Kebijakan grup keamanan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Kebijakan grup keamanan umumKebijakan grup keamanan audit kontenKebijakan grup keamanan audit penggunaanPraktik terbaikBatasan kebijakan grup keamananKasus penggunaan kebijakan grup keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan grup keamanan

Anda dapat menggunakan kebijakan grupAWS Firewall Manager keamanan untuk mengelola grup keamanan Amazon Virtual Private Cloud untuk organisasi AndaAWS Organizations. Anda dapat menerapkan kebijakan grup keamanan yang dikontrol secara terpusat ke seluruh organisasi Anda atau ke subset tertentu dari akun dan sumber daya Anda. Anda juga dapat memantau dan mengelola kebijakan grup keamanan yang digunakan di organisasi Anda, dengan kebijakan grup keamanan audit dan penggunaan.

Firewall Manager terus mempertahankan kebijakan Anda dan menerapkannya ke akun dan sumber daya saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk selengkapnyaAWS Organizations, lihat PanduanAWS Organizations Pengguna. Untuk informasi tentang grup keamanan Amazon Virtual Private Cloud, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.

Anda dapat menggunakan kebijakan grup keamanan Firewall Manager untuk melakukan hal berikut di seluruhAWS organisasi Anda:

  • Terapkan grup keamanan umum ke akun dan sumber daya tertentu.

  • Audit aturan grup keamanan, untuk menemukan dan memulihkan aturan yang tidak patuh.

  • Audit penggunaan grup keamanan, untuk membersihkan grup keamanan yang tidak terpakai dan berlebihan.

Bagian ini mencakup cara kerja kebijakan grup keamanan Firewall Manager dan memberikan panduan untuk menggunakannya. Untuk prosedur untuk membuat kebijakan grup keamanan, lihatMembuatAWS Firewall Manager kebijakan.

Kebijakan grup keamanan umum

Dengan kebijakan grup keamanan umum, Firewall Manager menyediakan asosiasi grup keamanan untuk akun dan sumber daya di seluruh organisasi daya. Anda menentukan di mana dan bagaimana menerapkan kebijakan di organisasi Anda.

Anda dapat menerapkan kebijakan grup keamanan umum ke tipe sumber daya berikut:

  • Instans Amazon Elastic Compute Cloud (Amazon EC2)

  • Antarmuka Jaringan Elastis

  • Application Load Balancer

  • Classic Load Balancer

Untuk panduan tentang membuat kebijakan grup keamanan umum menggunakan konsol, lihatMembuat kebijakan grup keamanan umum.

VPC Bersama

Dalam pengaturan cakupan kebijakan untuk kebijakan grup keamanan umum, Anda dapat memilih untuk menyertakan VPC bersama. Pilihan ini mencakup VPC yang dimiliki oleh akun lain dan dibagikan dengan akun dalam lingkup. VPC yang dimiliki akun dalam lingkup selalu disertakan. Untuk informasi tentang VPC bersama, lihat Bekerja dengan VPC bersama di Panduan Pengguna Amazon VPC.

Peringatan berikut berlaku untuk menyertakan VPC bersama. Ini adalah tambahan untuk peringatan umum untuk kebijakan kelompok keamanan diBatasan kebijakan grup keamanan.

  • Firewall Manager mereplikasi grup keamanan utama ke dalam VPC untuk setiap akun dalam lingkup. Untuk VPC bersama, Firewall Manager mereplikasi grup keamanan utama satu kali untuk setiap akun dalam lingkup tempat VPC dibagikan. Hal ini dapat menghasilkan beberapa replika dalam satu VPC bersama.

  • Saat membuat VPC bersama baru, Anda tidak akan melihatnya terwakili dalam detail kebijakan grup keamanan Firewall Manager hingga setelah Anda membuat setidaknya satu sumber daya di VPC yang berada dalam cakupan kebijakan.

  • Saat Anda menonaktifkan VPC bersama dalam kebijakan yang mengaktifkan VPC bersama, di VPC bersama, Firewall Manager menghapus grup keamanan replika yang tidak terkait dengan sumber daya apa pun. Firewall Manager meninggalkan grup keamanan replika yang tersisa di tempatnya, tetapi berhenti mengelolanya. Penghapusan grup keamanan yang tersisa ini memerlukan manajemen manual di setiap instans VPC bersama.

Grup keamanan primer

Untuk setiap kebijakan grup keamanan umum, AndaAWS Firewall Manager menyediakan satu atau beberapa grup keamanan utama:

  • Grup keamanan utama harus dibuat oleh akun administrator Firewall Manager dan dapat berada di instans Amazon VPC apa pun di akun.

  • Anda mengelola grup keamanan utama Anda melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

  • Anda dapat menamai satu atau beberapa grup keamanan sebagai pendahuluan untuk kebijakan grup keamanan Firewall Manager. Secara default, jumlah grup keamanan yang diizinkan dalam kebijakan adalah satu, tetapi Anda dapat mengirimkan permintaan untuk meningkatkannya. Untuk informasi, lihat Kuota AWS Firewall Manager.

Pengaturan aturan kebijakan

Anda dapat memilih satu atau beberapa perilaku kontrol perubahan berikut untuk grup keamanan dan sumber daya kebijakan grup keamanan umum Anda:

  • Identifikasi dan laporkan setiap perubahan yang dilakukan oleh pengguna lokal ke grup keamanan replika.

  • Pisahkan grup keamanan lain dariAWS sumber daya yang berada dalam cakupan kebijakan.

  • Mendistribusikan tag dari grup utama ke grup keamanan replika.

    penting

    Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan olehAWS layanan ke dalam grup keamanan replika. Tag sistem dimulai denganaws: awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat Kebijakan tag di PanduanAWS Organizations Pengguna.

Penciptaan dan pengelolaan kebijakan

Saat Anda membuat kebijakan grup keamanan umum, Firewall Manager mereplikasi grup keamanan utama ke setiap instans Amazon VPC dalam cakupan kebijakan, dan mengaitkan grup keamanan yang direplikasi ke akun dan sumber daya yang berada dalam cakupan kebijakan. Saat Anda memodifikasi grup keamanan utama, Firewall Manager menyebarkan perubahan ke replika.

Bila Anda menghapus kebijakan grup keamanan umum, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan. Untuk grup keamanan umum Firewall Manager, sumber daya ini adalah grup keamanan replika. Pilih opsi pembersihan kecuali Anda ingin mengelola setiap replika individual secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana.

Bagaimana replika dikelola

Grup keamanan replika dalam instans Amazon VPC dikelola seperti grup keamanan Amazon VPC lainnya. Untuk informasi, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.

Kebijakan grup keamanan audit konten

Gunakan kebijakan grup keamananAWS Firewall Manager konten untuk memeriksa dan mengelola aturan yang digunakan dalam grup keamanan organisasi Anda. Kebijakan grup keamanan audit konten berlaku untuk semua grup keamanan yang dibuat pelanggan yang digunakan diAWS organisasi Anda, sesuai dengan cakupan yang Anda tetapkan dalam kebijakan.

Untuk panduan tentang membuat kebijakan grup keamanan audit konten menggunakan konsol, lihatMembuat kebijakan grup keamanan audit konten.

Jenis sumber daya cakupan kebijakan

Anda dapat menerapkan kebijakan grup keamanan audit konten ke jenis sumber daya berikut:

  • Instans Amazon Elastic Compute Cloud (Amazon EC2)

  • Antarmuka Jaringan Elastis

  • Grup kerahasiaan Amazon VPC

Grup keamanan dipertimbangkan dalam lingkup kebijakan jika mereka secara eksplisit berada dalam lingkup atau jika mereka terkait dengan sumber daya yang berada dalam lingkup.

Opsi aturan kebijakan

Anda dapat menggunakan aturan kebijakan terkelola atau aturan kebijakan khusus untuk setiap kebijakan audit konten, namun tidak keduanya.

  • Aturan kebijakan terkelola — Dalam kebijakan dengan aturan terkelola, Anda dapat menggunakan daftar aplikasi dan protokol untuk menentukan apa yang diizinkan dan apa yang ditolak oleh kebijakan. Anda dapat menggunakan daftar yang dikelola oleh Firewall Manager. Anda juga dapat membuat dan menggunakan daftar aplikasi dan protokol Anda sendiri. Untuk informasi tentang jenis daftar ini dan opsi manajemen Anda untuk daftar kustom, lihatDaftar terkelola.

  • Aturan kebijakan khusus — Dalam kebijakan dengan aturan kebijakan khusus, Anda menetapkan grup keamanan yang ada sebagai grup keamanan audit untuk kebijakan Anda. Anda dapat menggunakan aturan grup keamanan audit sebagai template yang menentukan aturan yang diizinkan atau ditolak oleh kebijakan.

Grup keamanan audit

Anda harus membuat grup keamanan audit menggunakan akun administrator Firewall Manager, sebelum dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

Grup keamanan yang Anda gunakan untuk kebijakan grup keamanan audit konten hanya digunakan oleh Firewall Manager sebagai referensi perbandingan untuk grup keamanan yang berada dalam cakupan kebijakan. Firewall Manager tidak mengaitkannya dengan sumber daya apa pun di organisasi Anda.

Cara Anda menentukan aturan dalam grup keamanan audit bergantung pada pilihan Anda dalam pengaturan aturan kebijakan:

  • Aturan kebijakan terkelola — Untuk pengaturan aturan kebijakan terkelola, Anda menggunakan grup keamanan audit untuk mengganti setelan lain dalam kebijakan, untuk secara eksplisit mengizinkan atau menolak aturan yang mungkin memiliki hasil kepatuhan lain.

    • Jika Anda memilih untuk selalu mengizinkan aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditetapkan dalam grup keamanan audit dianggap sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.

    • Jika Anda memilih untuk selalu menolak aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditetapkan dalam grup keamanan audit dianggap tidak sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.

  • Aturan kebijakan khusus — Untuk pengaturan aturan kebijakan khusus, grup keamanan audit memberikan contoh apa yang dapat diterima atau tidak dapat diterima dalam aturan grup keamanan dalam lingkup:

    • Jika Anda memilih untuk mengizinkan penggunaan aturan, semua grup keamanan dalam lingkup hanya harus memiliki aturan yang berada dalam kisaran yang diizinkan dalam aturan grup keamanan kebijakan. Dalam hal ini, aturan grup keamanan kebijakan memberikan contoh apa yang dapat diterima untuk dilakukan.

    • Jika Anda memilih untuk menolak penggunaan aturan, semua grup keamanan dalam lingkup hanya harus memiliki aturan yang tidak berada dalam kisaran yang diizinkan dalam aturan grup keamanan kebijakan. Dalam hal ini, grup keamanan kebijakan memberikan contoh apa yang tidak dapat diterima untuk dilakukan.

Penciptaan dan pengelolaan kebijakan

Saat membuat kebijakan grup keamanan audit, Anda harus menonaktifkan perbaikan otomatis. Praktik yang disarankan adalah meninjau dampak pembuatan kebijakan sebelum mengaktifkan remediasi otomatis. Setelah meninjau efek yang diharapkan, Anda dapat mengedit kebijakan dan mengaktifkan remediasi otomatis. Saat remediasi otomatis diaktifkan, Firewall Manager memperbarui atau menghapus aturan yang tidak sesuai dalam grup keamanan dalam lingkup.

Grup keamanan yang terpengaruh oleh kebijakan grup keamanan audit

Semua grup keamanan di organisasi Anda yang dibuat pelanggan memenuhi syarat untuk berada dalam lingkup kebijakan grup keamanan audit.

Grup keamanan replika tidak dibuat oleh pelanggan dan karenanya tidak memenuhi syarat untuk secara langsung dalam lingkup kebijakan grup keamanan audit. Namun, mereka dapat diperbarui sebagai hasil dari kegiatan remediasi otomatis kebijakan. Grup keamanan utama kebijakan grup keamanan umum dibuat oleh pelanggan dan dapat berada dalam lingkup kebijakan grup keamanan audit. Jika kebijakan grup keamanan audit membuat perubahan pada grup keamanan utama, Firewall Manager secara otomatis menyebarkan perubahan tersebut ke replika.

Kebijakan grup keamanan audit penggunaan

Gunakan kebijakan grup keamanan auditAWS Firewall Manager penggunaan untuk memantau organisasi Anda untuk grup keamanan yang tidak digunakan dan berlebihan dan secara opsional melakukan pembersihan. Saat Anda mengaktifkan perbaikan otomatis untuk kebijakan ini, Firewall Manager melakukan hal berikut:

  1. Mengkonsolidasikan grup keamanan berlebihan, jika Anda telah memilih opsi itu.

  2. Menghapus grup keamanan yang tidak digunakan, jika Anda telah memilih opsi itu.

Anda dapat menerapkan kebijakan grup keamanan audit penggunaan ke jenis sumber daya berikut:

  • Grup kerahasiaan Amazon VPC

Untuk panduan cara membuat kebijakan grup keamanan audit penggunaan menggunakan konsol, lihatMembuat kebijakan keamanan audit penggunaan.

Bagaimana Firewall Manager memulihkan grup keamanan yang berlebihan

Agar grup keamanan dianggap berlebihan, mereka harus memiliki aturan yang sama persis dan berada dalam instans Amazon VPC yang sama. Untuk memulihkan kumpulan grup keamanan redundan, Firewall Manager memilih salah satu grup keamanan di set untuk disimpan, dan kemudian mengaitkannya ke semua sumber daya yang terkait dengan grup keamanan lain di set. Firewall Manager kemudian memisahkan kelompok keamanan lain dari sumber daya mereka terkait dengan, yang membuat mereka tidak terpakai.

catatan

Jika Anda juga telah memilih untuk menghapus grup keamanan yang tidak digunakan, Firewall Manager akan melakukannya selanjutnya. Hal ini dapat mengakibatkan penghapusan kelompok keamanan yang berada di set redundan.

Bagaimana Firewall Manager memulihkan grup keamanan yang tidak digunakan

Agar grup keamanan dianggap tidak digunakan, mereka harus tetap tidak digunakan oleh sumber daya apa pun untuk jumlah menit minimum yang ditentukan dalam aturan kebijakan. Secara default, angka ini nol. Anda dapat menentukan sebanyak 525.600 menit (365 hari) untuk memungkinkan diri Anda waktu untuk mengaitkan grup keamanan baru dengan sumber daya. Firewall Manager memulihkan grup keamanan yang tidak digunakan dengan menghapusnya dari akun Anda, sesuai dengan pengaturan aturan Anda.

Spesifikasi akun default

Bila Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, Firewall Manager secara otomatis memilih Kecualikan akun yang ditentukan dan menyertakan semua akun lainnya. Layanan kemudian menempatkan akun administrator Firewall Manager dalam daftar untuk dikecualikan. Ini adalah pendekatan yang disarankan, dan memungkinkan Anda mengelola grup keamanan secara manual milik akun administrator Firewall Manager.

Praktik terbaik untuk kebijakan grup keamanan

Bagian ini mencantumkan rekomendasi untuk mengelola grup keamanan menggunakanAWS Firewall Manager.

Kecualikan akun administrator Firewall Manager

Bila Anda menetapkan cakupan kebijakan, kecualikan akun administrator Firewall Manager. Bila Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, ini adalah opsi default.

Mulailah dengan remediasi otomatis dinonaktifkan

Untuk kebijakan grup keamanan audit konten atau penggunaan, mulailah dengan remediasi otomatis dinonaktifkan. Tinjau informasi detail kebijakan untuk menentukan efek perbaikan otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.

Hindari konflik jika Anda juga menggunakan sumber luar untuk mengelola grup keamanan

Jika Anda menggunakan alat atau layanan selain Firewall Manager untuk mengelola grup keamanan, berhati-hatilah untuk menghindari konflik antara pengaturan Anda di Firewall Manager dan pengaturan di sumber luar Anda. Jika Anda menggunakan remediasi otomatis dan konflik pengaturan Anda, Anda dapat membuat siklus perbaikan yang bertentangan yang menghabiskan sumber daya di kedua sisi.

Misalnya, Anda mengonfigurasi layanan lain untuk mempertahankan grup keamanan untuk sekumpulanAWS sumber daya, dan Anda mengonfigurasi kebijakan Firewall Manager untuk mempertahankan grup keamanan yang berbeda untuk beberapa atau semua sumber daya yang sama. Jika Anda mengkonfigurasi kedua sisi untuk melarang grup keamanan lain yang terkait dengan sumber daya dalam lingkup, sisi tersebut akan menghapus asosiasi grup keamanan yang dikelola oleh sisi lain. Jika kedua belah pihak dikonfigurasi dengan cara ini, Anda dapat berakhir dengan siklus disasosiasi dan asosiasi yang saling bertentangan.

Selain itu, Anda membuat kebijakan audit Firewall Manager untuk menerapkan konfigurasi grup keamanan yang bertentangan dengan konfigurasi grup keamanan dari layanan lain. Remediasi yang diterapkan oleh kebijakan audit Firewall Manager dapat memperbarui atau menghapus grup keamanan tersebut, sehingga tidak sesuai dengan layanan lainnya. Jika layanan lain dikonfigurasi untuk memantau dan secara otomatis memulihkan masalah yang ditemukannya, layanan tersebut akan membuat ulang atau memperbarui grup keamanan, membuatnya kembali tidak sesuai dengan kebijakan audit Firewall Manager. Jika kebijakan audit Manajer Firewall dikonfigurasi dengan remediasi otomatis, kebijakan audit Firewall Manager akan kembali memperbarui atau menghapus grup keamanan luar, dan seterusnya.

Untuk menghindari konflik seperti ini, buat konfigurasi yang saling eksklusif, antara Firewall Manager dan sumber luar.

Anda dapat menggunakan penandaan untuk mengecualikan grup keamanan luar dari perbaikan otomatis oleh kebijakan Firewall Manager Anda. Untuk melakukan ini, tambahkan satu atau beberapa tag ke grup keamanan atau sumber daya lain yang dikelola oleh sumber luar. Kemudian, saat Anda menentukan cakupan kebijakan Firewall Manager, dalam spesifikasi sumber daya, kecualikan sumber daya yang memiliki tag atau tag yang telah Anda tambahkan.

Demikian pula, di alat atau layanan luar Anda, kecualikan grup keamanan yang dikelola oleh Firewall Manager dari aktivitas manajemen atau audit apa pun. Jangan mengimpor sumber daya Firewall Manager atau gunakan penandaan khusus Firewall Manager untuk mengecualikannya dari manajemen luar.

Batasan kebijakan grup keamanan

Bagian ini mencantumkan batasan untuk menggunakan kebijakan grupAWS Firewall Manager keamanan:

  • Memperbarui grup keamanan untuk antarmuka jaringan elastis Amazon EC2 yang dibuat menggunakan jenis layanan Fargate tidak didukung. Namun, Anda dapat memperbarui grup keamanan untuk antarmuka jaringan elastis Amazon ECS dengan jenis layanan Amazon EC2.

  • Firewall Manager tidak mendukung grup keamanan untuk antarmuka jaringan elastis Amazon EC2 yang dibuat oleh Amazon Relational Database Service.

  • Memperbarui antarmuka jaringan elastis Amazon ECS hanya dimungkinkan untuk layanan Amazon ECS yang menggunakan pengontrol penerapan pembaruan bergulir (Amazon ECS). Untuk pengontrol penyebaran Amazon ECS lainnya seperti CODE_DEPLOY atau pengontrol eksternal, Firewall Manager saat ini tidak dapat memperbarui antarmuka jaringan elastis.

  • Dengan grup keamanan untuk antarmuka jaringan elastis Amazon EC2, perubahan pada grup keamanan tidak langsung terlihat oleh Firewall Manager. Firewall Manager biasanya mendeteksi perubahan dalam beberapa jam, tetapi deteksi dapat ditunda sebanyak enam jam.

  • Firewall Manager tidak mendukung pembaruan grup keamanan di antarmuka jaringan elastis untuk Network Load Balancers.

  • Firewall Manager tidak mendukung referensi grup keamanan dalam kebijakan grup keamanan umum.

Kasus penggunaan kebijakan grup keamanan

Anda dapat menggunakan kebijakan grup keamananAWS Firewall Manager umum untuk mengotomatiskan konfigurasi firewall host untuk komunikasi antara instans Amazon VPC. Bagian ini mencantumkan arsitektur Amazon VPC standar dan menjelaskan cara mengamankan masing-masing menggunakan kebijakan grup keamanan umum Firewall Manager. Kebijakan grup keamanan ini dapat membantu Anda menerapkan serangkaian aturan terpadu untuk memilih sumber daya di akun yang berbeda dan menghindari konfigurasi per akun di Amazon Elastic Compute Cloud dan Amazon VPC.

Dengan kebijakan grup keamanan umum Firewall Manager, Anda hanya dapat menandai antarmuka jaringan elastis EC2 yang Anda perlukan untuk komunikasi dengan instans di Amazon VPC lain. Instans lain di Amazon VPC yang sama kemudian lebih aman dan terisolasi.

Kasus penggunaan: Memantau dan mengendalikan permintaan untuk Application Load Balancer dan Balancer Beban Klasik

Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk menentukan permintaan penyeimbang muatan dalam lingkup yang harus ditayangkan. Anda dapat mengkonfigurasi ini melalui konsol Firewall Manager. Hanya permintaan yang mematuhi aturan masuk grup keamanan yang dapat mencapai load balancer Anda, dan load balancer hanya akan mendistribusikan permintaan yang memenuhi aturan keluar.

Kasus penggunaan: Amazon VPC publik yang dapat diakses Internet

Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk mengamankan Amazon VPC publik, misalnya, untuk mengizinkan hanya port masuk 443. Ini sama dengan hanya mengizinkan lalu lintas HTTPS masuk untuk VPC publik. Anda dapat menandai sumber daya publik dalam VPC (misalnya, sebagai “PublicVPC”), dan kemudian menetapkan cakupan kebijakan Firewall Manager hanya sumber daya dengan tag tersebut. Firewall Manager secara otomatis menerapkan kebijakan untuk sumber daya tersebut.

Kasus penggunaan: Instans VPC Amazon Publik dan Pribadi

Anda dapat menggunakan kebijakan grup keamanan umum yang sama untuk sumber daya publik seperti yang direkomendasikan dalam kasus penggunaan sebelumnya untuk instans Amazon VPC publik yang dapat diakses internet. Anda dapat menggunakan kebijakan grup keamanan umum kedua untuk membatasi komunikasi antara sumber daya publik dan yang pribadi. Tandai sumber daya di instans VPC Amazon publik dan pribadi dengan sesuatu sepertiPublicPrivate "" untuk menerapkan kebijakan kedua kepada mereka. Anda dapat menggunakan kebijakan ketiga untuk menentukan komunikasi yang diizinkan antara sumber daya pribadi dan perusahaan lain atau instans Amazon VPC pribadi. Untuk kebijakan ini, Anda dapat menggunakan tag identifikasi lain pada sumber daya pribadi.

Kasus penggunaan: Hub dan ucapkan instans Amazon VPC

Anda dapat menggunakan kebijakan grup keamanan umum untuk menentukan komunikasi antara instans Amazon VPC hub dan berbicara instans Amazon VPC. Anda dapat menggunakan kebijakan kedua untuk menentukan komunikasi dari setiap instans Amazon VPC yang diucapkan ke instans VPC Amazon hub.

Kasus penggunaan: Antarmuka jaringan default untuk instans Amazon EC2

Anda dapat menggunakan kebijakan grup keamanan umum untuk hanya mengizinkan komunikasi standar, misalnya layanan pembaruan SSH internal dan Patch/OS, dan untuk melarang komunikasi tidak aman lainnya.

Kasus penggunaan: Identifikasi sumber daya dengan izin terbuka

Anda dapat menggunakan kebijakan grup keamanan audit untuk mengidentifikasi semua sumber daya dalam organisasi Anda yang memiliki izin untuk berkomunikasi dengan alamat IP publik atau yang memiliki alamat IP milik vendor pihak ketiga.