masuk dari semua alamat IPv4

::/0 TCP 80 Allows inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

Mengizinkan akses HTTPS masuk dari semua alamat IPv4

::/0 TCP 443 Allows inbound HTTPS access from all IPv6 addresses

Rentang alamat IPv4 publik jaringan Anda

TCP

22 22

Mengizinkan akses SSH ke dalam dari alamat IP IPv4 di jaringan Anda

Rentang alamat IPv4 publik jaringan Anda

TCP

3389

Mengizinkan akses RDP masuk dari alamat IP IPv4 di jaringan Anda

Outbound

Tujuan Protokol Rentang Port Deskripsi

ID grup keamanan untuk server basis data Microsoft SQL Server Anda

TCP

1433

Mengizinkan akses Microsoft SQL Server keluar

ID dari grup keamanan untuk server basis data MySQL Anda

TCP

3306

Izinkan akses MySQL keluar

Sebuah server basis data membutuhkan seperangkat aturan yang berbeda. Sebagai contoh, bukannya lalu lintas HTTP dan HTTPS masuk, Anda dapat menambahkan aturan yang mengizinkan akses MySQL atau Microsoft SQL Server. Sebagai contoh, lihat Keamanan. Untuk informasi selengkapnya tentang grup keamanan untuk instans DB Amazon RDS, lihat Mengendalikan akses dengan grup keamanan di Panduan Pengguna Amazon RDS.

Untuk contoh tambahan, lihatReferensi aturan grup keamanandi dalamPanduan Pengguna Amazon EC2 untuk Instans Linux.

Aturan grup keamanan yang kedaluwarsa

Jika VPC Anda memiliki koneksi peering VPC dengan VPC lain, atau jika VPC menggunakan VPC yang dibagikan oleh akun lain, aturan grup keamanan di VPC Anda dapat merujuk pada sebuah grup keamanan dalam sebuah VPC peer tersebut atau VPC bersama VPC tersebut. Hal ini memungkinkan sumber daya yang terkait dengan grup keamanan yang dirujuk dan yang terkait dengan grup keamanan referensi untuk saling berkomunikasi.

Jika grup keamanan dalam VPC bersama dihapus, atau jika koneksi peering VPC dihapus, aturan grup keamanan akan ditandatangani sebagai kedaluwarsa. Anda dapat menghapus aturan grup keamanan kedaluwarsa seperti yang Anda lakukan terhadap aturan grup keamanan lainnya. Untuk informasi selengkapnya, lihatBekerja dengan aturan grup keamanan kedaluwarsadi dalamPanduan Peering Amazon VPC.

Cara menggunakan grup keamanan

Tugas-tugas berikut menunjukkan kepada Anda tentang cara bekerja dengan grup keamanan menggunakan konsol Amazon VPC.

Izin yang diperlukan

Membuat grup keamanan

Secara default, grup keamanan baru dimulai hanya dengan aturan keluar yang mengizinkan semua lalu lintas meninggalkan sumber daya. Anda harus menambahkan aturan-aturan lain untuk mengizinkan lalu lintas ke dalam atau membatasi lalu lintas ke luar.

Grup keamanan hanya dapat digunakan dalam VPC yang menjadi tujuan pembuatan grup keamanan tersebut.

Untuk informasi tentang izin yang diperlukan untuk membuat grup keamanan dan mengelola aturan grup keamanan, lihat Mengelola grup keamanan dan Mengelola aturan grup keamanan.

Untuk membuat grup keamanan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Grup Keamanan.

  3. Pilih Create security group (Buat grup keamanan).

  4. Masukkan nama dan deskripsi untuk grup keamanan tersebut. Anda tidak dapat mengubah nama dan deskripsi grup keamanan setelah dibuat.

  5. Dari VPC, pilih VPC.

  6. Anda dapat menambahkan aturan grup keamanan sekarang, atau Anda dapat menambahkannya nanti. Untuk informasi selengkapnya, lihat Menambahkan aturan ke grup keamanan.

  7. Anda dapat menambahkan tanda sekarang, atau Anda dapat menambahkannya nanti. Untuk menambahkan tanda, pilih Add new tag (Tambahkan tanda baru) dan masukkan kunci dan nilai tanda.

  8. Pilih Create security group (Buat grup keamanan).

Untuk membuat grup keamanan menggunakan baris perintah

Menampilkan grup keamanan Anda

Anda dapat melihat informasi tentang grup keamanan Anda sebagai berikut.

Untuk informasi tentang izin yang diperlukan untuk melihat grup keamanan, lihat Mengelola grup keamanan.

Untuk memperbarui grup keamanan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Security Groups (Grup Keamanan).

  3. Grup keamanan Anda terdaftar. Untuk melihat detail untuk suatu grup keamanan tertentu, termasuk aturan masuk dan keluar, pilih grup keamanan tersebut.

Untuk membuat grup keamanan menggunakan baris perintah

Untuk melihat semua grup keamanan Anda di seluruh Wilayah

Buka konsol Amazon EC2 Global View dihttps://console.aws.amazon.com/ec2globalview/home.

Untuk informasi lebih lanjut tentang cara menggunakan Amazon EC2 Global View, lihatMembuat daftar dan membuat filter sumber daya menggunakan Amazon EC2 Global Viewdalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Menandai grup keamanan Anda

Tambahkan tag ke sumber daya Anda untuk membantu mengatur dan mengidentifikasi sumber daya tersebut, misalnya berdasarkan tujuan, pemilik, atau lingkungan. Anda dapat menambahkan tag ke grup keamanan Anda. Kunci tag harus unik untuk setiap grup keamanan. Jika Anda menambahkan tag dengan kunci yang sudah terkait dengan aturan, maka nilai tag tersebut akan diperbarui.

Untuk menandai grup keamanan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Grup Keamanan.

  3. Pilih kotak centang untuk grup keamanan.

  4. Pilih Tindakan, Kelola tag.

  5. Halaman Kelola tag menampilkan tag yang ditetapkan ke grup keamanan. Untuk menambahkan tag, pilih Tambahkan tag dan masukkan kunci dan nilai tag. Untuk menghapus tanda, pilih Remove (Hapus) yang ada di samping tanda yang ingin Anda hapus.

  6. Pilih Save changes (Simpan perubahan).

Untuk menandai grup keamanan menggunakan baris perintah

Menghapus grup keamanan

Anda dapat menghapus grup keamanan hanya jika tidak terkait dengan sumber daya mana pun. Anda tidak dapat menghapus grup keamanan default.

Jika menggunakan konsol tersebut, Anda dapat menghapus lebih dari satu grup keamanan sekaligus. Jika menggunakan baris perintah atau API, Anda hanya dapat menghapus satu grup keamanan dalam satu waktu.

Untuk menghapus grup keamanan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Grup Keamanan.

  3. Pilih satu atau beberapa grup keamanan lalu pilih Tindakan, Hapus Grup Keamanan.

  4. Ketika diminta konfirmasi, masukkan delete lalu pilih Hapus.

Untuk menghapus grup keamanan menggunakan baris perintah

Cara menggunakan aturan grup keamanan

Tugas-tugas berikut menunjukkan kepada Anda tentang cara bekerja dengan aturan grup keamanan menggunakan konsol Amazon VPC.

Izin yang diperlukan

Menambahkan aturan ke grup keamanan

Saat Anda menambahkan aturan ke grup keamanan, aturan baru secara otomatis diterapkan ke sumber daya yang terkait dengan grup keamanan.

Jika Anda memiliki koneksi peering VPC, Anda dapat merujuk grup keamanan dari VPC peer sebagai sumber atau tujuan dalam aturan grup keamanan Anda. Untuk informasi selengkapnya, lihat Memperbarui grup keamanan Anda untuk merujuk grup keamanan VPC peer dalam Panduan Peering Amazon VPC.

Untuk informasi tentang izin yang diperlukan untuk mengelola aturan grup keamanan, lihat Mengelola aturan grup keamanan.

Untuk menambahkan aturan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Security Groups (Grup Keamanan).

  3. Memilih grup keamanan.

  4. Pilih Tindakan, Edit aturan masuk atau Tindakan, Edit aturan keluar.

  5. Untuk setiap aturan, pilih Tambahkan aturan dan lakukan hal berikut.

    1. Untuk Jenis, pilih jenis protokol yang diperbolehkan.

      • Untuk TCP atau UDP, Anda harus memasukkan rentang port yang diperbolehkan.

      • Untuk ICMP kustom, Anda harus memilih jenis ICMP dari Protokol, dan, jika memungkinkan, nama kode dari Rentang port.

      • Untuk jenis lainnya, protokol dan rentang port dikonfigurasi secara otomatis.

    2. UntukJenis Sumber(aturan masuk) atauJenis tujuan(aturan keluar), lakukan salah satu hal berikut untuk mengizinkan lalu lintas:

      • Pilih Custom (Khusus) dan kemudian masukkan alamat IP dalam notasi CIDR, blok CIDR, grup keamanan lainnya, atau daftar awalan.

      • PilihDimana saja IPv4untuk mengizinkan lalu lintas dari alamat IPv4 (aturan masuk) atau untuk mengizinkan lalu lintas untuk mencapai semua alamat IPv4 (aturan keluar). Ini secara otomatis akan menambahkan aturan untuk blok CIDR 0.0.0.0/0 IPv4.

        Awas

        Jika Anda memilihDimana saja IPv4, Anda mengaktifkan semua alamat IPv4 untuk mengakses instans Anda menggunakan protokol tertentu. Jika Anda menambahkan aturan untuk port 22 (SSH) atau 3389 (RDP), Anda hanya harus mengotorisasi alamat IP atau rentang alamat alamat alamat untuk mengakses instans Anda.

      • PilihDimana saja IPv6untuk mengizinkan lalu lintas dari alamat IPv6 (aturan masuk) atau untuk mengizinkan lalu lintas untuk mencapai semua alamat IPv6 (aturan keluar). Ini secara otomatis akan menambahkan aturan untuk blok CIDR: :/0 IPv6.

        Awas

        Jika Anda memilihDimana saja IPv6, Anda mengaktifkan semua alamat IPv6 untuk mengakses instans Anda menggunakan protokol tertentu. Jika Anda menambahkan aturan untuk port 22 (SSH) atau 3389 (RDP), Anda hanya harus mengotorisasi alamat IP atau rentang alamat alamat alamat untuk mengakses instans Anda.

      • Pilih My IP untuk mengizinkan lalu lintas hanya dari (aturan masuk) atua ke (aturan keluar) alamat IPv4 publik komputer lokal Anda.

    3. (Opsional) Untuk Deskripsi, sebutkan deskripsi singkat untuk aturan.

  6. Pilih Save rules (Simpan aturan).

Untuk menambahkan aturan ke grup keamanan menggunakan baris perintah

Memperbarui aturan-aturan grup keamanan

Saat Anda memperbarui aturan, aturan yang diperbarui secara otomatis diterapkan ke sumber daya yang terkait dengan grup keamanan.

Untuk informasi tentang izin yang diperlukan untuk mengelola aturan grup keamanan, lihat Mengelola aturan grup keamanan.

Untuk memperbarui aturan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Security Groups (Grup Keamanan).

  3. Memilih grup keamanan.

  4. Pilih Tindakan, Edit aturan masuk atau Tindakan, Edit aturan keluar.

  5. Perbarui aturan seperti yang diperlukan.

  6. Pilih Save rules (Simpan aturan).

Menandai aturan grup keamanan

Tambahkan tag ke sumber daya Anda untuk membantu mengatur dan mengidentifikasi sumber daya tersebut, misalnya berdasarkan tujuan, pemilik, atau lingkungan. Anda dapat menambahkan tag ke aturan grup keamanan. Kunci tag harus unik untuk masing-masing aturan grup keamanan. Jika Anda menambahkan tag dengan kunci yang sudah terkait dengan grup target, maka nilai tag tersebut akan diperbarui.

Untuk menandai aturan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Security Groups (Grup Keamanan).

  3. Pilih grup keamanan.

  4. Pada tab Inbound rules (Aturan ke dalam) atau Outbound rules (Aturan ke luar), pilih kotak centang untuk aturan dan kemudian pilih Manage tags (Kelola tanda).

  5. Halaman Kelola tanda akan menampilkan tanda yang ditetapkan ke aturan tersebut. Untuk menambahkan tanda, pilih Add tag (Tambahkan tanda) dan masukkan kunci dan nilai tanda. Untuk menghapus tanda, pilih Remove (Hapus) yang ada di samping tanda yang ingin Anda hapus.

  6. Pilih Save changes (Simpan perubahan).

Untuk menandai aturan menggunakan baris perintah

Menghapus aturan grup keamanan

Saat Anda menghapus sebuah aturan dari sebuah grup keamanan, perubahan secara otomatis diterapkan pada setiap instans yang terkait dengan grup keamanan.

Untuk menghapus grup keamanan menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pada panel navigasi, pilih Security Groups (Grup Keamanan).

  3. Memilih grup keamanan.

  4. Pilih Tindakan, lalu pilih Edit aturan masuk untuk menghapus aturan masuk atau Edit aturan keluar untuk menghapus aturan keluar.

  5. Pilih tombol Hapus di sebelah aturan yang ingin Anda hapus.

  6. Pilih Save rules (Simpan aturan).

Untuk menghapus grup keamanan menggunakan baris perintah

Mengelola grup keamanan VPC secara terpusat menggunakan AWS Firewall Manager

AWS Firewall Manager menyederhanakan tugas administrasi dan pemeliharaan grup keamanan VPC di beberapa akun dan sumber daya. Dengan Firewall Manager, Anda dapat mengkonfigurasi dan meng-audit grup keamanan untuk organisasi Anda dari satu akun administrator pusat. Firewall Manager secara otomatis menerapkan aturan dan perlindungan di seluruh akun dan sumber daya, bahkan saat Anda menambahkan sumber daya baru. Firewall Manager sangat berguna ketika Anda ingin melindungi seluruh organisasi Anda, atau jika Anda sering menambahkan sumber daya baru yang ingin Anda lindungi dari akun administrator pusat.

Anda dapat menggunakan Firewall Manager untuk mengelola grup keamanan secara terpusat dengan cara berikut:

  • Mengonfigurasi grup keamanan dasar umum di seluruh organisasi Anda: Anda dapat menggunakan kebijakan grup keamanan umum untuk menyediakan pengelompokan grup keamanan untuk akun dan sumber daya di seluruh organisasi Anda. Anda menentukan di mana dan bagaimana menerapkan kebijakan di organisasi Anda.

  • Mengaudit grup keamanan yang ada di organisasi Anda: Anda dapat menggunakan kebijakan grup keamanan audit untuk memeriksa aturan yang ada yang digunakan dalam grup keamanan organisasi Anda. Anda dapat menjangkau kebijakan untuk meng-audit semua akun, akun tertentu, atau sumber daya yang ditandai dalam organisasi Anda. Firewall Manager secara otomatis mendeteksi akun dan sumber daya baru dan mengauditnya. Anda dapat membuat aturan audit untuk menetapkan pengaman yang berupa aturan grup keamanan untuk pemberian izin atau pelarangan dalam organisasi Anda, dan untuk memeriksa grup keamanan yang tidak digunakan atau tumpang tindih.

  • Dapatkan laporan tentang sumber daya yang tidak sesuai dan perbaikinya: Anda bisa mendapatkan laporan dan peringatan untuk sumber daya yang tidak sesuai untuk data awal Anda dan meng-audit kebijakan. Anda juga dapat mengatur alur kerja perbaikan otomatis untuk memulihkan sumber daya yang tidak sesuai yang terdeteksi oleh Firewall Manager.

Untuk mempelajari selengkapnya tentang penggunaan Firewall Manager untuk mengelola grup keamanan Anda, lihat topik berikut di Panduan Developer AWS WAF: