Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagian ini mencakup detail penting tentang VPC BPA, termasuk layanan mana yang mendukungnya dan bagaimana Anda dapat bekerja dengannya.
Daftar Isi
Ketersediaan wilayah
VPC BPA tersedia di semua AWS Wilayah komersial termasuk dan Wilayah
Dalam panduan ini, Anda juga akan menemukan informasi tentang penggunaan Network Access Analyzer dan Reachability Analyzer dengan VPC BPA. Perhatikan bahwa Network Access Analyzer dan Reachability Analyzer tidak tersedia di semua Wilayah komersial. Untuk informasi tentang ketersediaan regional Network Access Analyzer dan Reachability Analyzer, lihat Batasan dalam Panduan dan Pertimbangan Penganalisis Akses Jaringan dalam Panduan Reachability Analyzer.
AWS dampak dan dukungan layanan
Sumber daya dan layanan berikut mendukung VPC BPA dan lalu lintas ke layanan dan sumber daya ini dipengaruhi oleh VPC BPA:
Internet gateway: Semua lalu lintas masuk dan keluar diblokir.
Gateway internet khusus Egress: Semua lalu lintas keluar diblokir. Gateway internet khusus Egress tidak mengizinkan lalu lintas masuk.
Gateway NAT: Semua lalu lintas masuk dan keluar diblokir. Gateway NAT membutuhkan gateway internet untuk konektivitas internet.
Network Load Balancer yang menghadap ke Internet: Semua lalu lintas masuk dan keluar diblokir. Network Load Balancer yang menghadap ke internet memerlukan gateway internet untuk konektivitas internet.
Application Load Balancer yang menghadap ke Internet: Semua lalu lintas masuk dan keluar diblokir. Application Load Balancer yang menghadap ke Internet memerlukan gateway internet untuk konektivitas internet.
-
Amazon CloudFront VPC Origins: Semua lalu lintas masuk dan keluar diblokir.
-
AWS Akselerator Global: Lalu lintas masuk ke VPCs diblokir, terlepas dari apakah target tersebut dapat diakses dari internet atau tidak.
AWS Wavelength gateway operator: Semua lalu lintas masuk dan keluar diblokir.
Lalu lintas yang terkait dengan konektivitas pribadi, seperti lalu lintas untuk layanan dan sumber daya berikut, tidak diblokir atau dipengaruhi oleh VPC BPA:
AWS Client VPN
AWS CloudWAN
-
AWS Outposts gerbang lokal
-
AWS Site-to-Site VPN
-
Gateway transit
-
Akses Terverifikasi AWS
penting
Lalu lintas yang dikirim secara pribadi dari sumber daya di VPC Anda ke layanan lain yang berjalan di VPC Anda, seperti EC2 DNS Resolver Amazon OpenSearch Service atau, diizinkan bahkan ketika BPA dihidupkan karena tidak melewati gateway internet di VPC Anda. Ada kemungkinan bahwa layanan ini dapat mengajukan permintaan ke sumber daya di luar VPC atas nama Anda, misalnya, untuk menyelesaikan kueri DNS, dan dapat mengekspos informasi tentang aktivitas sumber daya dalam VPC Anda jika tidak dikurangi melalui kontrol keamanan lainnya.
Keterbatasan BPA
Mode khusus masuk VPC BPA tidak didukung di Local Zones (LZs) di mana gateway NAT dan gateway internet khusus pintu masuk tidak diizinkan.
Kontrol akses ke VPC BPA dengan kebijakan IAM
Untuk contoh kebijakan IAM yang mengizinkan/menolak akses ke fitur BPA VPC, lihat. Memblokir akses publik ke VPCs dan subnet
Aktifkan mode dua arah BPA untuk akun Anda
Mode dua arah VPC BPA memblokir semua lalu lintas ke dan dari gateway internet dan gateway internet khusus jalan keluar di Wilayah ini (kecuali untuk dikecualikan dan subnet). VPCs Untuk informasi selengkapnya tentang pengecualian, lihatMembuat dan menghapus pengecualian.
penting
Kami sangat menyarankan agar Anda meninjau secara menyeluruh beban kerja yang memerlukan akses Internet sebelum mengaktifkan VPC BPA di akun produksi Anda.
catatan
Untuk mengaktifkan VPC BPA pada VPCs dan subnet di akun Anda, Anda harus memiliki dan subnet. VPCs
Jika saat ini Anda berbagi subnet VPC dengan akun lain, mode BPA VPC yang diberlakukan oleh pemilik subnet juga berlaku untuk lalu lintas peserta, tetapi peserta tidak dapat mengontrol pengaturan BPA VPC yang memengaruhi subnet bersama.
-
Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi kiri, pilih Pengaturan.
-
Pilih Edit setelan akses publik.
-
Pilih Aktifkan blokir akses publik dan dua arah, lalu pilih Simpan perubahan.
-
Tunggu Status berubah menjadi On. Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.
Mode dua arah VPC BPA sekarang aktif.
Ubah mode BPA VPC menjadi hanya masuk
Mode hanya masuk VPC BPA memblokir semua lalu lintas internet ke VPCs dalam Wilayah ini (kecuali untuk VPCs atau subnet yang dikecualikan). Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.
Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi kiri, pilih Pengaturan.
-
Pilih Edit setelan akses publik.
-
Ubah arah ke Ingress-only.
-
Simpan perubahan dan tunggu statusnya diperbarui. Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.
Membuat dan menghapus pengecualian
Pengecualian VPC BPA adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode BPA akun dan akan memungkinkan akses dua arah atau egress-only. Anda dapat membuat pengecualian BPA untuk VPCs dan subnet bahkan ketika BPA tidak diaktifkan pada akun untuk memastikan bahwa tidak ada gangguan lalu lintas ke pengecualian ketika VPC BPA dihidupkan. Pengecualian untuk VPC secara otomatis berlaku untuk semua subnet di VPC.
Anda dapat membuat maksimal 50 pengecualian. Untuk informasi tentang meminta kenaikan batas, lihat pengecualian VPC BPA per akun di. Kuota Amazon VPC
-
Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/
-
Di panel navigasi kiri, pilih Pengaturan.
-
Di tab Blokir akses publik, di bawah Pengecualian, lakukan salah satu hal berikut:
Untuk menghapus pengecualian, pilih pengecualian dan kemudian pilih Tindakan > Hapus pengecualian.
Untuk membuat pengecualian, pilih Buat pengecualian dan lanjutkan dengan langkah selanjutnya.
-
Pilih arah blok:
-
Dua arah: Memungkinkan semua lalu lintas internet ke dan dari yang dikecualikan VPCs dan subnet.
-
Egress-only: Memungkinkan lalu lintas internet keluar dari yang dikecualikan dan subnet. VPCs Memblokir lalu lintas internet masuk ke yang dikecualikan VPCs dan subnet. Pengaturan ini berlaku ketika BPA diatur ke dua arah.
-
Pilih VPC atau subnet.
Pilih Buat pengecualian.
-
Tunggu status Pengecualian berubah menjadi Aktif. Anda mungkin perlu menyegarkan tabel pengecualian untuk melihat perubahannya.
Pengecualian telah dibuat.
Aktifkan BPA VPC di tingkat Organisasi
Jika Anda menggunakan AWS Organizations untuk mengelola akun di organisasi, Anda dapat menggunakan kebijakan deklaratif AWS Organizations untuk menerapkan BPA VPC pada akun di organisasi. Untuk informasi selengkapnya tentang kebijakan deklaratif VPC BPA, lihat Kebijakan deklaratif yang didukung di Panduan Pengguna Organizations.AWS
catatan
Anda dapat menggunakan kebijakan deklaratif VPC BPA untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan kebijakan tersebut. Untuk membuat pengecualian, Anda masih harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian VPC BPA, lihat. Membuat dan menghapus pengecualian
Jika kebijakan deklaratif VPC BPA diaktifkan, di Blokir pengaturan akses publik, Anda akan melihat Dikelola oleh Kebijakan Deklaratif dan Anda tidak akan dapat mengubah pengaturan BPA VPC di tingkat akun.