Grup keamanan adalah firewall virtual yang mengontrol lalu lintas inbound dan outbound untuk instans dalam grup tersebut guna meningkatkan keamanannya. Grup keamanan menyediakan inspeksi stateful dan penyaringan paket. Dibandingkan dengan ACL, grup keamanan memungkinkan Anda mengonfigurasi daftar putih maupun blacklist alamat IP serta mendukung aturan yang sesuai dengan Internet Control Message Protocol (ICMP) untuk IPv6. Topik ini menjelaskan kasus penggunaan dan batasan saat menambahkan instans Application Load Balancer (ALB) ke grup keamanan, serta cara menambahkan atau menghapus instans ALB dari grup keamanan.
Kasus penggunaan
Jika instans ALB tidak ditambahkan ke grup keamanan, port listener ALB secara default mengizinkan semua permintaan.
Saat instans ALB ditambahkan ke grup keamanan yang tidak memiliki aturan deny, listener-nya secara default mengizinkan seluruh lalu lintas inbound. Jika Anda hanya ingin mengizinkan akses dari alamat IP tertentu, Anda harus menambahkan aturan deny sebagai catch-all untuk memblokir seluruh lalu lintas lainnya.
Untuk mengizinkan atau menolak akses dari alamat IP tertentu ke instans ALB, lihat Mengonfigurasi daftar putih atau blacklist alamat IP untuk instans ALB menggunakan grup keamanan.
Untuk mengonfigurasi kontrol akses untuk instans ALB berdasarkan protokol atau port, lihat Mengonfigurasi kontrol akses tingkat listener atau tingkat port untuk instans ALB menggunakan grup keamanan.
Jika instans ALB Anda memerlukan Kontrol akses dan Anda ingin mengontrol lalu lintas masuk dari instans ALB, Anda dapat menambahkan grup keamanan ke instans ALB dan mengonfigurasi aturan grup keamanan yang sesuai berdasarkan kebutuhan layanan Anda.
Lalu lintas outbound load balancer terdiri atas tanggapan terhadap permintaan klien. Untuk memastikan layanan Anda berjalan sebagaimana mestinya, grup keamanan instans ALB tidak membatasi lalu lintas outbound. Anda tidak perlu mengonfigurasi aturan outbound untuk grup keamanan tersebut.
Setelah instans ALB dibuat, grup keamanan terkelola secara otomatis dibuat di VPC tempat instans tersebut berada. Grup keamanan ini dikelola oleh instans ALB. Anda hanya memiliki izin tampilan (view-only) untuk grup ini. Grup keamanan terkelola untuk instans ALB mencakup dua jenis aturan grup keamanan berikut:
Aturan dengan prioritas 1: Mengizinkan traffic dari alamat IP lokal instans ALB, untuk komunikasi dengan server backend.
Saat menambahkan aturan grup keamanan, kami menyarankan agar Anda tidak menambahkan aturan deny dengan prioritas 1 untuk alamat IP lokal instans ALB. Hal ini mencegah konflik dengan aturan grup keamanan terkelola. Konflik tersebut dapat mengganggu komunikasi antara instans ALB dan server backend Anda. Anda dapat login ke Application Load Balancer (ALB) console dan melihat alamat IP lokal pada halaman detail instans.
Aturan dengan prioritas 100: Mengizinkan traffic dari semua alamat IP. Artinya, jika instans ALB ditambahkan ke grup keamanan dan tidak ada aturan deny yang dikonfigurasi, listener instans ALB secara default mengizinkan seluruh lalu lintas inbound.
Grup keamanan dasar atau grup keamanan tingkat lanjut memiliki aturan default implisit yang menolak seluruh traffic lainnya. Dalam kasus ini, aturan izin default dari grup keamanan terkelola untuk instans ALB memiliki prioritas lebih tinggi.
Batasan
Instans ALB yang telah di-upgrade mendukung kontrol akses menggunakan grup keamanan atau ACL. Instans ALB generasi sebelumnya hanya mendukung ACL. Untuk menggunakan grup keamanan, buat instans baru atau hubungi account manager Anda untuk meminta peningkatan instans yang sudah ada.
Kategori | Jenis grup keamanan | Deskripsi |
ALB-supported security groups |
|
Untuk informasi lebih lanjut tentang grup keamanan dasar dan tingkat lanjut, lihat Basic and advanced security groups. |
ALB-unsupported security groups | managed security group | Untuk informasi lebih lanjut tentang managed security groups, lihat Managed security groups. |
Perbandingan fitur
Baik ACL maupun grup keamanan mengontrol traffic berdasarkan daftar putih dan blacklist alamat IP. Tabel berikut membandingkan fitur dan batasan ACL serta grup keamanan untuk instans ALB.
Fitur | ACL | Grup keamanan |
Cakupan konfigurasi | Listener |
|
Whitelist dan blacklist | Listener hanya mendukung daftar putih atau blacklist, tetapi tidak keduanya sekaligus. | Instans atau listener mendukung daftar putih dan blacklist secara bersamaan. |
Versi alamat IP | Mendukung alamat IPv4. | Mendukung alamat IPv4 dan IPv6. |
Batasan | Untuk informasi lebih lanjut tentang batasan ACL, lihat Limitations. | Untuk informasi lebih lanjut tentang batasan grup keamanan, lihat Limitations. |
Prasyarat
Anda telah membuat instans ALB dan mengonfigurasi listener untuk instans tersebut. Untuk informasi lebih lanjut, lihat Create and manage an ALB instance.
Anda telah membuat grup keamanan dan menambahkan aturan grup keamanan. Untuk informasi lebih lanjut, lihat Create a security group dan Add a security group rule.
Menambahkan instans ALB ke grup keamanan
Anda dapat menambahkan instans ALB ke grup keamanan untuk mengizinkan atau menolak akses publik atau privat ke instans ALB.
Login ke ALB console.
Di bilah navigasi atas, pilih wilayah tempat instans ALB ditempatkan.
Pada halaman Instances, temukan instans tersebut dan klik ID-nya.
Pada halaman detail instans, klik tab Security Groups, lalu klik Create Security Group.
Pada kotak dialog Add ALB to Security Group, pilih satu atau beberapa grup keamanan, lalu klik OK.
Untuk membuat grup keamanan baru, klik Create Security Group dari daftar drop-down Security Groups. Untuk informasi lebih lanjut, lihat Create a security group.
Di panel kiri, klik ID grup keamanan untuk melihat aturannya pada tab Inbound dan Outbound.
Untuk mengubah aturan inbound grup keamanan, klik Security Group ID di bagian Basic Information, atau klik ECS Console di pojok kanan atas tab Security Groups. Anda akan dialihkan ke halaman detail grup keamanan. Untuk informasi lebih lanjut tentang cara mengubah aturan grup keamanan di Konsol ECS, lihat Modify security group rules.
Menghapus grup keamanan dari instans ALB
Anda dapat menghapus grup keamanan dari instans ALB. Konsol tidak mendukung penghapusan beberapa grup keamanan sekaligus.
Login ke ALB console.
Di bilah navigasi atas, pilih wilayah tempat instans ALB ditempatkan.
Pada halaman Instances, temukan instans tersebut dan klik ID-nya.
Pada halaman detail instans, klik tab Security Groups. Di panel kiri, klik ID grup keamanan yang ingin Anda hapus, lalu klik Remove di pojok kanan atas.
Pada kotak dialog Remove, klik OK.
Referensi
Tutorial produk
Untuk informasi lebih lanjut tentang grup keamanan, lihat Security groups.
Untuk mengonfigurasi kontrol akses tingkat listener atau tingkat port untuk instans ALB, lihat Configure listener-level or port-level access control for an ALB instance using a security group.
Untuk mengizinkan atau menolak akses dari alamat IP tertentu ke instans ALB, lihat Configure an IP address whitelist or blacklist for an ALB instance using a security group.
Referensi API
LoadBalancerJoinSecurityGroup: menambahkan instans Application Load Balancer ke satu atau beberapa grup keamanan yang sudah ada.
LoadBalancerLeaveSecurityGroup: menghapus grup keamanan dari instans Application Load Balancer.