Kelompok keamanan dasar dan advanced berbeda dalam kapasitas alamat IP, otorisasi berbasis kelompok, serta aturan kontrol akses default.
Saat mengaitkan instans ECS atau antarmuka jaringan elastis dengan beberapa security group, semua kelompok tersebut harus bertipe sama. Anda tidak dapat mencampur kelompok keamanan dasar dan advanced pada satu resource.
Kapasitas alamat IP pribadi
Saat Anda mengaitkan resource seperti instans ECS, antarmuka jaringan elastis, atau instans ECI dengan security group, alamat IP pribadi mereka dihitung terhadap kapasitas kelompok tersebut.
Tabel berikut membandingkan kedua tipe tersebut.
|
Jenis kelompok keamanan |
Kapasitas IP pribadi |
|
Basic security group |
VPC: 6.000 Catatan
|
|
Advanced security group |
VPC: 65.536 Catatan
Penggunaan kapasitas didasarkan pada jumlah total ENI (primer dan sekunder) yang dikaitkan dengan security group. |
Advanced security group mendukung lebih banyak resource dibandingkan basic security group di VPC. Gunakan advanced security group untuk kluster besar yang melebihi kapasitas IP kelompok dasar.
Anda dapat melihat penggunaan alamat IP security group di Konsol ECS atau dengan memanggil operasi API.
Otorisasi berbasis kelompok
Aturan security group dapat mengotorisasi akses ke atau dari security group lain dengan mereferensikan ID-nya.
|
Tipe security group |
Otorisasi berdasarkan kelompok |
Deskripsi |
|
Basic security group |
Ya |
Aturan dapat mengotorisasi kelompok keamanan dasar lainnya, hingga maksimal 20 aturan semacam itu. Lihat Batas security group. |
|
Advanced security group |
Tidak |
Aturan tidak dapat menggunakan security group sebagai objek otorisasi. Advanced security group juga tidak dapat menjadi objek otorisasi dalam aturan kelompok lainnya. |
Interkonektivitas internal
Pada basic security group, instans dalam kelompok yang sama dapat saling mengakses melalui jaringan internal secara default. Anda dapat mengubah pengaturan ini dengan memodifikasi kebijakan akses internal. Pada advanced security group, instans diisolasi secara default, dan kebijakan ini tidak dapat diubah.
|
Tipe security group |
Kebijakan akses internal |
|
Basic security group |
Dapat dikonfigurasi. Default: Internal Interconnectivity. Catatan
Untuk membatasi komunikasi antar instans, ubah kebijakan akses internal di Konsol ECS. Lihat Mengubah kebijakan akses internal basic security group. |
|
Advanced security group |
Tidak dapat dikonfigurasi. Tetap: Internal Isolation. |
Aturan kontrol akses default
Basic security group dan advanced security group menerapkan aturan kontrol akses default yang berbeda. Untuk basic security group, kebijakan akses internal menentukan aturan inbound default. Aturan default tak terlihat ini digabungkan dengan aturan kustom Anda untuk mengontrol lalu lintas.
Pada tabel berikut, aturan dievaluasi berdasarkan urutan prioritas menurun (1, 2, 3...).
Basic security group
Interkonektivitas internal
-
Inbound
Dengan interkonektivitas internal, lalu lintas dari instans lain dalam kelompok yang sama diizinkan secara default (Prioritas 1), mengesampingkan aturan kustom. Lalu lintas yang sesuai dengan aturan kustom diizinkan atau ditolak sesuai aksi aturan tersebut (Prioritas 2). Semua lalu lintas lainnya ditolak (Prioritas 3).
Prioritas
Tipe aturan
Jenis lalu lintas
Tindakan
1
Aturan kontrol akses default (tidak terlihat)
Traffic dari instans ECS lain dalam security group yang sama
Allow
2
Aturan kustom
Traffic yang sesuai dengan aturan kustom
Allow atau Deny (tergantung aksi aturan)
3
Aturan kontrol akses default (tidak terlihat)
Semua traffic lainnya
Deny
-
Outbound
Lalu lintas yang sesuai dengan aturan kustom diizinkan atau ditolak sesuai aksi aturan tersebut (Prioritas 1). Semua lalu lintas outbound lainnya diizinkan secara default (Prioritas 2).
Prioritas
Tipe aturan
Jenis lalu lintas
Tindakan
1
Aturan kustom
Traffic yang sesuai dengan aturan kustom
Allow atau Deny (tergantung aksi aturan)
2
Aturan kontrol akses default (tidak terlihat)
Semua traffic lainnya
Allow
Isolasi internal
-
Inbound
Dengan isolasi internal, lalu lintas inbound yang sesuai dengan aturan kustom diizinkan atau ditolak sesuai aksi aturan tersebut (Prioritas 1). Semua lalu lintas inbound lainnya ditolak (Prioritas 2).
Prioritas
Tipe aturan
Jenis Lalu Lintas
Tindakan
1
Aturan kustom
Traffic yang sesuai dengan aturan kustom
Allow atau Deny (tergantung aksi aturan)
2
Aturan kontrol akses default (tidak terlihat)
Semua traffic lainnya
Deny
-
Outbound:
Aturan outbound sama seperti pada interkonektivitas internal.
Prioritas
Tipe aturan
Jenis lalu lintas
Tindakan
1
Aturan kustom
Traffic yang sesuai dengan aturan kustom
Allow atau Deny (tergantung aksi aturan)
2
Aturan kontrol akses default (tidak terlihat)
Semua traffic lainnya
Allow
Kebijakan akses internal memengaruhi aturan inbound default untuk basic security group. Dengan interkonektivitas internal, lalu lintas dari instans lain dalam kelompok yang sama diizinkan secara default. Sebagai praktik terbaik, atur kebijakan ke isolasi internal jika instans tidak perlu saling berkomunikasi.
Advanced security group
-
Inbound:
Lalu lintas inbound yang sesuai dengan aturan kustom diizinkan atau ditolak sesuai aksi aturan tersebut (Prioritas 1). Semua lalu lintas inbound lainnya ditolak secara default (Prioritas 2).
Prioritas
Tipe aturan
Jenis Lalu Lintas
Tindakan
1
Aturan kustom
Traffic yang sesuai dengan aturan kustom
Allow atau Deny (tergantung aksi aturan)
2
Aturan kontrol akses default (tidak terlihat)
Semua traffic lainnya
Deny
-
Outbound:
Lalu lintas outbound yang sesuai dengan aturan kustom diizinkan atau ditolak sesuai aksi aturan tersebut (Prioritas 1). Semua lalu lintas outbound lainnya ditolak secara default (Prioritas 2).
Prioritas
Tipe aturan
Jenis lalu lintas
Aksi
1
Aturan kustom
Traffic yang sesuai dengan aturan kustom
Allow atau Deny (tergantung aksi aturan)
2
Aturan kontrol akses default (tidak terlihat)
Semua traffic lainnya
Deny