Untuk memastikan keamanan sumber daya Anda, Anda dapat menggunakan kebijakan kontrol akses untuk mengatur akses ke sumber daya tersebut dan hanya mengizinkan pengguna berwenang untuk mengaksesnya. Topik ini menjelaskan fitur kontrol akses dari Server Load Balancer (SLB).
Ikhtisar
Berikut adalah jenis-jenis kebijakan kontrol akses yang didukung oleh SLB:
ACL
Anda dapat mengonfigurasi daftar kontrol akses (ACL) untuk listener Application Load Balancer (ALB) dan Classic Load Balancer (CLB). Buat aturan arah masuk untuk mengizinkan atau menolak permintaan dari klien secara lebih rinci. Anda juga dapat mengonfigurasi daftar putih atau daftar hitam untuk listener yang berbeda.
Untuk informasi lebih lanjut, lihat Kontrol Akses untuk ALB dan Kontrol Akses untuk CLB.
Kelompok Keamanan
Kelompok keamanan berfungsi sebagai firewall virtual untuk mengelola lalu lintas arah masuk dan arah keluar serta meningkatkan keamanan sumber daya. Kelompok keamanan menyediakan kemampuan Inspeksi Paket Berstatus (SPI) dan penyaringan paket.
Anda dapat menambahkan instance ALB dan Network Load Balancer (NLB) ke kelompok keamanan. Jika instance ALB atau NLB memiliki persyaratan kontrol akses dan Anda ingin mengontrol lalu lintas arah masuk ke instance tersebut, tambahkan instance ke kelompok keamanan dan konfigurasikan aturan sesuai kebutuhan bisnis Anda.
ACL
Untuk instance ALB dan CLB, Anda dapat mengonfigurasi daftar putih atau daftar hitam untuk listener yang berbeda:
Sebagai daftar hitam: Semua permintaan dari alamat IP atau blok CIDR dalam ACL ditolak.
Skenario yang berlaku: Blokir semua permintaan dari alamat IP tertentu.
Kelompok keamanan
Sebelum instance ALB atau NLB ditambahkan ke kelompok keamanan, port listener instance tersebut menerima semua permintaan secara default.
Jika instance ALB atau NLB memiliki persyaratan kontrol akses dan Anda ingin mengontrol lalu lintas arah masuk ke instance tersebut, tambahkan instance ke kelompok keamanan dan konfigurasikan aturan sesuai kebutuhan bisnis Anda.
Lalu lintas arah keluar instance ALB atau NLB mengacu pada respons yang dikembalikan ke permintaan pengguna. Untuk memastikan layanan Anda tidak terpengaruh, kelompok keamanan ALB atau NLB tidak membatasi lalu lintas arah keluar. Anda tidak perlu mengonfigurasi aturan arah keluar untuk kelompok keamanan.
Saat instance ALB atau NLB dibuat, sistem secara otomatis membuat kelompok keamanan terkelola di VPC tempat instance ALB atau NLB berada. Kelompok keamanan ini dikendalikan oleh instance ALB atau NLB, sehingga Anda dapat melihat detailnya tetapi tidak dapat melakukan perubahan. Kelompok keamanan terkelola mencakup jenis aturan kelompok keamanan berikut:
Aturan dengan prioritas 1: Aturan ini mengizinkan alamat IP lokal yang digunakan oleh instance ALB atau NLB untuk memungkinkan komunikasi antara instance dan server backend-nya, serta untuk pemeriksaan kesehatan.
Kami merekomendasikan agar tidak menambahkan aturan kelompok keamanan dengan prioritas 1 yang menolak alamat IP lokal instance ALB atau NLB untuk menghindari konflik, karena konflik tersebut dapat mengganggu komunikasi antara instance ALB atau NLB dan server backend. Anda dapat masuk ke konsol ALB atau konsol NLB untuk memeriksa alamat IP lokal instance ALB atau NLB Anda.
Aturan dengan prioritas 100: Aturan ini mengizinkan semua alamat IP. Tanpa adanya aturan penolakan yang dikonfigurasi, instance ALB atau NLB dalam kelompok keamanan ini memeriksa semua permintaan menggunakan listener-nya.
aturan kontrol akses default (yang tidak terlihat) dari kelompok keamanan dasar atau kelompok keamanan tingkat lanjut mencakup aturan yang menolak semua permintaan. Dalam hal ini, aturan izin default dalam kelompok keamanan terkelola untuk instance ALB atau NLB berlaku.
Untuk informasi lebih lanjut tentang konfigurasi kelompok keamanan ALB, lihat:
Gunakan Kelompok Keamanan untuk Mengontrol Akses Berdasarkan Port
Gunakan Kelompok Keamanan sebagai Daftar Hitam atau Daftar Putih
Untuk informasi lebih lanjut tentang konfigurasi kelompok keamanan NLB, lihat: