All Products
Search
Document Center

API Gateway:Konfigurasikan aturan grup keamanan

Last Updated:Jun 03, 2026

Cloud-native API Gateway dan layanan backend Anda mungkin berada dalam grup keamanan yang berbeda. Tambahkan aturan grup keamanan untuk memberikan akses gateway ke layanan backend Anda.

Latar Belakang

Grup keamanan adalah firewall virtual yang mengontrol lalu lintas inbound dan outbound untuk Instance ECS dan ENI melalui inspeksi dan penyaringan paket stateful. Konfigurasikan aturan grup keamanan untuk mengisolasi domain keamanan di cloud. Ikhtisar grup keamanan.

Saat membuat instans Cloud-native API Gateway, Anda memilih VPC dan tipe grup keamanan. Pilih tipe yang sama dengan layanan backend Anda. Gateway membuat grup keamanan terkelola untuk node instansnya. Karena gateway dan node layanan backend berada dalam grup keamanan yang berbeda, Anda harus menambahkan aturan ke grup keamanan layanan backend untuk mengizinkan akses gateway pada range port yang diperlukan.

Gambar berikut menunjukkan cara Cloud-native API Gateway menggunakan grup keamanan untuk mengontrol akses jaringan dan mengarahkan traffic:

  • Klien mengirim permintaan melalui Cloud-native API Gateway ke jaringan internal.

  • Gateway mengarahkan traffic ke service-sg1 dan service-sg2 berdasarkan aturan routing.

  • Pod di service-sg1 menangani permintaan pada port 8080.

  • Instance ECS di service-sg2 menangani permintaan pada port 80 hingga 9000.

Langkah 1: Temukan security group

Layanan backend untuk Cloud-native API Gateway biasanya dideploy di Container Service for Kubernetes (ACK) atau pada Instance ECS. Temukan ID grup keamanan layanan backend Anda.

Container Service (ACK)

  1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.

  2. Pada halaman Clusters, klik nama kluster Anda. Di panel navigasi kiri, klik Nodes > Node Pools.

  3. Pada halaman Node Pools, klik node target, lalu klik tab Basic Information untuk menemukan ID grup keamanan.

Instance ECS

  1. Masuk ke Konsol ECS.

  2. Di panel navigasi kiri, pilih Instances & Images > Instance.

  3. Pada halaman Instances, klik instance ECS target, lalu klik tab Security Groups untuk menemukan ID grup keamanan.

Langkah 2: Tambahkan aturan security group

  1. Masuk ke Konsol API Gateway.

  2. Di panel navigasi kiri, klik Cloud-native API Gateway > Instance. Di bilah navigasi atas, pilih wilayah.

  3. Pada halaman Instance, klik ID instans target.

  4. Di panel navigasi kiri, klik Overview, lalu klik tab Security Group Authorizations.

  5. Klik Add Security Group Rule. Di kotak teks Security Group ID, tempel ID grup keamanan dari Langkah 1, lalu pilih grup keamanan tersebut.

  6. Masukkan Port Range untuk otorisasi grup keamanan: Port awal/Port akhir.

    Anda dapat memasukkan beberapa range port. Tekan Enter setelah setiap range.

  7. Klik Save.

    • Cloud-native API Gateway membuat aturan yang sesuai.

    • Aturan tersebut juga muncul di grup keamanan node target.

Hapus aturan security group

  1. Masuk ke Konsol API Gateway.

  2. Di panel navigasi kiri, klik Cloud-native API Gateway > Instance. Di bilah navigasi atas, pilih wilayah.

  3. Pada halaman Instance, klik ID instans target.

  4. Klik tab Security Group Authorizations. Temukan aturan yang ingin dihapus, klik Delete di kolom Actions, lalu klik OK.

Penting

Secara default, hanya aturan grup keamanan gateway yang dihapus. Untuk menghapus juga aturan inbound dari grup keamanan node target, pilih The preceding inbound rules in the security group are also deleted.

FAQ

Layanan tidak dapat diakses setelah menambahkan aturan

Periksa hal berikut:

  1. Periksa apakah Anda menambahkan aturan ke grup keamanan yang benar.

    Contohnya, layanan berjalan di Node A, tetapi aturan ditambahkan ke grup keamanan Node B.

  2. Periksa apakah node target termasuk dalam beberapa grup keamanan.

    Jika ya, tambahkan aturan otorisasi ke setiap grup keamanan tersebut.

Layanan yang sebelumnya dapat diakses kini gagal

Periksa hal berikut:

  1. Verifikasi bahwa layanan Anda berjalan dengan benar.

    Jalankan curl dari node lain dalam grup keamanan yang sama untuk memverifikasi konektivitas.

  2. Periksa apakah port yang diekspos oleh layanan Anda telah berubah.

    Contohnya, jika layanan dipindahkan dari port 8080 ke 8081 tetapi aturan hanya mencakup 8080, akses akan gagal. Untuk menghindari hal ini, gunakan range port yang lebih luas seperti 1–65535.