Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memperbarui grup keamanan untuk Network Load Balancer
Anda dapat mengaitkan grup keamanan dengan Network Load Balancer untuk mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan Network Load Balancer. Anda menentukan port, protokol, dan sumber untuk memungkinkan lalu lintas masuk dan port, protokol, dan tujuan untuk memungkinkan lalu lintas keluar. Jika Anda tidak menetapkan grup keamanan ke Network Load Balancer Anda, semua lalu lintas klien dapat mencapai pendengar Network Load Balancer dan semua lalu lintas dapat meninggalkan Network Load Balancer.
Anda dapat menambahkan aturan ke grup keamanan yang terkait dengan target Anda yang mereferensikan grup keamanan yang terkait dengan Network Load Balancer Anda. Ini memungkinkan klien untuk mengirim lalu lintas ke target Anda melalui Network Load Balancer Anda, tetapi mencegah mereka mengirim lalu lintas langsung ke target Anda. Mereferensikan grup keamanan yang terkait dengan Network Load Balancer Anda di grup keamanan yang terkait dengan target Anda memastikan bahwa target Anda menerima lalu lintas dari Network Load Balancer meskipun Anda [mengaktifkan pelestarian IP klien untuk Network Load Balancer Anda](edit-target-group-attributes.md#client-ip-preservation).
Anda tidak dikenakan biaya untuk lalu lintas yang diblokir oleh aturan grup keamanan masuk.
**Topics**
+ [Pertimbangan-pertimbangan](#security-group-considerations)
+ [Contoh: Filter lalu lintas klien](#filter-client-traffic-recommended-rules)
+ [Contoh: Terima lalu lintas hanya dari Network Load Balancer](#load-balancer-traffic-only-recommended-rules)
+ [Memperbarui grup keamanan terkait](#update-security-group)
+ [Perbarui pengaturan keamanan](#update-security-settings)
+ [Monitor grup keamanan Network Load Balancer](#monitor-load-balancer-security-groups)
## Pertimbangan-pertimbangan
+ Anda dapat mengaitkan grup keamanan dengan Network Load Balancer saat membuatnya. Jika Anda membuat Network Load Balancer tanpa mengaitkan grup keamanan apa pun, Anda tidak dapat mengaitkannya dengan Network Load Balancer nanti. Kami menyarankan Anda mengaitkan grup keamanan dengan Network Load Balancer saat Anda membuatnya.
+ Setelah membuat Network Load Balancer dengan grup keamanan terkait, Anda dapat mengubah grup keamanan yang terkait dengan Network Load Balancer kapan saja.
+ Pemeriksaan kesehatan tunduk pada aturan keluar, tetapi tidak aturan masuk. Anda harus memastikan bahwa aturan keluar tidak memblokir lalu lintas pemeriksaan kesehatan. Jika tidak, Network Load Balancer menganggap target tidak sehat.
+ Anda dapat mengontrol apakah PrivateLink lalu lintas tunduk pada aturan masuk. Jika Anda mengaktifkan aturan masuk pada PrivateLink lalu lintas, sumber lalu lintas adalah alamat IP pribadi klien, bukan antarmuka titik akhir.
## Contoh: Filter lalu lintas klien
Aturan masuk berikut dalam grup keamanan yang terkait dengan Network Load Balancer Anda hanya mengizinkan lalu lintas yang berasal dari rentang alamat yang ditentukan. Jika ini adalah Network Load Balancer internal, Anda dapat menentukan rentang CIDR VPC sebagai sumber untuk mengizinkan hanya lalu lintas dari VPC tertentu. Jika ini adalah Network Load Balancer yang menghadap ke internet yang harus menerima lalu lintas dari mana saja di internet, Anda dapat menentukan 0.0.0.0/0 sebagai sumbernya.
**Ke dalam**
| Protokol | Sumber | Rentang port | Komentar |
| --- | --- | --- | --- |
| protocol | client IP address range | listener port | Mengizinkan lalu lintas masuk dari CIDR sumber di port pendengar |
| ICMP | 0.0.0.0/0 | Semua | Memungkinkan lalu lintas ICMP masuk untuk mendukung MTU atau Path MTU Discovery † |
† Untuk informasi selengkapnya, lihat [Path MTU Discovery](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#path_mtu_discovery) di *Panduan EC2 Pengguna Amazon*.
**Ke luar**
| Protokol | Destinasi | Rentang port | Komentar |
| --- | --- | --- | --- |
| Semua | Dimanapun | Semua | Mengizinkan semua lalu lintas ke luar |
## Contoh: Terima lalu lintas hanya dari Network Load Balancer
Misalkan Network Load Balancer Anda memiliki grup keamanan sg-111112222233333. Gunakan aturan berikut dalam grup keamanan yang terkait dengan instans target Anda untuk memastikan bahwa mereka hanya menerima lalu lintas dari Network Load Balancer. Anda harus memastikan bahwa target menerima lalu lintas dari Network Load Balancer pada port target dan port pemeriksaan kesehatan. Untuk informasi selengkapnya, lihat [Menargetkan grup keamanan](target-group-register-targets.md#target-security-groups).
**Ke dalam**
| Protokol | Sumber | Rentang port | Komentar |
| --- | --- | --- | --- |
| protocol | sg-111112222233333 | target port | Memungkinkan lalu lintas masuk dari Network Load Balancer pada port target |
| protocol | sg-111112222233333 | health check | Memungkinkan lalu lintas masuk dari Network Load Balancer di port pemeriksaan kesehatan |
**Ke luar**
| Protokol | Destinasi | Rentang port | Komentar |
| --- | --- | --- | --- |
| Semua | Dimanapun | Setiap | Mengizinkan semua lalu lintas ke luar |
## Memperbarui grup keamanan terkait
Jika Anda mengaitkan setidaknya satu grup keamanan dengan Network Load Balancer saat membuatnya, Anda dapat memperbarui grup keamanan untuk Network Load Balancer tersebut kapan saja.
------
#### [ Console ]
**Untuk memperbarui grup keamanan**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Pada panel navigasi, di bawah **PENYEIMBANGAN BEBAN**, pilih **Penyeimbang beban**.
1. Pilih Network Load Balancer.
1. Pada tab **Keamanan**, pilih **Edit**.
1. Untuk mengaitkan grup keamanan dengan Network Load Balancer Anda, pilih grup keamanan tersebut. Untuk menghapus grup keamanan dari Network Load Balancer Anda, kosongkan grup keamanan.
1. Pilih **Simpan perubahan**.
------
#### [ AWS CLI ]
**Untuk memperbarui grup keamanan**
Gunakan perintah [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html).
```
aws elbv2 set-security-groups \
--load-balancer-arn load-balancer-arn \
--security-groups sg-1234567890abcdef0 sg-0abcdef0123456789
```
------
#### [ CloudFormation ]
**Untuk memperbarui grup keamanan**
Perbarui [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html)sumber daya.
```
Resources:
myLoadBalancer:
Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
Properties:
Name: my-nlb
Type: network
Scheme: internal
Subnets:
- !Ref subnet-AZ1
- !Ref subnet-AZ2
SecurityGroups:
- !Ref mySecurityGroup
- !Ref myNewSecurityGroup
```
------
## Perbarui pengaturan keamanan
Secara default, kami menerapkan aturan grup keamanan masuk ke semua lalu lintas yang dikirim ke Network Load Balancer. Namun, Anda mungkin tidak ingin menerapkan aturan ini ke lalu lintas yang dikirim ke Network Load Balancer melalui AWS PrivateLink, yang dapat berasal dari alamat IP yang tumpang tindih. Dalam hal ini, Anda dapat mengkonfigurasi Network Load Balancer sehingga kami tidak menerapkan aturan inbound untuk lalu lintas yang dikirim ke Network Load Balancer melalui. AWS PrivateLink
------
#### [ Console ]
**Untuk memperbarui pengaturan keamanan**
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Pada panel navigasi, di bawah **PENYEIMBANGAN BEBAN**, pilih **Penyeimbang beban**.
1. Pilih Network Load Balancer.
1. Pada tab **Keamanan**, pilih **Edit**.
1. Di bawah **pengaturan Keamanan**, hapus **Menegakkan aturan masuk tentang PrivateLink lalu lintas**.
1. Pilih **Simpan perubahan**.
------
#### [ AWS CLI ]
**Untuk memperbarui pengaturan keamanan**
Gunakan perintah [set-security-groups](https://docs.aws.amazon.com/cli/latest/reference/elbv2/set-security-groups.html).
```
aws elbv2 set-security-groups \
--load-balancer-arn load-balancer-arn \
--enforce-security-group-inbound-rules-on-private-link-traffic off
```
------
#### [ CloudFormation ]
**Untuk memperbarui pengaturan keamanan**
Perbarui [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html)sumber daya.
```
Resources:
myLoadBalancer:
Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
Properties:
Name: my-nlb
Type: network
Scheme: internal
EnforceSecurityGroupInboundRulesOnPrivateLinkTraffic: off
Subnets:
- !Ref subnet-AZ1
- !Ref subnet-AZ2
SecurityGroups:
- !Ref mySecurityGroup
```
------
## Monitor grup keamanan Network Load Balancer
Gunakan `SecurityGroupBlockedFlowCount_Outbound` CloudWatch metrik `SecurityGroupBlockedFlowCount_Inbound` dan untuk memantau jumlah aliran yang diblokir oleh grup keamanan Network Load Balancer. Lalu lintas yang diblokir tidak tercermin dalam metrik lain. Untuk informasi selengkapnya, lihat [CloudWatch metrik untuk Network Load Balancer](load-balancer-cloudwatch-metrics.md).
Gunakan log aliran VPC untuk memantau lalu lintas yang diterima atau ditolak oleh grup keamanan Network Load Balancer. Untuk informasi selengkapnya, lihat [Log aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) di *Panduan Pengguna Amazon VPC*.