Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Bagikan grup keamanan dengan AWS Organizations
<a name="security-group-sharing"></a>

Fitur Grup Keamanan Bersama memungkinkan Anda berbagi grup keamanan dengan akun AWS Organizations lain dalam AWS Wilayah yang sama dan membuat grup keamanan tersedia untuk digunakan oleh akun tersebut.

Diagram berikut menunjukkan bagaimana Anda dapat menggunakan fitur Grup Keamanan Bersama untuk menyederhanakan pengelolaan grup keamanan di seluruh akun di Organizations AWS Anda:

![\[Diagram berbagi grup keamanan dengan akun lain di subnet VPC bersama.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/sec-group-sharing.png)


Diagram ini menunjukkan tiga akun yang merupakan bagian dari Organisasi yang sama. Akun A berbagi subnet VPC dengan Akun B dan C. Akun A berbagi grup keamanan dengan Akun B dan C menggunakan fitur Grup Keamanan Bersama. Akun B dan C kemudian menggunakan grup keamanan itu ketika mereka meluncurkan instance di subnet bersama. Ini memungkinkan Akun A untuk mengelola grup keamanan; pembaruan apa pun pada grup keamanan berlaku untuk sumber daya yang telah dijalankan Akun B dan C di subnet VPC bersama.

**Persyaratan fitur Grup Keamanan Bersama**
+ Fitur ini hanya tersedia untuk akun di Organization in AWS Organizations yang sama. [Berbagi sumber daya](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) harus diaktifkan di AWS Organizations.
+ Akun yang berbagi grup keamanan harus memiliki VPC dan grup keamanan. 
+ Anda tidak dapat berbagi grup keamanan default.
+ Anda tidak dapat berbagi grup keamanan yang ada di VPC default.
+ Akun peserta dapat membuat grup keamanan di VPC bersama tetapi mereka tidak dapat berbagi grup keamanan tersebut.
+ Satu set izin minimum diperlukan untuk kepala sekolah IAM untuk berbagi grup keamanan dengan. AWS RAM Gunakan kebijakan IAM yang `AWSResourceAccessManagerFullAccess` dikelola `AmazonEC2FullAccess` dan dikelola untuk memastikan kepala sekolah IAM Anda memiliki izin yang diperlukan untuk berbagi dan menggunakan grup keamanan bersama. Jika Anda menggunakan kebijakan IAM kustom, `ec2:DeleteResourcePolicy` tindakan `c2:PutResourcePolicy` dan tindakan diperlukan. Ini adalah tindakan IAM khusus izin. Jika prinsipal IAM tidak memiliki izin ini diberikan, kesalahan akan terjadi ketika mencoba untuk berbagi grup keamanan menggunakan. AWS RAM

**Layanan yang mendukung fitur ini**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Penyeimbang Beban Aplikasi
  + Penyeimbang Beban Jaringan

**Bagaimana fitur ini memengaruhi kuota yang ada**

[Kuota grup keamanan](amazon-vpc-limits.md#vpc-limits-security-groups) berlaku. Namun, untuk kuota 'Grup keamanan per antarmuka jaringan', jika peserta menggunakan grup milik dan bersama pada antarmuka jaringan Elastic (ENI), minimum kuota pemilik dan peserta berlaku.

Contoh untuk menunjukkan bagaimana kuota dipengaruhi oleh fitur ini:
+ Kuota akun pemilik: 4 grup keamanan per antarmuka
+ Kuota akun peserta: 5 grup keamanan per antarmuka.
+ Pemilik berbagi grup SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 dengan peserta. Peserta sudah memiliki grup mereka sendiri di VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Jika peserta membuat ENI dan hanya menggunakan grup milik mereka, mereka dapat mengaitkan semua 5 grup keamanan (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) karena itulah kuota mereka.
+ Jika peserta membuat ENI dan menggunakan grup bersama di dalamnya, mereka hanya dapat mengasosiasikan hingga 4 grup. Dalam hal ini, kuota untuk ENI semacam itu adalah minimum kuota pemilik dan peserta. Kemungkinan konfigurasi yang valid akan terlihat seperti ini:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Bagikan grup keamanan
<a name="share-sg-org"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan berbagi grup keamanan dengan akun lain di Organisasi Anda. AWS CLI 

------
#### [ AWS Management Console ]

**Untuk berbagi grup keamanan**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **Berbagi**.

1. Pilih **Bagikan grup keamanan**.

1. Pilih **Buat berbagi sumber daya**. Akibatnya, AWS RAM konsol terbuka di mana Anda akan membuat pembagian sumber daya untuk grup keamanan.

1. Masukkan **Nama** untuk berbagi sumber daya.

1. Di bawah **Sumber Daya - opsional**, pilih **Grup Keamanan**.

1. Pilih grup keamanan. Grup keamanan tidak dapat menjadi grup keamanan default dan tidak dapat dikaitkan dengan VPC default.

1. Pilih **Berikutnya**.

1. **Tinjau tindakan yang akan diizinkan oleh prinsipal untuk dilakukan dan pilih Berikutnya.**

1. Di bawah **Prinsipal - opsional**, pilih **Izinkan berbagi hanya dalam organisasi** Anda.

1. Di bawah **Prinsipal**, pilih salah satu jenis utama berikut dan masukkan nomor yang sesuai:
   + **AWS akun**: Nomor akun akun di Organisasi Anda.
   + **Organisasi: AWS Organizations** ID.
   + **Unit Organisasi (OU)**: ID OU dalam Organisasi.
   + Peran **IAM: ARN dari peran** IAM. Akun yang membuat peran harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.
   + **Pengguna IAM**: ARN dari pengguna IAM. Akun yang membuat pengguna harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.
   + **Prinsipal layanan**: Anda tidak dapat berbagi grup keamanan dengan kepala layanan.

1. Pilih **Tambahkan**.

1. Pilih **Berikutnya**.

1. Pilih **Buat berbagi sumber daya**.

1. Di bawah **Sumber daya bersama**, tunggu untuk melihat **Status**`Associated`. Jika ada kegagalan asosiasi kelompok keamanan, itu mungkin karena salah satu batasan yang tercantum di atas. Lihat detail grup keamanan dan tab **Berbagi** di halaman detail untuk melihat pesan apa pun yang terkait dengan alasan grup keamanan mungkin tidak dapat dibagikan.

1. Kembali ke daftar grup keamanan konsol VPC.

1. Pilih grup keamanan yang Anda bagikan.

1. Pilih tab **Berbagi**. AWS RAM Sumber daya Anda harus terlihat di sana. Jika tidak, pembuatan pembagian sumber daya mungkin gagal dan Anda mungkin perlu membuatnya kembali.

------
#### [ Command line ]

**Untuk berbagi grup keamanan**

1. Anda harus terlebih dahulu membuat pembagian sumber daya untuk grup keamanan yang ingin Anda bagikan AWS RAM. Untuk langkah-langkah tentang cara membuat berbagi sumber daya dengan AWS RAM menggunakan AWS CLI, lihat [Membuat berbagi sumber daya AWS RAM di](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Panduan AWS RAM Pengguna* 

1. Untuk melihat asosiasi berbagi sumber daya yang dibuat, gunakan [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Kelompok keamanan sekarang dibagikan. Anda dapat memilih grup keamanan saat [meluncurkan instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) di subnet bersama dalam VPC yang sama.

## Berhenti berbagi grup keamanan
<a name="stop-share-sg-org"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan AWS CLI menghentikan berbagi grup keamanan dengan akun lain di Organisasi Anda.

------
#### [ AWS Management Console ]

**Untuk berhenti berbagi grup keamanan**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **Berbagi**.

1. Pilih berbagi sumber daya grup keamanan dan pilih **Berhenti berbagi**.

1. Pilih **Ya, berhenti berbagi**.

------
#### [ Command line ]

**Untuk berhenti berbagi grup keamanan**

Hapus berbagi sumber daya dengan [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Kelompok keamanan tidak lagi dibagikan. Setelah pemilik berhenti berbagi grup keamanan, aturan berikut berlaku: 
+ Peserta yang ada Elastic Network Interfaces (ENIs) terus mendapatkan pembaruan aturan grup keamanan apa pun yang dibuat untuk grup keamanan yang tidak dibagikan. Tidak berbagi hanya mencegah peserta membuat asosiasi baru dengan grup yang tidak dibagikan.
+ Peserta tidak dapat lagi mengaitkan grup keamanan yang tidak dibagikan dengan yang ENIs mereka miliki.
+ Peserta dapat mendeskripsikan dan menghapus ENIs yang masih terkait dengan grup keamanan yang tidak dibagikan.
+ Jika peserta masih ENIs terkait dengan grup keamanan yang tidak dibagikan, pemilik tidak dapat menghapus grup keamanan yang tidak dibagikan. Pemilik hanya dapat menghapus grup keamanan setelah peserta memisahkan (menghapus) grup keamanan dari semua grup keamanan mereka ENIs.
+ Peserta tidak dapat meluncurkan instans EC2 baru menggunakan ENI yang terkait dengan grup keamanan yang tidak dibagikan.