Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Jaringan di AWS Control Tower
AWS Control Tower menyediakan dukungan dasar untuk jaringan melalui VPCs.
Jika konfigurasi atau kemampuan default AWS Control Tower VPC tidak memenuhi kebutuhan Anda, Anda dapat menggunakan AWS layanan lain untuk mengonfigurasi VPC Anda. Untuk informasi selengkapnya tentang cara bekerja dengan AWS Control Tower VPCs dan AWS Control Tower, lihat [Membangun Infrastruktur Jaringan Multi-VPC AWS yang Dapat Diskalakan dan Aman](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf).
AWS Control Tower mendukung IPv4 dan IPv6 protokol, melalui alamat IP dual-stack. Untuk informasi selengkapnya, lihat [titik akhir Katalog AWS Kontrol dan kuota serta titik akhir](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html) dan kuota [AWS Control Tower](https://docs.aws.amazon.com//general/latest/gr/controltower.html).
**Topik terkait**
+ Untuk informasi tentang cara kerja AWS Control Tower saat Anda mendaftarkan akun yang sudah ada VPCs, lihat[Daftarkan akun yang ada dengan VPCs](enroll-account.md#enroll-existing-accounts-with-vpcs).
+ Dengan Account Factory, Anda dapat menyediakan akun yang menyertakan AWS Control Tower VPC, atau Anda dapat menyediakan akun tanpa VPC. Untuk informasi tentang cara menghapus AWS Control Tower VPC atau mengonfigurasi akun AWS Control Tower tanpa VPC, lihat. [Panduan: Konfigurasikan AWS Control Tower Tanpa VPC](configure-without-vpc.md)
+ Untuk informasi tentang cara mengubah setelan akun VPCs, lihat [dokumentasi Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings) tentang memperbarui akun.
+ Untuk informasi selengkapnya tentang bekerja dengan jaringan dan VPCs AWS Control Tower, lihat bagian tentang [Jaringan](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking) di halaman *informasi terkait* *Panduan Pengguna* ini.
## VPCs dan AWS Wilayah di AWS Control Tower
Sebagai bagian standar pembuatan akun, AWS buat VPC AWS-default di setiap Wilayah, bahkan Wilayah yang tidak Anda atur dengan AWS Control Tower. VPC default ini tidak sama dengan VPC yang dibuat AWS Control Tower untuk akun yang disediakan, tetapi AWS VPC default di Wilayah yang tidak diatur mungkin dapat diakses oleh pengguna IAM.
Adminstrator dapat mengaktifkan kontrol penolakan Wilayah, sehingga pengguna akhir Anda tidak memiliki izin untuk terhubung ke VPC di Wilayah yang didukung *oleh AWS Control Tower tetapi di luar Wilayah* yang diatur. Untuk mengonfigurasi kontrol penolakan wilayah, buka halaman **pengaturan zona pendaratan** dan pilih **Ubah pengaturan**.
Region deny control memblokir panggilan API ke sebagian besar layanan yang tidak diatur Wilayah AWS. Untuk informasi selengkapnya, lihat [Tolak akses AWS berdasarkan permintaan Wilayah AWS.](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html) .
**catatan**
Kontrol penolakan Wilayah mungkin tidak mencegah pengguna IAM terhubung ke VPC AWS default di Wilayah di mana AWS Control Tower tidak didukung.
Secara opsional, Anda dapat menghapus AWS default VPCs di Wilayah yang tidak diatur. Untuk mencantumkan VPC default di Wilayah, Anda dapat menggunakan perintah CLI yang mirip dengan contoh ini:
```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```
# Sekilas tentang AWS Control Tower dan VPCs
Berikut adalah beberapa fakta penting tentang AWS Control Tower VPCs:
+ VPC yang dibuat oleh AWS Control Tower saat Anda menyediakan akun di Account Factory tidak sama dengan AWS VPC default.
+ Saat AWS Control Tower menyiapkan akun baru di AWS Wilayah yang didukung, AWS Control Tower secara otomatis menghapus AWS VPC default, dan menyiapkan VPC baru yang dikonfigurasi oleh AWS Control Tower.
+ Setiap akun AWS Control Tower diizinkan satu VPC yang dibuat oleh AWS Control Tower. Akun dapat memiliki tambahan AWS VPCs dalam batas akun.
+ Setiap AWS Control Tower VPC memiliki tiga Availability Zone di semua Wilayah kecuali Wilayah AS Barat (California Utara)`us-west-1`, dan dua Availability Zone di. `us-west-1` Secara default, setiap Availability Zone diberi satu subnet publik dan dua subnet pribadi. Oleh karena itu, di Wilayah kecuali US West (California N.) setiap AWS Control Tower VPC berisi sembilan subnet secara default, dibagi menjadi tiga Availability Zone. Di AS Barat (California Utara), enam subnet dibagi menjadi dua Availability Zone.
+ Setiap subnet di AWS Control Tower VPC Anda diberi rentang unik, dengan ukuran yang sama.
+ Jumlah subnet dalam VPC dapat dikonfigurasi. Untuk informasi selengkapnya tentang cara mengubah konfigurasi subnet VPC Anda, lihat topik [Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Karena alamat IP tidak tumpang tindih, enam atau sembilan subnet dalam AWS Control Tower VPC Anda dapat berkomunikasi satu sama lain secara tidak terbatas.
Saat bekerja sama VPCs, AWS Control Tower tidak membuat perbedaan di tingkat Wilayah. Setiap subnet dialokasikan dari rentang CIDR yang tepat yang Anda tentukan. Subnet VPC dapat ada di Wilayah mana pun.
**Catatan**
**Kelola biaya VPC**
Jika Anda menyetel konfigurasi VPC Account Factory sehingga subnet publik diaktifkan saat menyediakan akun baru, Account Factory akan mengonfigurasi VPC untuk membuat NAT Gateway. Anda akan ditagih untuk penggunaan Anda oleh Amazon VPC.
**VPC dan pengaturan kontrol**
Jika Anda menyediakan akun Account Factory dengan pengaturan akses internet VPC diaktifkan, setelan Account Factory akan mengganti kontrol Larang [akses internet untuk instans Amazon VPC yang](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) dikelola oleh pelanggan. Untuk menghindari mengaktifkan akses internet untuk akun yang baru disediakan, Anda harus mengubah pengaturan di Account Factory. Untuk informasi selengkapnya, lihat [Panduan: Mengonfigurasi AWS Control Tower Tanpa VPC](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# CIDR dan Peering untuk VPC dan AWS Control Tower
Bagian ini ditujukan terutama untuk administrator jaringan. Administrator jaringan perusahaan Anda biasanya adalah orang yang memilih rentang CIDR keseluruhan untuk organisasi AWS Control Tower Anda. Administrator jaringan kemudian mengalokasikan subnet dari dalam rentang tersebut untuk tujuan tertentu.
Saat Anda memilih rentang CIDR untuk VPC Anda, AWS Control Tower memvalidasi rentang alamat IP sesuai dengan spesifikasi RFC 1918. Account Factory memungkinkan blok CIDR hingga `/16` dalam rentang:
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(hanya jika penyedia internet Anda mengizinkan penggunaan rentang ini)
`/16`Pembatas memungkinkan hingga 65.536 alamat IP yang berbeda.
Anda dapat menetapkan alamat IP yang valid dari rentang berikut:
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(tidak ada IPs di luar `192.168` jangkauan)
Jika rentang yang Anda tentukan berada di luar ini, AWS Control Tower memberikan pesan kesalahan.
Rentang CIDR default adalah`172.31.0.0/16`.
Saat AWS Control Tower membuat VPC menggunakan rentang CIDR yang Anda pilih, AWS Control Tower menetapkan rentang CIDR yang sama ke setiap *VPC* untuk setiap akun yang Anda buat dalam unit organisasi (OU). Karena tumpang tindih default alamat IP, implementasi ini pada awalnya tidak mengizinkan pengintipan di antara AWS Control Tower Anda VPCs di OU.
**Subnet**
Dalam setiap VPC, AWS Control Tower membagi rentang CIDR yang Anda tentukan secara merata menjadi sembilan subnet (kecuali di AS Barat (California Utara), di mana itu adalah enam subnet). Tak satu pun dari subnet dalam VPC tumpang tindih. Oleh karena itu, mereka semua dapat berkomunikasi satu sama lain, di dalam VPC.
Singkatnya, secara default, komunikasi subnet dalam VPC tidak dibatasi. Praktik terbaik untuk mengendalikan komunikasi di antara subnet VPC Anda, jika diperlukan, adalah mengatur daftar kontrol akses dengan aturan yang menentukan arus lalu lintas yang diizinkan. Gunakan grup keamanan untuk mengontrol lalu lintas di antara instans tertentu. Untuk informasi selengkapnya tentang menyiapkan grup keamanan dan firewall di AWS Control Tower, lihat [Panduan: Mengatur Grup Keamanan di AWS Control Tower Dengan Firewall Manager AWS](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).
**Mengintip**
AWS Control Tower tidak membatasi VPC-to-VPC peering untuk komunikasi di beberapa. VPCs Namun, secara default, semua AWS Control Tower VPCs memiliki rentang CIDR default yang sama. Untuk mendukung peering, Anda dapat memodifikasi rentang CIDR di pengaturan Account Factory sehingga alamat IP tidak tumpang tindih.
Jika Anda mengubah rentang CIDR di pengaturan Account Factory, semua akun baru yang kemudian dibuat oleh AWS Control Tower (menggunakan Account Factory) ditetapkan rentang CIDR baru. Akun lama tidak diperbarui. Misalnya, Anda dapat membuat akun, lalu mengubah rentang CIDR dan membuat akun baru, dan VPCs dialokasikan ke kedua akun tersebut dapat dipeer. Peering dimungkinkan karena rentang alamat IP mereka tidak identik.
# Akses AWS Control Tower menggunakan titik akhir antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC dan AWS Control Tower. Anda dapat mengakses AWS Control Tower seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses AWS Control Tower.
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola oleh pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk AWS Control Tower.
Untuk informasi selengkapnya, lihat [Akses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *AWS PrivateLink Panduan*.
## Pertimbangan untuk AWS Control Tower
*Sebelum Anda menyiapkan titik akhir antarmuka untuk AWS Control Tower, tinjau [Pertimbangan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) dalam Panduan.AWS PrivateLink *
AWS Control Tower mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
## Membuat titik akhir antarmuka untuk AWS Control Tower
Anda dapat membuat titik akhir antarmuka untuk AWS Control Tower menggunakan konsol Amazon VPC atau AWS Command Line Interface ().AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat titik akhir antarmuka untuk AWS Control Tower menggunakan nama layanan berikut:
```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke AWS Control Tower menggunakan nama DNS Regional defaultnya. Misalnya, `controltower.us-east-1.amazonaws.com`.
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke AWS Control Tower melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke AWS Control Tower dari VPC Anda, lampirkan kebijakan titik akhir khusus ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk tindakan AWS Control Tower**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka Anda, kebijakan ini memberikan akses ke tindakan AWS Control Tower yang terdaftar untuk semua prinsipal di semua sumber daya.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"controltower:ListEnabledControls",
"controltower:ListLandingZones"
],
"Resource":"*"
}
]
}
```
**catatan**
Untuk daftar lengkap operasi AWS Control Tower API, lihat [Referensi API AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html).