Mengontrol lalu lintas ke subnet menggunakan Network ACL - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol lalu lintas ke subnet menggunakan Network ACL

SEBUAHdaftar kontrol akses (ACL)mengizinkan atau menolak lalu lintas masuk atau keluar tertentu di tingkat subnet. Anda boleh menggunakan ACL jaringan default untuk VPC Anda, atau Anda boleh membuat ACL jaringan khusus untuk VPC Anda dengan aturan yang mirip dengan aturan untuk grup keamanan Anda untuk VPC Anda. Untuk informasi lebih lanjut tentang perbedaan antara grup keamanan dan ACL jaringan, lihat Membandingkan grup keamanan dan ACL jaringan.

Dasar-dasar ACL jaringan

Berikut ini adalah hal-hal dasar yang perlu Anda ketahui tentang ACL jaringan:

  • VPC Anda secara otomatis dilengkapi dengan ACL jaringan default yang dapat diubah. Secara default, mengizinkan semua lalu lintas IPv4 masuk dan keluar dan, jika mengizinkan, lalu lintas IPv6.

  • Anda dapat membuat ACL jaringan kustom dan menghubungkannya ke sebuah subnet. Secara default, setiap ACL jaringan kustom menolak semua lalu lintas masuk dan keluar sampai Anda menambahkan aturan.

  • Setiap subnet di VPC Anda harus dihubungkan dengan sebuah ACL jaringan. Jika Anda tidak benar-benar menghubungkan subnet dengan ACL jaringan, subnet secara otomatis dihubungkan ke ACL jaringan default.

  • Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, subnet hanya dapat dihubungkan ke satu ACL jaringan saja dalam satu waktu. Ketika Anda menghubungkan ACL jaringan dengan sebuah subnet, hubungan sebelumnya akan dihapus.

  • ACL jaringan berisi daftar aturan yang diberi nomor. Kami mengevaluasi aturan secara berurutan, dimulai dari aturan bernomor terendah, untuk menentukan apakah lalu lintas diperbolehkan masuk atau keluar dari subnet apapun yang terhubung dengan ACL jaringan. Nomor tertinggi yang dapat Anda gunakan untuk aturan adalah 32766. Kami menyarankan Anda mulai dengan membuat aturan secara bertahap (misalnya, kenaikan per 10 atau 100) sehingga Anda dapat memasukkan aturan baru jika selanjutnya diperlukan.

  • Suatu ACL jaringan memiliki aturan masuk dan keluar terpisah, dan setiap aturan dapat mengizinkan atau menolak lalu lintas.

  • ACL jaringan bersifat stateless, yang artinya respon untuk mengizinkan lalu lintas masuk tunduk pada aturan untuk lalu lintas keluar (dan sebaliknya).

Ada kuota (batasan) untuk jumlah ACL jaringan per VPC, dan jumlah aturan per ACL jaringan. Untuk informasi lebih lanjut, lihat Kuota Amazon VPC.

Aturan ACL Jaringan

Anda dapat menambahkan atau menghapus aturan dari ACL jaringan default, atau membuat ACL jaringan tambahan untuk VPC Anda. Ketika Anda menambahkan atau menghapus aturan dari ACL jaringan, perubahan secara otomatis diterapkan ke subnet yang terhubung dengannya.

Berikut ini adalah bagian-bagian dari aturan ACL jaringan:

  • Nomor aturan. Aturan dievaluasi mulai dari aturan bernomor terendah. Setelah aturan cocok dengan lalu lintas, aturan tersebut langsung diterapkan terlepas dari apakah ada aturan bernomor lebih tinggi yang mungkin bertentangan dengan itu.

  • Jenis. Jenis lalu lintas; misalnya, SSH. Anda juga dapat menentukan semua lalu lintas atau rentang kustom.

  • Protokol. Anda dapat menetapkan protokol manapun yang memiliki nomor protokol standar. Untuk informasi selengkapnya, lihat Nomor Protokol. Jika Anda menetapkan ICMP sebagai protokol, Anda dapat menetapkan satu atau semua jenis dan kode ICMP.

  • Rentang port. Listening port atau rentang port untuk lalu lintas. Misalnya, 80 untuk lalu lintas HTTP.

  • Sumber. [Aturan masuk saja] Sumber lalu lintas (rentang CIDR).

  • Tujuan. [Aturan keluar saja] Tujuan untuk lalu lintas (rentang CIDR).

  • Izinkan/Tolak. Apakah mengizinkan atau menolak lalu lintas yang ditentukan.

Jika Anda menambahkan aturan menggunakan alat baris perintah atau API Amazon EC2, rentang CIDR secara otomatis diubah ke bentuk kanonisnya. Misalnya, jika Anda menetapkan 100.68.0.18/18 untuk rentang CIDR, kami membuat aturan dengan rentang CIDR 100.68.0.0/18.

ACL jaringan default

ACL jaringan default dikonfigurasi untuk mengizinkan semua lalu lintas mengalir masuk dan keluar dari subnet yang terhubung dengannya. Setiap ACL jaringan juga mencakup aturan yang memiliki nomor aturan bertanda bintang. Aturan ini memastikan bahwa jika sebuah paket tidak cocok dengan aturan bernomor lainnya, maka paket ditolak. Anda tidak dapat mengubah atau menghapus aturan ini.

Berikut ini adalah contoh ACL jaringan default untuk VPC yang hanya mendukung IPv4.

Ke dalam
Aturan # Tipe Protokol Rentang Port Sumber Izinkan/Tolak

100

All IPv4 traffic

Semua

Semua

0.0.0.0/0

IZINKAN

*

All IPv4 traffic

Semua

Semua

0.0.0.0/0

TOLAK

Ke luar
Aturan # Tipe Protokol Rentang Port Tujuan Izinkan/Tolak

100

All IPv4 traffic

Semua

Semua

0.0.0.0/0

IZINKAN

*

All IPv4 traffic

Semua

Semua

0.0.0.0/0

TOLAK

Jika Anda membuat VPC dengan blok CIDR IPv6 atau jika Anda mengaitkan blok CIDR IPv6 dengan VPC yang ada, kami secara otomatis menambahkan aturan yang mengizinkan semua lalu lintas IPv6 mengalir masuk dan keluar dari subnet Anda. Kami juga menambahkan aturan yang memiliki nomor aturan bertanda bintang yang memastikan bahwa paket ditolak jika tidak cocok dengan aturan bernomor lainnya. Anda tidak dapat mengubah atau menghapus aturan ini. Berikut ini adalah contoh ACL jaringan default untuk VPC yang mendukung IPv4 dan IPv6.

catatan

Jika Anda telah mengubah aturan masuk ACL jaringan default Anda, kami tidak akan secara otomatis menambahkan aturan izinkan untuk lalu lintas IPv6 masuk ketika Anda mengaitkan blok IPv6 dengan VPC Anda. Demikian pula, jika Anda telah mengubah aturan keluar, kami tidak akan secara otomatis menambahkan aturan izinkan untuk lalu lintas IPv6 keluar.

Ke dalam
Aturan # Tipe Protokol Rentang Port Sumber Izinkan/Tolak

100

All IPv4 traffic

Semua

Semua

0.0.0.0/0

IZINKAN

101

Semua lalu lintas IPv6

Semua

Semua

::/0

IZINKAN

*

All traffic

Semua

Semua

0.0.0.0/0

TOLAK

*

Semua lalu lintas IPv6

Semua

Semua

::/0

TOLAK

Ke luar
Aturan # Tipe Protokol Rentang Port Tujuan Izinkan/Tolak

100

All traffic

Semua

Semua

0.0.0.0/0

IZINKAN

101

Semua lalu lintas IPv6

Semua

Semua

::/0

IZINKAN

*

All traffic

Semua

Semua

0.0.0.0/0

TOLAK

*

Semua lalu lintas IPv6

Semua

Semua

::/0

TOLAK

ACL Jaringan kustom

Berikut ini adalah contoh ACL jaringan kustom untuk VPC yang hanya mendukung IPv4. Ini termasuk aturan yang mengizinkan lalu lintas HTTP dan HTTPS di (aturan masuk 100 dan 110). Ada aturan keluar yang sesuai yang mengizinkan respon terhadap lalu lintas masuk tersebut (aturan keluar 140, yang mencakup ephermeral port 32768-65535). Untuk informasi lebih lanjut tentang cara memilih rentang port ephemeral yang sesuai, lihat Ephemeral port.

ACL jaringan juga mencakup aturan masuk yang mengizinkan lalu lintas SSH dan RDP ke subnet. Aturan keluar 120 mengizinkan respon meninggalkan subnet.

ACL jaringan memiliki aturan keluar (100 dan 110) yang mengizinkan lalu lintas HTTP dan HTTPS keluar dari subnet. Ada aturan keluar yang sesuai yang mengizinkan respon terhadap lalu lintas keluar tersebut (aturan keluar 140, yang mencakup ephermeral port 32768-65535).

catatan

Setiap ACL jaringan mencakup aturan default yang nomor aturannya bertanda bintang. Aturan ini memastikan bahwa jika sebuah paket tidak cocok dengan aturan lainnya, maka paket ditolak. Anda tidak dapat mengubah atau menghapus aturan ini.

Ke dalam
Aturan # Tipe Protokol Rentang Port Sumber Izinkan/Tolak Comments

100

HTTP

TCP

80

0.0.0.0/0

IZINKAN

Mengizinkan akses jalur masuk HTTP dari alamat IPv4 apa pun.

110

HTTPS

TCP

443

0.0.0.0/0

IZINKAN

Mengizinkan akses jalur masuk HTTPS dari alamat IPv4 apa pun.

120

SSH

TCP

22

192.0.2.0/24

IZINKAN

Mengizinkan lalu lintas SSH masuk dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).

130

RDP

TCP

3389

192.0.2.0/24

IZINKAN

Mengizinkan lalu lintas RDP masuk ke server web dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).

140

Custom TCP

TCP

32768-65535

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas IPv4 kembali masuk dari internet (yaitu, untuk permintaan yang berasal dari subnet).

Rentang ini hanya contoh. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat Ephemeral port.

*

All traffic

Semua

Semua

0.0.0.0/0

MENOLAK

Menolak semua lalu lintas IPv4 masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

Ke luar
Aturan # Tipe Protokol Rentang Port Tujuan Izinkan/Tolak Comments

100

HTTP

TCP

80

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas HTTP IPv4 keluar dari subnet ke internet.

110

HTTPS

TCP

443

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas HTTPS IPv4 keluar dari subnet ke internet.

120 SSH

TCP

1024-65535

192.0.2.0/24

IZINKAN

Mengizinkan lalu lintas SSH keluar dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).

140

Custom TCP

TCP

32768-65535

0.0.0.0/0

IZINKAN

Mengizinkan respon jalur keluar IPv4 untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini hanya contoh. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat Ephemeral port.

*

All traffic

Semua

Semua

0.0.0.0/0

MENOLAK

Menolak semua lalu lintas IPv4 keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

Ketika paket datang ke subnet, kami mengevaluasinya terhadap aturan masuk ACL yang dikaitkan dengan subnet tersebut (mulai dari bagian atas daftar aturan, terus ke bawah). Berikut adalah pelaksanaan evaluasi jika paket ditujukan untuk port HTTPS (443). Paket tidak cocok aturan pertama dievaluasi (aturan 100). Ini tidak cocok dengan aturan kedua (110), yang mengizinkan paket ke subnet. Jika paket telah ditujukan untuk port 139 (NetBIOS), itu tidak cocok salah satu aturan, dan aturan * akhirnya menolak paket.

Anda mungkin ingin menambahkan aturan Tolak dalam situasi di mana Anda sah perlu membuka berbagai port, tetapi ada port tertentu dalam rentang tersebut yang ingin Anda tolak. Pastikan untuk menempatkan aturan Tolak sebelumnya dalam tabel daripada aturan yang mengizinkan berbagai lalu lintas port.

Anda menambahkan aturan Izinkan tergantung pada kasus penggunaan Anda. Misalnya, Anda dapat menambahkan aturan yang mengizinkan TCP keluar dan akses UDP pada port 53 untuk resolusi DNS. Untuk setiap aturan yang Anda tambahkan, pastikan bahwa ada aturan masuk atau keluar sesuai yang mengizinkan lalu lintas respon.

Tabel berikut menunjukkan contoh ACL jaringan kustom yang sama untuk VPC yang memiliki blok CIDR IPv6 terkait. ACL jaringan ini mencakup aturan untuk semua lalu lintas HTTP dan HTTPS IPv6. Dalam hal ini, aturan baru dimasukkan di antara aturan yang ada untuk lalu lintas IPv4. Anda juga dapat menambahkan aturan sebagai aturan nomor yang lebih tinggi setelah aturan IPv4. Lalu lintas IPv4 dan IPv6 terpisah, dan karena itu tidak ada aturan untuk lalu lintas IPv4 berlaku untuk lalu lintas IPv6.

Ke dalam
Aturan # Tipe Protokol Rentang Port Sumber Izinkan/Tolak Comments

100

HTTP

TCP

80

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas HTTP masuk dari alamat IPv4 apa pun.

105

HTTP

TCP

80

::/0

IZINKAN

Mengizinkan lalu lintas HTTP masuk dari alamat IPv6 apa pun.

110

HTTPS

TCP

443

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas HTTP masuk dari alamat IPv4 apa pun.

115

HTTPS

TCP

443

::/0

IZINKAN

Mengizinkan akses HTTPS masuk dari alamat IPv6 apa pun.

120

SSH

TCP

22

192.0.2.0/24

IZINKAN

Mengizinkan lalu lintas SSH masuk dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).

130

RDP

TCP

3389

192.0.2.0/24

IZINKAN

Mengizinkan lalu lintas RDP masuk ke server web dari rentang alamat IPv4 publik jaringan rumah Anda (melalui gateway internet).

140

Custom TCP

TCP

32768-65535

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas IPv4 kembali masuk dari internet (yaitu, untuk permintaan yang berasal dari subnet).

Rentang ini hanya contoh. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat Ephemeral port.

145

Custom TCP TCP 32768-65535 ::/0 ALLOW

Mengizinkan lalu lintas IPv6 kembali masuk dari internet (yaitu, untuk permintaan yang berasal dari subnet).

Rentang ini hanya contoh. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat Ephemeral port.

*

All traffic

Semua

Semua

0.0.0.0/0

MENOLAK

Menolak semua lalu lintas IPv4 masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

*

Semua lalu lintas

Semua

Semua

::/0

TOLAK

Menolak semua lalu lintas IPv6 masuk yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

Ke luar
Aturan # Tipe Protokol Rentang Port Tujuan Izinkan/Tolak Comments

100

HTTP

TCP

80

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas HTTP IPv4 keluar dari subnet ke internet.

105

HTTP

TCP

80

::/0

IZINKAN

Mengizinkan lalu lintas HTTP IPv6 keluar dari subnet ke internet.

110

HTTPS

TCP

443

0.0.0.0/0

IZINKAN

Mengizinkan lalu lintas HTTPS IPv4 keluar dari subnet ke internet.

115

HTTPS

TCP

443

::/0

IZINKAN

Mengizinkan lalu lintas HTTPS IPv6 keluar dari subnet ke internet.

140

Custom TCP

TCP

32768-65535

0.0.0.0/0

IZINKAN

Mengizinkan respon jalur keluar IPv4 untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini hanya contoh. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat Ephemeral port.

145

TCP Kustom

TCP

32768-65535

::/0

IZINKAN

Mengizinkan respon IPv6 keluar untuk klien di internet (misalnya, melayani halaman web untuk orang-orang yang mengunjungi server web di subnet).

Rentang ini hanya contoh. Untuk informasi lebih lanjut tentang cara memilih rentang ephemeral port yang sesuai, lihat Ephemeral port.

*

All traffic

Semua

Semua

0.0.0.0/0

MENOLAK

Menolak semua lalu lintas IPv4 keluar belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

*

Semua lalu lintas

Semua

Semua

::/0

TOLAK

Menolak semua lalu lintas IPv6 keluar yang belum ditangani oleh aturan sebelumnya (tidak dapat diubah).

Untuk contoh lainnya, lihat Aturan yang disarankan untuk skenario VPC.

ACL jaringan kustom dan layanan AWS lainnya

Jika Anda membuat ACL jaringan kustom, harap diketahui bagaimana hal itu mungkin mempengaruhi sumber daya yang Anda buat menggunakan layanan AWS.

Dengan Elastic Load Balancing, jika subnet untuk instans backend Anda memiliki ACL jaringan di mana Anda telah menambahkan aturan Tolak untuk semua lalu lintas dengan sumber 0.0.0.0/0 atau CIDR subnet, penyeimbang beban Anda tidak dapat melakukan pemeriksaan kondisi pada instans. Untuk informasi lebih lanjut tentang aturan ACL jaringan yang disarankan untuk penyeimbang beban dan instans backend Anda, lihat ACL rangkaian untuk penyeimbang beban dalam VPC di Panduan Pengguna untuk Classic Load Balancer.

Ephemeral port

Contoh ACL jaringan di bagian sebelumnya menggunakan rentang ephemeral port 32768-65535. Namun, Anda mungkin ingin menggunakan rentang yang berbeda untuk ACL jaringan Anda tergantung pada jenis klien yang Anda gunakan atau yang berkomunikasi dengan Anda.

Klien yang menginisiasi permintaan memilih rentang ephemeral port. Rentang bervariasi tergantung pada sistem operasi klien.

  • Banyak kernel Linux (termasuk kernel Amazon Linux) menggunakan port 32768-61000.

  • Permintaan yang berasal dari Elastic Load Balancing menggunakan port 1024-65535.

  • Sistem operasi Windows melalui Windows Server 2003 menggunakan port 1025-5000.

  • Windows Server 2008 dan versi yang lebih baru menggunakan port 49152-65535.

  • Gateway NAT menggunakan port 1024-65535.

  • Fungsi AWS Lambda menggunakan port 1024-65535.

Sebagai contoh, jika permintaan datang ke server web di VPC Anda dari klien Windows 10 di internet, ACL jaringan Anda harus memiliki aturan keluar untuk mengaktifkan lalu lintas yang ditujukan untuk port 49152-65535.

Jika instans dalam VPC klien menginisiasi permintaan, ACL jaringan Anda harus memiliki aturan masuk untuk mengaktifkan lalu lintas yang ditujukan untuk ephemeral port khusus untuk jenis instans ini (Amazon Linux, Windows Server 2008, dan sebagainya).

Dalam prakteknya, untuk mencakup berbagai jenis klien yang mungkin menginisiasi lalu lintas untuk ke instans yang menghadap publik di VPC Anda, Anda dapat membuka ephemeral port 1024-65535. Namun, Anda juga dapat menambahkan aturan ke ACL untuk menolak lalu lintas pada setiap port yang berbahaya dalam rentang tersebut. Pastikan bahwa Anda menempatkan aturan Tolak sebelumnya dalam tabel daripada aturan Izinkan yang membuka berbagai macam ephemeral port.

Path MTU Discovery

Path MTU Discovery digunakan untuk menentukan jalur MTU antara dua perangkat. Jalur MTU adalah ukuran paket maksimum yang didukung pada jalur antara host asal dan host penerima.

Untuk IPv4, jika suatu host mengirimkan paket yang lebih besar daripada MTU host penerima atau yang lebih besar daripada MTU perangkat di sepanjang jalur, host atau perangkat penerima menjatuhkan paket, lalu mengembalikan pesan ICMP berikut:Destination Unreachable: Fragmentation Needed and Don't Fragment was Set (Tipe 3, Kode 4). Ini menginstruksikan host transmisi untuk membagi muatan menjadi beberapa paket yang lebih kecil, dan kemudian mentrasmisikannya kembali.

Protokol IPv6 tidak mendukung fragmentasi dalam jaringan. Jika suatu host mengirimkan paket yang lebih besar daripada MTU host penerima atau yang lebih besar daripada MTU perangkat di sepanjang jalur, host atau perangkat penerima menjatuhkan paket, lalu mengembalikan pesan ICMP berikut:ICMPv6 Packet Too Big (PTB) (Tipe 2). Ini menginstruksikan host transmisi untuk membagi muatan menjadi beberapa paket yang lebih kecil, dan kemudian mentrasmisikannya kembali.

Jika unit transmisi maksimum (MTU) antar host di subnet Anda berbeda, atau instans Anda berkomunikasi dengan rekan-rekan melalui internet, Anda harus menambahkan aturan ACL jaringan berikut, baik masuk maupun keluar. Hal ini memastikan bahwa Path MTU Discovery dapat berfungsi dengan benar dan mencegah kehilangan paket. Pilih Aturan ICMP Kustom untuk jenis tersebut dan Tujuan yang Tidak Dapat Dihubungi, fragmentasi yang diperlukan, dan bendera DF yang ditetapkan untuk rentang port tersebut (tipe 3, kode 4). Jika Anda menggunakan traceroute, tambahkan juga aturan berikut: pilih Aturan ICMP Kustom untuk jenis ini dan Waktu Terlampaui, Transit kedaluwarsa TTL untuk rentang port ini (tipe 11, kode 0). Untuk informasi selengkapnya, lihat Maximum Transmission Unit (MTU) Jaringan untuk Instans EC2 di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Bekerja dengan ACL jaringan

Tugas-tugas berikut menunjukkan kepada Anda tentang cara bekerja dengan ACL jaringan menggunakan konsol Amazon VPC.

Menentukan pengaitan ACL jaringan

Anda dapat menggunakan konsol Amazon VPC untuk menentukan ACL jaringan yang terkait dengan subnet. ACL jaringan dapat dikaitkan dengan lebih dari satu subnet, sehingga Anda juga dapat menentukan subnet yang terkait dengan ACL jaringan.

Untuk menentukan ACL jaringan mana yang dikaitkan dengan subnet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet, lalu pilih subnet.

    ACL jaringan yang terkait dengan subnet dicantumkan dalam tab ACL Jaringan, bersama dengan aturan ACL jaringan.

Untuk menentukan subnet mana yang dikaitkan dengan ACL jaringan

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih ACL Jaringan. Kolom Dikaitkan Dengan menunjukkan jumlah subnet terkait untuk setiap ACL jaringan.

  3. Pilih ACL jaringan.

  4. Di panel rincian, pilih Pengaitan Subnet untuk menampilkan subnet yang terkait dengan ACL jaringan.

Membuat ACL jaringan

Anda dapat membuat ACL jaringan kustom untuk VPC Anda. Secara default, ACL jaringan yang Anda buat memblokir semua lalu lintas masuk dan keluar sampai Anda menambahkan aturan, dan tidak terkait dengan subnet sampai Anda secara eksplisit mengaitkannya dengan satu subnet.

Untuk membuat ACL jaringan

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih ACL Jaringan.

  3. Pilih Buat ACL Jaringan.

  4. Di kotak dialog Buat ACL Jaringan, Anda dapat memberi nama ACL jaringan Anda, dan memilih ID VPC Anda dari daftar VPC. Kemudian, pilih Ya, Buat.

Menambah dan menghapus aturan

Ketika Anda menambahkan atau menghapus aturan dari ACL, subnet yang terkait dengan ACL tunduk pada perubahan tersebut. Anda tidak harus mengakhiri dan meluncurkan kembali instans di subnet. Perubahan berlaku setelah beberapa saat.

penting

Berhati-hatilah jika Anda menambahkan dan menghapus aturan secara bersamaan. Aturan ACL jaringan menentukan jenis lalu lintas jaringan mana yang dapat masuk atau keluar dari VPC Anda. Jika Anda menghapus aturan masuk atau keluar dan kemudian menambahkan entri baru lebih dari yang diizinkan di Kuota Amazon VPC, entri yang dipilih untuk dihapus akan dihapus dan entri baru tidak akan ditambahkan. Hal ini dapat menyebabkan masalah konektivitas yang tidak terduga dan secara tidak sengaja mencegah akses ke dan dari VPC Anda.

Jika Anda menggunakan API Amazon EC2 atau alat baris perintah, Anda tidak dapat mengubah aturan. Anda hanya dapat menambahkan dan menghapus aturan. Jika Anda menggunakan konsol Amazon VPC, Anda dapat mengubah entri untuk aturan yang ada. Konsol tersebut menghapus aturan yang ada dan menambahkan aturan baru untuk Anda. Jika Anda perlu mengubah urutan aturan di ACL, Anda harus menambahkan aturan baru dengan nomor aturan baru, dan kemudian menghapus aturan semula.

Untuk menambahkan aturan ke ACL jaringan

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih ACL Jaringan.

  3. Di panel rincian, pilih tab Aturan Masuk atau Aturan Keluar, tergantung pada jenis aturan yang Anda perlu tambahkan, dan kemudian pilih Edit.

  4. Di Aturan #, masukkan nomor aturan (misalnya, 100). Nomor aturan tidak boleh yang sudah digunakan dalam ACL jaringan. Kami memproses aturan secara berurutan, dimulai dengan angka terendah.

    Kami sarankan Anda membiarkan adanya selisih lebar di antara nomor aturan (seperti 100, 200, 300), daripada menggunakan nomor berurutan (101, 102, 103). Hal ini memudahkan penambahan aturan baru tanpa harus mengatur ulang nomor aturan yang ada.

  5. Pilih aturan dari daftar Jenis. Misalnya, untuk menambahkan aturan untuk HTTP, pilih HTTP. Untuk menambahkan aturan untuk mengizinkan semua lalu lintas TCP, pilih Semua TCP. Untuk beberapa opsi ini (misalnya, HTTP), kami mengisikan port untuk Anda. Untuk menggunakan protokol yang tidak terdaftar, pilih Aturan Protokol Kustom.

  6. (Opsional) Jika Anda membuat aturan protokol kustom, pilih nomor dan nama protokol dari daftar Protokol. Untuk informasi selengkapnya, lihat Daftar Nomor Protokol IANA.

  7. (Opsional) Jika protokol yang Anda pilih memerlukan nomor port, masukkan nomor port atau rentang port yang dipisahkan oleh tanda hubung (misalnya, 49152-65535).

  8. Di bidang Sumber atau Tujuan (tergantung pada apakah ini adalah aturan masuk atau keluar), masukkan rentang CIDR yang terhadapnya berlaku aturan tersebut.

  9. Dari daftar Izinkan/Tolak, pilih IZINKAN untuk mengizinkan lalu lintas yang ditentukan atau TOLAK untuk menolak lalu lintas yang ditentukan.

  10. (Opsional) Untuk menambahkan aturan lain, pilih Tambahkan aturan lain, dan ulangi langkah 4 sampai 9 sesuai kebutuhan.

  11. Jika Anda sudah selesai, pilih Simpan.

Untuk menghapus aturan dari ACL jaringan

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.

  3. Di panel rincian, pilih tab Aturan Masuk atau Aturan Keluar, kemudian pilih Edit. Pilih Hapus untuk aturan yang ingin Anda hapus, kemudian pilih Simpan.

Mengaitkan subnet dengan ACL jaringan

Untuk menerapkan aturan ACL jaringan untuk subnet tertentu, Anda harus mengaitkan subnet tersebut dengan ACL jaringan. Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, suatu subnet dapat dikaitkan dengan hanya satu ACL jaringan. Setiap subnet yang tidak terkait dengan ACL tertentu dikaitkan dengan ACL jaringan default secara default.

Untuk mengaitkan subnet dengan ACL jaringan

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.

  3. Di panel rincian, pada tab Pengaitan Subnet, pilih Edit. Pilih kotak centang Pengaitan untuk mengaitkan subnet dengan ACL jaringan, dan kemudian pilih Simpan.

Melepaskan ACL jaringan dari subnet

Anda dapat melepaskan ACL jaringan dari subnet. Ketika subnet telah dilepaskan dari ACL jaringan kustom, maka subnet akan secara otomatis terkait dengan ACL jaringan default.

Untuk melepaskan subnet dari ACL jaringan

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.

  3. Di panel rincian, pilih tab Pengaitan Subnet.

  4. Pilih Edit, kemudian batalkan pilihan kotak centang Pengaitan untuk subnet tersebut. Pilih Save (Simpan).

Mengubah ACL jaringan subnet

Anda dapat mengubah ACL jaringan yang terkait dengan suatu subnet. Misalnya, ketika Anda membuat suatu subnet, awalnya subnet tersebut dikaitkan dengan ACL jaringan default. Anda mungkin ingin mengaitkannya dengan ACL jaringan kustom yang telah Anda buat.

Setelah mengubah ACL jaringan subnet, Anda tidak harus mengakhiri dan meluncurkan kembali instans di subnet tersebut. Perubahan berlaku setelah beberapa saat.

Untuk mengubah pengaitan ACL jaringan subnet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Subnet, lalu pilih subnet.

  3. Pilih tab ACL Jaringan, lalu pilih Edit.

  4. Dari daftar Ubah ke, pilih ACL jaringan yang akan dikaitkan dengan subnet tersebut, dan kemudian pilih Simpan.

Menghapus ACL jaringan

Anda dapat menghapus ACL jaringan hanya jika tidak ada subnet yang terkait dengannya. Anda tidak dapat menghapus ACL jaringan default.

Untuk menghapus ACL jaringan

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih ACL Jaringan.

  3. Pilih ACL jaringan, lalu pilih Hapus.

  4. Di kotak dialog konfirmasi, pilih Ya, Hapus.

gambaran umum API dan perintah

Anda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untuk informasi selengkapnya tentang antarmuka baris perintah dan daftar API yang tersedia, lihat Bekerja dengan Amazon VPC.

Membuat ACL jaringan untuk VPC anda

Menjelaskan satu atau beberapa ACL jaringan Anda

Menambahkan aturan ke ACL jaringan

Menghapus aturan dari ACL jaringan

Mengganti aturan yang ada di ACL jaringan

Mengganti pengaitan ACL jaringan

Menghapus ACL jaringan

Contoh: Kontrol akses ke instans dalam subnet

Dalam contoh ini, instans di subnet Anda dapat berkomunikasi satu sama lain, dan dapat diakses dari komputer jarak jauh yang terpercaya. Komputer jarak jauh tersebut mungkin berupa komputer di jaringan lokal Anda atau instans di subnet atau VPC yang berbeda. Anda menggunakannya untuk terhubung ke instans Anda untuk melakukan tugas-tugas administratif. Aturan grup keamanan dan aturan ACL jaringan Anda mengizinkan akses dari alamat IP komputer jarak jauh Anda (172.31.1.2/32). Semua lalu lintas lain dari internet atau jaringan lain ditolak. Skenario ini memberi Anda fleksibilitas untuk mengubah grup keamanan atau aturan grup keamanan untuk instans Anda, dan membuat ACL jaringan sebagai lapisan backup untuk pertahanan.


          Menggunakan grup keamanan dan NACL

Berikut ini adalah contoh grup keamanan yang terkait dengan instans. Grup keamanan bersifat stateful. Oleh karena itu Anda tidak memerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.

Ke dalam
Jenis protokol Protokol Rentang Port Sumber Comments
All traffic All All sg-1234567890abcdef0 All instances associated with this security group can communicate with each other.
SSH TCP 22 172.31.1.2/32 Allows inbound SSH access from the remote computer.
Ke luar
Jenis protokol Protokol Rentang Port Tujuan Comments
All traffic All All sg-1234567890abcdef0 All instances associated with this security group can communicate with each other.

Berikut ini adalah contoh ACL jaringan untuk mengaitkan dengan subnet untuk instans. Aturan ACL jaringan berlaku untuk semua instans di subnet. ACL jaringan bersifat stateless. Oleh karena itu, Anda memerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.

Ke dalam
Aturan # Tipe Protokol Rentang Port Sumber Izinkan/Tolak Comments
100 SSH TCP 22 172.31.1.2/32 ALLOW Allows inbound traffic from the remote computer.
* All traffic All All 0.0.0.0/0 DENY Denies all other inbound traffic.
Ke luar
Aturan # Tipe Protokol Rentang Port Tujuan Izinkan/Tolak Comments
100 Custom TCP TCP 1024-65535 172.31.1.2/32 ALLOW Allows outbound responses to the remote computer.
* All traffic All All 0.0.0.0/0 DENY Denies all other outbound traffic.

Jika Anda secara tidak sengaja membuat aturan grup keamanan Anda terlalu permisif, ACL jaringan dalam hal ini terus mengizinkan akses hanya dari alamat IP yang ditentukan. Sebagai contoh, grup keamanan berikut berisi aturan yang mengizinkan akses SSH masuk dari alamat IP mana pun. Namun, jika Anda mengaitkan grup keamanan ini dengan instans di subnet yang menggunakan ACL jaringan, hanya instans lain dalam subnet dan komputer jarak jauh Anda yang dapat mengakses instans ini, karena aturan ACL jaringan menolak lalu lintas masuk lain ke subnet tersebut.

Ke dalam
Tipe Protokol Rentang Port Sumber Comments
All traffic All All sg-1234567890abcdef0 All instances associated with this security group can communicate with each other.
SSH TCP 22 0.0.0.0/0 Allows SSH access from any IP address.
Ke luar
Tipe Protokol Rentang Port Tujuan Comments
All traffic All All 0.0.0.0/0 Allows all outbound traffic.

Anda dapat mengikuti proses diSkenariountuk mengimplementasikan skenario umum untuk Amazon VPC. Setiap skenario di bagian tersebut mencakup aturan ACL jaringan yang direkomendasikan. Jika Anda menerapkan skenario ini seperti yang dijelaskan di dokumentasi, Anda menggunakan daftar kontrol akses (ACL) jaringan default yang mengizinkan semua lalu lintas masuk dan keluar. Jika Anda membutuhkan lapisan keamanan tambahan, Anda dapat membuat ACL jaringan dan menambahkan aturan.