Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kontrol lalu lintas ke AWS sumber daya Anda menggunakan grup keamanan
<a name="vpc-security-groups"></a>

*Grup keamanan* mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan sumber daya yang terkait dengannya. Misalnya, setelah Anda mengaitkan grup keamanan dengan instans EC2, grup ini mengontrol lalu lintas masuk dan keluar untuk instans tersebut.

Saat Anda membuat VPC, VPC dilengkapi dengan grup keamanan default. Anda dapat membuat grup keamanan tambahan untuk VPC, masing-masing dengan aturan masuk dan keluar mereka sendiri. Anda dapat menentukan sumber, rentang port, dan protokol untuk setiap aturan masuk. Anda dapat menentukan tujuan, rentang port, dan protokol untuk setiap aturan keluar.

Diagram berikut menunjukkan VPC dengan subnet, gateway internet, dan grup keamanan. Subnet berisi instance EC2. Grup keamanan ditugaskan ke instance. Grup keamanan bertindak sebagai firewall virtual. Satu-satunya lalu lintas yang mencapai instance adalah lalu lintas yang diizinkan oleh aturan grup keamanan. Misalnya, jika grup keamanan berisi aturan yang memungkinkan lalu lintas ICMP ke instance dari jaringan Anda, maka Anda dapat melakukan ping instance dari komputer Anda. Jika grup keamanan tidak berisi aturan yang memungkinkan lalu lintas SSH, maka Anda tidak dapat terhubung ke instance Anda menggunakan SSH.

![\[VPC dengan 2 subnet, 2 grup keamanan, server dalam subnet yang terkait dengan kelompok keamanan yang berbeda\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/security-group-overview.png)


**Topics**
+ [Dasar-dasar grup keamanan](#security-group-basics)
+ [Contoh grup keamanan](#security-group-example-details)
+ [Aturan-aturan grup keamanan](security-group-rules.md)
+ [Grup keamanan default](default-security-group.md)
+ [Membuat grup keamanan](creating-security-groups.md)
+ [Mengonfigurasi aturan grup keamanan](working-with-security-group-rules.md)
+ [Menghapus grup keamanan](deleting-security-groups.md)
+ [Mengaitkan grup keamanan dengan beberapa VPCs](security-group-assoc.md)
+ [Bagikan grup keamanan dengan AWS Organizations](security-group-sharing.md)

**Harga**  
Tidak ada biaya tambahan untuk menggunakan grup keamanan.

## Dasar-dasar grup keamanan
<a name="security-group-basics"></a>
+ Anda dapat menetapkan grup keamanan ke sumber daya yang dibuat di VPC yang sama dengan grup keamanan atau ke sumber daya VPCs lainnya jika menggunakan fitur [Asosiasi VPC Grup](security-group-assoc.md) Keamanan untuk mengaitkan grup keamanan dengan grup keamanan VPCs lainnya di Wilayah yang sama. Anda juga dapat menetapkan beberapa grup keamanan ke satu sumber daya.
+ Saat Anda membuat grup keamanan, Anda harus memberi nama dan deskripsi untuknya. Aturan-aturan berikut berlaku:
  + Nama grup keamanan harus unik di VPC.
  + Nama grup keamanan tidak peka huruf besar/kecil.
  + Nama dan deskripsi dapat memiliki panjang hingga 255 karakter.
  + Nama dan deskripsi terbatas pada karakter berikut: a-z, A-Z, 0-9, spasi, dan .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
  + Ketika nama berisi spasi tambahan, kami memangkas spasi di akhir nama. Sebagai contoh, jika Anda memasukkan "Grup Keamanan Pengujian " sebagai namanya, maka kami menyimpannya sebagai "Grup Keamanan Pengujian".
  + Nama grup keamanan tidak dapat dimulai dengan`sg-`.
+ Grup keamanan bersifat stateful. Misalnya, jika Anda mengirim permintaan dari instans, lalu lintas respons untuk permintaan tersebut diizinkan untuk mencapai instance terlepas dari aturan grup keamanan masuk. Tanggapan terhadap lalu lintas masuk yang diizinkan diizinkan untuk meninggalkan instance, terlepas dari aturan keluar.
+ Grup keamanan tidak memfilter lalu lintas yang ditujukan ke dan dari yang berikut ini:
  + Layanan Nama Domain Amazon (DNS)
  + Protokol Konfigurasi Host Dinamis (DHCP)
  + Metadata instans Amazon EC2
  + Titik akhir metadata tugas Amazon ECS
  + Aktivasi lisensi untuk instance Windows
  + Layanan Amazon Time Sync
  + Alamat IP yang dicadangkan yang digunakan oleh router VPC default
+ Ada kuota jumlah grup keamanan yang dapat Anda buat per VPC, jumlah aturan yang dapat Anda tambahkan ke setiap grup keamanan, dan jumlah grup keamanan yang dapat Anda kaitkan dengan antarmuka jaringan. Untuk informasi selengkapnya, lihat [Kuota Amazon VPC](amazon-vpc-limits.md).

**Praktik terbaik**
+ Otorisasi hanya prinsipal IAM tertentu untuk membuat dan memodifikasi grup keamanan.
+ Buat jumlah minimum grup keamanan yang Anda butuhkan, untuk mengurangi risiko kesalahan. Gunakan setiap grup keamanan untuk mengelola akses ke sumber daya yang memiliki fungsi dan persyaratan keamanan yang serupa.
+ Saat Anda menambahkan aturan masuk untuk port 22 (SSH) atau 3389 (RDP) sehingga Anda dapat mengakses instans EC2 Anda, otorisasi hanya rentang alamat IP tertentu. Jika Anda menentukan 0.0.0.0/0 (IPv4) dan: :/ (IPv6), ini memungkinkan siapa saja untuk mengakses instance Anda dari alamat IP apa pun menggunakan protokol yang ditentukan.
+ Jangan membuka rentang port yang besar. Pastikan akses melalui setiap port dibatasi pada sumber atau tujuan yang membutuhkannya.
+ Pertimbangkan untuk membuat jaringan ACLs dengan aturan yang mirip dengan grup keamanan Anda, untuk menambahkan lapisan keamanan tambahan ke VPC Anda. Untuk informasi selengkapnya tentang perbedaan antara grup keamanan dan jaringan ACLs, lihat[Bandingkan grup keamanan dan jaringan ACLs](infrastructure-security.md#VPC_Security_Comparison).

## Contoh grup keamanan
<a name="security-group-example-details"></a>

Diagram berikut menunjukkan VPC dengan dua kelompok keamanan dan dua subnet. Instans di subnet A memiliki persyaratan konektivitas yang sama, sehingga terkait dengan grup keamanan 1. Instans di subnet B memiliki persyaratan konektivitas yang sama, sehingga terkait dengan grup keamanan 2. Aturan grup keamanan mengizinkan lalu lintas sebagai berikut:
+ Aturan masuk pertama dalam grup keamanan 1 memungkinkan lalu lintas SSH ke instance di subnet A dari rentang alamat yang ditentukan (misalnya, rentang di jaringan Anda sendiri).
+ Aturan inbound kedua dalam grup keamanan 1 memungkinkan instance di subnet A untuk berkomunikasi satu sama lain menggunakan protokol dan port apa pun.
+ Aturan inbound pertama dalam kelompok keamanan 2 memungkinkan instance di subnet B untuk berkomunikasi satu sama lain menggunakan protokol dan port apa pun.
+ Aturan inbound kedua dalam grup keamanan 2 memungkinkan instance di subnet A untuk berkomunikasi dengan instance di subnet B menggunakan SSH.
+ Kedua grup keamanan menggunakan aturan keluar default, yang memungkinkan semua lalu lintas.

![\[VPC dengan dua grup keamanan dan server dalam dua subnet. Server di subnet A dikaitkan dengan grup keamanan 1. Server di subnet B dikaitkan dengan grup keamanan 2.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/security-group-details.png)


# Aturan-aturan grup keamanan
<a name="security-group-rules"></a>

Aturan grup keamanan mengontrol lalu lintas masuk yang diizinkan untuk mencapai sumber daya yang terkait dengan grup keamanan. Aturan-aturan tersebut juga mengontrol lalu lintas ke luar yang diperbolehkan untuk meninggalkannya.

Anda dapat menambahkan atau menghapus aturan untuk sebuah grup keamanan (juga disebut sebagai *memberikan otorisasi* atau *mencabut* akses masuk atau keluar). Suatu aturan berlaku baik untuk lalu lintas masuk (ingress) atau lalu lintas keluar (egress). Anda dapat memberikan akses ke sumber atau tujuan tertentu.

**Topics**
+ [Dasar-dasar aturan grup keamanan](#security-group-rule-characteristics)
+ [Komponen aturan grup keamanan](#security-group-rule-components)
+ [Referensi kelompok keamanan](#security-group-referencing)
+ [Ukuran grup keamanan](#security-group-size)
+ [Aturan grup keamanan yang kedaluwarsa](#vpc-stale-security-group-rules)

## Dasar-dasar aturan grup keamanan
<a name="security-group-rule-characteristics"></a>

Berikut ini adalah karakteristik dari aturan-aturan grup keamanan:
+ Anda dapat menentukan untuk mengizinkan aturan, tetapi tidak menolak aturan.
+ Saat Anda pertama kali membuat grup keamanan, grup keamanan tersebut tidak memiliki aturan masuk. Oleh karena itu, tidak ada lalu lintas masuk yang diizinkan sampai Anda menambahkan aturan masuk ke grup keamanan.
+ Saat pertama kali membuat grup keamanan, ia memiliki aturan keluar yang memungkinkan semua lalu lintas keluar dari sumber daya. Anda dapat menghapus aturan dan menambahkan aturan keluar yang hanya mengizinkan lalu lintas keluar tertentu. Jika grup keamanan Anda tidak memiliki aturan keluar, lalu lintas keluar tidak diperbolehkan.
+ Saat Anda mengaitkan beberapa grup keamanan dengan sumber daya, aturan dari setiap grup keamanan digabungkan untuk membentuk satu set aturan yang digunakan untuk menentukan apakah akan mengizinkan akses.
+ Saat Anda menambahkan, memperbarui, atau menghapus aturan, perubahan Anda secara otomatis diterapkan ke semua sumber daya yang terkait dengan grup keamanan. Untuk petunjuk, lihat [Mengonfigurasi aturan grup keamanan](working-with-security-group-rules.md).
+ Dampak dari beberapa perubahan aturan dapat bergantung pada cara pelacakan lalu lintas yang digunakan. Untuk informasi selengkapnya, lihat [Pelacakan koneksi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) di *Panduan Pengguna Amazon EC2*.
+ Saat Anda membuat aturan grup keamanan, AWS tetapkan ID unik ke aturan tersebut. Anda dapat menggunakan ID aturan tersebut ketika Anda menggunakan API atau CLI untuk mengubah atau menghapus aturan tersebut.

**Batasan**  
[Grup keamanan tidak dapat memblokir permintaan DNS ke atau dari Resolver Route 53, kadang-kadang disebut sebagai 'alamat IP VPC\$12 '(lihat [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)di Panduan Pengembang *Amazon Route 53*), atau sebagai DNS. AmazonProvided](DHCPOptionSet.md) Untuk memfilter permintaan DNS melalui Resolver Route 53, gunakan [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).

## Komponen aturan grup keamanan
<a name="security-group-rule-components"></a>

Berikut ini adalah komponen aturan grup keamanan masuk dan keluar:
+ **Protocol**: Protokol yang akan diizinkan. Protokol yang paling umum adalah 6 (TCP), 17 (UDP), dan 1 (ICMP).
+ **Port range**: Untuk TCP, UDP, atau protokol kustom, ada rentang port yang diizinkan. Anda dapat menentukan satu nomor port (misalnya, `22`), atau rentang nomor port (misalnya, `7000-8000`).
+ **Tipe dan kode ICMP**: Untuk ICMP, jenis dan kode ICMP. Misalnya, gunakan tipe 8 untuk ICMP Echo Request atau ketik 128 untuk ICMPv6 Echo Request. Untuk informasi selengkapnya, lihat [Aturan untuk Ping/ICMP di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) Pengguna *Amazon* EC2.
+ **Source or destination**: Sumber (aturan ke dalam) atau tujuan (aturan ke luar) untuk lalu lintas yang akan diizinkan. Tentukan satu dari yang berikut ini:
  + Satu IPv4 alamat. Anda harus menggunakan panjang awalan `/32`. Sebagai contoh, `203.0.113.1/32`. 
  + Satu IPv6 alamat. Anda harus menggunakan panjang awalan `/128`. Sebagai contoh, `2001:db8:1234:1a00::123/128`.
  + Berbagai IPv4 alamat, dalam notasi blok CIDR. Misalnya, `203.0.113.0/24`.
  + Berbagai IPv6 alamat, dalam notasi blok CIDR. Sebagai contoh, `2001:db8:1234:1a00::/64`.
  + ID daftar awalan. Sebagai contoh, `pl-1234abc1234abc123`. Untuk informasi selengkapnya, lihat [Daftar prefiks terkelola](managed-prefix-lists.md).
  + ID grup keamanan. Sebagai contoh, `sg-1234567890abcdef0`. Untuk informasi selengkapnya, lihat [Referensi kelompok keamanan](#security-group-referencing).
+ **(Opsional) Deskripsi**: Anda dapat menambahkan deskripsi untuk aturan, yang dapat membantu Anda untuk mengidentifikasinya nanti. deskripsi dapat memiliki panjang hingga 255 karakter. Karakter yang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.

Sebagai contoh, lihat [Aturan grup keamanan untuk kasus penggunaan yang berbeda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) di *Panduan Pengguna Amazon EC2*.

## Referensi kelompok keamanan
<a name="security-group-referencing"></a>

Saat Anda menentukan grup keamanan sebagai sumber atau tujuan aturan, aturan akan memengaruhi semua instance yang terkait dengan grup keamanan. Instance dapat berkomunikasi dalam arah yang ditentukan, menggunakan alamat IP pribadi dari instance, melalui protokol dan port yang ditentukan.

Misalnya, berikut ini mewakili aturan masuk untuk grup keamanan yang mereferensikan grup keamanan sg-0abcdef1234567890. Aturan ini memungkinkan lalu lintas SSH masuk dari instance yang terkait dengan sg-0abcdef1234567890.


| Sumber | Protokol | Rentang port | 
| --- | --- | --- | 
| sg-0abcdef1234567890 | TCP | 22 | 

Saat mereferensikan grup keamanan dalam aturan grup keamanan, perhatikan hal berikut:
+ Anda dapat mereferensikan grup keamanan dalam aturan masuk grup keamanan lain jika salah satu dari berikut ini benar:
  + Grup keamanan dikaitkan dengan VPC yang sama.
  + Ada hubungan mengintip antara VPCs yang terkait dengan kelompok keamanan.
  + Ada gerbang transit antara VPCs yang terkait dengan kelompok keamanan.
+ Anda dapat mereferensikan grup keamanan dalam aturan keluar jika salah satu dari berikut ini benar:
  + Grup keamanan dikaitkan dengan VPC yang sama.
  + Ada hubungan mengintip antara VPCs yang terkait dengan kelompok keamanan.
+ Tidak ada aturan dari grup keamanan yang direferensikan ditambahkan ke grup keamanan yang mereferensikannya.
+ Untuk aturan masuk, instans EC2 yang terkait dengan grup keamanan dapat menerima lalu lintas masuk dari alamat IP pribadi dari antarmuka jaringan untuk instans EC2 yang terkait dengan grup keamanan yang direferensikan.
+ Untuk aturan keluar, instans EC2 yang terkait dengan grup keamanan dapat mengirim lalu lintas keluar ke alamat IP pribadi dari antarmuka jaringan untuk instans EC2 yang terkait dengan grup keamanan yang direferensikan.
+ Kami tidak memberikan otorisasi terhadap kelompok keamanan yang direferensikan dalam tindakan berikut:`AuthorizeSecurityGroupIngress`,, `AuthorizeSecurityGroupEgress``RevokeSecurityGroupIngress`, dan. `RevokeSecurityGroupEgress` Kami hanya memeriksa apakah grup keamanan ada. Ini menghasilkan yang berikut:
  + Menentukan grup keamanan yang direferensikan dalam kebijakan IAM untuk tindakan ini tidak berpengaruh.
  + Ketika grup keamanan yang direferensikan dimiliki oleh akun lain, akun pemilik tidak menerima CloudTrail peristiwa untuk tindakan ini.

**Batasan**

Jika Anda mengonfigurasi rute untuk meneruskan lalu lintas antara dua instans di subnet yang berbeda melalui perangkat middlebox, Anda harus memastikan bahwa grup keamanan untuk kedua instans tersebut mengizinkan lalu lintas mengalir di antara instans. Grup keamanan untuk setiap instance harus mereferensikan alamat IP pribadi dari instance lain atau rentang CIDR dari subnet yang berisi instance lain sebagai sumber. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.

**Contoh**

Diagram berikut menunjukkan VPC dengan subnet di dua Availability Zones, gateway internet, dan Application Load Balancer. Setiap Availability Zone memiliki subnet publik untuk server web dan subnet pribadi untuk server database. Ada grup keamanan terpisah untuk penyeimbang beban, server web, dan server database. Buat aturan grup keamanan berikut untuk mengizinkan lalu lintas.
+ Tambahkan aturan ke grup keamanan penyeimbang beban untuk memungkinkan lalu lintas HTTP dan HTTPS dari internet. Sumbernya adalah 0.0.0.0/0.
+ Tambahkan aturan ke grup keamanan untuk server web untuk mengizinkan lalu lintas HTTP dan HTTPS hanya dari penyeimbang beban. Sumbernya adalah grup keamanan untuk penyeimbang beban.
+ Tambahkan aturan ke grup keamanan untuk server database untuk mengizinkan permintaan database dari server web. Sumbernya adalah grup keamanan untuk server web.

![\[Arsitektur dengan server web dan db, grup keamanan, gateway internet, dan penyeimbang beban\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/security-group-referencing.png)


## Ukuran grup keamanan
<a name="security-group-size"></a>

Jenis sumber atau tujuan menentukan bagaimana setiap aturan diperhitungkan terhadap jumlah maksimum aturan yang dapat Anda miliki per grup keamanan.
+ Aturan yang mereferensikan blok CIDR dihitung sebagai satu aturan.
+ Aturan yang merujuk kelompok keamanan lain dianggap sebagai satu aturan, tidak peduli ukuran kelompok keamanan yang direferensikan.
+ Aturan yang mereferensikan daftar awalan yang dikelola pelanggan dihitung sebagai ukuran maksimum daftar awalan. Misalnya, jika ukuran maksimum daftar awalan Anda adalah 20, aturan yang mereferensikan daftar awalan ini dihitung sebagai 20 aturan.
+ Aturan yang mereferensikan daftar awalan AWS-managed dihitung sebagai bobot daftar awalan. Misalnya, jika bobot daftar awalan adalah 10, aturan yang mereferensikan daftar awalan ini dihitung sebagai 10 aturan. Untuk informasi selengkapnya, lihat [Daftar awalan AWS-terkelola yang tersedia](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).

## Aturan grup keamanan yang kedaluwarsa
<a name="vpc-stale-security-group-rules"></a>

Jika VPC Anda memiliki koneksi peering VPC dengan VPC lain, atau jika VPC menggunakan VPC yang dibagikan oleh akun lain, aturan grup keamanan di VPC Anda dapat mereferensikan grup keamanan di VPC rekan atau VPC bersama tersebut. Hal ini memungkinkan sumber daya yang terkait dengan kelompok keamanan yang direferensikan dan yang terkait dengan kelompok keamanan referensi untuk berkomunikasi satu sama lain. Untuk informasi selengkapnya, lihat [Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan Peering](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) *VPC Amazon*.

Jika Anda memiliki aturan grup keamanan yang mereferensikan grup keamanan di VPC rekan atau VPC bersama dan grup keamanan di VPC bersama dihapus atau koneksi peering VPC dihapus, aturan grup keamanan ditandai sebagai basi. Anda dapat menghapus aturan grup keamanan kedaluwarsa seperti yang Anda lakukan terhadap aturan grup keamanan lainnya.

# Grup keamanan default untuk VPCs
<a name="default-security-group"></a>

Default Anda VPCs dan apa pun VPCs yang Anda buat datang dengan grup keamanan default. Nama grup keamanan default adalah "default”.

Kami menyarankan Anda membuat grup keamanan untuk sumber daya atau grup sumber daya tertentu, bukan menggunakan grup keamanan default. Namun, jika Anda tidak mengaitkan grup keamanan dengan beberapa sumber daya pada saat pembuatan, kami mengaitkannya dengan grup keamanan default. Misalnya, jika Anda tidak menentukan grup keamanan saat meluncurkan instans EC2, kami mengaitkan instance tersebut dengan grup keamanan default untuk VPC-nya.

## Dasar-dasar grup keamanan default
<a name="default-security-group-basics"></a>
+ Anda dapat mengubah aturan untuk grup keamanan default.
+ Anda tidak dapat menghapus grup keamanan default. Jika Anda mencoba menghapus grup keamanan default, kami akan menampilkan kode kesalahan berikut: `Client.CannotDelete`.

## Peraturan default
<a name="default-security-group-default-rules"></a>

Tabel berikut menjelaskan aturan masuk default untuk grup keamanan default.


| Sumber | Protokol | Rentang Port | Deskripsi | 
| --- | --- | --- | --- | 
| sg-1234567890abcdef0  | Semua | Semua | Mengizinkan lalu lintas jalur masuk dari semua sumber daya yang ditetapkan untuk grup keamanan ini. Sumbernya adalah ID dari grup keamanan ini. | 

Tabel berikut menjelaskan aturan keluar default untuk grup keamanan default.


| Destinasi | Protokol | Rentang Port | Deskripsi | 
| --- | --- | --- | --- | 
| 0.0.0.0/0 | Semua | Semua | Memungkinkan semua IPv4 lalu lintas keluar. | 
| ::/0 | Semua | Semua | Memungkinkan semua IPv6 lalu lintas keluar. Aturan ini ditambahkan hanya jika VPC Anda memiliki blok IPv6 CIDR terkait. | 

## Contoh
<a name="default-security-group-example"></a>

Diagram berikut menunjukkan VPC dengan grup keamanan default, gateway internet, dan gateway NAT. Keamanan default hanya berisi aturan defaultnya, dan dikaitkan dengan dua instans EC2 yang berjalan di VPC. Dalam skenario ini, setiap instance dapat menerima lalu lintas masuk dari instance lain di semua port dan protokol. Aturan default tidak mengizinkan instance menerima lalu lintas dari gateway internet atau gateway NAT. Jika instans Anda harus menerima lalu lintas tambahan, sebaiknya Anda membuat grup keamanan dengan aturan yang diperlukan dan mengaitkan grup keamanan baru dengan instans, bukan grup keamanan default.

![\[VPC dengan 2 subnet, grup keamanan default, 2 instans EC2, gateway internet, dan gateway NAT\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/default-security-group.png)


# Buat grup keamanan untuk VPC Anda
<a name="creating-security-groups"></a>

Virtual Private Cloud (VPC) Anda dilengkapi dengan grup keamanan default. Anda dapat membuat grup keamanan tambahan. Grup keamanan hanya dapat digunakan dengan sumber daya di VPC tempat ia dibuat.

Secara default, grup keamanan baru dimulai dengan hanya aturan keluar yang memungkinkan semua lalu lintas meninggalkan sumber daya. Anda harus menambahkan aturan-aturan lain untuk mengizinkan lalu lintas ke dalam atau membatasi lalu lintas ke luar. Anda dapat menambahkan aturan saat membuat grup keamanan atau nanti. Untuk informasi selengkapnya, lihat [Aturan-aturan grup keamanan](security-group-rules.md).

**Izin yang diperlukan**

Sebelum memulai, pastikan Anda memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat berikut ini:
+ [Mengelola grup keamanan](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Mengelola aturan grup keamanan](vpc-policy-examples.md#vpc-security-group-rules-iam)

**Untuk membuat grup keamanan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih **Buat grup keamanan**.

1. Masukkan nama dan deskripsi untuk grup keamanan tersebut. Anda tidak dapat mengubah nama dan deskripsi grup keamanan setelah dibuat.

1. Untuk **VPC**, pilih VPC tempat Anda akan membuat sumber daya yang akan Anda kaitkan dengan grup keamanan.

1. (Opsional) Untuk menambahkan aturan masuk, pilih Aturan **masuk**. Untuk setiap aturan, pilih **Tambahkan aturan** dan tentukan protokol, port, dan sumber. Untuk informasi selengkapnya, lihat [Mengonfigurasi aturan grup keamanan](working-with-security-group-rules.md).

1. (Opsional) Untuk menambahkan aturan keluar, pilih Aturan **keluar**. Untuk setiap aturan, pilih **Tambahkan aturan** dan tentukan protokol, port, dan tujuan.

1. (Opsional) Untuk menambahkan tag, pilih **Tambahkan tag baru** dan masukkan kunci tag dan nilai.

1. Pilih **Buat grup keamanan**.

**Untuk membuat grup keamanan menggunakan AWS CLI**  
Gunakan perintah [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).

Sebagai alternatif, Anda dapat membuat grup keamanan baru dengan menyalin yang sudah ada. Saat Anda menyalin grup keamanan, kami secara otomatis menambahkan aturan masuk dan keluar yang sama dengan grup keamanan asli dan menggunakan VPC yang sama dengan grup keamanan asli. Anda dapat memasukkan nama dan deskripsi untuk grup keamanan baru. Anda dapat memilih VPC yang berbeda secara opsional, dan Anda dapat memodifikasi aturan masuk dan keluar sesuai kebutuhan. Namun, Anda tidak dapat menyalin grup keamanan dari satu Wilayah ke Wilayah lain.

**Untuk membuat grup keamanan berdasarkan yang sudah ada**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih grup keamanan.

1. Pilih **Tindakan**, **Salin ke grup keamanan baru**.

1. Masukkan nama dan deskripsi untuk grup keamanan tersebut.

1. (Opsional) Pilih VPC yang berbeda jika diperlukan.

1. (Opsional) Tambahkan, hapus, atau edit aturan grup keamanan sesuai kebutuhan.

1. Pilih **Buat grup keamanan**.

# Mengonfigurasi aturan grup keamanan
<a name="working-with-security-group-rules"></a>

Setelah membuat grup keamanan, Anda dapat menambahkan, memperbarui, dan menghapus aturan grup keamanannya. Saat Anda menambahkan, memperbarui, atau menghapus aturan, perubahan secara otomatis diterapkan ke sumber daya yang terkait dengan grup keamanan.

**Izin yang diperlukan**  
Sebelum memulai, pastikan Anda memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat [Mengelola aturan grup keamanan](vpc-policy-examples.md#vpc-security-group-rules-iam).

**Protokol dan port**
+ Dengan konsol, ketika Anda memilih jenis yang telah ditentukan, **Protokol** dan **rentang Port** ditentukan untuk Anda. Untuk memasukkan rentang port, Anda harus memilih salah satu dari jenis kustom berikut: **TCP Kustom** atau **UDP Kustom**.
+ Dengan itu AWS CLI, Anda dapat menambahkan satu aturan dengan satu port menggunakan `--port` opsi `--protocol` dan. Untuk menambahkan beberapa aturan, atau aturan dengan rentang port, gunakan `--ip-permissions` opsi sebagai gantinya.

**Sumber dan tujuan**
+ Dengan konsol, Anda dapat menentukan yang berikut ini sebagai sumber untuk aturan masuk atau tujuan untuk aturan keluar:
  + **Kustom** — Blok IPv4 CIDR, blok IPv6 CIDR, grup keamanan, atau daftar awalan.
  + **Di mana saja- IPv4** - Blok CIDR 0.0.0.0/0 IPv4 .
  + **Di mana saja- IPv6** - Blok IPv6 CIDR: :/0.
  + **IP saya** — IPv4 Alamat publik komputer lokal Anda.
+ Dengan AWS CLI, Anda dapat menentukan blok IPv4 CIDR menggunakan `--cidr` opsi atau grup keamanan menggunakan `--source-group` opsi. Untuk menentukan daftar awalan atau blok IPv6 CIDR, gunakan opsi. `--ip-permissions`

**Awas**  
Jika Anda memilih **Anywhere- IPv4**, Anda mengizinkan lalu lintas dari semua IPv4 alamat. Jika Anda memilih **Anywhere- IPv6**, Anda mengizinkan lalu lintas dari semua IPv6 alamat. Ini adalah praktik terbaik untuk mengotorisasi hanya rentang alamat IP tertentu yang memerlukan akses ke sumber daya Anda.

**Untuk mengonfigurasi aturan grup keamanan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih grup keamanan.

1. Untuk mengedit aturan masuk, pilih **Edit aturan masuk** dari **Tindakan** atau tab Aturan **masuk**.

   1. Untuk menambahkan aturan, pilih **Tambahkan aturan** dan masukkan jenis, protokol, port, dan sumber untuk aturan tersebut.

      Jika jenisnya adalah TCP atau UDP, Anda harus memasukkan rentang port untuk mengizinkan. Untuk ICMP kustom, Anda harus memilih jenis ICMP dari **Protokol**, dan, jika memungkinkan, nama kode dari **Rentang port**. Untuk jenis lainnya, protokol dan rentang port akan dikonfigurasikan untuk Anda.

   1. Untuk memperbarui aturan, ubah protokol, deskripsi, dan sumbernya sesuai kebutuhan. Namun, Anda tidak dapat mengubah jenis sumber. Misalnya, jika sumbernya adalah blok IPv4 CIDR, Anda tidak dapat menentukan blok IPv6 CIDR, daftar awalan, atau grup keamanan.

   1. Untuk menghapus aturan, pilih tombol **Hapus**.

1. Untuk mengedit aturan keluar, pilih **Edit aturan keluar** dari **Tindakan** atau tab Aturan **keluar**.

   1. Untuk menambahkan aturan, pilih **Tambahkan aturan** dan masukkan jenis, protokol, port, dan tujuan untuk aturan tersebut. Anda juga dapat memasukkan deskripsi opsional.

      Jika jenisnya adalah TCP atau UDP, Anda harus memasukkan rentang port untuk mengizinkan. Untuk ICMP kustom, Anda harus memilih jenis ICMP dari **Protokol**, dan, jika memungkinkan, nama kode dari **Rentang port**. Untuk jenis lainnya, protokol dan rentang port akan dikonfigurasikan untuk Anda.

   1. Untuk memperbarui aturan, ubah protokol, deskripsi, dan sumbernya sesuai kebutuhan. Namun, Anda tidak dapat mengubah jenis sumber. Misalnya, jika sumbernya adalah blok IPv4 CIDR, Anda tidak dapat menentukan blok IPv6 CIDR, daftar awalan, atau grup keamanan.

   1. Untuk menghapus aturan, pilih tombol **Hapus**.

1. Pilih **Simpan aturan**.

**Untuk mengonfigurasi aturan grup keamanan menggunakan AWS CLI**
+ **Tambahkan** — Gunakan [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)perintah [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)dan.
+ **Hapus** — Gunakan [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)perintah [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)dan.
+ **Memodifikasi** [— Gunakan perintah [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html), [update-security-group-rule-descriptions-ingress, dan -description-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html). update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)

# Menghapus grup keamanan
<a name="deleting-security-groups"></a>

Setelah selesai dengan grup keamanan yang Anda buat, Anda dapat menghapusnya.

**Persyaratan**
+ Grup keamanan tidak dapat dikaitkan dengan sumber daya apa pun.
+ Grup keamanan tidak dapat direferensikan oleh aturan di grup keamanan lain.
+ Grup keamanan tidak dapat menjadi grup keamanan default untuk VPC.

**Untuk menghapus grup keamanan menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Grup keamanan**.

1. Pilih grup keamanan lalu pilih **Tindakan**, **Hapus Grup Keamanan**.

1. Jika Anda memilih lebih dari satu grup keamanan, Anda akan diminta untuk konfirmasi. Jika beberapa grup keamanan tidak dapat dihapus, kami menampilkan status setiap grup keamanan, yang menunjukkan apakah itu akan dihapus. **Untuk mengonfirmasi penghapusan, masukkan Hapus.**

1. Pilih **Hapus**.

**Untuk menghapus grup keamanan menggunakan AWS CLI**  
Gunakan perintah [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).

# Mengaitkan grup keamanan dengan beberapa VPCs
<a name="security-group-assoc"></a>

Jika Anda memiliki beban kerja yang berjalan di beberapa VPCs yang berbagi persyaratan keamanan jaringan, Anda dapat menggunakan fitur Asosiasi VPC Grup Keamanan untuk mengaitkan grup keamanan dengan VPCs beberapa di Wilayah yang sama. Ini memungkinkan Anda untuk mengelola dan memelihara grup keamanan di satu tempat untuk beberapa VPCs di akun Anda.

![\[Diagram kelompok keamanan yang terkait dengan dua VPCs.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/sec-group-vpc-assoc.png)


Diagram di atas menunjukkan AWS akun A dengan dua VPCs di dalamnya. Masing-masing VPCs memiliki beban kerja yang berjalan di subnet pribadi. Dalam hal ini, beban kerja di subnet VPC A dan B berbagi persyaratan lalu lintas jaringan yang sama, sehingga Akun A dapat menggunakan fitur asosiasi VPC Grup Keamanan untuk mengaitkan grup keamanan di VPC A dengan VPC B. Setiap pembaruan yang dilakukan ke grup keamanan terkait secara otomatis diterapkan ke lalu lintas ke beban kerja di subnet VPC B.

**Persyaratan fitur Asosiasi VPC Grup Keamanan**
+ Anda harus memiliki VPC atau memiliki salah satu subnet VPC yang dibagikan dengan Anda untuk mengaitkan grup keamanan dengan VPC.
+ VPC dan grup keamanan harus berada di Wilayah yang sama AWS .
+ Anda tidak dapat mengaitkan grup keamanan default dengan VPC lain atau mengaitkan grup keamanan dengan VPC default.
+ Baik pemilik grup keamanan dan pemilik VPC dapat melihat asosiasi VPC grup keamanan.

**Layanan yang mendukung fitur ini**
+ Amazon API Gateway ( APIs hanya REST)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
  + Penyeimbang Beban Aplikasi
  + Penyeimbang Beban Jaringan

## Kaitkan grup keamanan dengan VPC lain
<a name="assoc-sg"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan AWS CLI untuk mengaitkan grup keamanan dengan VPCs.

------
#### [ AWS Management Console ]

**Untuk mengaitkan grup keamanan dengan VPC lain**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **asosiasi VPC**.

1. Pilih **Kaitkan VPC**.

1. Di bawah **ID VPC**, pilih VPC untuk diasosiasikan dengan grup keamanan.

1. Pilih **Kaitkan VPC**.

------
#### [ Command line ]

**Untuk mengaitkan grup keamanan dengan VPC lain**

1. Buat asosiasi VPC dengan. [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html)

1. Periksa status asosiasi VPC dengan [describe-security-group-vpc-asosiasi](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) dan tunggu statusnya. `associated`

------

VPC sekarang dikaitkan dengan grup keamanan.

 Setelah Anda mengaitkan VPC dengan grup keamanan, Anda dapat, misalnya, [meluncurkan instance ke VPC dan memilih grup keamanan baru ini atau mereferensikan grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) [ini dalam aturan grup keamanan yang ada](security-group-rules.md#security-group-referencing).

## Putuskan grup keamanan dari VPC lain
<a name="disassoc-sg"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan AWS CLI untuk memisahkan grup keamanan dari VPCs. Anda mungkin ingin melakukan ini jika tujuan Anda adalah menghapus grup keamanan. Grup keamanan tidak dapat dihapus jika mereka terkait. Anda hanya dapat memisahkan grup keamanan jika tidak ada antarmuka jaringan di VPC terkait menggunakan grup keamanan tersebut.

------
#### [ AWS Management Console ]

**Untuk memisahkan grup keamanan dari VPC**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **asosiasi VPC**.

1. Pilih **Putuskan VPC**.

1. Di bawah **ID VPC**, pilih VPC untuk dipisahkan dari grup keamanan.

1. Pilih **Putuskan VPC**.

1. Lihat **Status** pemisahan di tab asosiasi VPC dan tunggu statusnya. `disassociated`

------
#### [ Command line ]

**Untuk memisahkan grup keamanan dari VPC**

1. Putuskan asosiasi VPC dengan. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)

1. Periksa status pemisahan VPC dengan [describe-security-group-vpc-asosiasi](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) dan tunggu statusnya. `disassociated`

------

VPC sekarang terpisah dengan kelompok keamanan.

# Bagikan grup keamanan dengan AWS Organizations
<a name="security-group-sharing"></a>

Fitur Grup Keamanan Bersama memungkinkan Anda berbagi grup keamanan dengan akun AWS Organizations lain dalam AWS Wilayah yang sama dan membuat grup keamanan tersedia untuk digunakan oleh akun tersebut.

Diagram berikut menunjukkan bagaimana Anda dapat menggunakan fitur Grup Keamanan Bersama untuk menyederhanakan pengelolaan grup keamanan di seluruh akun di Organizations AWS Anda:

![\[Diagram berbagi grup keamanan dengan akun lain di subnet VPC bersama.\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/sec-group-sharing.png)


Diagram ini menunjukkan tiga akun yang merupakan bagian dari Organisasi yang sama. Akun A berbagi subnet VPC dengan Akun B dan C. Akun A berbagi grup keamanan dengan Akun B dan C menggunakan fitur Grup Keamanan Bersama. Akun B dan C kemudian menggunakan grup keamanan itu ketika mereka meluncurkan instance di subnet bersama. Ini memungkinkan Akun A untuk mengelola grup keamanan; pembaruan apa pun pada grup keamanan berlaku untuk sumber daya yang telah dijalankan Akun B dan C di subnet VPC bersama.

**Persyaratan fitur Grup Keamanan Bersama**
+ Fitur ini hanya tersedia untuk akun di Organization in AWS Organizations yang sama. [Berbagi sumber daya](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) harus diaktifkan di AWS Organizations.
+ Akun yang berbagi grup keamanan harus memiliki VPC dan grup keamanan. 
+ Anda tidak dapat berbagi grup keamanan default.
+ Anda tidak dapat berbagi grup keamanan yang ada di VPC default.
+ Akun peserta dapat membuat grup keamanan di VPC bersama tetapi mereka tidak dapat berbagi grup keamanan tersebut.
+ Satu set izin minimum diperlukan untuk kepala sekolah IAM untuk berbagi grup keamanan dengan. AWS RAM Gunakan kebijakan IAM yang `AWSResourceAccessManagerFullAccess` dikelola `AmazonEC2FullAccess` dan dikelola untuk memastikan kepala sekolah IAM Anda memiliki izin yang diperlukan untuk berbagi dan menggunakan grup keamanan bersama. Jika Anda menggunakan kebijakan IAM kustom, `ec2:DeleteResourcePolicy` tindakan `c2:PutResourcePolicy` dan tindakan diperlukan. Ini adalah tindakan IAM khusus izin. Jika prinsipal IAM tidak memiliki izin ini diberikan, kesalahan akan terjadi ketika mencoba untuk berbagi grup keamanan menggunakan. AWS RAM

**Layanan yang mendukung fitur ini**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Penyeimbang Beban Aplikasi
  + Penyeimbang Beban Jaringan

**Bagaimana fitur ini memengaruhi kuota yang ada**

[Kuota grup keamanan](amazon-vpc-limits.md#vpc-limits-security-groups) berlaku. Namun, untuk kuota 'Grup keamanan per antarmuka jaringan', jika peserta menggunakan grup milik dan bersama pada antarmuka jaringan Elastic (ENI), minimum kuota pemilik dan peserta berlaku.

Contoh untuk menunjukkan bagaimana kuota dipengaruhi oleh fitur ini:
+ Kuota akun pemilik: 4 grup keamanan per antarmuka
+ Kuota akun peserta: 5 grup keamanan per antarmuka.
+ Pemilik berbagi grup SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 dengan peserta. Peserta sudah memiliki grup mereka sendiri di VPC: SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Jika peserta membuat ENI dan hanya menggunakan grup milik mereka, mereka dapat mengaitkan semua 5 grup keamanan (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5) karena itulah kuota mereka.
+ Jika peserta membuat ENI dan menggunakan grup bersama di dalamnya, mereka hanya dapat mengasosiasikan hingga 4 grup. Dalam hal ini, kuota untuk ENI semacam itu adalah minimum kuota pemilik dan peserta. Kemungkinan konfigurasi yang valid akan terlihat seperti ini:
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## Bagikan grup keamanan
<a name="share-sg-org"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan berbagi grup keamanan dengan akun lain di Organisasi Anda. AWS CLI 

------
#### [ AWS Management Console ]

**Untuk berbagi grup keamanan**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **Berbagi**.

1. Pilih **Bagikan grup keamanan**.

1. Pilih **Buat berbagi sumber daya**. Akibatnya, AWS RAM konsol terbuka di mana Anda akan membuat pembagian sumber daya untuk grup keamanan.

1. Masukkan **Nama** untuk berbagi sumber daya.

1. Di bawah **Sumber Daya - opsional**, pilih **Grup Keamanan**.

1. Pilih grup keamanan. Grup keamanan tidak dapat menjadi grup keamanan default dan tidak dapat dikaitkan dengan VPC default.

1. Pilih **Berikutnya**.

1. **Tinjau tindakan yang akan diizinkan oleh prinsipal untuk dilakukan dan pilih Berikutnya.**

1. Di bawah **Prinsipal - opsional**, pilih **Izinkan berbagi hanya dalam organisasi** Anda.

1. Di bawah **Prinsipal**, pilih salah satu jenis utama berikut dan masukkan nomor yang sesuai:
   + **AWS akun**: Nomor akun akun di Organisasi Anda.
   + **Organisasi: AWS Organizations** ID.
   + **Unit Organisasi (OU)**: ID OU dalam Organisasi.
   + Peran **IAM: ARN dari peran** IAM. Akun yang membuat peran harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.
   + **Pengguna IAM**: ARN dari pengguna IAM. Akun yang membuat pengguna harus menjadi anggota Organisasi yang sama dengan akun yang membuat pembagian sumber daya ini.
   + **Prinsipal layanan**: Anda tidak dapat berbagi grup keamanan dengan kepala layanan.

1. Pilih **Tambahkan**.

1. Pilih **Berikutnya**.

1. Pilih **Buat berbagi sumber daya**.

1. Di bawah **Sumber daya bersama**, tunggu untuk melihat **Status**`Associated`. Jika ada kegagalan asosiasi kelompok keamanan, itu mungkin karena salah satu batasan yang tercantum di atas. Lihat detail grup keamanan dan tab **Berbagi** di halaman detail untuk melihat pesan apa pun yang terkait dengan alasan grup keamanan mungkin tidak dapat dibagikan.

1. Kembali ke daftar grup keamanan konsol VPC.

1. Pilih grup keamanan yang Anda bagikan.

1. Pilih tab **Berbagi**. AWS RAM Sumber daya Anda harus terlihat di sana. Jika tidak, pembuatan pembagian sumber daya mungkin gagal dan Anda mungkin perlu membuatnya kembali.

------
#### [ Command line ]

**Untuk berbagi grup keamanan**

1. Anda harus terlebih dahulu membuat pembagian sumber daya untuk grup keamanan yang ingin Anda bagikan AWS RAM. Untuk langkah-langkah tentang cara membuat berbagi sumber daya dengan AWS RAM menggunakan AWS CLI, lihat [Membuat berbagi sumber daya AWS RAM di](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) *Panduan AWS RAM Pengguna* 

1. Untuk melihat asosiasi berbagi sumber daya yang dibuat, gunakan [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).

------

Kelompok keamanan sekarang dibagikan. Anda dapat memilih grup keamanan saat [meluncurkan instans EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) di subnet bersama dalam VPC yang sama.

## Berhenti berbagi grup keamanan
<a name="stop-share-sg-org"></a>

Bagian ini menjelaskan cara menggunakan Konsol Manajemen AWS dan AWS CLI menghentikan berbagi grup keamanan dengan akun lain di Organisasi Anda.

------
#### [ AWS Management Console ]

**Untuk berhenti berbagi grup keamanan**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi kiri, pilih **Grup keamanan**.

1. Pilih grup keamanan untuk melihat detailnya.

1. Pilih tab **Berbagi**.

1. Pilih berbagi sumber daya grup keamanan dan pilih **Berhenti berbagi**.

1. Pilih **Ya, berhenti berbagi**.

------
#### [ Command line ]

**Untuk berhenti berbagi grup keamanan**

Hapus berbagi sumber daya dengan [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).

------

Kelompok keamanan tidak lagi dibagikan. Setelah pemilik berhenti berbagi grup keamanan, aturan berikut berlaku: 
+ Peserta yang ada Elastic Network Interfaces (ENIs) terus mendapatkan pembaruan aturan grup keamanan apa pun yang dibuat untuk grup keamanan yang tidak dibagikan. Tidak berbagi hanya mencegah peserta membuat asosiasi baru dengan grup yang tidak dibagikan.
+ Peserta tidak dapat lagi mengaitkan grup keamanan yang tidak dibagikan dengan yang ENIs mereka miliki.
+ Peserta dapat mendeskripsikan dan menghapus ENIs yang masih terkait dengan grup keamanan yang tidak dibagikan.
+ Jika peserta masih ENIs terkait dengan grup keamanan yang tidak dibagikan, pemilik tidak dapat menghapus grup keamanan yang tidak dibagikan. Pemilik hanya dapat menghapus grup keamanan setelah peserta memisahkan (menghapus) grup keamanan dari semua grup keamanan mereka ENIs.
+ Peserta tidak dapat meluncurkan instans EC2 baru menggunakan ENI yang terkait dengan grup keamanan yang tidak dibagikan.