Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Dasar-dasar VPC BPA
<a name="security-vpc-bpa-basics"></a>

Bagian ini mencakup detail penting tentang VPC BPA, termasuk layanan mana yang mendukungnya dan bagaimana Anda dapat bekerja dengannya.

**Topics**
+ [Ketersediaan wilayah](#security-vpc-bpa-reg-avail)
+ [AWS dampak dan dukungan layanan](#security-vpc-bpa-service-support)
+ [Batasan VPC BPA](#security-vpc-bpa-limits)
+ [Kontrol akses ke VPC BPA dengan kebijakan IAM](#security-vpc-bpa-iam-example)
+ [Aktifkan mode dua arah VPC BPA untuk akun Anda](#security-vpc-bpa-enable-bidir)
+ [Ubah mode BPA VPC menjadi hanya masuk](#security-vpc-bpa-ingress-only)
+ [Membuat dan menghapus pengecualian](#security-vpc-bpa-exclusions)
+ [Aktifkan BPA VPC di tingkat Organisasi](#security-vpc-bpa-exclusions-orgs)

## Ketersediaan wilayah
<a name="security-vpc-bpa-reg-avail"></a>

VPC BPA tersedia di semua [AWS Wilayah komersial termasuk dan Wilayah](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/) GovCloud Tiongkok.

Dalam panduan ini, Anda juga akan menemukan informasi tentang penggunaan Network Access Analyzer dan Reachability Analyzer dengan VPC BPA. Perhatikan bahwa Network Access Analyzer dan Reachability Analyzer tidak tersedia di semua Wilayah komersial. [https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)

## AWS dampak dan dukungan layanan
<a name="security-vpc-bpa-service-support"></a>

Sumber daya dan layanan berikut mendukung VPC BPA dan lalu lintas ke layanan dan sumber daya ini dipengaruhi oleh VPC BPA:
+ **Internet gateway**: Semua lalu lintas masuk dan keluar diblokir.
+ **Gateway internet khusus Egress**: Semua lalu lintas keluar diblokir. Gateway internet khusus Egress tidak mengizinkan lalu lintas masuk.
+ **Gateway Load Balancer (GWLB)**: Semua lalu lintas masuk dan keluar diblokir kecuali subnet yang berisi titik akhir GWLB dikecualikan.
+ **Gateway NAT**: Semua lalu lintas masuk dan keluar diblokir. Gateway NAT membutuhkan gateway internet untuk konektivitas internet.
+ **Network Load Balancer yang menghadap ke Internet**: Semua lalu lintas masuk dan keluar diblokir. Network Load Balancer yang menghadap ke internet memerlukan gateway internet untuk konektivitas internet.
+ **Application Load Balancer yang menghadap ke Internet**: Semua lalu lintas masuk dan keluar diblokir. Penyeimbang Beban Aplikasi yang menghadap ke Internet memerlukan gateway internet untuk konektivitas internet.
+ **Amazon CloudFront VPC Origins**: Semua lalu lintas masuk dan keluar diblokir.
+ **Direct Connect**Semua lalu lintas masuk dan keluar yang menggunakan antarmuka virtual publik ( IPv6 alamat unicast publik IPv4 atau global) diblokir. Lalu lintas ini menggunakan gateway internet (atau egress-only internet-gateway) untuk konektivitas. 
+ **AWS Akselerator Global**: Lalu lintas masuk ke VPCs diblokir, terlepas dari apakah target tersebut dapat diakses dari internet atau tidak.
+ **AWS Network Firewall**: Semua lalu lintas masuk dan keluar diblokir bahkan jika subnet yang berisi titik akhir firewall dikecualikan.
+ **AWS Wavelength gateway operator**: Semua lalu lintas masuk dan keluar diblokir.

Lalu lintas yang terkait dengan konektivitas pribadi, seperti lalu lintas untuk layanan dan sumber daya berikut, tidak diblokir atau dipengaruhi oleh VPC BPA:
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts gerbang lokal
+ AWS Site-to-Site VPN
+ Gateway transit
+ Akses Terverifikasi AWS

  

**penting**  
Jika Anda merutekan lalu lintas masuk dan keluar melalui alat (seperti alat keamanan atau pemantauan pihak ketiga) yang berjalan pada instans EC2 di subnet, saat menggunakan VPC BPA, subnet tersebut harus menjadi pengecualian agar lalu lintas mengalir masuk dan keluar darinya. Subnet lain yang mengirimkan lalu lintas ke subnet alat dan bukan ke gateway internet tidak perlu ditambahkan sebagai pengecualian.
Lalu lintas yang dikirim secara pribadi dari sumber daya di VPC Anda ke layanan lain yang berjalan di VPC Anda, seperti Resolver Route 53, diizinkan bahkan ketika VPC BPA dihidupkan karena tidak melewati gateway internet di VPC Anda. Ada kemungkinan bahwa layanan ini dapat mengajukan permintaan ke sumber daya di luar VPC atas nama Anda, misalnya, untuk menyelesaikan kueri DNS, dan dapat mengekspos informasi tentang aktivitas sumber daya dalam VPC Anda jika tidak dikurangi melalui kontrol keamanan lainnya.
Jika Anda memiliki penyeimbang beban yang menghadap ke internet dan Anda membuat pengecualian VPC BPA hanya untuk salah satu subnetnya, penyeimbang beban masih dapat menerima lalu lintas publik di subnet yang dikecualikan dan mengarahkannya secara pribadi ke target dalam subnet yang tidak dikecualikan. Untuk memastikan VPC BPA sepenuhnya memblokir akses publik ke target Anda, pastikan tidak ada subnet penyeimbang beban yang dikecualikan.

## Batasan VPC BPA
<a name="security-vpc-bpa-limits"></a>

Mode khusus masuk VPC BPA tidak didukung di Local Zones (LZs) di mana gateway NAT dan gateway internet khusus pintu masuk tidak diizinkan.

## Kontrol akses ke VPC BPA dengan kebijakan IAM
<a name="security-vpc-bpa-iam-example"></a>

Untuk contoh kebijakan IAM yang allow/deny mengakses fitur BPA VPC, lihat. [Memblokir akses publik ke VPCs dan subnet](vpc-policy-examples.md#vpc-bpa-example-iam)

## Aktifkan mode dua arah VPC BPA untuk akun Anda
<a name="security-vpc-bpa-enable-bidir"></a>

Mode dua arah VPC BPA memblokir semua lalu lintas ke dan dari gateway internet dan gateway internet khusus jalan keluar di Wilayah ini (kecuali untuk dikecualikan dan subnet). VPCs Untuk informasi selengkapnya tentang pengecualian, lihat[Membuat dan menghapus pengecualian](#security-vpc-bpa-exclusions).

**penting**  
Kami sangat menyarankan agar Anda meninjau secara menyeluruh beban kerja yang memerlukan akses Internet sebelum mengaktifkan VPC BPA di akun produksi Anda.

**catatan**  
Untuk mengaktifkan VPC BPA pada VPCs dan subnet di akun Anda, Anda harus memiliki dan subnet. VPCs 
Jika saat ini Anda berbagi subnet VPC dengan akun lain, mode BPA VPC yang diberlakukan oleh pemilik subnet juga berlaku untuk lalu lintas peserta, tetapi peserta tidak dapat mengontrol pengaturan BPA VPC yang memengaruhi subnet bersama.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Pilih **Edit setelan akses publik**.

1. Pilih **Aktifkan blokir akses publik** dan **dua arah**, lalu pilih **Simpan** perubahan.

1. Tunggu **Status** berubah menjadi **On**. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan status diperbarui.

Mode dua arah VPC BPA sekarang aktif.

------
#### [ AWS CLI ]

1. Aktifkan VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan status diperbarui.

1. Lihat status VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Ubah mode BPA VPC menjadi hanya masuk
<a name="security-vpc-bpa-ingress-only"></a>

Mode hanya masuk VPC BPA memblokir semua lalu lintas internet ke VPCs dalam Wilayah ini (kecuali untuk VPCs atau subnet yang dikecualikan). Hanya lalu lintas ke dan dari gateway NAT dan gateway internet khusus egres yang diizinkan karena gateway ini hanya memungkinkan koneksi keluar dibuat.

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Pilih **Edit setelan akses publik**.

1. Ubah arah ke **Ingress-only**.

1. Simpan perubahan dan tunggu statusnya diperbarui. Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan status diperbarui.

------
#### [ AWS CLI ]

1. Ubah arah blok VPC BPA:

   ```
   aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
   ```

   Mungkin perlu beberapa menit agar pengaturan VPC BPA berlaku dan status diperbarui.

1. Lihat status VPC BPA:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-options
   ```

------

## Membuat dan menghapus pengecualian
<a name="security-vpc-bpa-exclusions"></a>

Pengecualian VPC BPA adalah mode yang dapat diterapkan ke satu VPC atau subnet yang mengecualikannya dari mode BPA VPC akun dan akan memungkinkan akses dua arah atau egress-only. Anda dapat membuat pengecualian BPA VPC untuk VPCs dan subnet bahkan ketika VPC BPA tidak diaktifkan pada akun untuk memastikan bahwa tidak ada gangguan lalu lintas ke pengecualian ketika VPC BPA dihidupkan. Pengecualian untuk VPC secara otomatis berlaku untuk semua subnet di VPC.

Anda dapat membuat maksimal 50 pengecualian. Untuk informasi tentang meminta kenaikan batas, lihat *pengecualian VPC BPA* per akun di. [Kuota Amazon VPC](amazon-vpc-limits.md)

------
#### [ Konsol Manajemen AWS ]

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Pengaturan**.

1. Di tab **Blokir akses publik**, di bawah **Pengecualian**, lakukan salah satu hal berikut:
   + Untuk menghapus pengecualian, pilih pengecualian lalu pilih **Tindakan** > **Hapus** pengecualian.
   + Untuk membuat pengecualian, pilih **Buat pengecualian** dan lanjutkan dengan langkah selanjutnya.

1. Pilih arah blok: 
   + **Dua arah**: Memungkinkan semua lalu lintas internet ke dan dari yang dikecualikan VPCs dan subnet.
   + **Egress-only**: Memungkinkan lalu lintas internet keluar dari yang dikecualikan dan subnet. VPCs Memblokir lalu lintas internet masuk ke yang dikecualikan VPCs dan subnet. **Pengaturan ini berlaku ketika VPC BPA diatur ke dua arah.**

1. Pilih VPC atau subnet.

1. Pilih **Buat pengecualian.**

1. Tunggu **status Pengecualian** berubah menjadi **Aktif**. Anda mungkin perlu menyegarkan tabel pengecualian untuk melihat perubahannya.

Pengecualian telah dibuat.

------
#### [ AWS CLI ]

1. Ubah arah izin pengecualian:

   ```
   aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
   ```

1. Diperlukan waktu untuk memperbarui status pengecualian. Untuk melihat status pengecualian:

   ```
   aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
   ```

------

## Aktifkan BPA VPC di tingkat Organisasi
<a name="security-vpc-bpa-exclusions-orgs"></a>

Jika Anda menggunakan AWS Organizations untuk mengelola akun di organisasi, Anda dapat menggunakan [kebijakan deklaratif AWS Organizations untuk menerapkan](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html) BPA VPC pada akun di organisasi. *Untuk informasi selengkapnya tentang kebijakan deklaratif VPC BPA, lihat Kebijakan deklaratif yang [didukung di Panduan Pengguna Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access).AWS *

**catatan**  
Anda dapat menggunakan kebijakan deklaratif VPC BPA untuk mengonfigurasi jika pengecualian diizinkan, tetapi Anda tidak dapat membuat pengecualian dengan kebijakan tersebut. Untuk membuat pengecualian, Anda masih harus membuatnya di akun yang memiliki VPC. Untuk informasi selengkapnya tentang membuat pengecualian VPC BPA, lihat. [Membuat dan menghapus pengecualian](#security-vpc-bpa-exclusions)
Jika kebijakan deklaratif VPC BPA diaktifkan, di **Blokir pengaturan akses publik**, Anda akan melihat **Dikelola oleh Kebijakan Deklaratif** dan Anda tidak akan dapat mengubah pengaturan BPA VPC di tingkat akun.