All Products
Search
Document Center

Elastic Compute Service:Aturan grup keamanan

Last Updated:Apr 28, 2026

Tentukan aturan kontrol akses inbound dan outbound untuk Instance ECS dalam sebuah security group.

Sebelum menggunakan aturan grup keamanan, perhatikan hal-hal berikut:

  • Dalam VPC, aturan grup keamanan dikategorikan sebagai inbound dan outbound, yang mengontrol lalu lintas jaringan publik maupun internal.

  • Security group bersifat stateful. Sebuah sesi dapat bertahan hingga 910 detik. Setelah koneksi terbentuk, grup keamanan mengizinkan seluruh lalu lintas dalam sesi tersebut. Misalnya, jika paket inbound diizinkan, paket outbound yang sesuai juga diizinkan.

  • Untuk menghindari gangguan pada sesi yang telah terbentuk saat mengganti asosiasi kelompok keamanan dasar, tambahkan terlebih dahulu Instance ECS atau elastic network interface ke grup keamanan baru, tunggu sekitar 10 detik, lalu hapus dari grup lama.

  • Port TCP 25 dibatasi secara default karena alasan keamanan. Gunakan port 465 untuk mengirim email.

  • Grup keamanan tanpa aturan kustom menerapkan aturan default implisit. Kelompok keamanan dasar mengizinkan lalu lintas internal inbound dari instans dalam grup yang sama dan secara default mengizinkan seluruh lalu lintas outbound. Grup keamanan enterprise secara default menolak lalu lintas inbound maupun outbound. Lihat Kelompok keamanan dasar dan enterprise.

  • Kebijakan komunikasi internal kelompok keamanan dasar mengontrol apakah instans dalam grup tersebut dapat saling mengakses melalui jaringan internal. Secara default, komunikasi internal diizinkan. Jika instans tidak memerlukan akses internal satu sama lain, ikuti prinsip least privilege dan atur kebijakan agar mereka terisolasi. Lihat Ubah kebijakan komunikasi internal kelompok keamanan dasar.

  • Saat sebuah instans termasuk dalam beberapa security group, aturan dari semua grup tersebut digabungkan, diurutkan, dan diterapkan bersama aturan default untuk mengizinkan atau menolak lalu lintas. Lihat Kebijakan pencocokan aturan kustom grup keamanan.

  • Aturan grup keamanan memiliki batasan berikut:

    • Elastic network interface dapat dikaitkan dengan maksimal 10 security group.

    • Jumlah total aturan inbound dan outbound di seluruh security group untuk satu elastic network interface tidak boleh melebihi 1.000.

    Lihat Batasan grup keamanan.

    Buat aturan sesederhana mungkin agar tetap dalam batas dan mengurangi kompleksitas. Gunakan fitur health check untuk mendeteksi dan menghapus aturan yang redundan. Lihat Periksa aturan redundan dalam grup keamanan.

Komponen aturan

Aturan kustom grup keamanan terdiri dari komponen-komponen berikut:

  • Protocol type: Protokol jaringan yang akan dicocokkan. Mendukung dua jenis nilai:

    • Nama protokol: TCP, UDP, ICMPv4, ICMPv6, dan GRE.

    • Nomor protokol IP: Bilangan bulat dari 0 hingga 255 sesuai standar IANA. Contohnya, 6 untuk TCP, 17 untuk UDP, 1 untuk ICMPv4, 58 untuk ICMPv6, dan 47 untuk GRE.

      Wilayah yang mendukung pengaturan nomor protokol

      Nama wilayah

      ID wilayah

      Tiongkok (Hohhot)

      cn-huhehaote

      Tiongkok (Qingdao)

      cn-qingdao

      Filipina (Manila)

      ap-southeast-6

      Inggris Raya (London)

      eu-west-1

      Malaysia (Kuala Lumpur)

      ap-southeast-3

      AS (Silicon Valley)

      us-west-1

      Singapura

      ap-southeast-1

  • Port range: Port tujuan. Tentukan rentang port tunggal atau daftar port.

    • Rentang port tunggal: Untuk TCP dan UDP, tentukan rentang yang dipisahkan oleh garis miring (/), seperti 8000/9000 atau 22/22. Untuk protokol lain, atur menjadi -1/-1. Lihat Port umum.

    • Daftar port: Kumpulan port. Aturan ini mengonsumsi entri kuota sebanyak kapasitas maksimum daftar port, bukan jumlah port aktual. Jenis protokol harus TCP atau UDP. Lihat Ikhtisar daftar port.

  • Authorization object: Sumber lalu lintas (inbound) atau tujuan lalu lintas (outbound). Tentukan blok CIDR, alamat IP, security group, atau daftar awalan (prefix list).

    • Alamat IPv4: Misalnya, 192.168.0.100.

    • Blok CIDR IPv4: Misalnya, 192.168.0.0/24.

    • Alamat IPv6: Misalnya, 2408:4321:180:1701:94c7:bc38:3bfa:9. Sistem melakukan normalisasi alamat IPv6, seperti mengubah 2408:180:0000::1 menjadi 2408:180::1.

    • Blok CIDR IPv6: Misalnya, 2408:4321:180:1701::/64. Sistem melakukan normalisasi blok CIDR IPv6, seperti mengubah 2408:4321:180:0000::/64 menjadi 2408:4321:180::/64.

    • ID security group: Berikan akses ke security group dalam akun Anda atau akun lain. Sistem mencocokkan lalu lintas berdasarkan alamat IP privat Instance ECS dalam grup target. Misalnya, memberikan akses ke security group A mengizinkan lalu lintas dari alamat IP privat instans dalam grup A.

    • ID daftar awalan (prefix list): Kumpulan blok CIDR. Aturan ini mengonsumsi entri kuota sebanyak kapasitas maksimum daftar awalan, bukan jumlah blok CIDR aktual. Lihat Ikhtisar daftar awalan.

  • Authorization policy: Aksi yang diterapkan pada lalu lintas yang cocok — Allow atau Deny.

  • Priority: Nilai dari 1 hingga 100. Nilai lebih kecil menunjukkan prioritas lebih tinggi. Aturan diurutkan berdasarkan prioritas terlebih dahulu, lalu berdasarkan kebijakan otorisasi. Lihat Kebijakan pencocokan aturan kustom grup keamanan.

  • Rule direction: Inbound (lalu lintas masuk) atau outbound (lalu lintas keluar).

  • NIC type: Dalam VPC, aturan mengontrol akses jaringan publik maupun internal.

  • Rule ID: ID unik yang dihasilkan sistem untuk setiap aturan. Gunakan ID ini untuk mengubah atau menghapus aturan.

Sebuah aturan mencocokkan lalu lintas berdasarkan jenis protokol, rentang port, dan objek otorisasi, lalu mengizinkan atau menolaknya. Untuk aturan inbound, objek otorisasi mencocokkan alamat sumber; untuk aturan outbound, mencocokkan alamat tujuan. Rentang port mencocokkan port tujuan. Untuk kontrol yang lebih presisi, gunakan aturan quintuple.

Kebijakan pencocokan aturan

Sebuah Instance ECS dapat termasuk dalam satu atau beberapa security group. Untuk menentukan apakah lalu lintas (misalnya, inbound) diizinkan, sistem menerapkan kebijakan pencocokan berikut:

  1. Sistem menggabungkan aturan inbound dari semua security group terkait dan mengurutkannya:

    1. Berdasarkan prioritas (nilai lebih kecil = prioritas lebih tinggi).

    2. Berdasarkan kebijakan otorisasi (Deny didahulukan daripada Allow).

  2. Sistem mengevaluasi lalu lintas terhadap setiap aturan secara berurutan. Saat ditemukan kecocokan, sistem mengizinkan atau menolak lalu lintas sesuai kebijakan otorisasi aturan tersebut.

Security group juga memiliki aturan default implisit. Lihat Kelompok keamanan dasar dan enterprise.

Aturan grup keamanan khusus

Grup keamanan secara default mengizinkan lalu lintas jaringan tertentu dalam skenario tertentu untuk memastikan operasi ECS yang stabil dan fungsionalitas fitur cloud yang tepat. Anda tidak dapat memblokir lalu lintas ini dengan aturan kustom. Skenario tersebut meliputi:

  • Pemeriksaan konektivitas jaringan dalam kondisi tertentu:

    Saat komponen dasar berubah, Alibaba Cloud dapat melakukan probe Ping pada Instance ECS untuk memverifikasi konektivitas jaringan. Grup keamanan secara default mengizinkan lalu lintas probe ini.

  • ICMP (pesan error PMTUD):

    Jika Instance ECS mengirim paket yang melebihi MTU jalur dengan flag DF (Don't Fragment) diaktifkan, instans tersebut menerima pesan error ICMP yang berisi MTU yang benar. Hal ini menginstruksikan instans untuk mengurangi ukuran paketnya. Grup keamanan secara default mengizinkan lalu lintas ini. Lihat Jumbo frames.

  • Trafik SLB:

    Saat Instance SLB (seperti ALB, NLB, atau CLB) meneruskan lalu lintas ke Instance ECS backend, grup keamanan secara default mengizinkan lalu lintas ini. Security group atau ACL Instance SLB yang mengontrol lalu lintas inbound dan outbound.

  • Akses MetaServer:

    MetaServer menyediakan layanan metadata penting untuk Instance ECS. Grup keamanan secara default mengizinkan lalu lintas outbound ke MetaServer (100.100.100.200). Tidak diperlukan aturan tambahan.

Aturan quintuple grup keamanan

Di Konsol, aturan grup keamanan secara default terdiri dari komponen-komponen berikut:

  • Aturan inbound: alamat IP sumber, port tujuan, dan jenis protokol.

  • Aturan outbound: alamat IP tujuan, port tujuan, dan jenis protokol.

Untuk kontrol yang lebih presisi, gunakan API untuk mengonfigurasi aturan quintuple. Aturan quintuple sepenuhnya kompatibel dengan aturan yang ada dan memerlukan lima bidang: alamat IP sumber, port sumber, alamat IP tujuan, port tujuan, dan jenis protokol.

Saat menentukan alamat IP tujuan (inbound) atau alamat IP sumber (outbound) untuk Instance ECS tertentu, gunakan alamat IP privatnya, bukan IP publik atau EIP. IP publik dan EIP merupakan Alamat IP NAT pada gerbang Alibaba Cloud. Grup keamanan beroperasi pada elastic network interface dan mengontrol lalu lintas berdasarkan IP privat.

Sebagai contoh, aturan outbound quintuple berikut mengizinkan lalu lintas TCP dari 172.16.1.0/32 pada port sumber 22 ke 10.0.0.1/32:

Source IP address: 172.16.1.0/32
Source port: 22
Destination IP address: 10.0.0.1/32
Destination port: Unrestricted
Protocol type: TCP

Contoh konfigurasi aturan

Konfigurasikan aturan grup keamanan untuk skenario umum seperti menghosting layanan web atau mengakses instans secara remote: