Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup keamanan
Di AWS VPCs, AWS Security Groups bertindak sebagai firewall virtual, mengontrol lalu lintas untuk satu atau beberapa tumpukan (instance atau satu set instance). Ketika tumpukan diluncurkan, itu terkait dengan satu atau beberapa grup keamanan, yang menentukan lalu lintas apa yang diizinkan untuk mencapainya:
Untuk tumpukan di subnet publik Anda, grup keamanan default menerima lalu lintas dari HTTP (80) dan HTTPS (443) dari semua lokasi (internet). Tumpukan juga menerima lalu lintas SSH dan RDP internal dari jaringan perusahaan Anda, dan benteng AWS. Tumpukan tersebut kemudian dapat keluar melalui port apa pun ke Internet. Mereka juga dapat keluar ke subnet pribadi Anda dan tumpukan lain di subnet publik Anda.
Tumpukan di subnet pribadi Anda dapat keluar ke tumpukan lain di subnet pribadi Anda, dan instance dalam tumpukan dapat sepenuhnya berkomunikasi melalui protokol apa pun satu sama lain.
Grup keamanan default untuk tumpukan pada subnet pribadi memungkinkan semua tumpukan di subnet pribadi Anda untuk berkomunikasi dengan tumpukan lain di subnet pribadi tersebut. Jika Anda ingin membatasi komunikasi antar tumpukan dalam subnet pribadi, Anda harus membuat grup keamanan baru yang menjelaskan pembatasan tersebut. Misalnya, jika Anda ingin membatasi komunikasi ke server database sehingga tumpukan di subnet pribadi itu hanya dapat berkomunikasi dari server aplikasi tertentu melalui port tertentu, mintalah grup keamanan khusus. Cara melakukannya dijelaskan di bagian ini.
Grup Keamanan Default
- MALZ
-
Tabel berikut menjelaskan pengaturan grup keamanan masuk (SG) default untuk tumpukan Anda. SG diberi nama "SentinelDefaultSecurityGroupPrivateOnly-VPC-ID” yang merupakan ID VPC di ID akun landing zone multi-akun AMS Anda. Semua lalu lintas diizinkan keluar ke "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" melalui grup keamanan ini (semua lalu lintas lokal dalam subnet tumpukan diizinkan).
Semua lalu lintas diizinkan keluar ke 0.0.0.0/0 oleh grup keamanan kedua "”. SentinelDefaultSecurityGroupPrivateOnly
Jika Anda memilih grup keamanan untuk jenis perubahan AMS, seperti EC2 membuat, atau OpenSearch membuat domain, Anda akan menggunakan salah satu grup keamanan default yang dijelaskan di sini, atau grup keamanan yang Anda buat. Anda dapat menemukan daftar grup keamanan, per VPC, di EC2 konsol AWS atau konsol VPC.
Ada grup keamanan default tambahan yang digunakan untuk keperluan AMS internal.
Grup keamanan default AMS (lalu lintas masuk)
| Jenis |
Protokol |
Rentang port |
Sumber |
Semua Lalu lintas |
Semua |
Semua |
SentinelDefaultSecurityGroupPrivateOnly (membatasi lalu lintas keluar ke anggota grup keamanan yang sama) |
Semua Lalu lintas |
Semua |
Semua |
SentinelDefaultSecurityGroupPrivateOnlyEgressAll (tidak membatasi lalu lintas keluar) |
HTTP, HTTPS, SSH, RDP |
TCP |
80/443 (Sumber 0.0.0.0/0)
Akses SSH dan RDP diizinkan dari benteng |
SentinelDefaultSecurityGroupPublic (tidak membatasi lalu lintas keluar) |
Benteng MALZ: |
SSH |
TCP |
22 |
SharedServices VPC CIDR dan DMZ VPC CIDR, ditambah pelanggan yang disediakan secara on-prem CIDRs |
SSH |
TCP |
22 |
RDP |
TCP |
3389 |
RDP |
TCP |
3389 |
Benteng SALZ: |
SSH |
TCP |
22 |
mc-initial-garden- LinuxBastion SG |
SSH |
TCP |
22 |
mc-initial-garden- LinuxBastion DMZSG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion SG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion DMZSG |
- SALZ
-
Tabel berikut menjelaskan pengaturan grup keamanan masuk (SG) default untuk tumpukan Anda. SG diberi nama "mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -ID" di mana ID adalah pengenal unik. Semua lalu lintas diizinkan keluar ke "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" melalui grup keamanan ini (semua lalu lintas lokal dalam subnet tumpukan diizinkan).
Semua lalu lintas diizinkan keluar ke 0.0.0.0/0 oleh grup keamanan kedua "- -”. mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll ID
Jika Anda memilih grup keamanan untuk jenis perubahan AMS, seperti EC2 membuat, atau OpenSearch membuat domain, Anda akan menggunakan salah satu grup keamanan default yang dijelaskan di sini, atau grup keamanan yang Anda buat. Anda dapat menemukan daftar grup keamanan, per VPC, di EC2 konsol AWS atau konsol VPC.
Ada grup keamanan default tambahan yang digunakan untuk keperluan AMS internal.
Grup keamanan default AMS (lalu lintas masuk)
| Jenis |
Protokol |
Rentang port |
Sumber |
Semua Lalu lintas |
Semua |
Semua |
SentinelDefaultSecurityGroupPrivateOnly (membatasi lalu lintas keluar ke anggota grup keamanan yang sama) |
Semua Lalu lintas |
Semua |
Semua |
SentinelDefaultSecurityGroupPrivateOnlyEgressAll (tidak membatasi lalu lintas keluar) |
HTTP, HTTPS, SSH, RDP |
TCP |
80/443 (Sumber 0.0.0.0/0)
Akses SSH dan RDP diizinkan dari benteng |
SentinelDefaultSecurityGroupPublic (tidak membatasi lalu lintas keluar) |
Benteng MALZ: |
SSH |
TCP |
22 |
SharedServices VPC CIDR dan DMZ VPC CIDR, ditambah pelanggan yang disediakan secara on-prem CIDRs |
SSH |
TCP |
22 |
RDP |
TCP |
3389 |
RDP |
TCP |
3389 |
Benteng SALZ: |
SSH |
TCP |
22 |
mc-initial-garden- LinuxBastion SG |
SSH |
TCP |
22 |
mc-initial-garden- LinuxBastion DMZSG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion SG |
RDP |
TCP |
3389 |
mc-initial-garden- WindowsBastion DMZSG |
Membuat, Mengubah, atau Menghapus Grup Keamanan
Anda dapat meminta grup keamanan khusus. Jika grup keamanan default tidak memenuhi kebutuhan aplikasi atau organisasi Anda, Anda dapat memodifikasi atau membuat grup keamanan baru. Permintaan semacam itu akan dianggap memerlukan persetujuan dan akan ditinjau oleh tim operasi AMS.
Untuk membuat grup keamanan di luar tumpukan dan VPCs, kirimkan RFC menggunakan jenis Deployment | Advanced stack components | Security group | Create (review required) perubahan (ct-1oxx2g2d7hc90).
Untuk modifikasi grup keamanan Active Directory (AD), gunakan jenis perubahan berikut:
Untuk menambahkan pengguna: Kirim RFC menggunakan Manajemen | Directory Service | Pengguna dan grup | Tambahkan pengguna ke grup [ct-24pi85mjtza8k]
Untuk menghapus pengguna: Kirim RFC menggunakan Manajemen | Directory Service | Pengguna dan grup | Hapus pengguna dari grup [ct-2019s9y3nfml4]
Saat menggunakan “review required” CTs, AMS merekomendasikan agar Anda menggunakan opsi Penjadwalan ASAP (pilih ASAP di konsol, biarkan waktu mulai dan berakhir kosong di API/CLI) karena ini CTs memerlukan operator AMS untuk memeriksa RFC, dan mungkin berkomunikasi dengan Anda sebelum dapat disetujui dan dijalankan. Jika Anda menjadwalkan ini RFCs, pastikan untuk mengizinkan setidaknya 24 jam. Jika persetujuan tidak terjadi sebelum waktu mulai yang dijadwalkan, RFC ditolak secara otomatis.
Temukan Grup Keamanan
Untuk menemukan grup keamanan yang dilampirkan ke tumpukan atau instance, gunakan EC2 konsol. Setelah menemukan tumpukan atau instance, Anda dapat melihat semua grup keamanan yang melekat padanya.
Untuk cara menemukan grup keamanan di baris perintah dan memfilter output, lihat describe-security-groups.
