Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan kelompok keamanan
Anda dapat menggunakan kebijakan grup AWS Firewall Manager keamanan untuk mengelola grup keamanan Amazon Virtual Private Cloud untuk organisasi AndaAWS Organizations. Anda dapat menerapkan kebijakan grup keamanan yang dikontrol secara terpusat ke seluruh organisasi Anda atau ke subset tertentu dari akun dan sumber daya Anda. Anda juga dapat memantau dan mengelola kebijakan grup keamanan yang digunakan di organisasi Anda, dengan kebijakan grup keamanan audit dan penggunaan.
Firewall Manager terus mempertahankan kebijakan Anda dan menerapkannya ke akun dan sumber daya saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk selengkapnyaAWS Organizations, lihat Panduan AWS Organizations Pengguna. Untuk informasi tentang grup keamanan Amazon Virtual Private Cloud, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.
Anda dapat menggunakan kebijakan grup keamanan Firewall Manager untuk melakukan hal berikut di seluruh AWS organisasi Anda:
-
Terapkan grup keamanan umum ke akun dan sumber daya tertentu.
-
Audit aturan kelompok keamanan, untuk menemukan dan memulihkan aturan yang tidak patuh.
-
Audit penggunaan kelompok keamanan, untuk membersihkan kelompok keamanan yang tidak terpakai dan berlebihan.
Bagian ini mencakup cara kerja kebijakan grup keamanan Firewall Manager dan memberikan panduan untuk menggunakannya. Untuk prosedur untuk membuat kebijakan grup keamanan, lihatMembuat AWS Firewall Manager kebijakan.
Kebijakan kelompok keamanan umum
Dengan kebijakan grup keamanan umum, Firewall Manager menyediakan asosiasi grup keamanan yang dikontrol secara terpusat ke akun dan sumber daya di seluruh organisasi Anda. Anda menentukan di mana dan bagaimana menerapkan kebijakan di organisasi Anda.
Anda dapat menerapkan kebijakan grup keamanan umum ke jenis sumber daya berikut:
-
Contoh Amazon Elastic Compute Cloud (Amazon EC2)
-
Antarmuka Jaringan Elastis
-
Application Load Balancer
-
Classic Load Balancer
Untuk panduan cara membuat kebijakan grup keamanan umum menggunakan konsol, lihatMembuat kebijakan grup keamanan umum.
VPC bersama
Dalam pengaturan cakupan kebijakan untuk kebijakan grup keamanan umum, Anda dapat memilih untuk menyertakan VPC bersama. Pilihan ini mencakup VPC yang dimiliki oleh akun lain dan dibagikan dengan akun dalam lingkup. VPC yang memiliki akun dalam lingkup selalu disertakan. Untuk informasi tentang VPC bersama, lihat Bekerja dengan VPC bersama di Panduan Pengguna Amazon VPC.
Peringatan berikut berlaku untuk menyertakan VPC bersama. Ini adalah tambahan dari peringatan umum untuk kebijakan kelompok keamanan diBatasan kebijakan grup keamanan.
-
Firewall Manager mereplikasi grup keamanan utama ke dalam VPC untuk setiap akun dalam lingkup. Untuk VPC bersama, Firewall Manager mereplikasi grup keamanan utama satu kali untuk setiap akun dalam lingkup tempat VPC dibagikan. Ini dapat menghasilkan beberapa replika dalam satu VPC bersama.
-
Saat membuat VPC bersama baru, Anda tidak akan melihatnya terwakili dalam detail kebijakan grup keamanan Firewall Manager hingga setelah Anda membuat setidaknya satu sumber daya di VPC yang berada dalam cakupan kebijakan.
-
Saat Anda menonaktifkan VPC bersama dalam kebijakan yang mengaktifkan VPC bersama, di VPC bersama, Firewall Manager menghapus grup keamanan replika yang tidak terkait dengan sumber daya apa pun. Firewall Manager meninggalkan grup keamanan replika yang tersisa di tempatnya, tetapi berhenti mengelolanya. Penghapusan grup keamanan yang tersisa ini memerlukan manajemen manual di setiap instance VPC bersama.
Kelompok keamanan utama
Untuk setiap kebijakan grup keamanan umum, Anda AWS Firewall Manager menyediakan satu atau beberapa grup keamanan utama:
-
Grup keamanan utama harus dibuat oleh akun administrator Firewall Manager dan dapat berada di instans VPC Amazon apa pun di akun.
-
Anda mengelola grup keamanan utama melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.
-
Anda dapat memberi nama satu atau beberapa grup keamanan sebagai pendahuluan untuk kebijakan grup keamanan Firewall Manager. Secara default, jumlah grup keamanan yang diizinkan dalam kebijakan adalah satu, tetapi Anda dapat mengirimkan permintaan untuk meningkatkannya. Untuk informasi, lihat Kuota AWS Firewall Manager.
Pengaturan aturan kebijakan
Anda dapat memilih satu atau beberapa perilaku kontrol perubahan berikut untuk grup keamanan dan sumber daya kebijakan grup keamanan umum Anda:
-
Identifikasi dan laporkan setiap perubahan yang dibuat oleh pengguna lokal ke grup keamanan replika.
-
Putuskan hubungan kelompok keamanan lain dari AWS sumber daya yang berada dalam lingkup kebijakan.
-
Mendistribusikan tag dari grup utama ke grup keamanan replika.
penting
Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan oleh AWS layanan ke dalam grup keamanan replika. Tag sistem dimulai dengan
aws:
awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan tersebut memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat Kebijakan tag di Panduan AWS Organizations Pengguna. -
Mendistribusikan referensi grup keamanan dari grup utama ke grup keamanan replika.
Ini memungkinkan Anda untuk dengan mudah membuat aturan referensi grup keamanan umum di semua sumber daya dalam lingkup ke instance yang terkait dengan VPC grup keamanan yang ditentukan. Saat Anda mengaktifkan opsi ini, Firewall Manager hanya mengajukan referensi grup keamanan jika grup keamanan mereferensikan grup keamanan rekan di Amazon Virtual Private Cloud. Jika grup keamanan replika tidak mereferensikan grup keamanan sejawat dengan benar, Firewall Manager menandai grup keamanan yang direplikasi ini sebagai tidak sesuai. Untuk informasi tentang cara mereferensikan grup keamanan rekan di Amazon VPC, lihat Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan Pengguna Amazon VPC.
Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak mengajukan referensi grup keamanan ke grup keamanan replika. Untuk informasi tentang peering VPC di Amazon VPC, lihat Bekerja dengan koneksi peering VPC di Panduan Pengguna Amazon VPC.
Pembuatan dan manajemen kebijakan
Saat Anda membuat kebijakan grup keamanan umum, Firewall Manager mereplikasi grup keamanan utama ke setiap instans Amazon VPC dalam cakupan kebijakan, dan mengaitkan grup keamanan yang direplikasi ke akun dan sumber daya yang berada dalam cakupan kebijakan. Saat Anda memodifikasi grup keamanan utama, Firewall Manager menyebarkan perubahan ke replika.
Saat menghapus kebijakan grup keamanan umum, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan tersebut. Untuk grup keamanan umum Firewall Manager, sumber daya ini adalah grup keamanan replika. Pilih opsi pembersihan kecuali Anda ingin mengelola setiap replika secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana.
Bagaimana replika dikelola
Grup keamanan replika dalam instans VPC Amazon dikelola seperti grup keamanan Amazon VPC lainnya. Untuk selengkapnya, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.
Kebijakan grup keamanan audit konten
Gunakan kebijakan grup keamanan audit AWS Firewall Manager konten untuk mengaudit dan menerapkan tindakan kebijakan pada aturan yang digunakan dalam grup keamanan organisasi Anda. Kebijakan grup keamanan audit konten berlaku untuk semua grup keamanan yang dibuat pelanggan yang digunakan di AWS organisasi Anda, sesuai dengan cakupan yang Anda tetapkan dalam kebijakan.
Untuk panduan cara membuat kebijakan grup keamanan audit konten menggunakan konsol, lihatMembuat kebijakan grup keamanan audit konten.
Jenis sumber daya lingkup kebijakan
Anda dapat menerapkan kebijakan grup keamanan audit konten ke jenis sumber daya berikut:
-
Contoh Amazon Elastic Compute Cloud (Amazon EC2)
-
Antarmuka Jaringan Elastis
-
Grup keamanan Amazon VPC
Kelompok keamanan dipertimbangkan dalam lingkup kebijakan jika mereka secara eksplisit berada dalam ruang lingkup atau jika mereka terkait dengan sumber daya yang berada dalam ruang lingkup.
Opsi aturan kebijakan
Anda dapat menggunakan aturan kebijakan terkelola atau aturan kebijakan khusus untuk setiap kebijakan audit konten, tetapi tidak keduanya.
-
Aturan kebijakan terkelola — Dalam kebijakan dengan aturan terkelola, Anda dapat menggunakan daftar aplikasi dan protokol untuk mengontrol aturan mana yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak patuh. Anda dapat menggunakan daftar yang dikelola oleh Firewall Manager. Anda juga dapat membuat dan menggunakan daftar aplikasi dan protokol Anda sendiri. Untuk informasi tentang jenis daftar ini dan opsi manajemen Anda untuk daftar kustom, lihatDaftar terkelola.
-
Aturan kebijakan khusus — Dalam kebijakan dengan aturan kebijakan khusus, Anda menentukan grup keamanan yang ada sebagai grup keamanan audit untuk kebijakan Anda. Anda dapat menggunakan aturan grup keamanan audit sebagai templat yang mendefinisikan aturan yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak sesuai.
Audit kelompok keamanan
Anda harus membuat grup keamanan audit menggunakan akun administrator Firewall Manager Anda, sebelum Anda dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.
Grup keamanan yang Anda gunakan untuk kebijakan grup keamanan audit konten digunakan oleh Firewall Manager hanya sebagai referensi perbandingan untuk grup keamanan yang berada dalam cakupan kebijakan. Firewall Manager tidak mengaitkannya dengan sumber daya apa pun di organisasi Anda.
Cara Anda menentukan aturan dalam grup keamanan audit bergantung pada pilihan Anda di setelan aturan kebijakan:
-
Aturan kebijakan terkelola — Untuk pengaturan aturan kebijakan terkelola, Anda menggunakan grup keamanan audit untuk mengganti setelan lain dalam kebijakan, untuk secara eksplisit mengizinkan atau menolak aturan yang mungkin memiliki hasil kepatuhan lainnya.
-
Jika Anda memilih untuk selalu mengizinkan aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditentukan dalam grup keamanan audit dianggap sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.
-
Jika Anda memilih untuk selalu menolak aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditetapkan dalam grup keamanan audit dianggap tidak sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.
-
-
Aturan kebijakan khusus — Untuk pengaturan aturan kebijakan khusus, grup keamanan audit memberikan contoh apa yang dapat diterima atau tidak dapat diterima dalam aturan grup keamanan dalam lingkup:
-
Jika Anda memilih untuk mengizinkan penggunaan aturan, semua grup keamanan dalam lingkup hanya boleh memiliki aturan yang berada dalam rentang yang diizinkan dari aturan grup keamanan audit kebijakan. Dalam hal ini, aturan kelompok keamanan kebijakan memberikan contoh tentang apa yang dapat diterima untuk dilakukan.
-
Jika Anda memilih untuk menolak penggunaan aturan, semua grup keamanan dalam ruang lingkup hanya boleh memiliki aturan yang tidak berada dalam rentang yang diizinkan dari aturan grup keamanan audit kebijakan. Dalam hal ini, kelompok keamanan kebijakan memberikan contoh tentang apa yang tidak dapat diterima untuk dilakukan.
-
Pembuatan dan manajemen kebijakan
Saat membuat kebijakan grup keamanan audit, remediasi otomatis harus dinonaktifkan. Praktik yang disarankan adalah meninjau efek pembuatan kebijakan sebelum mengaktifkan remediasi otomatis. Setelah meninjau efek yang diharapkan, Anda dapat mengedit kebijakan dan mengaktifkan remediasi otomatis. Ketika remediasi otomatis diaktifkan, Firewall Manager memperbarui atau menghapus aturan yang tidak sesuai dalam grup keamanan dalam lingkup.
Kelompok keamanan yang terpengaruh oleh kebijakan grup keamanan audit
Semua grup keamanan di organisasi Anda yang dibuat pelanggan memenuhi syarat untuk berada dalam cakupan kebijakan grup keamanan audit.
Grup keamanan replika tidak dibuat oleh pelanggan sehingga tidak memenuhi syarat untuk secara langsung berada dalam lingkup kebijakan grup keamanan audit. Namun, mereka dapat diperbarui sebagai hasil dari kegiatan remediasi otomatis kebijakan. Grup keamanan utama kebijakan grup keamanan umum dibuat oleh pelanggan dan dapat berada dalam lingkup kebijakan grup keamanan audit. Jika kebijakan grup keamanan audit membuat perubahan pada grup keamanan utama, Firewall Manager secara otomatis menyebarkan perubahan tersebut ke replika.
Penggunaan kebijakan grup keamanan audit
Gunakan kebijakan grup keamanan audit AWS Firewall Manager penggunaan untuk memantau organisasi Anda untuk grup keamanan yang tidak digunakan dan berlebihan dan secara opsional melakukan pembersihan. Bila Anda mengaktifkan remediasi otomatis untuk kebijakan ini, Firewall Manager melakukan hal berikut:
Mengkonsolidasikan grup keamanan yang berlebihan, jika Anda telah memilih opsi itu.
Menghapus grup keamanan yang tidak digunakan, jika Anda memilih opsi itu.
Anda dapat menerapkan kebijakan grup keamanan audit penggunaan ke jenis sumber daya berikut:
-
Grup keamanan Amazon VPC
Untuk panduan cara membuat kebijakan grup keamanan audit penggunaan menggunakan konsol, lihatMembuat kebijakan grup keamanan audit penggunaan.
Bagaimana Firewall Manager memulihkan grup keamanan yang berlebihan
Agar kelompok keamanan dianggap berlebihan, mereka harus memiliki aturan yang sama persis dan berada dalam instance VPC Amazon yang sama. Untuk memulihkan kumpulan grup keamanan yang berlebihan, Firewall Manager memilih salah satu grup keamanan dalam set yang akan disimpan, dan kemudian mengaitkannya ke semua sumber daya yang terkait dengan grup keamanan lain di set. Firewall Manager kemudian memisahkan grup keamanan lain dari sumber daya yang terkait dengannya, yang membuat mereka tidak digunakan.
catatan
Jika Anda juga memilih untuk menghapus grup keamanan yang tidak digunakan, Firewall Manager melakukannya selanjutnya. Hal ini dapat mengakibatkan penghapusan kelompok keamanan yang berada di set redundan.
Bagaimana Firewall Manager memulihkan grup keamanan yang tidak digunakan
Agar kelompok keamanan dianggap tidak digunakan, mereka harus tetap tidak digunakan oleh sumber daya apa pun selama jumlah menit minimum yang ditentukan dalam aturan kebijakan. Secara default, angka ini nol. Anda dapat menentukan sebanyak 525.600 menit (365 hari) untuk memberi Anda waktu untuk mengasosiasikan grup keamanan baru dengan sumber daya. Firewall Manager memulihkan grup keamanan yang tidak digunakan dengan menghapusnya dari akun Anda, sesuai dengan pengaturan aturan Anda.
penting
Jika Anda menentukan jumlah menit selain nol, yang merupakan nilai default, Anda harus mengaktifkan hubungan tidak langsung AWS Config agar kebijakan grup keamanan audit penggunaan Anda berfungsi sebagaimana dimaksud. Untuk informasi tentang hubungan tidak langsung diAWS Config, lihat Hubungan Tidak Langsung di AWS Config dalam Panduan AWS Config Pengembang.
Spesifikasi akun default
Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, Firewall Manager secara otomatis memilih Kecualikan akun yang ditentukan dan menyertakan semua akun lainnya. Layanan kemudian menempatkan akun administrator Firewall Manager dalam daftar untuk dikecualikan. Ini adalah pendekatan yang disarankan, dan memungkinkan Anda untuk secara manual mengelola grup keamanan milik akun administrator Firewall Manager.
Praktik terbaik untuk kebijakan grup keamanan
Bagian ini mencantumkan rekomendasi untuk mengelola grup keamanan menggunakanAWS Firewall Manager.
Kecualikan akun administrator Manajer Firewall
Saat Anda menetapkan cakupan kebijakan, kecualikan akun administrator Manajer Firewall. Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, ini adalah opsi default.
Mulailah dengan remediasi otomatis dinonaktifkan
Untuk kebijakan grup keamanan audit konten atau penggunaan, mulailah dengan remediasi otomatis dinonaktifkan. Tinjau informasi detail kebijakan untuk menentukan efek yang akan ditimbulkan oleh remediasi otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.
Hindari konflik jika Anda juga menggunakan sumber luar untuk mengelola grup keamanan
Jika Anda menggunakan alat atau layanan selain Firewall Manager untuk mengelola grup keamanan, berhati-hatilah untuk menghindari konflik antara pengaturan Anda di Firewall Manager dan pengaturan di sumber luar Anda. Jika Anda menggunakan remediasi otomatis dan konflik pengaturan, Anda dapat membuat siklus remediasi yang bertentangan yang menghabiskan sumber daya di kedua sisi.
Misalnya, Anda mengonfigurasi layanan lain untuk mempertahankan grup keamanan untuk sekumpulan AWS sumber daya, dan Anda mengonfigurasi kebijakan Firewall Manager untuk mempertahankan grup keamanan yang berbeda untuk beberapa atau semua sumber daya yang sama. Jika Anda mengonfigurasi kedua sisi untuk melarang grup keamanan lain dikaitkan dengan sumber daya dalam lingkup, pihak tersebut akan menghapus asosiasi grup keamanan yang dikelola oleh pihak lain. Jika kedua belah pihak dikonfigurasi dengan cara ini, Anda dapat berakhir dengan siklus disasosiasi dan asosiasi yang saling bertentangan.
Selain itu, katakan bahwa Anda membuat kebijakan audit Firewall Manager untuk menerapkan konfigurasi grup keamanan yang bertentangan dengan konfigurasi grup keamanan dari layanan lain. Remediasi yang diterapkan oleh kebijakan audit Firewall Manager dapat memperbarui atau menghapus grup keamanan tersebut, membuatnya tidak sesuai dengan layanan lainnya. Jika layanan lain dikonfigurasi untuk memantau dan secara otomatis memperbaiki masalah yang ditemukannya, itu akan membuat ulang atau memperbarui grup keamanan, membuatnya lagi tidak sesuai dengan kebijakan audit Manajer Firewall. Jika kebijakan audit Firewall Manager dikonfigurasi dengan remediasi otomatis, kebijakan tersebut akan memperbarui atau menghapus grup keamanan luar, dan seterusnya.
Untuk menghindari konflik seperti ini, buat konfigurasi yang saling eksklusif, antara Firewall Manager dan sumber luar mana pun.
Anda dapat menggunakan penandaan untuk mengecualikan grup keamanan luar dari remediasi otomatis berdasarkan kebijakan Firewall Manager Anda. Untuk melakukan ini, tambahkan satu atau beberapa tag ke grup keamanan atau sumber daya lain yang dikelola oleh sumber luar. Kemudian, ketika Anda menentukan cakupan kebijakan Firewall Manager, dalam spesifikasi sumber daya Anda, kecualikan sumber daya yang memiliki tag atau tag yang telah Anda tambahkan.
Demikian pula, di alat atau layanan luar Anda, kecualikan grup keamanan yang dikelola Manajer Firewall dari aktivitas manajemen atau audit apa pun. Jangan mengimpor sumber daya Firewall Manager atau gunakan penandaan khusus Manajer Firewall untuk mengecualikannya dari manajemen luar.
Batasan kebijakan grup keamanan
Bagian ini mencantumkan batasan untuk menggunakan kebijakan grup AWS Firewall Manager keamanan:
-
Memperbarui grup keamanan untuk antarmuka jaringan elastis Amazon EC2 yang dibuat menggunakan jenis layanan Fargate tidak didukung. Namun, Anda dapat memperbarui grup keamanan untuk antarmuka jaringan elastis Amazon ECS dengan jenis layanan Amazon EC2.
-
Firewall Manager tidak mendukung grup keamanan untuk antarmuka jaringan elastis Amazon EC2 yang dibuat oleh Amazon Relational Database Service.
-
Memperbarui antarmuka jaringan elastis Amazon ECS hanya dimungkinkan untuk layanan Amazon ECS yang menggunakan pengontrol penyebaran pembaruan bergulir (Amazon ECS). Untuk pengontrol penyebaran Amazon ECS lainnya seperti CODE_DEPLOY atau pengontrol eksternal, Firewall Manager saat ini tidak dapat memperbarui antarmuka jaringan elastis.
-
Dengan grup keamanan untuk antarmuka jaringan elastis Amazon EC2, perubahan pada grup keamanan tidak langsung terlihat oleh Firewall Manager. Firewall Manager biasanya mendeteksi perubahan dalam beberapa jam, tetapi deteksi dapat ditunda hingga enam jam.
-
Firewall Manager tidak mendukung pembaruan grup keamanan di antarmuka jaringan elastis untuk Network Load Balancer.
-
Firewall Manager tidak mendukung referensi grup keamanan dalam kebijakan grup keamanan umum.
-
Dalam kebijakan grup keamanan umum, jika VPC bersama kemudian tidak dibagikan dengan akun, Firewall Manager tidak akan menghapus grup keamanan replika di akun.
Kasus penggunaan kebijakan grup keamanan
Anda dapat menggunakan kebijakan grup keamanan AWS Firewall Manager umum untuk mengotomatiskan konfigurasi firewall host untuk komunikasi antara instans Amazon VPC. Bagian ini mencantumkan arsitektur VPC Amazon standar dan menjelaskan cara mengamankan masing-masing menggunakan kebijakan grup keamanan umum Firewall Manager. Kebijakan grup keamanan ini dapat membantu Anda menerapkan seperangkat aturan terpadu untuk memilih sumber daya di akun yang berbeda dan menghindari konfigurasi per akun di Amazon Elastic Compute Cloud dan Amazon VPC.
Dengan kebijakan grup keamanan umum Firewall Manager, Anda dapat menandai hanya antarmuka jaringan elastis EC2 yang Anda perlukan untuk komunikasi dengan instans di VPC Amazon lain. Contoh lain dalam VPC Amazon yang sama kemudian lebih aman dan terisolasi.
Kasus penggunaan: Memantau dan mengendalikan permintaan ke Application Load Balancers dan Classic Load Balancer
Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk menentukan permintaan penyeimbang beban dalam lingkup yang harus disajikan. Anda dapat mengonfigurasi ini melalui konsol Firewall Manager. Hanya permintaan yang mematuhi aturan masuk grup keamanan yang dapat mencapai penyeimbang beban Anda, dan penyeimbang beban hanya akan mendistribusikan permintaan yang memenuhi aturan keluar.
Kasus penggunaan: VPC Amazon publik yang dapat diakses Internet
Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk mengamankan VPC Amazon publik, misalnya, untuk mengizinkan hanya port masuk 443. Ini sama dengan hanya mengizinkan lalu lintas HTTPS masuk untuk VPC publik. Anda dapat menandai sumber daya publik dalam VPC (misalnya, sebagai “PublicVPC”), dan kemudian mengatur cakupan kebijakan Manajer Firewall ke hanya sumber daya dengan tag tersebut. Firewall Manager secara otomatis menerapkan kebijakan ke sumber daya tersebut.
Kasus penggunaan: Instans VPC Amazon Publik dan Pribadi
Anda dapat menggunakan kebijakan grup keamanan umum yang sama untuk sumber daya publik seperti yang direkomendasikan dalam kasus penggunaan sebelumnya untuk instans VPC Amazon publik yang dapat diakses internet. Anda dapat menggunakan kebijakan grup keamanan umum kedua untuk membatasi komunikasi antara sumber daya publik dan sumber daya pribadi. Tandai sumber daya di instans VPC Amazon publik dan pribadi dengan sesuatu seperti "PublicPrivate" untuk menerapkan kebijakan kedua kepada mereka. Anda dapat menggunakan kebijakan ketiga untuk menentukan komunikasi yang diizinkan antara sumber daya pribadi dan perusahaan lain atau instans VPC Amazon pribadi. Untuk kebijakan ini, Anda dapat menggunakan tag pengenal lain pada sumber daya pribadi.
Kasus penggunaan: Hub dan ucapkan instans VPC Amazon
Anda dapat menggunakan kebijakan grup keamanan umum untuk menentukan komunikasi antara instans VPC Amazon hub dan instance VPC Amazon yang berbicara. Anda dapat menggunakan kebijakan kedua untuk menentukan komunikasi dari setiap instance VPC Amazon yang berbicara ke hub instans VPC Amazon.
Kasus penggunaan: Antarmuka jaringan default untuk instans Amazon EC2
Anda dapat menggunakan kebijakan grup keamanan umum untuk hanya mengizinkan komunikasi standar, misalnya layanan pembaruan SSH dan Patch/OS internal, dan untuk melarang komunikasi tidak aman lainnya.
Kasus penggunaan: Identifikasi sumber daya dengan izin terbuka
Anda dapat menggunakan kebijakan grup keamanan audit untuk mengidentifikasi semua sumber daya dalam organisasi Anda yang memiliki izin untuk berkomunikasi dengan alamat IP publik atau yang memiliki alamat IP milik vendor pihak ketiga.