Kontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan - Amazon Virtual Private Cloud
Dasar-dasar grup keamananContoh grup keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan

Grup keamanan mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan sumber daya yang terkait dengannya. Misalnya, setelah Anda mengaitkan grup keamanan dengan instans EC2, grup ini mengontrol lalu lintas masuk dan keluar untuk instans tersebut.

Saat Anda membuat VPC, VPC dilengkapi dengan grup keamanan default. Anda dapat membuat grup keamanan tambahan untuk VPC, masing-masing dengan aturan masuk dan keluar mereka sendiri. Anda dapat menentukan sumber, rentang port, dan protokol untuk setiap aturan masuk. Anda dapat menentukan tujuan, rentang port, dan protokol untuk setiap aturan keluar.

Diagram berikut menunjukkan VPC dengan subnet, gateway internet, dan grup keamanan. Subnet berisi instance EC2. Grup keamanan ditugaskan ke instance. Grup keamanan bertindak sebagai firewall virtual. Satu-satunya lalu lintas yang mencapai instance adalah lalu lintas yang diizinkan oleh aturan grup keamanan. Misalnya, jika grup keamanan berisi aturan yang memungkinkan lalu lintas ICMP ke instance dari jaringan Anda, maka Anda dapat melakukan ping instance dari komputer Anda. Jika grup keamanan tidak berisi aturan yang memungkinkan lalu lintas SSH, maka Anda tidak dapat terhubung ke instance Anda menggunakan SSH.

VPC dengan grup keamanan. Instans EC2 di subnet dikaitkan dengan grup keamanan.
Daftar Isi
Harga

Tidak ada biaya tambahan untuk menggunakan grup keamanan.

Dasar-dasar grup keamanan

  • Anda dapat menetapkan grup keamanan hanya untuk sumber daya yang dibuat di VPC yang sama dengan grup keamanan. Anda dapat menetapkan beberapa grup keamanan ke sumber daya.

  • Saat Anda membuat grup keamanan, Anda harus memberi nama dan deskripsi untuknya. Aturan-aturan berikut berlaku:

    • Nama grup keamanan harus unik di VPC.

    • Nama dan deskripsi dapat memiliki panjang hingga 255 karakter.

    • Nama dan deskripsi terbatas pada karakter berikut: a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=&;{}!$*.

    • Ketika nama berisi spasi tambahan, kami memangkas spasi di akhir nama. Sebagai contoh, jika Anda memasukkan "Grup Keamanan Pengujian " sebagai namanya, maka kami menyimpannya sebagai "Grup Keamanan Pengujian".

    • Nama grup keamanan tidak dapat dimulai dengan sg-.

  • Grup keamanan bersifat stateful. Misalnya, jika Anda mengirim permintaan dari instans, lalu lintas respons untuk permintaan tersebut diizinkan untuk mencapai instance terlepas dari aturan grup keamanan masuk. Tanggapan terhadap lalu lintas masuk yang diizinkan diizinkan untuk meninggalkan instance, terlepas dari aturan keluar.

  • Grup keamanan tidak memfilter lalu lintas yang ditujukan ke dan dari yang berikut ini:

    • Layanan Nama Domain Amazon (DNS)

    • Protokol Konfigurasi Host Dinamis (DHCP)

    • Metadata instans Amazon EC2

    • Titik akhir metadata tugas Amazon ECS

    • Aktivasi lisensi untuk instance Windows

    • Layanan Amazon Time Sync

    • Alamat IP yang dicadangkan yang digunakan oleh router VPC default

  • Ada kuota jumlah grup keamanan yang dapat Anda buat per VPC, jumlah aturan yang dapat Anda tambahkan ke setiap grup keamanan, dan jumlah grup keamanan yang dapat Anda kaitkan dengan antarmuka jaringan. Untuk informasi selengkapnya, lihat Kuota Amazon VPC.

Praktik terbaik

  • Otorisasi hanya prinsipal IAM tertentu untuk membuat dan memodifikasi grup keamanan.

  • Buat jumlah minimum grup keamanan yang Anda butuhkan, untuk mengurangi risiko kesalahan. Gunakan setiap grup keamanan untuk mengelola akses ke sumber daya yang memiliki fungsi dan persyaratan keamanan yang serupa.

  • Saat Anda menambahkan aturan masuk untuk port 22 (SSH) atau 3389 (RDP) sehingga Anda dapat mengakses instans EC2 Anda, otorisasi hanya rentang alamat IP tertentu. Jika Anda menentukan 0.0.0.0/0 (IPv4) dan: :/ (IPv6), ini memungkinkan siapa pun untuk mengakses instance Anda dari alamat IP apa pun menggunakan protokol yang ditentukan.

  • Jangan membuka rentang port yang besar. Pastikan akses melalui setiap port dibatasi pada sumber atau tujuan yang membutuhkannya.

  • Pertimbangkan untuk membuat ACL jaringan dengan aturan yang mirip dengan grup keamanan Anda, untuk menambahkan lapisan keamanan tambahan ke VPC Anda. Untuk informasi lebih lanjut tentang perbedaan antara grup keamanan dan ACL jaringan, lihat Membandingkan grup keamanan dan ACL jaringan.

Contoh grup keamanan

Diagram berikut menunjukkan VPC dengan dua kelompok keamanan dan dua subnet. Instans di subnet A memiliki persyaratan konektivitas yang sama, sehingga terkait dengan grup keamanan 1. Instans di subnet B memiliki persyaratan konektivitas yang sama, sehingga terkait dengan grup keamanan 2. Aturan grup keamanan mengizinkan lalu lintas sebagai berikut:

  • Aturan masuk pertama dalam grup keamanan 1 memungkinkan lalu lintas SSH ke instance di subnet A dari rentang alamat yang ditentukan (misalnya, rentang di jaringan Anda sendiri).

  • Aturan inbound kedua dalam grup keamanan 1 memungkinkan instance di subnet A untuk berkomunikasi satu sama lain menggunakan protokol dan port apa pun.

  • Aturan inbound pertama dalam kelompok keamanan 2 memungkinkan instance di subnet B untuk berkomunikasi satu sama lain menggunakan protokol dan port apa pun.

  • Aturan inbound kedua dalam grup keamanan 2 memungkinkan instance di subnet A untuk berkomunikasi dengan instance di subnet B menggunakan SSH.

  • Kedua grup keamanan menggunakan aturan keluar default, yang memungkinkan semua lalu lintas.

VPC dengan dua grup keamanan dan server dalam dua subnet. Server di subnet A dikaitkan dengan grup keamanan 1. Server di subnet B dikaitkan dengan grup keamanan 2.