Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup keamanan: aturan masuk dan keluar
Grup keamanan bertindak sebagai firewall virtual untuk instans Anda guna mengontrol lalu lintas masuk dan keluar. Untuk setiap grup keamanan, Anda menambahkan aturan yang mengontrol lalu lintas masuk ke instans, dan seperangkat aturan terpisah yang mengontrol lalu lintas keluar.
Untuk koneksi VPC Anda, buat grup keamanan baru dengan deskripsi. QuickSight-VPC Grup keamanan ini harus mengizinkan semua lalu lintas TCP masuk dari grup keamanan tujuan data yang ingin Anda jangkau. Contoh berikut membuat grup keamanan baru di VPC dan mengembalikan ID grup keamanan baru.
aws ec2 create-security-group \ --group-name quicksight-vpc \ --description "QuickSight-VPC" \ --vpc-idvpc-0daeb67adda59e0cd
penting
Konfigurasi jaringan cukup kompleks sehingga kami sangat menyarankan Anda membuat grup keamanan baru untuk digunakan dengan Amazon Quick Suite. Ini juga memudahkan AWS Support untuk membantu Anda jika Anda perlu menghubungi mereka. Membuat grup baru tidak mutlak diperlukan. Namun, topik berikut didasarkan pada asumsi bahwa Anda mengikuti rekomendasi ini.
Agar Quick Suite berhasil tersambung ke instans di VPC Anda, konfigurasikan aturan grup keamanan Anda untuk mengizinkan lalu lintas antara antarmuka jaringan Amazon Quick Suite dan instance yang berisi data Anda. Untuk melakukannya, konfigurasikan grup keamanan yang dilampirkan ke aturan inbound instance database Anda untuk mengizinkan lalu lintas berikut:
-
Dari port yang terhubung ke Amazon Quick Suite
-
Dari salah satu opsi berikut:
-
ID grup keamanan yang terkait dengan antarmuka jaringan Amazon Quick Suite (disarankan)
atau
-
Alamat IP pribadi antarmuka jaringan Amazon Quick Suite
-
Untuk informasi selengkapnya, lihat Grup keamanan untuk VPC VPCs dan subnet Anda di Panduan Pengguna Amazon VPC.
Gunakan topik yang tercantum di bawah ini untuk mempelajari lebih lanjut tentang aturan masuk dan keluar.
Aturan-aturan ke dalam
penting
Bagian berikut berlaku untuk koneksi VPC Anda jika koneksi dibuat sebelum 27 April 2023.
Saat Anda membuat grup keamanan, grup ini tidak memiliki aturan masuk. Tidak ada lalu lintas masuk yang berasal dari host lain ke instans Anda yang diizinkan hingga Anda menambahkan aturan masuk ke grup keamanan.
Grup keamanan yang terpasang pada antarmuka jaringan Amazon Quick Suite berperilaku berbeda dari kebanyakan grup keamanan, karena tidak stateful. Kelompok keamanan lainnya biasanya stateful. Ini berarti bahwa, setelah mereka membuat koneksi keluar ke grup keamanan sumber daya, mereka secara otomatis mengizinkan lalu lintas kembali. Sebaliknya, grup keamanan antarmuka jaringan Amazon Quick Suite tidak secara otomatis mengizinkan lalu lintas kembali. Karena itu, menambahkan aturan keluar ke grup keamanan antarmuka jaringan Amazon Quick Suite tidak berfungsi. Untuk membuatnya berfungsi untuk grup keamanan antarmuka jaringan Amazon Quick Suite, pastikan untuk menambahkan aturan masuk yang secara eksplisit mengotorisasi lalu lintas pengembalian dari host database.
Aturan masuk dalam grup keamanan Anda harus mengizinkan lalu lintas di semua port. Ini perlu dilakukan karena nomor port tujuan dari setiap paket pengembalian masuk diatur ke nomor port yang dialokasikan secara acak.
Untuk membatasi Amazon Quick Suite agar tersambung hanya ke instans tertentu, Anda dapat menentukan ID grup keamanan (disarankan) atau alamat IP pribadi dari instans yang ingin Anda izinkan. Dalam kedua kasus tersebut, aturan masuk grup keamanan Anda masih perlu mengizinkan lalu lintas di semua port (0—65535).
Agar Amazon Quick Suite dapat terhubung ke instans apa pun di VPC, Anda dapat mengonfigurasi grup keamanan antarmuka jaringan Amazon Quick Suite. Dalam hal ini, berikan aturan masuk untuk mengizinkan lalu lintas di 0.0.0.0/0 di semua port (0—65535). Grup keamanan yang digunakan oleh antarmuka jaringan Amazon Quick Suite harus berbeda dari grup keamanan yang digunakan untuk database Anda. Kami menyarankan Anda menggunakan grup keamanan terpisah untuk koneksi VPC.
penting
Jika Anda menggunakan instans Amazon RDS DB yang sudah lama ada, periksa konfigurasi Anda untuk melihat apakah Anda menggunakan grup keamanan DB. Grup keamanan DB digunakan dengan instans DB yang tidak ada dalam VPC dan berada di EC2 platform -Classic.
Jika ini adalah konfigurasi Anda, dan Anda tidak memindahkan instans DB Anda ke VPC untuk digunakan dengan Amazon Quick Suite, pastikan untuk memperbarui aturan masuk grup keamanan DB Anda. Perbarui mereka untuk memungkinkan lalu lintas masuk dari grup keamanan VPC yang Anda gunakan untuk Amazon Quick Suite. Untuk informasi selengkapnya, lihat Mengontrol Akses dengan Grup Keamanan di Panduan Pengguna Amazon RDS.
Aturan-aturan ke luar
penting
Bagian berikut berlaku untuk koneksi VPC Anda jika koneksi dibuat sebelum 27 April 2023.
Secara default, suatu grup keamanan mencakup aturan keluar yang mengizinkan semua lalu lintas keluar. Kami menyarankan Anda menghapus aturan default ini dan menambahkan aturan keluar yang mengizinkan lalu lintas keluar tertentu saja.
Awas
Jangan mengonfigurasi grup keamanan pada antarmuka jaringan Amazon Quick Suite dengan aturan keluar untuk mengizinkan lalu lintas di semua port. Untuk informasi tentang pertimbangan dan rekomendasi utama untuk mengelola lalu lintas keluar jaringan VPCs, lihat Praktik terbaik keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.
Grup keamanan yang dilampirkan ke antarmuka jaringan Amazon Quick Suite harus memiliki aturan keluar yang memungkinkan lalu lintas ke setiap instance database di VPC yang ingin Anda sambungkan ke Amazon Quick Suite. Untuk membatasi Amazon Quick Suite agar tersambung hanya ke instans tertentu, tentukan ID grup keamanan (disarankan) atau alamat IP pribadi instans yang akan diizinkan. Anda mengatur ini, bersama dengan nomor port yang sesuai untuk instance Anda (port tempat instans mendengarkan), dalam aturan keluar.
Grup keamanan VPC juga harus mengizinkan lalu lintas keluar ke grup keamanan tujuan data, khususnya pada port atau port yang didengarkan database.
