Kelompok keamanan diklasifikasikan menjadi kelompok keamanan dasar dan kelompok keamanan tingkat lanjut. Keduanya disediakan secara gratis. Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut cocok untuk skenario yang berbeda dan memiliki perbedaan dalam hal kapasitas kelompok keamanan, dukungan untuk aturan kelompok keamanan yang mereferensikan kelompok keamanan sebagai objek otorisasi, dukungan untuk kebijakan interkoneksi internal, serta aturan kontrol akses default. Topik ini menjelaskan karakteristik dan perbedaan antara kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.
Saat mengaitkan Instance ECS atau antarmuka jaringan elastis (ENI) dengan beberapa kelompok keamanan, kelompok keamanan harus dari tipe yang sama. Anda tidak dapat mengaitkan Instance ECS atau ENI dengan kedua jenis kelompok keamanan.
Jumlah alamat IP pribadi per kelompok keamanan
Kapasitas kelompok keamanan diukur berdasarkan jumlah alamat IP pribadi. Saat mengaitkan sumber daya seperti Instance ECS, ENI, dan instance kontainer elastis dengan kelompok keamanan, alamat IP pribadi dari sumber daya tersebut mengonsumsi kapasitas kelompok keamanan. Perhatikan bahwa satu sumber daya mungkin memiliki satu atau lebih alamat IP pribadi.
Tabel berikut menjelaskan perbedaan antara kapasitas kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.
Tipe kelompok keamanan | Jumlah alamat IP pribadi per kelompok keamanan |
Kelompok keamanan dasar |
|
Kelompok keamanan tingkat lanjut | Kelompok keamanan tingkat lanjut dalam VPC dapat memiliki 65.536 alamat IP pribadi. Catatan
|
Dalam VPC, kelompok keamanan tingkat lanjut dapat menampung lebih banyak alamat IP pribadi daripada kelompok keamanan dasar. Jika jumlah alamat IP pribadi dalam kluster melebihi kapasitas kelompok keamanan dasar, kami sarankan menggunakan kelompok keamanan tingkat lanjut untuk kluster tersebut.
Untuk informasi tentang cara memeriksa jumlah alamat IP yang digunakan melalui konsol ECS atau API, lihat Cari Kelompok Keamanan.
Dukungan untuk kelompok keamanan sebagai objek otorisasi
Aturan kelompok keamanan dapat mereferensikan ID kelompok keamanan sebagai objek otorisasi (sumber atau tujuan) untuk mengontrol lalu lintas untuk sumber daya yang terkait dengan kelompok keamanan.
Tipe kelompok keamanan | Dukungan untuk kelompok keamanan sebagai objek otorisasi | Deskripsi |
Kelompok keamanan dasar | Ya | Anda dapat membuat aturan kelompok keamanan yang mereferensikan kelompok keamanan sebagai objek otorisasi dalam kelompok keamanan dasar. Setiap kelompok keamanan dasar dapat berisi hingga 20 aturan kelompok keamanan yang mereferensikan kelompok keamanan sebagai objek otorisasi. Untuk informasi lebih lanjut, lihat bagian Batas kelompok keamanan dari topik "Batas". |
Kelompok keamanan tingkat lanjut | Tidak | Anda tidak dapat membuat aturan kelompok keamanan yang mereferensikan kelompok keamanan sebagai objek otorisasi dalam kelompok keamanan tingkat lanjut, atau mereferensikan kelompok keamanan tingkat lanjut sebagai objek otorisasi dalam aturan kelompok keamanan. |
Dukungan untuk kebijakan interkoneksi internal
Dua kebijakan kontrol akses internal tersedia untuk kelompok keamanan: kebijakan interkoneksi internal yang mengizinkan akses antar Instance ECS dalam kelompok keamanan melalui jaringan internal dan kebijakan isolasi internal yang menolak akses antar Instance ECS dalam kelompok keamanan melalui jaringan internal. Kelompok keamanan dasar mendukung kebijakan interkoneksi internal. Kebijakan interkoneksi internal kelompok keamanan dasar dapat dianggap sebagai aturan Allow khusus yang mereferensikan kelompok keamanan dasar. Anda dapat beralih antara kebijakan interkoneksi internal dan kebijakan isolasi internal untuk mengizinkan atau menolak akses antar Instance ECS dalam kelompok keamanan dasar melalui jaringan internal. Secara default, kelompok keamanan tingkat lanjut menggunakan kebijakan isolasi internal. Anda tidak dapat mengubah kebijakan isolasi internal kelompok keamanan tingkat lanjut menjadi kebijakan interkoneksi internal.
Tipe kelompok keamanan | Dukungan untuk perubahan ke kebijakan interkoneksi internal |
Kelompok keamanan dasar | Ya. Secara default, kelompok keamanan dasar menggunakan internal interconnectivity policy. Catatan Anda dapat memodifikasi kebijakan kontrol akses internal kelompok keamanan dasar di konsol ECS untuk membatasi interkoneksi antar Instance ECS dalam kelompok keamanan melalui jaringan internal guna meningkatkan keamanan jaringan. Untuk informasi lebih lanjut, lihat Modifikasi kebijakan kontrol akses internal kelompok keamanan dasar. |
Kelompok keamanan tingkat lanjut | Tidak. Secara default, kelompok keamanan tingkat lanjut menggunakan internal isolation policy. |
Aturan kontrol akses default
Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut menggunakan aturan kontrol akses default yang berbeda. Kebijakan kontrol akses internal kelompok keamanan dasar memengaruhi aturan kontrol akses default kelompok keamanan. Aturan kontrol akses default kelompok keamanan tidak terlihat dan bekerja bersama aturan kelompok keamanan kustom untuk mengontrol lalu lintas untuk sumber daya terkait.
Nomor seri dalam bagian berikut menunjukkan urutan aturan. Aturan diproses dalam urutan nomor seri yang meningkat. Pemrosesan berlanjut sampai aturan cocok.
Kelompok keamanan dasar
Kelompok keamanan dasar yang menggunakan kebijakan interkoneksi internal
Arah Masuk
Tabel berikut menjelaskan bagaimana aturan kontrol akses default dan aturan kelompok keamanan kustom dalam kelompok keamanan dasar yang menggunakan kebijakan interkoneksi internal diterapkan untuk mengontrol lalu lintas masuk. Lalu lintas yang ditransmisikan antar Instance ECS dalam kelompok keamanan dasar melalui jaringan internal cocok dengan aturan kontrol akses default (Aturan 1) dan diizinkan tanpa memandang aturan kelompok keamanan kustom. Jika lalu lintas masuk tidak cocok dengan Aturan 1 tetapi cocok dengan satu atau lebih aturan kelompok keamanan kustom (Aturan 2), lalu lintas diizinkan atau ditolak berdasarkan tindakan dalam aturan kelompok keamanan kustom. Lalu lintas masuk lainnya cocok dengan aturan kontrol akses default lainnya (Aturan 3) dan ditolak.
Nomor seri
Tipe aturan
Tipe lalu lintas
Tindakan
1
Aturan kontrol akses default
Lalu lintas yang ditransmisikan antar Instance ECS dalam kelompok keamanan dasar melalui jaringan internal
Mengizinkan
2
Aturan kelompok keamanan kustom
Lalu lintas yang cocok dengan satu atau lebih aturan kelompok keamanan kustom
Mengizinkan atau menolak berdasarkan tindakan dalam aturan kelompok keamanan kustom
3
Aturan kontrol akses default
Lalu lintas lainnya
Menolak
Arah Keluar
Tabel berikut menjelaskan bagaimana aturan kontrol akses default dan aturan kelompok keamanan kustom dalam kelompok keamanan dasar yang menggunakan kebijakan interkoneksi internal diterapkan untuk mengontrol lalu lintas keluar. Lalu lintas keluar yang cocok dengan satu atau lebih aturan kelompok keamanan kustom (Aturan 1) dalam kelompok keamanan dasar diizinkan atau ditolak berdasarkan tindakan dalam aturan kelompok keamanan kustom. Lalu lintas keluar lainnya cocok dengan aturan kontrol akses default (Aturan 2) dan diizinkan.
Nomor seri
Tipe aturan
Tipe lalu lintas
Tindakan
1
Aturan kelompok keamanan kustom
Lalu lintas yang cocok dengan satu atau lebih aturan kelompok keamanan kustom
Mengizinkan atau menolak berdasarkan tindakan dalam aturan kelompok keamanan kustom
2
Aturan kontrol akses default
Lalu lintas lainnya
Mengizinkan
Kelompok keamanan dasar yang menggunakan kebijakan isolasi internal
Arah Masuk
Tabel berikut menjelaskan bagaimana aturan kontrol akses default dan aturan kelompok keamanan kustom dalam kelompok keamanan dasar yang menggunakan kebijakan isolasi internal diterapkan untuk mengontrol lalu lintas masuk. Lalu lintas yang ditransmisikan antar Instance ECS dalam kelompok keamanan dasar ditolak. Jika lalu lintas masuk cocok dengan satu atau lebih aturan kelompok keamanan kustom (Aturan 1), lalu lintas diizinkan atau ditolak berdasarkan tindakan dalam aturan kelompok keamanan kustom. Lalu lintas masuk lainnya cocok dengan aturan kontrol akses default (Aturan 2) dan ditolak.
Nomor seri
Tipe aturan
Tipe lalu lintas
Tindakan
1
Aturan kelompok keamanan kustom
Lalu lintas yang cocok dengan satu atau lebih aturan kelompok keamanan kustom
Mengizinkan atau menolak berdasarkan tindakan dalam aturan kelompok keamanan kustom
2
Aturan kontrol akses default
Lalu lintas lainnya
Menolak
Arah Keluar
Aturan dalam kelompok keamanan dasar yang menggunakan kebijakan isolasi internal diterapkan dengan cara yang sama seperti aturan dalam kelompok keamanan dasar yang menggunakan kebijakan konektivitas internal diterapkan untuk mengontrol lalu lintas keluar.
Nomor seri
Tipe aturan
Tipe lalu lintas
Tindakan
1
Aturan kelompok keamanan kustom
Lalu lintas yang cocok dengan satu atau lebih aturan kelompok keamanan kustom
Mengizinkan atau menolak berdasarkan tindakan dalam aturan kelompok keamanan kustom
2
Aturan kontrol akses default
Lalu lintas lainnya
Mengizinkan
Kebijakan kontrol akses internal kelompok keamanan dasar memengaruhi aturan kontrol akses default kelompok keamanan, seperti yang dijelaskan dalam tabel sebelumnya. Saat kelompok keamanan dasar menggunakan kebijakan interkoneksi internal, lalu lintas yang ditransmisikan antar Instance ECS dalam kelompok keamanan melalui jaringan internal secara otomatis diizinkan. Jika Instance ECS dalam kelompok keamanan dasar tidak perlu saling mengakses melalui jaringan internal, kami sarankan mengonfigurasi kebijakan isolasi internal sebagai kebijakan kontrol akses internal kelompok keamanan berdasarkan prinsip hak istimewa minimal.
Kelompok keamanan tingkat lanjut
Arah Masuk
Tabel berikut menjelaskan bagaimana aturan kontrol akses default dan aturan kelompok keamanan kustom dalam kelompok keamanan tingkat lanjut diterapkan untuk mengontrol lalu lintas masuk. Lalu lintas masuk yang cocok dengan satu atau lebih aturan kelompok keamanan kustom (Aturan 1) dalam kelompok keamanan tingkat lanjut diizinkan atau ditolak berdasarkan tindakan dalam aturan kelompok keamanan kustom. Lalu lintas masuk lainnya cocok dengan aturan kontrol akses default (Aturan 2) dan ditolak.
Nomor seri
Tipe aturan
Tipe lalu lintas
Tindakan
1
Aturan kelompok keamanan kustom
Lalu lintas yang cocok dengan satu atau lebih aturan kelompok keamanan kustom
Mengizinkan atau menolak berdasarkan tindakan dalam aturan kelompok keamanan kustom
2
Aturan kontrol akses default
Lalu lintas lainnya
Menolak
Arah Keluar
Tabel berikut menjelaskan bagaimana aturan kontrol akses default dan aturan kelompok keamanan kustom dalam kelompok keamanan tingkat lanjut diterapkan untuk mengontrol lalu lintas keluar. Lalu lintas keluar yang cocok dengan satu atau lebih aturan kelompok keamanan kustom (Aturan 1) dalam kelompok keamanan tingkat lanjut diizinkan atau ditolak berdasarkan tindakan dalam aturan kelompok keamanan kustom. Lalu lintas keluar lainnya cocok dengan aturan kontrol akses default (Aturan 2) dan ditolak.
Nomor seri
Tipe aturan
Tipe lalu lintas
Tindakan
1
Aturan kelompok keamanan kustom
Lalu lintas yang cocok dengan satu atau lebih aturan kelompok keamanan kustom
Mengizinkan atau menolak berdasarkan tindakan dalam aturan grup keamanan kustom.
2
Aturan kontrol akses default
Lalu lintas lainnya
Menolak
Item lainnya
Item | Kelompok keamanan dasar | Kelompok keamanan tingkat lanjut |
Tipe jaringan yang didukung |
| VPC |
Dukungan untuk menambahkan aturan Izinkan atau Tolak ke kelompok keamanan | Ya | Ya |
Dukungan untuk menentukan prioritas aturan kelompok keamanan | Ya | Ya |