Menggunakan kebijakan grup keamanan umum dengan Firewall Manager - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan grup keamanan umum dengan Firewall Manager

Halaman ini menjelaskan cara kerja kebijakan grup keamanan umum Firewall Manager.

Dengan kebijakan grup keamanan umum, Firewall Manager menyediakan asosiasi grup keamanan yang dikendalikan secara terpusat ke akun dan sumber daya di seluruh organisasi Anda. Anda menentukan di mana dan bagaimana menerapkan kebijakan di organisasi Anda.

Anda dapat menerapkan kebijakan grup keamanan umum ke jenis sumber daya berikut:

  • Contoh Amazon Elastic Compute Cloud (Amazon EC2)

  • Antarmuka Jaringan Elastis

  • Penyeimbang Beban Aplikasi

  • Classic Load Balancer

Untuk panduan cara membuat kebijakan grup keamanan umum menggunakan konsol, lihatMembuat kebijakan grup keamanan umum.

Berbagi VPCs

Dalam pengaturan cakupan kebijakan untuk kebijakan grup keamanan umum, Anda dapat memilih untuk menyertakan bersama VPCs. Pilihan ini termasuk VPCs yang dimiliki oleh akun lain dan dibagikan dengan akun dalam lingkup. VPCs bahwa akun dalam ruang lingkup sendiri selalu disertakan. Untuk informasi tentang berbagi VPCs, lihat Bekerja dengan dibagikan VPCs di Panduan Pengguna Amazon VPC.

Peringatan berikut berlaku untuk menyertakan bersama VPCs. Ini adalah tambahan dari peringatan umum untuk kebijakan kelompok keamanan diPeringatan dan batasan kebijakan kelompok keamanan.

  • Firewall Manager mereplikasi grup keamanan utama ke dalam VPCs untuk setiap akun dalam lingkup. Untuk VPC bersama, Firewall Manager mereplikasi grup keamanan utama satu kali untuk setiap akun dalam lingkup tempat VPC dibagikan. Ini dapat menghasilkan beberapa replika dalam satu VPC bersama.

  • Saat membuat VPC bersama baru, Anda tidak akan melihatnya terwakili dalam detail kebijakan grup keamanan Firewall Manager hingga setelah Anda membuat setidaknya satu sumber daya di VPC yang berada dalam cakupan kebijakan.

  • Saat Anda menonaktifkan berbagi VPCs dalam kebijakan yang telah VPCs diaktifkan bersama, di Shared VPCs, Firewall Manager menghapus grup keamanan replika yang tidak terkait dengan sumber daya apa pun. Firewall Manager meninggalkan grup keamanan replika yang tersisa di tempatnya, tetapi berhenti mengelolanya. Penghapusan grup keamanan yang tersisa ini memerlukan manajemen manual di setiap instance VPC bersama.

Kelompok keamanan utama

Untuk setiap kebijakan grup keamanan umum, Anda AWS Firewall Manager menyediakan satu atau beberapa grup keamanan utama:

  • Grup keamanan utama harus dibuat oleh akun administrator Firewall Manager dan dapat berada di instans VPC Amazon apa pun di akun.

  • Anda mengelola grup keamanan utama Anda melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon). EC2 Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

  • Anda dapat memberi nama satu atau beberapa grup keamanan sebagai pendahuluan untuk kebijakan grup keamanan Firewall Manager. Secara default, jumlah grup keamanan yang diizinkan dalam kebijakan adalah satu, tetapi Anda dapat mengirimkan permintaan untuk meningkatkannya. Untuk informasi, lihat AWS Firewall Manager kuota.

Pengaturan aturan kebijakan

Anda dapat memilih satu atau beberapa perilaku kontrol perubahan berikut untuk grup keamanan dan sumber daya kebijakan grup keamanan umum Anda:

  • Identifikasi dan laporkan setiap perubahan yang dibuat oleh pengguna lokal ke grup keamanan replika.

  • Putuskan hubungan kelompok keamanan lain dari AWS sumber daya yang berada dalam lingkup kebijakan.

  • Mendistribusikan tag dari grup utama ke grup keamanan replika.

    penting

    Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan oleh AWS layanan ke dalam grup keamanan replika. Tag sistem dimulai dengan aws: awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan tersebut memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat Kebijakan tag di Panduan AWS Organizations Pengguna.

  • Mendistribusikan referensi grup keamanan dari grup utama ke grup keamanan replika.

    Ini memungkinkan Anda untuk dengan mudah membuat aturan referensi grup keamanan umum di semua sumber daya dalam lingkup ke instance yang terkait dengan VPC grup keamanan yang ditentukan. Saat Anda mengaktifkan opsi ini, Firewall Manager hanya menyebarkan referensi grup keamanan jika grup keamanan mereferensikan grup keamanan rekan di Amazon Virtual Private Cloud. Jika grup keamanan replika tidak mereferensikan grup keamanan sejawat dengan benar, Firewall Manager menandai grup keamanan yang direplikasi ini sebagai tidak sesuai. Untuk informasi tentang cara mereferensikan grup keamanan rekan di Amazon VPC, lihat Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan Peering VPC Amazon.

    Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak menyebarkan referensi grup keamanan ke grup keamanan replika. Untuk informasi tentang mengintip VPC di Amazon VPC, lihat Panduan Peering VPC Amazon.

Pembuatan dan manajemen kebijakan

Saat Anda membuat kebijakan grup keamanan umum, Firewall Manager mereplikasi grup keamanan utama ke setiap instans VPC Amazon dalam cakupan kebijakan, dan mengaitkan grup keamanan yang direplikasi ke akun dan sumber daya yang berada dalam cakupan kebijakan. Saat Anda memodifikasi grup keamanan utama, Firewall Manager menyebarkan perubahan ke replika.

Saat menghapus kebijakan grup keamanan umum, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan tersebut. Untuk grup keamanan umum Firewall Manager, sumber daya ini adalah grup keamanan replika. Pilih opsi pembersihan kecuali Anda ingin mengelola setiap replika secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana.

Bagaimana replika dikelola

Grup keamanan replika dalam instans VPC Amazon dikelola seperti grup keamanan Amazon VPC lainnya. Untuk selengkapnya, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.