Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Dasar-dasar BPA

Mode fokus
Dasar-dasar BPA - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagian ini mencakup detail penting tentang VPC BPA, termasuk layanan mana yang mendukungnya dan bagaimana Anda dapat bekerja dengannya.

Ketersediaan wilayah

VPC BPA tersedia di semua AWS Wilayah komersial termasuk dan Wilayah GovCloud Tiongkok.

Dalam panduan ini, Anda juga akan menemukan informasi tentang penggunaan Network Access Analyzer dan Reachability Analyzer dengan VPC BPA. Perhatikan bahwa Network Access Analyzer dan Reachability Analyzer tidak tersedia di semua Wilayah komersial. Untuk informasi tentang ketersediaan regional Network Access Analyzer dan Reachability Analyzer, lihat Batasan dalam Panduan dan Pertimbangan Penganalisis Akses Jaringan dalam Panduan Reachability Analyzer.

AWS dampak dan dukungan layanan

Sumber daya dan layanan berikut mendukung VPC BPA dan lalu lintas ke layanan dan sumber daya ini dipengaruhi oleh VPC BPA:

  • Internet gateway: Semua lalu lintas masuk dan keluar diblokir.

  • Gateway internet khusus Egress: Semua lalu lintas keluar diblokir. Gateway internet khusus Egress tidak mengizinkan lalu lintas masuk.

  • Gateway NAT: Semua lalu lintas masuk dan keluar diblokir. Gateway NAT membutuhkan gateway internet untuk konektivitas internet.

  • Network Load Balancer yang menghadap ke Internet: Semua lalu lintas masuk dan keluar diblokir. Network Load Balancer yang menghadap ke internet memerlukan gateway internet untuk konektivitas internet.

  • Application Load Balancer yang menghadap ke Internet: Semua lalu lintas masuk dan keluar diblokir. Application Load Balancer yang menghadap ke Internet memerlukan gateway internet untuk konektivitas internet.

  • Amazon CloudFront VPC Origins: Semua lalu lintas masuk dan keluar diblokir.

  • AWS Akselerator Global: Lalu lintas masuk ke VPCs diblokir, terlepas dari apakah target tersebut dapat diakses dari internet atau tidak.

  • AWS Wavelength gateway operator: Semua lalu lintas masuk dan keluar diblokir.

Lalu lintas yang terkait dengan konektivitas pribadi, seperti lalu lintas untuk layanan dan sumber daya berikut, tidak diblokir atau dipengaruhi oleh VPC BPA:

  • AWS Client VPN

  • AWS CloudWAN

  • AWS Outposts gerbang lokal

  • AWS Site-to-Site VPN

  • Gateway transit

  • Akses Terverifikasi AWS

penting

Lalu lintas yang dikirim secara pribadi dari sumber daya di VPC Anda ke layanan lain yang berjalan di VPC Anda, seperti EC2 DNS Resolver Amazon OpenSearch Service atau, diizinkan bahkan ketika BPA dihidupkan karena tidak melewati gateway internet di VPC Anda. Ada kemungkinan bahwa layanan ini dapat mengajukan permintaan ke sumber daya di luar VPC atas nama Anda, misalnya, untuk menyelesaikan kueri DNS, dan dapat mengekspos informasi tentang aktivitas sumber daya dalam VPC Anda jika tidak dikurangi melalui kontrol keamanan lainnya.

Keterbatasan BPA

Mode khusus masuk VPC BPA tidak didukung di Local Zones (LZs) di mana gateway NAT dan gateway internet khusus pintu masuk tidak diizinkan.

Kontrol akses ke VPC BPA dengan kebijakan IAM

Untuk contoh kebijakan IAM yang mengizinkan/menolak akses ke fitur BPA VPC, lihat. Memblokir akses publik ke VPCs dan subnet

Aktifkan mode dua arah BPA untuk akun Anda

Mode dua arah VPC BPA memblokir semua lalu lintas ke dan dari gateway internet dan gateway internet khusus jalan keluar di Wilayah ini (kecuali untuk dikecualikan dan subnet). VPCs Untuk informasi selengkapnya tentang pengecualian, lihatMembuat dan menghapus pengecualian.

penting

Kami sangat menyarankan agar Anda meninjau secara menyeluruh beban kerja yang memerlukan akses Internet sebelum mengaktifkan VPC BPA di akun produksi Anda.

catatan
  • Untuk mengaktifkan VPC BPA pada VPCs dan subnet di akun Anda, Anda harus memiliki dan subnet. VPCs

  • Jika saat ini Anda berbagi subnet VPC dengan akun lain, mode BPA VPC yang diberlakukan oleh pemilik subnet juga berlaku untuk lalu lintas peserta, tetapi peserta tidak dapat mengontrol pengaturan BPA VPC yang memengaruhi subnet bersama.

AWS Management Console
  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Pengaturan.

  3. Pilih Edit setelan akses publik.

  4. Pilih Aktifkan blokir akses publik dan dua arah, lalu pilih Simpan perubahan.

  5. Tunggu Status berubah menjadi On. Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.

Mode dua arah VPC BPA sekarang aktif.

AWS CLI
  1. Aktifkan VPC BPA:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional

    Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.

  2. Lihat status VPC BPA:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options
  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Pengaturan.

  3. Pilih Edit setelan akses publik.

  4. Pilih Aktifkan blokir akses publik dan dua arah, lalu pilih Simpan perubahan.

  5. Tunggu Status berubah menjadi On. Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.

Mode dua arah VPC BPA sekarang aktif.

Ubah mode BPA VPC menjadi hanya masuk

Mode hanya masuk VPC BPA memblokir semua lalu lintas internet ke VPCs dalam Wilayah ini (kecuali untuk VPCs atau subnet yang dikecualikan). Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.

AWS Management Console
  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Pengaturan.

  3. Pilih Edit setelan akses publik.

  4. Ubah arah ke Ingress-only.

  5. Simpan perubahan dan tunggu statusnya diperbarui. Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.

AWS CLI
  1. Ubah arah blok VPC BPA:

    aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress

    Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.

  2. Lihat status VPC BPA:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-options
  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Pengaturan.

  3. Pilih Edit setelan akses publik.

  4. Ubah arah ke Ingress-only.

  5. Simpan perubahan dan tunggu statusnya diperbarui. Mungkin perlu beberapa menit agar pengaturan BPA diterapkan dan status diperbarui.

Membuat dan menghapus pengecualian

Pengecualian VPC BPA adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode BPA akun dan akan memungkinkan akses dua arah atau egress-only. Anda dapat membuat pengecualian BPA untuk VPCs dan subnet bahkan ketika BPA tidak diaktifkan pada akun untuk memastikan bahwa tidak ada gangguan lalu lintas ke pengecualian ketika VPC BPA dihidupkan. Pengecualian untuk VPC secara otomatis berlaku untuk semua subnet di VPC.

Anda dapat membuat maksimal 50 pengecualian. Untuk informasi tentang meminta kenaikan batas, lihat pengecualian VPC BPA per akun di. Kuota Amazon VPC

AWS Management Console
  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Pengaturan.

  3. Di tab Blokir akses publik, di bawah Pengecualian, lakukan salah satu hal berikut:

    • Untuk menghapus pengecualian, pilih pengecualian dan kemudian pilih Tindakan > Hapus pengecualian.

    • Untuk membuat pengecualian, pilih Buat pengecualian dan lanjutkan dengan langkah selanjutnya.

  4. Pilih arah blok:

    • Dua arah: Memungkinkan semua lalu lintas internet ke dan dari yang dikecualikan VPCs dan subnet.

    • Egress-only: Memungkinkan lalu lintas internet keluar dari yang dikecualikan dan subnet. VPCs Memblokir lalu lintas internet masuk ke yang dikecualikan VPCs dan subnet. Pengaturan ini berlaku ketika BPA diatur ke dua arah.

  5. Pilih VPC atau subnet.

  6. Pilih Buat pengecualian.

  7. Tunggu status Pengecualian berubah menjadi Aktif. Anda mungkin perlu menyegarkan tabel pengecualian untuk melihat perubahannya.

Pengecualian telah dibuat.

AWS CLI
  1. Ubah arah izin pengecualian:

    aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
  2. Diperlukan waktu untuk memperbarui status pengecualian. Untuk melihat status pengecualian:

    aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi kiri, pilih Pengaturan.

  3. Di tab Blokir akses publik, di bawah Pengecualian, lakukan salah satu hal berikut:

    • Untuk menghapus pengecualian, pilih pengecualian dan kemudian pilih Tindakan > Hapus pengecualian.

    • Untuk membuat pengecualian, pilih Buat pengecualian dan lanjutkan dengan langkah selanjutnya.

  4. Pilih arah blok:

    • Dua arah: Memungkinkan semua lalu lintas internet ke dan dari yang dikecualikan VPCs dan subnet.

    • Egress-only: Memungkinkan lalu lintas internet keluar dari yang dikecualikan dan subnet. VPCs Memblokir lalu lintas internet masuk ke yang dikecualikan VPCs dan subnet. Pengaturan ini berlaku ketika BPA diatur ke dua arah.

  5. Pilih VPC atau subnet.

  6. Pilih Buat pengecualian.

  7. Tunggu status Pengecualian berubah menjadi Aktif. Anda mungkin perlu menyegarkan tabel pengecualian untuk melihat perubahannya.

Pengecualian telah dibuat.

Aktifkan BPA VPC di tingkat Organisasi

Jika Anda menggunakan AWS Organizations untuk mengelola akun di organisasi, Anda dapat menggunakan kebijakan deklaratif AWS Organizations untuk menerapkan BPA VPC pada akun di organisasi. Untuk informasi selengkapnya tentang kebijakan deklaratif VPC BPA, lihat Kebijakan deklaratif yang didukung di Panduan Pengguna Organizations.AWS

catatan
  • Anda dapat menggunakan kebijakan deklaratif VPC BPA untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan kebijakan tersebut. Untuk membuat pengecualian, Anda masih harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian VPC BPA, lihat. Membuat dan menghapus pengecualian

  • Jika kebijakan deklaratif VPC BPA diaktifkan, di Blokir pengaturan akses publik, Anda akan melihat Dikelola oleh Kebijakan Deklaratif dan Anda tidak akan dapat mengubah pengaturan BPA VPC di tingkat akun.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.