全部产品
Search

搜索本产品

    Elastic Compute Service:Menggunakan grup keamanan

    文档中心

    Elastic Compute Service:Menggunakan grup keamanan

    更新时间:Nov 21, 2025

    Grup keamanan berfungsi sebagai firewall virtual untuk instance ECS. Anda dapat mengelola grup keamanan dan aturannya guna menerapkan keamanan jaringan detail halus serta kontrol akses.

    Gambar berikut menunjukkan contoh dua aturan grup keamanan. Satu aturan mengizinkan manajemen jarak jauh instance dari alamat IP tertentu, sedangkan aturan lainnya mencegah instance mengakses situs web berbahaya yang diketahui.

    • Aturan masuk: Mengizinkan alamat IP tertentu (121.XX.XX.XX) mengakses instance melalui Protokol Secure Shell (SSH) (port 22).

    • Aturan keluar: Mencegah instance mengakses alamat IP berbahaya yang diketahui (XX.XX.XX.XX).

    image

    Konfigurasikan grup keamanan untuk instance baru

    1. Buka halaman pembelian instance. Buka halaman Konsol ECS - Custom Launch dan pilih konfigurasi instance yang diinginkan.

    2. Buat grup keamanan. Pada bagian Network & Security, Anda dapat membuat grup keamanan dasar atau enterprise serta menentukan nama.

    3. Konfigurasi cepat aturan umum. Saat membeli instance, konsol menyediakan daftar port dan protokol umum. Anda dapat memilih opsi ini untuk mengizinkan lalu lintas dari semua alamat IP (0.0.0.0/0) mengakses instance baru pada port dan protokol yang ditentukan.

    Saat membuat grup keamanan baru selama pembelian instance, Anda tidak dapat mengonfigurasi aturan detail halus. Anda dapat mengonfigurasi aturan tersebut setelah instance dibuat. Jika Anda menggunakan konfigurasi cepat untuk membuka port manajemen, seperti SSH (22) atau Remote Desktop Protocol (RDP) (3389), Anda harus memodifikasi aturan grup keamanan setelah instance dibuat agar hanya mengizinkan akses dari alamat IP tepercaya.

    1. Modifikasi, tambahkan, atau hapus aturan grup keamanan setelah pembuatan. Setelah membeli instance, Anda dapat menambahkan, memodifikasi, atau menghapus aturan grup keamanan untuk instance baru tersebut. Untuk informasi lebih lanjut, lihat aturan grup keamanan.

    Untuk informasi lebih lanjut tentang cara mengonfigurasi aturan grup keamanan untuk skenario bisnis lainnya, seperti membatasi akses instance dan menerapkan kebijakan keamanan database, lihat Panduan dan contoh penerapan grup keamanan.

    Kelola grup keamanan

    Anda dapat memodifikasi aturan grup keamanan yang dibuat bersama instance ECS. Anda juga dapat membuat dan mengelola grup keamanan secara terpisah dari instance, lalu mengaitkannya dengan instance ECS yang sudah ada.

    Buat grup keamanan

    Konsol

    1. Buka Konsol ECS - Grup Keamanan dan klik Create Security Group.

    2. Tentukan nama grup keamanan dan pilih Virtual Private Cloud.

    3. Anda dapat mengatur Jenis Grup Keamanan menjadi Basic Security Group atau Enterprise Security Group.

    4. Setelah Anda menambahkan aturan grup keamanan ke grup keamanan tersebut, klik OK.

    API

    Panggil CreateSecurityGroup untuk membuat grup keamanan.

    Jika Anda tidak mengonfigurasi aturan untuk grup keamanan dasar baru, aturan default berikut berlaku: Lalu lintas masuk dari instance ECS lain dalam grup keamanan yang sama diizinkan. Semua lalu lintas masuk lainnya ditolak. Semua lalu lintas keluar diizinkan.

    Tambahkan, modifikasi, atau hapus aturan grup keamanan

    Aturan grup keamanan menentukan apakah lalu lintas jaringan masuk dan keluar untuk grup keamanan diizinkan atau ditolak. Saat mengonfigurasi aturan, Anda harus menentukan parameter seperti arah lalu lintas, tujuan, dan prioritas. Aturan grup keamanan bersifat stateful. Anda hanya perlu mengonfigurasi aturan masuk karena grup keamanan secara otomatis mengizinkan lalu lintas respons keluar yang sesuai.

    Konsol

    1. Buka halaman Konsol ECS - Grup Keamanan dan klik ID grup keamanan yang ingin dikelola untuk membuka halaman detailnya.

    2. Konfigurasikan aturan grup keamanan.

      • Tambahkan aturan: Pada halaman detail grup keamanan target, pilih arah aturan dan klik Add Rule.

      • Modifikasi aturan: Di bagian Access Rule pada halaman detail grup keamanan, temukan aturan yang ingin dimodifikasi dan klik Edit di kolom Actions.

      • Hapus aturan: Pada halaman detail grup keamanan target, di bagian Access Rule, temukan aturan tujuan dan klik Delete di kolom Actions.

    API

    Pada tingkat prioritas yang sama, aturan tolak memiliki prioritas lebih tinggi. Untuk beberapa lalu lintas jaringan tertentu, grup keamanan secara default mengizinkan lalu lintas tersebut.
    Peringatan

    • Untuk meningkatkan keamanan, konfigurasikan aturan grup keamanan berdasarkan prinsip hak istimewa minimal. Jangan izinkan akses dari semua alamat IP (0.0.0.0/0 atau ::/0), terutama untuk skenario berisiko tinggi seperti login atau mengelola instance ECS.

    • Jangan langsung memodifikasi grup keamanan di lingkungan produksi. Sebagai gantinya, kloning grup keamanan tersebut dan uji perubahan di lingkungan pengujian untuk memastikan lalu lintas instance tidak terganggu. Setelah memverifikasi perubahan, Anda dapat menerapkannya ke grup keamanan di lingkungan produksi.

    Kaitkan grup keamanan dengan instance

    Saat Anda mengaitkan grup keamanan dengan instance ECS, Anda mengaitkannya dengan antarmuka jaringan elastis primer (ENI) instance tersebut.

    Konsol

    1. Buka halaman Konsol ECS - Instance dan klik ID instance yang ingin dikelola untuk membuka halaman detailnya.

    2. Pada halaman detail instance, beralih ke tab Security Groups. Pada tab ini, klik Change Security Group untuk menambahkan atau menghapus grup keamanan untuk instance tersebut. Jika instance dikaitkan dengan beberapa grup keamanan, aturannya digabungkan dan diterapkan sesuai urutan prioritas.

    API

    Kaitkan grup keamanan dengan ENI sekunder

    Grup keamanan diterapkan pada Antarmuka Jaringan Elastis (ENI) instance ECS. Jika instance memiliki beberapa ENI, Anda dapat mengaitkan grup keamanan berbeda dengannya dan mengonfigurasi aturan grup keamanan berbeda untuk menerapkan kontrol hierarkis atas lalu lintas jaringan internal dan mencapai isolasi layanan.

    Konsol

    1. Buka halaman Konsol ECS - ENI, lalu klik ID ENI sekunder target untuk membuka halaman detailnya.

    2. Klik Change Security Group, pilih grup keamanan yang ingin dikaitkan, lalu klik OK.

    API

    Gunakan daftar prefiks

    Untuk memberikan izin pada beberapa rentang alamat IP, Anda dapat menggunakan daftar prefiks untuk manajemen terpusat. Hal ini menyederhanakan konfigurasi aturan grup keamanan dan meningkatkan efisiensi pemeliharaan batch.

    Konsol

    1. Buat daftar prefiks.

      1. Buka Konsol ECS - Daftar Prefiks.

      2. Pilih tab yang sesuai dan klik Create Prefix List.

        Untuk grup keamanan yang mereferensikan daftar prefiks, jumlah aturan dihitung berdasarkan jumlah maksimum entri yang ditetapkan untuk daftar tersebut.

    2. Pada halaman detail grup keamanan target, tambahkan atau modifikasi aturan di bagian Access Rule:

      1. Atur Source ke `daftar prefiks` dan pilih daftar prefiks yang diinginkan.

    API

    Kloning grup keamanan

    Anda dapat mengkloning grup keamanan untuk membuat beberapa grup keamanan dengan konfigurasi yang sama secara cepat, atau untuk menyalin dan mencadangkan grup keamanan lintas wilayah atau jenis jaringan. Grup keamanan hasil kloning akan muncul dalam daftar grup keamanan di wilayah tujuan.

    1. Buka Konsol ECS - Grup Keamanan. Di kolom Actions untuk grup keamanan target, klik Clone Security Group.

    2. Konfigurasikan parameter untuk grup keamanan baru. Grup keamanan hasil kloning akan muncul dalam daftar grup keamanan di wilayah tujuan.

      • VPC ID: Jenis jaringan grup keamanan baru, yang bisa berupa jaringan klasik atau VPC tertentu.

      • Retain Rules: Jika Anda memilih opsi ini, semua aturan dari grup keamanan sumber akan disalin ke grup keamanan baru. Aturan dengan prioritas lebih besar dari 100 akan diubah menjadi 100.

      • Copy Tags Of This Security Group To Cloned Security Group: Menentukan apakah tag dari grup keamanan sumber akan disalin ke grup keamanan baru.

    Impor dan ekspor aturan

    Anda dapat menggunakan fitur impor dan ekspor untuk mencadangkan, memulihkan, atau memigrasikan aturan.

    Impor aturan

    Aturan grup keamanan yang Anda impor harus memenuhi persyaratan berikut:

    • Format file: JSON atau CSV.

    • Jumlah aturan: Maksimal 200 aturan dapat diimpor sekaligus.

    • Prioritas aturan: 1 hingga 100. Aturan dengan prioritas lebih besar dari 100 akan diabaikan.

    Saat mengimpor aturan lintas wilayah, Anda tidak dapat mengimpor aturan grup keamanan yang objek otorisasinya adalah grup keamanan atau daftar prefiks, atau yang range port-nya adalah daftar port.

    1. Buka Konsol ECS - Grup Keamanan. Pada halaman detail grup keamanan, klik Import Security Group Rules di bagian Access Rule.

    2. Pada halaman Import Security Group Rules, klik Select File untuk memilih file lokal JSON atau CSV, lalu klik OK.

    Jika impor gagal, Anda dapat mengarahkan kursor ke ikon peringatan untuk melihat alasan kegagalannya.

    Ekspor aturan

    Buka Konsol ECS - Grup Keamanan. Pada halaman detail grup keamanan target, klik Export di area Access Rule. File yang diekspor diberi nama dengan format berikut:

    • Format JSON: ecs_${region_id}_${groupID}.json.

      Contoh: Jika ID wilayah adalah cn-qingdao dan ID grup keamanan adalah sg-123, file yang diekspor diberi nama ecs_cn-qingdao_sg-123.json.

    • Format CSV: ecs_sgRule_${groupID}_${region_id}_${time}.csv.

      Contoh: Jika ID wilayah adalah cn-qingdao, ID grup keamanan adalah sg-123, dan tanggal ekspor adalah 2020-01-20, file yang diekspor diberi nama ecs_sgRule_sg-123_cn-qingdao_2020-01-20.csv.

    Hapus grup keamanan

    Peringatan

    Menghapus grup keamanan adalah operasi yang tidak dapat dikembalikan. Semua aturan dalam grup keamanan akan dihapus secara permanen. Sebelum menghapus grup keamanan, pastikan Anda telah mencadangkan konfigurasinya.

    Konsol

    1. Buka Konsol ECS - Grup Keamanan. Di kolom Actions untuk grup keamanan target, klik Delete.

    2. Pada kotak dialog Delete Security Group, konfirmasi informasinya dan klik OK.

      Jika grup keamanan tidak dikaitkan dengan instance ECS atau ENI apa pun, tetapi kotak dialog Delete Security Group masih menampilkan Cannot Be Deleted, Anda dapat mengklik Try To Force Delete.

    API

    Panggil DeleteSecurityGroup untuk menghapus grup keamanan.

    Grup keamanan tidak dapat dihapus dalam skenario berikut:

    • Grup keamanan dikaitkan dengan instance ECS atau ENI. Anda harus memutuskan kaitannya terlebih dahulu.

    • Grup keamanan diotorisasi oleh aturan di grup keamanan lain. Anda harus menghapus aturan otorisasi tersebut terlebih dahulu.

    • Grup keamanan terkelola hanya dapat dilihat dan tidak dapat dihapus.

    • Perlindungan penghapusan diaktifkan. Anda harus menonaktifkan perlindungan penghapusan terlebih dahulu, lalu coba lagi. Jika Anda tidak dapat menonaktifkan perlindungan penghapusan, Anda tidak dapat menghapus grup keamanan tersebut.

      Jika kode kesalahan InvalidOperation.DeletionProtection dikembalikan saat Anda memanggil DeleteSecurityGroupDeletion Protection ditampilkan saat Anda menghapus grup keamanan di konsol, berarti perlindungan penghapusan diaktifkan untuk grup keamanan tersebut.

    Konektivitas jaringan antar instance dalam grup keamanan yang sama

    Secara default, instance ECS dalam grup keamanan dasar yang sama dapat berkomunikasi satu sama lain melalui jaringan internal. Untuk meningkatkan keamanan, Anda dapat mengubah kebijakan akses internal menjadi Isolasi Internal untuk menolak komunikasi antar instance.

    Grup keamanan enterprise tidak mendukung modifikasi kebijakan konektivitas internal.

    • Jika instance dikaitkan dengan beberapa grup keamanan, instance tersebut dapat berkomunikasi dengan instance lain melalui jaringan internal selama setidaknya satu grup keamanan mengizinkan akses internal.

    • Jika kebijakan akses internal grup keamanan diatur untuk menolak akses, Anda masih dapat mengonfigurasi aturan grup keamanan untuk mengizinkan komunikasi antara instance tertentu.

    Konsol

    1. Buka halaman Konsol ECS - Grup Keamanan dan klik ID grup keamanan yang ingin dikelola untuk membuka halaman detailnya.

    2. Pada halaman Security Group Details, di bagian Basic Information, klik Modify Internal Network Connectivity Policy.

    3. Kebijakan konektivitas internal untuk grup keamanan diatur ke Internal Isolation.

    API

    Panggil ModifySecurityGroupPolicy untuk memodifikasi kebijakan konektivitas internal grup keamanan dasar.

    Konektivitas jaringan antar instance dalam grup keamanan berbeda

    Anda dapat mengatur grup keamanan lain sebagai objek otorisasi dalam aturan untuk mengizinkan instance dalam grup keamanan tersebut mengakses instance dalam grup keamanan saat ini melalui jaringan internal. Misalnya, jika Anda mengatur Grup Keamanan B sebagai objek otorisasi untuk aturan masuk Grup Keamanan A, instance dalam Grup Keamanan B dapat mengakses instance dalam Grup Keamanan A melalui jaringan internal.

    Grup keamanan enterprise tidak mendukung aturan yang menentukan grup keamanan lain sebagai objek otorisasi.

    image

    Konsol

    1. Buka halaman Konsol ECS - Grup Keamanan dan klik ID grup keamanan yang ingin dikelola untuk membuka halaman detailnya.

    2. Pada halaman Security Group Details target, pilih arah dan klik Add Rule.

    3. Pada halaman Create Security Group Rule, atur Source ke Security Group atau Cross-account Security Group.

    API

    • Panggil AuthorizeSecurityGroup dan atur parameter SourceGroupId dalam aturan masuk untuk memberikan akses dari grup keamanan yang ditentukan.

    • Panggil AuthorizeSecurityGroupEgress dan atur parameter DestGroupId dalam aturan keluar untuk memberikan akses ke grup keamanan yang ditentukan.

    Saran penerapan produksi

    • Perencanaan grup keamanan

      • Tanggung jawab tunggal: Gunakan grup keamanan terpisah untuk setiap skenario bisnis, seperti layanan web, database, dan cache.

      • Isolasi lingkungan: Gunakan grup keamanan terpisah untuk lingkungan produksi dan pengujian. Jangan mencampurnya.

      • Konvensi penamaan: Gunakan format Lingkungan-Aplikasi-Tujuan-sg, seperti prod-mysql-db-sg.

    • Konfigurasi aturan

      • Hak istimewa minimal: Buka hanya port yang diperlukan ke sumber yang diperlukan. Jangan buka port manajemen, seperti SSH (port 22) dan RDP (port 3389), ke 0.0.0.0/0. Akses ke port-port ini harus dibatasi hanya ke alamat IP statis yang tepercaya.

      • Tolak secara default: Tolak semua lalu lintas masuk secara default. Tambahkan aturan masuk hanya jika diperlukan untuk mengizinkan akses dari sumber tertentu ke port tertentu.

      • Konflik prioritas aturan: Saat instance dikaitkan dengan beberapa grup keamanan, aturan izinkan dengan prioritas lebih rendah akan ditimpa oleh aturan tolak dengan prioritas lebih tinggi. Saat memecahkan masalah konektivitas jaringan, periksa semua grup keamanan yang terkait.

    • Manajemen perubahan

      • Hindari modifikasi langsung di lingkungan produksi: Memodifikasi grup keamanan di lingkungan produksi adalah operasi berisiko tinggi. Sebagai gantinya, kloning grup keamanan tersebut dan uji perubahan di lingkungan pengujian. Setelah memverifikasi bahwa perubahan tidak mengganggu lalu lintas instance, Anda dapat menerapkannya ke grup keamanan di lingkungan produksi.

    Aturan penagihan

    Grup keamanan tidak dikenai biaya.

    Batasan

    Batasan

    Batasan pada grup keamanan dasar

    Batasan pada grup keamanan enterprise

    Jumlah maksimum total grup keamanan untuk satu Akun Alibaba Cloud di wilayah tertentu

    Anda dapat melihat kuota atau mengajukan peningkatan kuota menggunakan ID kuota q_security-groups. Untuk informasi lebih lanjut, lihat Lihat atau tingkatkan kuota Elastic Compute Service.

    Sama seperti untuk grup keamanan dasar.

    Jumlah grup keamanan yang dapat dikaitkan dengan satu ENI

    10

    Sama seperti untuk grup keamanan dasar.

    Jumlah maksimum total aturan (termasuk aturan masuk dan keluar) di semua grup keamanan yang dikaitkan dengan satu ENI

    1.000

    Sama seperti untuk grup keamanan dasar.

    Jumlah aturan dalam satu grup keamanan yang objek otorisasinya adalah grup keamanan

    20

    0. Dalam grup keamanan enterprise, Anda tidak dapat menambahkan aturan yang mengotorisasi grup keamanan lain. Grup keamanan enterprise juga tidak dapat digunakan sebagai objek otorisasi dalam aturan grup keamanan lain.

    Jumlah instance ECS tipe VPC yang dapat dimuat oleh satu grup keamanan tipe VPC

    Tidak tetap. Jumlah ini dipengaruhi oleh jumlah alamat IP privat yang dapat dimuat oleh grup keamanan.

    Tanpa Batas

    Jumlah alamat IP privat yang dapat dimuat oleh satu grup keamanan tipe VPC untuk satu Akun Alibaba Cloud di wilayah tertentu

    6.000

    Catatan

    • Jumlah alamat IP yang digunakan dihitung berdasarkan jumlah alamat IP privat pada ENI (termasuk ENI primer dan sekunder instance) yang dikaitkan dengan grup keamanan. Perhitungan ini mencakup semua jenis alamat IP, seperti IPv4 privat primer, IPv6, IPv4 privat sekunder, prefiks IPv4, dan prefiks IPv6.

    • Jika Anda memiliki lebih dari 6.000 alamat IP privat yang perlu saling mengakses melalui jaringan internal, tambahkan instance ECS yang menggunakan alamat IP privat tersebut ke beberapa grup keamanan, lalu konfigurasikan aturan grup keamanan untuk mengizinkan akses antar grup keamanan.

    • Anda dapat melihat jumlah maksimum alamat IP privat dalam grup keamanan dasar di VPC di Pusat Kuota menggunakan ID kuota q_vpc-normal-security-group-ip-count.

    65.536

    Catatan

    Jumlah alamat IP yang digunakan merepresentasikan total jumlah ENI yang dikaitkan dengan grup keamanan, termasuk antarmuka jaringan primer dan sekunder instance.

    Port akses publik

    Untuk alasan keamanan, port 25 pada instance ECS dibatasi secara default. Kami menyarankan Anda menggunakan port terenkripsi SSL (biasanya port 465) untuk mengirim email.

    Batasan sama seperti pada grup keamanan dasar.

    FAQ

    Apa yang harus saya lakukan jika tidak dapat melakukan ping ke instance? 

    Ketidakmampuan melakukan ping ke instance ECS biasanya karena aturan masuk grup keamanan tidak mengizinkan lalu lintas melalui Protokol Pesan Kontrol Internet (ICMP), yang digunakan oleh perintah ping. Anda dapat menggunakan alat diagnostik aturan grup keamanan untuk mengidentifikasi masalah dengan cepat.

    1. Buka halaman Konsol ECS - Instance, temukan instance tujuan, dan catat ID-nya.

    2. Klik untuk membuka halaman pemecahan masalah mandiri, lalu beralih ke wilayah target.

    3. Pilih Security Group Rule Diagnosis dan klik Initiate Diagnosis.

    4. Pilih ID instance yang telah dicatat dan kartu antarmuka jaringan yang sesuai, lalu klik Start Detection.

      Dalam kebanyakan kasus, instance hanya memiliki satu kartu antarmuka jaringan.

    5. Lihat hasil deteksi. Jika hasilnya menunjukkan bahwa protokol ICMP tidak diizinkan, klik Open Port untuk mengizinkannya.

      Selain ICMP, alat diagnostik juga memeriksa apakah port umum berikut terbuka: 80, 443, 22, 3389, dan 8080.

    6. Jika perintah ping masih gagal, lihat Pemecahan masalah kegagalan ping ke alamat IP publik instance ECS untuk langkah pemecahan masalah lebih lanjut.

    Apa yang harus saya lakukan jika tidak dapat terhubung ke instance atau mengakses layanan? 

    Ketidakmampuan mengakses layanan biasanya karena port yang diperlukan tidak dibuka di grup keamanan. Anda dapat menggunakan alat diagnostik aturan grup keamanan untuk mengidentifikasi masalah dengan cepat.

    1. Buka halaman Konsol ECS - Instance, temukan instance tujuan, dan catat ID-nya.

    2. Klik untuk membuka halaman pemecahan masalah mandiri, lalu beralih ke wilayah target.

    3. Pilih Security Group Rule Diagnosis dan klik Initiate Diagnosis.

    4. Pilih ID instance dan ENI-nya yang sesuai, pilih metode diagnosis untuk port layanan, lalu klik Start Detection untuk melihat hasil diagnosis.

      • Pemeriksaan Cepat: Gunakan metode ini untuk port 80, 443, 22, 3389, atau 8080.

      • Pemeriksaan Kustom: Gunakan metode ini untuk semua port lainnya. Anda harus memberikan informasi berikut:

        • Alamat Sumber: Masukkan alamat IP publik mesin lokal atau klien Anda.

        • Port Tujuan: Nomor port layanan.

        • Jenis Protokol: Pilih protokol yang sesuai dengan port tersebut.

    Apa perbedaan antara grup keamanan dan ACL jaringan (NACL)?

    Atribut

    Grup keamanan

    ACL Jaringan

    Tingkat

    ENI

    Subnet

    Status

    Stateful

    Stateless

    Tujuan

    Firewall detail halus untuk instance

    Kontrol akses batas untuk subnet

    Bagaimana cara mengubah atau menambahkan grup keamanan untuk ENI primer instance?

    Grup keamanan diterapkan pada ENI instance ECS. Grup keamanan yang dikonfigurasi pada tab Grup Keamanan di halaman detail instance adalah grup keamanan untuk ENI primer instance tersebut. Untuk informasi lebih lanjut tentang cara mengubah grup keamanan yang dikaitkan dengan ENI primer, lihat Kaitkan grup keamanan dengan instance.

    Setelah saya mengatur aturan grup keamanan untuk menolak semua lalu lintas, bagaimana cara mengizinkan akses dari layanan internal Alibaba Cloud?

    Tambahkan aturan masuk untuk mengizinkan lalu lintas dari blok CIDR 100.64.0.0/10. Alibaba Cloud menggunakan blok CIDR yang dicadangkan ini untuk melakukan pemeriksaan kesehatan dan memantau ketersediaan instance.

    Referensi