Mengontrol akses dengan grup keamanan - Amazon Aurora
Ikhtisar grup keamanan VPCSkenario grup keamananMembuat grup keamanan VPCMengaitkan dengan klaster DB

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol akses dengan grup keamanan

Grup keamanan VPC mengontrol akses yang dimiliki lalu lintas masuk dan keluar dari cluster DB. Secara default, akses jaringan dimatikan untuk cluster DB. Anda dapat menentukan aturan dalam grup keamanan yang mengizinkan akses dari rentang alamat IP, port, atau grup keamanan. Setelah aturan ingress dikonfigurasi, aturan yang sama berlaku untuk semua cluster DB yang terkait dengan grup keamanan tersebut. Anda dapat menentukan hingga 20 aturan dalam satu grup keamanan.

Ikhtisar grup keamanan VPC

Setiap aturan grup keamanan VPC memungkinkan sumber tertentu untuk mengakses cluster DB di VPC yang terkait dengan grup keamanan VPC tersebut. Sumbernya dapat berupa rentang alamat (misalnya, 203.0.113.0/24), atau grup keamanan VPC lain. Dengan menentukan grup keamanan VPC sebagai sumber, Anda mengizinkan lalu lintas masuk dari semua instans (biasanya server aplikasi) yang menggunakan grup keamanan VPC sumber. Grup keamanan VPC dapat memiliki aturan yang mengatur lalu lintas masuk dan keluar. Namun, aturan lalu lintas keluar biasanya tidak berlaku untuk cluster DB. Aturan lalu lintas keluar hanya berlaku jika cluster DB bertindak sebagai klien. Anda harus menggunakan EC2API Amazon atau opsi Grup Keamanan di konsol VPC untuk membuat grup keamanan VPC.

Saat Anda membuat aturan untuk grup keamanan VPC yang mengizinkan akses ke cluster di VPC Anda, Anda harus menentukan port untuk setiap rentang alamat yang diizinkan oleh aturan tersebut. Misalnya, jika Anda ingin mengaktifkan akses Secure Shell (SSH) untuk instans di VPC, buat aturan yang mengizinkan akses ke port 22 TCP untuk rentang alamat tertentu.

Anda dapat mengonfigurasi beberapa grup keamanan VPC yang mengizinkan akses ke port yang berbeda untuk instans yang berbeda di VPC Anda. Misalnya, Anda dapat membuat grup keamanan VPC yang memungkinkan akses ke port 80 TCP untuk server web di VPC Anda. Anda kemudian dapat membuat grup keamanan VPC lain yang memungkinkan akses ke port TCP 3306 untuk RDS untuk instance MySQL DB di VPC Anda.

catatan

Dalam klaster DB Aurora, grup keamanan VPC yang terkait dengan klaster DB juga terkait dengan semua instans DB dalam klaster DB. Jika Anda mengubah grup keamanan VPC untuk klaster atau instans DB, perubahan akan diterapkan secara otomatis ke semua instans DB dalam klaster DB.

Untuk informasi selengkapnya tentang grup keamanan VPC, lihat Grup keamanan di Panduan Pengguna Amazon Virtual Private Cloud.

catatan

Jika cluster DB Anda berada dalam VPC tetapi tidak dapat diakses publik, Anda juga dapat menggunakan koneksi AWS Site-to-Site VPN atau AWS Direct Connect koneksi untuk mengaksesnya dari jaringan pribadi. Untuk informasi selengkapnya, lihat Privasi lalu lintas antarjaringan.

Skenario grup keamanan

Penggunaan umum cluster DB di VPC adalah untuk berbagi data dengan server aplikasi yang berjalan di EC2 instance Amazon di VPC yang sama, yang diakses oleh aplikasi klien di luar VPC. Untuk skenario ini, Anda menggunakan halaman RDS dan VPC pada AWS Management Console atau operasi RDS EC2 dan API untuk membuat instance dan grup keamanan yang diperlukan:

  1. Buat grup keamanan VPC (misalnya, sg-0123ec2example) dan tentukan aturan masuk yang menggunakan alamat IP aplikasi klien sebagai sumber. Grup keamanan ini memungkinkan aplikasi klien Anda terhubung ke EC2 instance di VPC yang menggunakan grup keamanan ini.

  2. Buat EC2 instance untuk aplikasi dan tambahkan EC2 instance ke grup keamanan VPC (sg-0123ec2example) yang Anda buat di langkah sebelumnya.

  3. Buat grup keamanan VPC kedua (misalnya, sg-6789rdsexample) dan buat aturan baru dengan menentukan grup keamanan VPC yang Anda buat di langkah 1 (sg-0123ec2example) sebagai sumbernya.

  4. Buat cluster DB baru dan tambahkan cluster DB ke grup keamanan VPC (sg-6789rdsexample) yang Anda buat di langkah sebelumnya. Saat Anda membuat cluster DB, gunakan nomor port yang sama dengan yang ditentukan untuk aturan grup keamanan VPC (sg-6789rdsexample) yang Anda buat di langkah 3.

Diagram berikut menunjukkan skenario ini.

Kluster DB dan EC2 instance dalam VPC

Untuk petunjuk terperinci tentang mengonfigurasi VPC untuk skenario ini, lihat. Tutorial: Membuat VPC untuk digunakan dengan klaster DB (khusus IPv4) Untuk informasi selengkapnya tentang menggunakan VPC, lihat. Amazon VPC dan Aurora

Membuat grup keamanan VPC

Anda dapat membuat grup keamanan VPC untuk instans DB menggunakan konsol VPC. Untuk informasi tentang pembuatan grup keamanan, lihat Menyediakan akses ke cluster DB di VPC dengan membuat grup keamanan dan Grup Keamanan dalam Panduan Pengguna Amazon Virtual Private Cloud.

Mengaitkan grup keamanan dengan klaster DB

Anda dapat mengaitkan grup keamanan dengan cluster DB menggunakan Modify cluster di konsol RDS, ModifyDBCluster Amazon RDS API, atau perintah. modify-db-cluster AWS CLI

Contoh CLI berikut mengaitkan grup VPC tertentu dan menghapus grup keamanan DB dari cluster DB

aws rds modify-db-cluster --db-cluster-identifier dbName --vpc-security-group-ids sg-ID

Untuk informasi tentang memodifikasi cluster DB, lihatMemodifikasi klaster DB Amazon Aurora.