Amazon Virtual Private Cloud - Panduan Pengguna

Amazon Virtual Private CloudPanduan Pengguna

Amazon Virtual Private Cloud Panduan Pengguna

Amazon Virtual Private Cloud: Panduan PenggunaCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Merek dagang dan tampilan dagang Amazon tidak boleh digunakan sehubungan dengan produk atau layanan apa punyang bukan milik Amazon, dengan cara apa pun yang dapat menyebabkan kebingungan antara para pelanggan, ataudengan cara apa pun yang menghina atau mendiskreditkan Amazon. Semua merek dagang lain yang tidak dimilikioleh Amazon merupakan milik dari pemiliknya masing-masing, yang mungkin berafiliasi dengan, terhubung ke, ataudisponsori oleh Amazon.


Table of ContentsApa itu Amazon VPC? ........................................................................................................................ 1

Konsep Amazon VPC ................................................................................................................. 1Mengakses Amazon VPC ............................................................................................................ 1Harga untuk Amazon VPC ........................................................................................................... 2Kuota Amazon VPC .................................................................................................................... 2Kepatuhan PCI DSS ................................................................................................................... 2

Cara Amazon VPC Berfungsi ............................................................................................................... 3VPC dan subnet ......................................................................................................................... 3VPC default dan nondefault ......................................................................................................... 3Tabel rute .................................................................................................................................. 4Mengakses internet ..................................................................................................................... 4Mengakses jaringan perusahaan atau rumah .................................................................................. 7Connect VPC dan jaringan ........................................................................................................... 8Pertimbangan jaringan global privat AWS ....................................................................................... 8Platform yang didukung ............................................................................................................... 9Dokumentasi Amazon VPC .......................................................................................................... 9

Memulai ........................................................................................................................................... 11Overview ................................................................................................................................. 11Langkah 1: Buat VPC ................................................................................................................ 11

Lihat informasi tentang VPC Anda ....................................................................................... 12Langkah 2: Luncurkan instans di VPC Anda ................................................................................. 13Langkah 3: Tetapkan alamat IP Elastic untuk instans Anda ............................................................. 14Langkah 4: Membersihkan ......................................................................................................... 14Langkah selanjutnya .................................................................................................................. 15Memulai dengan IPv6 ................................................................................................................ 15

Langkah 1: Membuat VPC ................................................................................................. 15Langkah 2: Membuat grup keamanan .................................................................................. 18Langkah 3: Luncurkan instans ............................................................................................ 18

Konfigurasi wizard konsol Amazon VPC ...................................................................................... 20VPC dengan sebuah subnet publik tunggal ........................................................................... 20VPC dengan subnet publik dan privat (NAT) ......................................................................... 32VPC dengan subnet publik dan privat dan akses AWS Site-to-Site VPN ..................................... 53VPC dengan subnet khusus privat dan akses AWS Site-to-Site VPN ......................................... 74

Contoh untuk VPC ............................................................................................................................ 81Contoh: Membagikan subnet publik dan subnet privat .................................................................... 82Contoh: Layanan yang menggunakan AWS PrivateLink dan peering VPC .......................................... 82Contoh: Buat VPC IPv4 dan subnet menggunakan AWS CLI ........................................................... 83

Langkah 1: Buat VPC dan subnet ....................................................................................... 83Langkah 2: Jadikan subnet Anda subnet publik ..................................................................... 84Langkah 3: Luncurkan sebuah instance ke subnet Anda ......................................................... 86Langkah 4: Membersihkan ................................................................................................. 88

Contoh: Membuat VPC IPv6 dan subnet menggunakan AWS CLI ..................................................... 88Langkah 1: Buat sebuah VPC dan subnet ............................................................................ 89Langkah 2: Mengonfigurasi subnet publik ............................................................................. 90Langkah 3: Mengonfigurasi subnet pribadi egress-only ........................................................... 92Langkah 4: Memodifikasi perilaku penentuan alamat di subnet IPv6 .......................................... 93Langkah 5: Luncurkan sebuah instans ke subnet publik Anda .................................................. 93Langkah 6: Luncurkan sebuah instans ke dalam subnet pribadi Anda ........................................ 95Langkah 7: Membersihkan ................................................................................................. 96

VPC dan subnet ............................................................................................................................... 98Dasar-dasar VPC dan subnet ..................................................................................................... 98Penetapan ukuran VPC dan subnet ........................................................................................... 101

Penetapan ukuran VPC dan subnet untuk IPv4 .................................................................... 101Menambahkan blok CIDR IPv4 ke sebuah VPC ................................................................... 102

iii


Penetapan ukuran VPC dan subnet untuk IPv6 .................................................................... 106Perutean subnet ...................................................................................................................... 106Keamanan subnet ................................................................................................................... 107Bekerja dengan VPC dan subnet ............................................................................................... 107

Buat VPC ....................................................................................................................... 108Buat subnet di VPC Anda ................................................................................................ 109Lihat subnet Anda ........................................................................................................... 110Kaitkan blok CIDR IPv4 dengan VPC Anda ......................................................................... 110Kaitkan blok CIDR IPv6 dengan VPC Anda ......................................................................... 111Kaitkan blok CIDR IPv6 dengan subnet Anda ...................................................................... 111Luncurkan sebuah instans di subnet Anda .......................................................................... 112Hapus subnet Anda ......................................................................................................... 112Putuskan pengaitan blok CIDR IPv4 dari VPC Anda ............................................................. 113Memutus pengaitan blok CIDR IPv6 dari VPC atau subnet Anda ............................................ 113Hapus VPC Anda ............................................................................................................ 114

Pembuatan alamat IP .............................................................................................................. 115Alamat IPv4 privat ........................................................................................................... 117Alamat IPv4 publik .......................................................................................................... 117Alamat IPv6 ................................................................................................................... 118Perilaku pengalamatan IP untuk subnet Anda ...................................................................... 119Gunakan Alamat IP Anda sendiri ....................................................................................... 119Bekerja dengan alamat IP ................................................................................................ 119Migrasi ke IPv6 ............................................................................................................... 123

Bekerja dengan VPC bersama .................................................................................................. 136Prasyarat VPC bersama ................................................................................................... 137Membagikan subnet ........................................................................................................ 137Membatalkan pembagian subnet bersama .......................................................................... 138Mengidentifikasi pemilik subnet bersama ............................................................................ 138Izin subnet bersama ........................................................................................................ 138Penagihan dan pengukuran untuk pemilik dan peserta .......................................................... 139Layanan yang tidak didukung untuk subnet bersama ............................................................ 139Limitations ...................................................................................................................... 140

Perluas VPC Anda .................................................................................................................. 140Memperluas sumber daya VPC Anda ke Local Zones ........................................................... 140Memperluas sumber daya VPC Anda ke Wavelength Zones .................................................. 144Subnet di AWS Outposts .................................................................................................. 146

VPC default dan subnet default ......................................................................................................... 147Komponen VPC default ............................................................................................................ 147

Subnet default ................................................................................................................ 149Ketersediaan dan platform yang didukung ................................................................................... 149

Memeriksa platform yang didukung .................................................................................... 149Menampilkan VPC default dan subnet default .............................................................................. 150Meluncurkan instans EC2 ke dalam VPC default Anda .................................................................. 151

Meluncurkan instans EC2 menggunakan konsol ................................................................... 151Meluncurkan instans EC2 menggunakan baris perintah ......................................................... 151

Menampilkan subnet default dan VPC default .............................................................................. 152Membuat VPC default .............................................................................................................. 152Membuat subnet default ........................................................................................................... 153

Keamanan ...................................................................................................................................... 155Perlindungan data ................................................................................................................... 155

Privasi lalu lintas antar jaringan ......................................................................................... 156Enkripsi dalam transit ...................................................................................................... 158

Keamanan infrastruktur ............................................................................................................ 158Isolasi jaringan ................................................................................................................ 159Mengendalikan lalu lintas jaringan ..................................................................................... 159

Identity and access management ............................................................................................... 160Audience ........................................................................................................................ 160

iv


Mengautentikasi menggunakan identitas ............................................................................. 160Mengelola akses menggunakan kebijakan ........................................................................... 162Bagaimana cara Amazon VPC bekerja sama dengan IAM ..................................................... 164Contoh kebijakan ............................................................................................................ 168Pecahkan masalah .......................................................................................................... 174Kebijakan terkelola AWS .................................................................................................. 176

Pencatatan dan pemantauan .................................................................................................... 177Ketahanan .............................................................................................................................. 178Validasi Kepatuhan .................................................................................................................. 178Analisis konfigurasi dan kelemahan ........................................................................................... 179Grup keamanan ...................................................................................................................... 179

Dasar-dasar grup keamanan ............................................................................................. 180Grup keamanan default untuk VPC Anda ............................................................................ 181Aturan grup keamanan ..................................................................................................... 181Bekerja dengan grup keamanan ........................................................................................ 184Mengelola grup keamanan VPC secara terpusat menggunakan AWS Firewall Manager .............. 189

ACL jaringan .......................................................................................................................... 190Dasar-dasar ACL jaringan ................................................................................................ 191Aturan ACL Jaringan ....................................................................................................... 191ACL jaringan default ........................................................................................................ 192ACL Jaringan kustom ...................................................................................................... 193ACL jaringan kustom dan layanan AWS lainnya ................................................................... 201Ephemeral port ............................................................................................................... 201Path MTU Discovery ........................................................................................................ 201Bekerja dengan ACL jaringan ........................................................................................... 202Contoh: Kontrol akses ke instans dalam subnet ................................................................... 206Aturan yang disarankan untuk skenario wizard VPC ............................................................. 208

Praktik terbaik ......................................................................................................................... 208Sumber daya tambahan ................................................................................................... 209

Komponen jaringan VPC .................................................................................................................. 210Gateway internet ..................................................................................................................... 210

Aktifkan akses internet ..................................................................................................... 210Tambahkan sebuah gateway internet ke VPC Anda .............................................................. 212

Gateway internet khusus jalan keluar ......................................................................................... 216Dasar-dasar gateway internet egress-only ........................................................................... 217Bekerja dengan gateway internet egress-only ...................................................................... 218Gambaran umum API dan CLI .......................................................................................... 220

Gateway operator .................................................................................................................... 220Mengaktifkan akses ke jaringan operator telekomunikasi ....................................................... 220Bekerja dengan gateway operator ...................................................................................... 221Kelola Zona .................................................................................................................... 225

Perangkat NAT ....................................................................................................................... 225Gateway NAT ................................................................................................................. 226Instans NAT ................................................................................................................... 245Bandingkan perangkat NAT .............................................................................................. 252

Sekumpulan opsi DHCP ........................................................................................................... 254Gambaran umum kumpulan opsi DHCP ............................................................................. 254Server Amazon DNS ....................................................................................................... 255Ubah opsi DHCP ............................................................................................................ 256Bekerja dengan kumpulan opsi DHCP ................................................................................ 256API dan gambaran umum perintah .................................................................................... 259

Support DNS .......................................................................................................................... 259Nama host DNS .............................................................................................................. 260Atribut DNS di VPC Anda ................................................................................................. 260Kuota DNS ..................................................................................................................... 261Lihat nama host DNS untuk instans EC2 Anda .................................................................... 262Melihat dan memperbarui atribut DNS untuk VPC Anda ........................................................ 262

v


Zona host pribadi ............................................................................................................ 263Daftar prefiks .......................................................................................................................... 264

Konsep dan aturan daftar prefiks ....................................................................................... 264Bekerja dengan daftar prefiks yang dikelola konsumen ......................................................... 265Identity and access management untuk daftar prefiks ........................................................... 269Bekerja dengan daftar prefiks bersama ............................................................................... 269

Komponen jaringan Amazon EC2 ...................................................................................................... 273Antarmuka jaringan ................................................................................................................. 273Reservasi CIDR subnet ............................................................................................................ 274

Bekerja dengan reservasi CIDR subnet .............................................................................. 274Alamat IP elastis ..................................................................................................................... 275

Konsep dan aturan alamat IP Elastis ................................................................................. 275Bekerja dengan alamat IP Elastis ...................................................................................... 276

ClassicLink ............................................................................................................................. 279Tabel rute ...................................................................................................................................... 281

Konsep tabel rute .................................................................................................................... 281Cara tabel rute bekerja ............................................................................................................ 281

Routes ........................................................................................................................... 282Tabel rute utama ............................................................................................................. 283Tabel rute kustom ........................................................................................................... 283Pengaitan tabel rute subnet .............................................................................................. 284Tabel rute gateway .......................................................................................................... 286

Prioritas rute ........................................................................................................................... 287Prioritas rute untuk daftar prefiks ....................................................................................... 288

Opsi perutean contoh .............................................................................................................. 289Perutean ke gateway internet ............................................................................................ 289Perutean ke perangkat NAT ............................................................................................. 289Perutean ke virtual private gateway ................................................................................... 290Perutean ke gateway lokal AWS Outposts .......................................................................... 290Perutean ke gateway operator Zona Wavelength ................................................................. 290Perutean ke koneksi peering VPC ..................................................................................... 291Perutean untuk ClassicLink ............................................................................................... 292Perutean ke VPC endpoint gateway ................................................................................... 293Perutean ke gateway internet egress-only ........................................................................... 293Perutean untuk Transit Gateway ........................................................................................ 293Perutean untuk perangkat middlebox ................................................................................. 294Perutean menggunakan daftar prefiks ................................................................................ 296Perutean ke titik akhir Penyeimbang Beban Gateway ............................................................ 296

Bekerja dengan tabel rute ........................................................................................................ 298Tentukan tabel rute untuk subnet ...................................................................................... 298Tentukan subnet dan atau gateway manakah yang secara eksplisit dikaitkan dengan sebuahtabel .............................................................................................................................. 299Membuat tabel rute kustom .............................................................................................. 299Tambahkan dan hapus rute dari tabel rute .......................................................................... 300Aktifkan atau nonaktifkan propagasi rute ............................................................................. 301Kaitkan subnet dengan tabel rute ...................................................................................... 302Ubah tabel rute untuk subnet ............................................................................................ 302Memutus pengaitan subnet dari tabel rute ........................................................................... 302Ganti tabel rute utama ..................................................................................................... 303Kaitkan gateway dengan tabel rute .................................................................................... 303Putuskan pengaitan gateway dari tabel rute ........................................................................ 304Mengganti atau memulihkan target untuk rute lokal .............................................................. 304Hapus tabel rute ............................................................................................................. 305

Peering VPC .................................................................................................................................. 306Log Alur VPC ................................................................................................................................. 307

Dasar-dasar log alur ................................................................................................................ 307Catatan log alur ...................................................................................................................... 309

vi


Interval agregasi ............................................................................................................. 309Format default ................................................................................................................ 309Format kustom ................................................................................................................ 309Bidang yang tersedia ....................................................................................................... 310

Contoh catatan log alur ............................................................................................................ 312Lalu lintas yang diterima dan ditolak .................................................................................. 313Tidak ada data dan catatan yang dilewati ........................................................................... 313Aturan grup keamanan dan ACL jaringan ........................................................................... 313Lalu lintas IPv6 ............................................................................................................... 314Urutan bendera TCP ....................................................................................................... 314Lalu lintas melalui gateway NAT ........................................................................................ 315Lalu lintas melalui transit gateway ..................................................................................... 316Nama layanan, jalur lalu lintas, dan arah aliran .................................................................... 316

Batasan log alur ...................................................................................................................... 317Penentuan harga log alur ......................................................................................................... 318Menerbitkan ke CloudWatch Logs .............................................................................................. 318

IAM role untuk menerbitkan log alur ke CloudWatch Logs ...................................................... 318Izin bagi pengguna IAM untuk meneruskan peran ................................................................ 320Membuat log alur yang menerbitkan ke CloudWatch Logs ..................................................... 320Catatan log alur proses di CloudWatch Logs ....................................................................... 321

Terbitkan ke Amazon S3 .......................................................................................................... 322Berkas log alur ............................................................................................................... 323Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3 ............................ 323Izin bucket Amazon S3 untuk log alur ................................................................................ 324Kebijakan utama CMK yang diperlukan untuk digunakan dengan SSE-KMS .............................. 325Izin file berkas log Amazon S3 .......................................................................................... 325Membuat log alur yang menerbitkan ke Amazon S3 ............................................................. 326Catatan log alur proses di Amazon S3 ............................................................................... 327

Bekerja dengan log alur ........................................................................................................... 327Mengontrol penggunaan log alur ....................................................................................... 328Membuat log alur ............................................................................................................ 328Melihat log alur ............................................................................................................... 328Menambahkan atau menghapus tag untuk log alur ............................................................... 329Melihat catatan log alur .................................................................................................... 329Cari catatan log alur ........................................................................................................ 330Menghapus log alur ......................................................................................................... 330Ringkasan API dan CLI .................................................................................................... 331

Kueri menggunakan Athena ...................................................................................................... 331Buat templat CloudFormation menggunakan konsol .............................................................. 332Menghasilkan templat CloudFormation menggunakan AWS CLI ............................................. 333Menjalankan kueri yang sudah ditentukan sebelumnya .......................................................... 333

Pecahkan masalah .................................................................................................................. 334Catatan log alur tidak lengkap ........................................................................................... 334Log alur aktif, tetapi tidak ada catatan log alur atau grup log .................................................. 335Galat 'LogDestinationNotFoundException' atau 'Access Denied for LogDestination' .................... 335Melebihi batas kebijakan bucket Amazon S3 ....................................................................... 336

Koneksi VPN .................................................................................................................................. 337AWS PrivateLink dan VPC endpoint ................................................................................................... 338AWS Network Firewall ..................................................................................................................... 339Route 53 Resolver DNS Firewall ....................................................................................................... 340Kuota ............................................................................................................................................ 341

VPC dan subnet ..................................................................................................................... 341DNS ...................................................................................................................................... 341Alamat IP elastis (IPv4) ............................................................................................................ 341Gateways ............................................................................................................................... 342Daftar prefiks yang dikelola konsumen ....................................................................................... 342ACL Jaringan ......................................................................................................................... 343

vii


Antarmuka jaringan ................................................................................................................. 343Tabel rute .............................................................................................................................. 343Grup keamanan ...................................................................................................................... 344Koneksi peering VPC ............................................................................................................... 345VPC endpoint ......................................................................................................................... 345Pembagian VPC ..................................................................................................................... 346Amazon EC2 API throttling ....................................................................................................... 346Sumber daya kuota tambahan .................................................................................................. 346

Riwayat dokumen ............................................................................................................................ 347

viii

Amazon Virtual Private Cloud Panduan PenggunaKonsep Amazon VPC

Apa itu Amazon VPC?Amazon Virtual Private Cloud (Amazon VPC) memungkinkan Anda untuk meluncurkan sumber dayaAWS ke dalam jaringan virtual yang telah Anda tentukan. Jaringan virtual ini sangat mirip dengan jaringantradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaatnya yaitu menggunakaninfrastruktur AWS yang dapat diskalakan.

Konsep Amazon VPCAmazon VPC adalah lapisan jaringan untuk Amazon EC2. Jika Anda pengguna baru Amazon EC2, lihatApa itu Amazon EC2? di Panduan Pengguna Amazon EC2 untuk Instans Linux untuk mendapatkangambaran umumnya.

Berikut ini adalah konsep utama untuk VPC:

• Virtual private cloud (VPC) — Suatu jaringan virtual yang didedikasikan untuk akun AWS Anda.• Subnet — Serangkaian alamat IP di VPC Anda.• Tabel rute — seperangkat aturan, yang disebut rute, yang digunakan untuk menentukan ke mana lalu

lintas jaringan diarahkan.• Gateway internet — Sebuah gateway yang Anda lampirkan ke VPC Anda untuk memungkinkan

komunikasi antara sumber daya di VPC Anda dan internet.• VPC endpoint — Memungkinkan Anda menghubungkan VPC Anda secara privat ke layanan AWS

yang didukung dan layanan VPC endpoint yang didukung oleh PrivateLink tanpa memerlukan gatewayinternet, perangkat NAT, koneksi VPN, atau koneksi AWS Direct Connect. Instans di VPC Anda tidakmemerlukan alamat IP publik untuk berkomunikasi dengan sumber daya di layanan. Lalu lintas antaraVPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon. Untuk informasi lebih lanjut, lihatAWS PrivateLink dan VPC endpoint (p. 338).

• Blok CIDR — Perutean Antar-Domain Tanpa Kelas. Alokasi alamat protokol internet dan metodologiagregasi rute. Untuk informasi selengkapnya, lihat Perutean Antar-Domain Tanpa Kelas di Wikipedia..

Mengakses Amazon VPCAnda dapat membuat, mengakses, dan mengelola VPC Anda menggunakan salah satu antarmuka berikut:

• AWS Management Console — Menyediakan antarmuka web yang dapat Anda gunakan untukmengakses VPC Anda.

• AWS Command Line Interface (AWS CLI) — Menyediakan perintah untuk satu set layanan AWS,termasuk Amazon VPC, dan didukung pada Windows, Mac, dan Linux. Untuk informasi lebih lanjut, lihatAWS Command Line Interface.

• AWS SDK — Menyediakan API khusus bahasa dan menangani banyak detail koneksi, sepertimenghitung tanda tangan, menangani percobaan ulang permintaan, dan penanganan kesalahan. Untukinformasi selengkapnya, lihat AWS SDK.

• Kueri API — Menyediakan tindakan API tingkat rendah yang Anda hubungi menggunakan permintaanHTTPS. Menggunakan API Kueri merupakan cara paling langsung untuk mengakses Amazon VPC,tetapi mengharuskan aplikasi Anda menangani detail tingkat rendah seperti membuat hash untukmenandatangani permintaan, dan penanganan kesalahan. Untuk informasi selengkapnya, lihat ReferensiAPI Amazon EC2.

1

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html

http://en.wikipedia.org/wiki/CIDR_notation

http://aws.amazon.com/cli/

http://aws.amazon.com/tools/#SDKs

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/

Amazon Virtual Private Cloud Panduan PenggunaHarga untuk Amazon VPC

Harga untuk Amazon VPCTidak ada biaya tambahan untuk menggunakan VPC. Ada pengenaan biaya untuk beberapa komponenVPC, seperti NAT gateway, Reachability Analyzer, dan mirroring lalu lintas. Untuk informasi lebih lanjut,lihat Harga Amazon VPC.

Kuota Amazon VPCAda kuota pada jumlah komponen Amazon VPC yang dapat Anda berikan. Anda dapat memintapeningkatan pada beberapa kuota ini. Untuk informasi lebih lanjut, lihat Kuota Amazon VPC (p. 341).

Kepatuhan PCI DSSAmazon VPC mendukung pemrosesan, penyimpanan, dan transmisi data kartu kredit oleh pedagangatau penyedia layanan, dan telah divalidasi sesuai dengan Standar Keamanan Data (DSS) Industri KartuPembayaran (PCI). Untuk informasi lebih lanjut tentang PCI DSS, termasuk cara meminta salinan AWSPCI Compliance Package, lihat PCI DSS Level 1.

2

http://aws.amazon.com/vpc/pricing/

http://aws.amazon.com/compliance/pci-dss-level-1-faqs/

Amazon Virtual Private Cloud Panduan PenggunaVPC dan subnet

Cara Amazon VPC BerfungsiAmazon Virtual Private Cloud (Amazon VPC) memungkinkan Anda untuk meluncurkan sumber dayaAWS ke dalam jaringan virtual yang telah Anda tentukan. Jaringan virtual ini sangat mirip dengan jaringantradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaatnya yaitu menggunakaninfrastruktur AWS yang dapat diskalakan.

Amazon VPC adalah lapisan jaringan untuk Amazon EC2. Jika Anda pengguna baru Amazon EC2, lihatApa itu Amazon EC2? di Panduan Pengguna Amazon EC2 untuk Instans Linux untuk mendapatkangambaran umumnya.

Daftar Isi• VPC dan subnet (p. 3)• VPC default dan nondefault (p. 3)• Tabel rute (p. 4)• Mengakses internet (p. 4)• Mengakses jaringan perusahaan atau rumah (p. 7)• Connect VPC dan jaringan (p. 8)• Pertimbangan jaringan global privat AWS (p. 8)• Platform yang didukung (p. 9)• Dokumentasi Amazon VPC (p. 9)

VPC dan subnetSebuah virtual private cloud (VPC) adalah jaringan sebuah virtual yang didedikasikan untuk akun AWSAnda. VPC diisolasi secara logis dari jaringan virtual lain di Cloud AWS. Anda dapat meluncurkan sumberdaya AWS seperti instans Amazon EC2, ke dalam VPC Anda. Anda dapat menentukan rentang alamat IPuntuk VPC, menambahkan subnet, mengaitkan grup keamanan, dan mengkonfigurasi tabel rute.

Sebuah subnet adalah rentang alamat IP di VPC Anda. Anda dapat meluncurkan sumber daya AWSmenjadi subnet tertentu. Ggunakan subnet publik untuk sumber daya yang harus terhubung ke internet,dan subnet privat untuk sumber daya yang tidak perlu terhubung ke internet.

Untuk melindungi sumber daya AWS di setiap subnet, Anda dapat menggunakan beberapa lapisankeamanan, termasuk grup keamanan dan daftar kontrol akses (ACL) jaringan.

Anda dapat memilih mengaitkan blok CIDR IPv6 dengan VPC Anda, dan menetapkan alamat IPv6 untukinstans di VPC Anda.

Pelajari selengkapnya

• Dasar-dasar VPC dan subnet (p. 98)• Privasi lalu lintas antar jaringan di Amazon VPC (p. 156)• Pembuatan alamat IP di VPC (p. 115)

VPC default dan nondefaultJika akun Anda dibuat setelah 2013-12-04, akun tersebut dilengkapi dengan VPC default yang memilikisubnet default di setiap Availability Zone. Sebuah VPC default memiliki manfaat dari fitur lanjutan yang

3

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html

Amazon Virtual Private Cloud Panduan PenggunaTabel rute

diberikan oleh EC2-VPC, dan siap untuk Anda gunakan. Jika Anda memiliki VPC default dan tidakmenentukan subnet saat meluncurkan sebuah instans, instans Anda akan diluncurkan ke VPC defaultAnda. Anda dapat meluncurkan instans ke VPC default Anda tanpa perlu mengetahui apa pun tentangAmazon VPC.

Anda dapat juga membuat VPC Anda sendiri dan mengonfigurasinya sesuai kebutuhan. Hal ini dikenalsebagai VPC nondefault. Subnet yang Anda buat di VPC nondefault dan subnet tambahan yang Anda buatdi VPC default Anda disebut subnet nondefault.


• VPC default dan subnet default (p. 147)• Memulai dengan Amazon VPC (p. 11)

Tabel ruteTabel rute berisi seperangkat aturan, yang disebut rute, yang digunakan untuk menentukan ke mana lalulintas jaringan dari VPC Anda diarahkan. Anda dapat secara eksplisit mengaitkan subnet dengan tabel rutetertentu. Jika tidak, subnet secara implisit dikaitkan dengan tabel rute utama.

Setiap rute dalam tabel rute menentukan rentang alamat IP ke mana lalu lintas Anda ingin arahkan (tujuan)dan gateway, antarmuka jaringan, atau koneksi yang Anda gunakan untuk mengirim lalu lintas (target).


• Tabel rute untuk VPC Anda (p. 281)

Mengakses internetAnda mengendalikan bagaimana instans yang Anda luncurkan ke sumber daya akses VPC di luar VPC.

VPC default Anda termasuk gateway internet, dan setiap subnet default adalah subnet publik. Setiapinstans yang Anda luncurkan ke subnet default memiliki alamat IPv4 privat dan alamat IPv4 publik. Instansini dapat berkomunikasi dengan internet melalui gateway internet. Gateway internet memungkinkan instansAnda terhubung ke internet melalui jaringan edge Amazon EC2.

4

Amazon Virtual Private Cloud Panduan PenggunaMengakses internet

Secara default, setiap instans yang Anda luncurkan ke subnet nondefault memiliki alamat IPv4 privat,tetapi tidak memiliki alamat IPv4 publik, kecuali jika Anda secara khusus menetapkan satu alamat saatmeluncurkannya, atau jika Anda mengubah atribut alamat IP publik subnet. Instans ini dapat berkomunikasiantara satu sama lain, tetapi tidak dapat mengakses internet.

5

Amazon Virtual Private Cloud Panduan PenggunaMengakses internet

Anda dapat mengaktifkan akses internet untuk sebuah instans yang diluncurkan ke subnet nondefaultdengan melampirkan gateway internet untuk VPC nya (jika VPC bukan VPC default) dan mengaitkanalamat P Elastis dengan instans.

6

Amazon Virtual Private Cloud Panduan PenggunaMengakses jaringan perusahaan atau rumah

Atau, untuk memungkinkan sebuah instans di VPC Anda untuk memulai koneksi keluar ke internet tetapimencegah koneksi masuk yang tidak diminta dari internet, Anda dapat menggunakan perangkat networkaddress translation (NAT). NAT memetakan beberapa alamat IPv4 privat ke alamat IPv4 publik tunggal.Anda dapat mengkonfigurasi perangkat NAT dengan alamat IP Elastis dan menghubungkannya ke internetmelalui gateway internet. Hal ini memungkinkan sebuah instans dalam subnet privat untuk terhubung keinternet melalui perangkat NAT, merutekan lalu lintas dari instans ke gateway internet dan setiap jawabanke instans.

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC Anda dan menetapkan alamat IPv6 ke instans Anda,instans dapat terhubung ke internet melalui IPv6 melalui gateway internet. Sebagai alternatif, instans dapatmemulai koneksi keluar ke internet melalui IPv6 menggunakan gateway internet egress-only. Lalu lintasIPv6 terpisah dari lalu lintas IPv4; tabel rute Anda harus menyertakan rute terpisah untuk lalu lintas IPv6.


• Gateway internet (p. 210)• Gateway internet khusus jalan keluar (p. 216)• Perangkat NAT untuk VPC Anda (p. 225)

Mengakses jaringan perusahaan atau rumahAnda dapat menghubungkan VPC Anda ke pusat data perusahaan Anda sendiri menggunakan sambunganAWS Site-to-Site VPN IPsec, membuat CloudAWS yang merupakan perluasan dari pusat data Anda.

Koneksi Site-to-Site VPN terdiri dari dua terowongan VPN antara virtual private gateway atau transitgateway di sisi AWS, dan perangkat gateway pelanggan yang terletak di pusat data Anda. Perangkatgateway pelanggan adalah perangkat fisik atau aplikasi software di sisi koneksi Site-to-Site VPN Anda.

7

Amazon Virtual Private Cloud Panduan PenggunaConnect VPC dan jaringan


• AWS Site-to-Site VPN Panduan Pengguna• Transit Gateway

Connect VPC dan jaringanAnda dapat membuat Koneksi peering VPC antara dua VPC yang memungkinkan Anda merutekan lalulintas antara kedua VPC secara privat. Instans pada salah satu VPC dapat berkomunikasi satu sama lainseolah-olah kedua VPC ada di jaringan yang sama.

Anda juga dapat membuat transit gateway dan menggunakannya untuk menghubungkan VPC dan jaringanon-premise Anda. Transit gateway bertindak sebagai router virtual Wilayah untuk lalu lintas yang mengalirdi antara lampirannya, yang dapat mencakup VPC, koneksi VPN, gateway AWS Direct Connect, dan transitgateway koneksi peering.


• Panduan Peering VPC• Transit Gateway

Pertimbangan jaringan global privat AWSAWS menyediakan jaringan global privat berkinerja tinggi dan latensi rendah yang menghadirkanlingkungan komputasi cloud yang aman untuk mendukung kebutuhan jaringan Anda. AWS Wilayah

8

https://docs.aws.amazon.com/vpn/latest/s2svpn/

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html

Amazon Virtual Private Cloud Panduan PenggunaPlatform yang didukung

terhubung ke beberapa Penyedia Layanan Internet (ISP) serta tulang punggung jaringan global privat, yangmemberikan peningkatan performa jaringan untuk lalu lintas lintas Wilayah yang dikirim oleh pelanggan.

Pertimbangan berikut berlaku:

• Lalu lintas yang ada di Availability Zone, atau antar Availability Zones di semua Wilayah, rute melaluijaringan global privat AWS.

• Lalu lintas yang terjadi antar Wilayah selalu memiliki rute melalui jaringan global privat AWS, kecualiuntuk Wilayah Tiongkok.

Kehilangan paket jaringan dapat disebabkan oleh sejumlah faktor, termasuk tabrakan aliran jaringan,kesalahan tingkat yang lebih rendah (Lapisan 2), dan kegagalan jaringan lainnya. Kami merekayasadan mengoperasikan jaringan kami untuk meminimalkan kehilangan paket. Kami mengukur tingkatkehilangan paket (PLR) di seluruh tulang punggung global yang menghubungkan Wilayah AWS. Kamimengoperasikan jaringan tulang punggung kami untuk menargetkan p99 dari PLR per jam kurang dari0,0001%.

Platform yang didukungRilis asli Amazon EC2 yang didukung jaringan datar tunggal yang dibagi dengan pelanggan lain yangdisebut platform EC2-Classic. Sebelumnya akun AWS masih mendukung platform ini, dan dapatmeluncurkan instans ke EC2-Classic atau VPC. Akun yang dibuat setelah dukungan tanggal 2013-12-04hanya mendukung EC2-VPC. Untuk informasi selengkapnya, lihat EC2-Classic dalam Panduan PenggunaAmazon EC2 untuk Instans Linux.

Dokumentasi Amazon VPCTabel berikut mencantumkan dokumentasi tambahan yang mungkin Anda rasakan membantu saat Andabekerja dengan Amazon VPC.

Panduan Deskripsi

Pilihan Konektivitas Amazon VirtualPrivate Cloud

Menyediakan gambaran umum pilihan konektivitas jaringan.

Peering VPC Menjelaskan skenario koneksi peering VPC dan konfigurasipeering yang didukung.

Transit Gateway Menjelaskan transit gateway dan membantu administratorjaringan mengonfigurasinya.

Transit Gateway Network Manager Menjelaskan Transit Gateway Network Manager danmembantu Anda mengkonfigurasi dan memantau jaringanglobal.

Mirroring Lalu Lintas Menjelaskan target, filter, dan sesi mirroring lalu lintas, sertamembantu administrator mengonfigurasinya.

AWS Direct Connect Menjelaskan cara menggunakan AWS Direct Connect untukmembuat koneksi privat khusus dari jaringan jarak jauh keVPC Anda.

9

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/introduction.html

https://docs.aws.amazon.com/vpc/latest/peering/

https://docs.aws.amazon.com/vpc/latest/tgw/

https://docs.aws.amazon.com/vpc/latest/tgw/what-is-network-manager.html

https://docs.aws.amazon.com/vpc/latest/mirroring/

https://docs.aws.amazon.com/directconnect/latest/UserGuide/

Amazon Virtual Private Cloud Panduan PenggunaDokumentasi Amazon VPC

Panduan Deskripsi

AWS Client VPN Menjelaskan cara membuat dan mengkonfigurasi titik akhirClient VPN agar pengguna jarak jauh dapat mengaksessumber daya di VPC.

VPC Reachability Analyzer Menjelaskan cara menganalisa dan reachability jaringandebug antar sumber daya di VPC Anda.

10

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/

https://docs.aws.amazon.com/vpc/latest/reachability/

Amazon Virtual Private Cloud Panduan PenggunaOverview

Memulai dengan Amazon VPCUntuk memulai menggunakan Amazon VPC, Anda dapat membuat VPC nondefault. Langkah-langkahberikut menjelaskan cara menggunakan wizard Amazon VPC untuk membuat VPC nondefault dengansubnet publik, yang merupakan subnet yang memiliki akses ke internet melalui internet gateway internet.Selanjutnya Anda dapat meluncurkan sebuah instans ke subnet dan terhubung dengannya.

Sebagai pilihan lain, untuk memulai meluncurkan instans ke VPC default yang ada, lihat Meluncurkaninstans EC2 ke VPC default Anda..

Sebelum Anda dapat menggunakan Amazon VPC untuk pertama kalinya, Anda harus mendaftarAmazon Web Services (AWS). Saat Anda mendaftar, akun AWS Anda secara otomatis terdaftar untuksemua layanan di AWS, termasuk Amazon VPC. Jika Anda belum membuat akun AWS, buka https://aws.amazon.com/, dan kemudian pilih Buat Akun Gratis.

Jika Anda ingin menggunakan Zona Lokal untuk VPC Anda, buat VPC, dan kemudian buat subnet di ZonaLokal tersebut. Untuk informasi selengkapnya, lihat the section called “Buat VPC” (p. 108) dan the sectioncalled “Buat subnet di VPC Anda” (p. 109).

Daftar Isi• Overview (p. 11)• Langkah 1: Buat VPC (p. 11)• Langkah 2: Luncurkan instans di VPC Anda (p. 13)• Langkah 3: Tetapkan alamat IP Elastic untuk instans Anda (p. 14)• Langkah 4: Membersihkan (p. 14)• Langkah selanjutnya (p. 15)• Memulai dengan IPv6 untuk Amazon VPC (p. 15)• Konfigurasi wizard konsol Amazon VPC (p. 20)

OverviewUntuk menyelesaikan latihan ini, lakukan langkah-langkah berikut:

• Buat VPC nondefault dengan subnet publik tunggal.• Luncurkan instans Amazon EC2 ke subnet Anda.• Kaitkan alamat IP Elastis dengan instans Anda. Hal ini memungkinkan instans Anda untuk mengakses

internet.

Untuk informasi selengkapnya tentang pemberian izin kepada pengguna IAM untuk bekerja denganAmazon VPC, lihat Identity and access management untuk Amazon VPC (p. 160) dan Contoh kebijakanAmazon VPC (p. 168).

Langkah 1: Buat VPCDalam langkah ini, Anda akan menggunakan wizard Amazon VPC di konsol Amazon VPC untuk membuatVPC. Wizard akan melakukan langkah-langkah berikut untuk Anda:

11

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#launching-into

http://aws.amazon.com/

http://aws.amazon.com/

Amazon Virtual Private Cloud Panduan PenggunaLihat informasi tentang VPC Anda

• Membuat VPC dengan /16 IPv4 CIDR block (jaringan dengan alamat IP pribadi 65,536).• Melampirkan gateway internet ke VPC.• Membuat subnet ukuran /24 IPv4 (rentang alamat IP pribadi 256) di VPC.• Membuat tabel rute kustom, dan mengaitkannya dengan subnet Anda, sehingga lalu lintas dapat

mengalir antara subnet dan gateway internet.

Untuk membuat VPC menggunakan Amazon VPC Wizard

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di bilah navigasi, di kanan atas, perhatikan Wilayah AWS di mana Anda akan membuat VPC. Pastikan

bahwa Anda terus bekerja di Wilayah yang sama untuk sisa latihan ini, karena Anda tidak dapatmeluncurkan instans ke VPC Anda dari Wilayah yang berbeda.

3. Di panel navigasi, pilih dasbor VPC. Dari dasbor, pilih Luncurkan VPC Wizard.

Note

Jangan pilih VPC Anda di panel navigasi; Anda tidak dapat mengakses Wizard VPCmenggunakan tombol Buat VPC pada halaman tersebut.

4. Pilih VPC dengan Subnet Publik Tungal, dan kemudian, pilih Pilih.5. Pada halaman konfigurasi, masukkan nama untuk VPC Anda di bidang Nama VPC; misalnya, my-

vpc, dan masukkan nama untuk subnet Anda di bidang Nama subnet. Ini membantu Anda dalammengidentifikasi VPC dan subnet di konsol Amazon VPC setelah Anda membuatnya. Untuk latihan ini,jangan ubah pengaturan konfigurasi lainnya pada halaman, dan pilih Buat VPC.

6. Jendela status menunjukkan pekerjaan yang sedang berlangsung. Saat pekerjaan selesai, pilih OKEuntuk menutup jendela status.

7. Halaman VPC Anda menampilkan VPC default Anda dan VPC yang baru saja Anda buat. VPC yangAnda buat adalah VPC nondefault, oleh karena itu kolom Default VPC menampilkan No.

Lihat informasi tentang VPC AndaSetelah membuat VPC, Anda dapat melihat informasi tentang subnet, gateway internet, dan tabel rute.VPC yang Anda buat memiliki dua rute tabel — tabel rute utama yang dimiliki semua VPC secara default,dan tabel rute kustom yang dibuat oleh wizard. Tabel rute kustom dikaitkan dengan subnet Anda, yangberarti bahwa rute dalam tabel tersebut menentukan bagaimana lalu lintas untuk subnet mengalir. JikaAnda menambahkan subnet baru ke VPC Anda, maka akan menggunakan tabel rute utama secara default.

Untuk melihat informasi tentang VPC Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda. Perhatikan nama dan ID VPC yang Anda buat (lihat di kolom Nama

dan ID VPC). Anda akan menggunakan informasi ini untuk mengidentifikasi komponen yang terkaitdengan VPC Anda.

3. Di panel navigasi, pilih Subnet. Konsol menampilkan subnet yang dibuat saat Anda membuat VPCAnda. Anda dapat mengidentifikasi subnet dengan namanya di kolom Nama, atau Anda dapatmenggunakan informasi VPC yang Anda peroleh di langkah sebelumnya dan mencarinya di kolomVPC.

4. Di panel navigasi, pilih Gateway Internet. Anda dapat menemukan gateway internet yang dilampirkanpada VPC Anda dengan melihat kolom VPC, yang menampilkan ID dan nama (jika berlaku) dari VPC.

5. Di panel navigasi, pilih Tabel Rute. Ada dua rute tabel yang terkait dengan VPC. Pilih tabel rute kustom(Kolom utama menampilkan Tidak), dan kemudian pilih tab Rute untuk menampilkan informasi rute dipanel rincian:

12

https://console.aws.amazon.com/vpc/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html


Amazon Virtual Private Cloud Panduan PenggunaLangkah 2: Luncurkan instans di VPC Anda

• Baris pertama dalam tabel adalah rute lokal, yang memungkinkan instans dalam VPC untukberkomunikasi. Rute ini hadir di setiap tabel rute secara default, dan Anda tidak dapatmenghapusnya.

• Baris kedua menunjukkan rute yang ditambahkan Amazon VPC wizard untuk mengaktifkan lalulintas yang dituju untuk internet (0.0.0.0/0) untuk mengalir dari subnet ke gateway internet.

6. Pilih tabel rute utama. Tabel rute utama memiliki rute lokal, namun tidak ada rute lain.

Langkah 2: Luncurkan instans di VPC AndaKetika Anda meluncurkan instans EC2 ke VPC, Anda harus menyebutkan subnet untuk meluncurkaninstans tersebut. Dalam hal ini, Anda akan meluncurkan sebuah instans ke subnet publik VPC yang Andabuat. Anda akan menggunakan wizard peluncuran Amazon EC2 di konsol Amazon EC2 untuk meluncurkaninstans Anda.

Untuk meluncurkan instans EC2 ke dalam suatu VPC

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di bilah navigasi, di kanan atas, pastikan Anda memilih Wilayah yang sama dengan tempat Anda

membuat VPC Anda.3. Dari dasbor, pilih Luncurkan Instans.4. Di halaman pertama wizard, pilih AMI yang ingin Anda gunakan. Untuk latihan ini, pilih Amazon Linux

AMI atau Windows AMI.5. Di halaman Pilih Jenis Instans, Anda dapat memilih konfigurasi hardware dan ukuran instans yang

akan diluncurkan. Secara default, wizard memilih jenis instans yang tersedia pertama berdasarkan AMIyang Anda pilih. Anda dapat tidak menggunakan pilihan default, dan kemudian memilih Berikutnya:Mengonfigurasi Detail Instans.

6. Di halaman Mengonfigurasi Detail Instans, pilih VPC yang Anda buat dari daftar Jaringan, dan subnetdari daftar Subnet. Biarkan pengaturan default lainnya, dan buka halaman berikutnya dari wizardsampai Anda menemukan halaman Menambahkan Tanda.

7. Di halaman Menambahkan Tanda, Anda dapat menandai instans Anda dengan tanda Name; misalnyaName=MyWebServer. Hal ini membantu Anda untuk mengidentifikasi instans Anda di konsol AmazonEC2 setelah Anda meluncurkannya. Pilih Berikutnya: Konfigurasikan Grup Keamanan: saat Andaselesai.

8. Di halaman Konfigurasikan Grup Keamanan., wizard secara otomatis mendefinisikan grup keamananlaunch-wizard-X agar Anda dapat terhubung ke instans Anda. Pilih Tinjau dan Luncurkan.

Important

Wizard membuat aturan grup keamanan yang memungkinkan semua alamat IP (0.0.0.0/0)untuk mengakses instans Anda menggunakan SSH atau RDP. Hal ini dapat diterima untukwaktu yang singkat, tetapi tidak aman untuk lingkungan produksi. dalam produksi, Andahanya akan mengotorisasi alamat IP tertentu atau berbagai alamat untuk mengakses instansAnda.

9. Pada halaman Tinjau Peluncuran Instans, pilih Luncurkan.10. Dalam kotak dialog Pilih pasangan kunci yang ada atau buat pasangan kunci baru, Anda dapat

memilih pasangan kunci yang ada, atau membuat yang baru. Jika Anda membuat pasangan kuncibaru, pastikan bahwa Anda mengunduh file dan menyimpannya di lokasi yang aman. Anda akanmemerlukan isi kunci privat untuk tersambung ke instans Anda setelah diluncurkan.

Untuk meluncurkan instans Anda, pilih kotak centang pengakuan, lalu pilih Luncurkan Instans.11. Di halaman konfirmasi, pilih Tampilkan Instans untuk melihat instans Anda di halaman Instans. Pilih

instans Anda, dan lihat detailnya di tab Deskripsi. Bidang IP privat menampilkan alamat IP privat yangditetapkan untuk instans Anda dari rentang alamat IP di subnet Anda.

13

https://console.aws.amazon.com/ec2/

Amazon Virtual Private Cloud Panduan PenggunaLangkah 3: Tetapkan alamat IP Elastic untuk instans Anda

Untuk informasi selengkapnya tentang pilihan yang tersedia di wizard peluncuran Amazon EC2, lihatMeluncurkan instans dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Langkah 3: Tetapkan alamat IP Elastic untukinstans Anda

Pada langkah sebelumnya, Anda meluncurkan instans Anda ke subnet publik — subnet yang memiliki ruteke gateway internet. Namun, instans di subnet Anda juga membutuhkan alamat IPv4 publik agar dapatberkomunikasi dengan internet. Secara default, sebuah instans di VPC nondefault tidak ditetapkan alamatIPv4 publik. Di langkah ini, Anda akan mengalokasikan alamat IP Elastis ke akun Anda dan mengaitkannyadengan instans Anda.

Untuk mengalokasikan dan menetapkan alamat IP Elastis

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih IP Elastis.3. Pilih Alokasikan alamat baru, and kemudian Alokasikan.4. Pilih alamat IP Elastis dari daftar, pilih Tindakan, dan pilih Kaitkan Alamat.5. Untuk Jenis sumber daya, pastikan bahwa Instans dipilih. Pilih instans Anda dari daftar Instans. Pilih

Kaitkan saat Anda selesai.

Instans Anda sekarang dapat diakses dari internet. Anda dapat terhubung ke instans Anda melaluialamat IP Elastis menggunakan SSH atau Remote Desktop dari jaringan rumah Anda. Untuk informasiselengkapnya tentang cara menghubungkan ke instans Linux, lihat Hubungkan ke instans Linux Andadi Panduan Pengguna Amazon EC2 untuk Instans Linux. Untuk informasi selengkapnya tentang caramenghubungkan ke instans Windows, lihat Connect ke Instans Windows Anda di Panduan PenggunaAmazon EC2 untuk Instans Windows.

Langkah 4: MembersihkanAnda dapat memilih untuk terus menggunakan instans Anda di VPC Anda, atau jika Anda tidakmemerlukan instans tersebut, Anda dapat mengakhirinya dan membebaskan alamat IP Elastisnya untukmenghindari timbulnya biaya untuk instans tersebut. Anda juga dapat menghapus VPC Anda — perhatikanbahwa Anda tidak dikenakan biaya untuk VPC dan komponen VPC yang dibuat dalam latihan ini (sepertisubnet dan tabel rute).

Sebelum Anda dapat menghapus VPC, Anda harus mengakhiri setiap instans yang berjalan di VPC. Andakemudian dapat menghapus VPC dan komponennya menggunakan konsol VPC.

Untuk mengakhiri instans Anda, lepaskan alamat IP Elastis Anda, dan hapus VPC Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Contoh.3. Pilih instans Anda, pilih Tindakan, kemudian Status Instans, dan kemudian pilih Akhiri.4. Dalam kotak dialog, perluas bagian Lepaskan IP Elastis terkait, dan pilih kotak centang di samping

alamat IP Elastis. Pilih Ya, Akhiri.5. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.6. Di panel navigasi, pilih VPC Anda.7. Pilih VPC, pilih Tindakan, lalu pilih Hapus VPC.

14

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html



Amazon Virtual Private Cloud Panduan PenggunaLangkah selanjutnya

8. Ketika diminta konfirmasi, pilih Hapus VPC.

Langkah selanjutnyaSetelah membuat VPC nondefault, Anda mungkin ingin melakukan hal berikut:

• Menambahkan lebih banyak subnet ke VPC Anda. Untuk informasi lebih lanjut, lihat Buat subnet di VPCAnda (p. 109).

• Aktifkan dukungan IPv6 untuk VPC dan subnet Anda. Untuk informasi selengkapnya, lihat Kaitkan blokCIDR IPv6 dengan VPC Anda (p. 111) dan Kaitkan blok CIDR IPv6 dengan subnet Anda (p. 111).

• Mengktifkan instans di subnet privat untuk mengakses internet. Untuk informasi lebih lanjut, lihatPerangkat NAT untuk VPC Anda (p. 225).

Memulai dengan IPv6 untuk Amazon VPCLangkah-langkah berikut menjelaskan cara membuat VPC nondefault yang mendukung pengalamatanIPv6.

Untuk menyelesaikan latihan ini, lakukan langkah-langkah berikut:

• Buat VPC nondefault dengan blok CIDR IPv6 dan subnet publik tunggal. Subnet memungkinkan Andamengelompokkan instans berdasarkan kebutuhan keamanan dan operasional Anda. Subnet publikadalah subnet yang memiliki akses ke internet melalui gateway internet.

• Buat grup keamanan untuk instans Anda yang memungkinkan lalu lintas hanya melalui port tertentu.• Luncurkan instans Amazon EC2 ke subnet Anda, dan kaitkan alamat IPv6 dengan instans Anda

selama peluncuran. Alamat IPv6 bersifat unik secara global, dan memungkinkan instans Anda untukberkomunikasi dengan internet.

• Anda dapat meminta blok CIDR IPv6 untuk VPC. Jika Anda memilih opsi ini, Anda dapat mengatur grupperbatasan jaringan, yang merupakan lokasi tempat kami mengiklankan blok CIDR IPv6. Mengatur grupperbatasan jaringan membatasi blok CIDR ke grup ini.

Untuk informasi selengkapnya tentang pengalamatan IPv4 dan IPv6, lihat Pengalamatan IP di VPC Anda.

Jika Anda ingin menggunakan Zona Lokal untuk VPC Anda, buat VPC, dan kemudian buat subnet di ZonaLokal tersebut. Untuk informasi selengkapnya, lihat the section called “Buat VPC” (p. 108) dan the sectioncalled “Buat subnet di VPC Anda” (p. 109).

Tugas• Langkah 1: Membuat VPC (p. 15)• Langkah 2: Membuat grup keamanan (p. 18)• Langkah 3: Luncurkan instans (p. 18)

Langkah 1: Membuat VPCDalam langkah ini, Anda menggunakan wizard Amazon VPC di konsol Amazon VPC untuk membuat VPC.Secara default, wizard melakukan langkah-langkah berikut untuk Anda:

• Menciptakan VPC dengan /16 blok CIDR IPv4 dan mengaitkan /56 blok CIDR IPv6 dengan VPC. Untukinformasi selengkapnya, lihat VPC Anda. Ukuran blok CIDR IPv6 adalah tetap (/56) dan rentang alamatIPv6 secara otomatis dialokasikan dari kolam Amazon alamat IPv6 (Anda tidak dapat memilih rentangsendiri).

15

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#YourVPC

Amazon Virtual Private Cloud Panduan PenggunaLangkah 1: Membuat VPC

• Melampirkan gateway internet ke VPC. Untuk informasi lebih lanjut tentang gateway internet, lihatgateway internet.

• Membuat subnet dengan /24 blok CIDR IPv4 dan /64 blok CIDR IPv6 di VPC. Ukuran blok CIDR IPv6adalah tetap (/64).

• Membuat tabel rute kustom, dan mengaitkannya dengan subnet Anda, sehingga lalu lintas dapatmengalir antara subnet dan gateway internet. Untuk informasi selengkapnya tentang tabel rute, lihatTabel rute.

• Mengaitkan blok CIDR IPv6 yang disediakan Amazon dengan grup perbatasan jaringan. Untuk informasilebih lanjut, lihat the section called “Memperluas sumber daya VPC Anda ke Local Zones” (p. 140).

Note

Latihan ini mencakup skenario pertama di wizard VPC. Untuk informasi selengkapnya tentangskenario lain, lihat Skenario untuk Amazon VPC.

Untuk membuat VPC di Availability Zone default

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di bilah navigasi, di kanan atas, perhatikan Wilayah di mana Anda akan membuat VPC. Pastikan

bahwa Anda terus bekerja di Wilayah yang sama untuk sisa latihan ini, karena Anda tidak dapatmeluncurkan instans ke VPC Anda dari Wilayah yang berbeda. Untuk informasi lebih lanjut, lihatWilayah dan Availability Zone di Panduan Pengguna Amazon EC2 untuk Instans Linux.

3. Pada panel navigasi, pilih Dasbor VPC dan pilih Luncurkan Wizard VPC.

Note

Jangan pilih VPC Anda di panel navigasi; Anda tidak dapat mengakses wizard VPCmenggunakan tombol Buat VPC pada halaman tersebut.

4. Pilih opsi untuk konfigurasi yang ingin Anda terapkan, misalnya, VPC dengan Subnet Publik Tunggal,dan kemudian pilih Pilih.

5. Pada halaman konfigurasi, masukkan nama untuk VPC Anda untuk Nama VPC; misalnya, my-vpc, dan masukkan nama untuk subnet Anda untuk Nama subnet. Ini membantu Anda dalammengidentifikasi VPC dan subnet di konsol Amazon VPC setelah Anda membuatnya.

6. (Untuk Blok CIDR IPv4, Anda dapat membiarkan pengaturan default (10.0.0.0/16), atau tentukansendiri. Untuk informasi selengkapnya, lihat Pengukuran VPC.

Untuk Blok CIDR IPv6, pilih Blok CIDR IPv6 yang disediakan Amazon.7. Untuk CIDR IPv4 Subnet publik, biarkan pengaturan default, atau tentukan sendiri. Untuk CIDR

IPv6 Subnet publik, pilih Tentukan CIDR IPv6 kustom. Anda dapat membiarkan nilai pasanganheksadesimal default untuk (00) subnet IPv6.

8. Biarkan konfigurasi default lainnya pada halaman tersebut, dan pilih Buat VPC.9. Jendela status menunjukkan pekerjaan yang sedang berlangsung. Saat pekerjaan selesai, pilih OKE

untuk menutup jendela status.10. Halaman VPC Anda menampilkan VPC default Anda dan VPC yang baru saja Anda buat.

Untuk membuat VPC di Zona Lokal

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di bilah navigasi, di kanan atas, perhatikan Wilayah di mana Anda akan membuat VPC. Pastikan

bahwa Anda terus bekerja di Wilayah yang sama untuk sisa latihan ini, karena Anda tidak dapatmeluncurkan instans ke VPC Anda dari Wilayah yang berbeda. Untuk informasi lebih lanjut, lihatWilayah dan Zona di Panduan Pengguna Amazon EC2 untuk Instans Linux.

16

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing



Amazon Virtual Private Cloud Panduan PenggunaLangkah 1: Membuat VPC

3. Pada panel navigasi, pilih Dasbor VPC dan pilih Luncurkan Wizard VPC.

Note

Jangan pilih VPC Anda di panel navigasi; Anda tidak dapat mengakses wizard VPCmenggunakan tombol Buat VPC pada halaman tersebut.

4. Pilih opsi untuk konfigurasi yang ingin Anda terapkan, misalnya, VPC dengan Subnet Publik Tunggal,dan kemudian pilih Pilih.

5. Pada halaman konfigurasi, masukkan nama untuk VPC Anda untuk Nama VPC; misalnya, my-vpc, dan masukkan nama untuk subnet Anda untuk Nama subnet. Ini membantu Anda dalammengidentifikasi VPC dan subnet di konsol Amazon VPC setelah Anda membuatnya.

6. (Untuk Blok CIDR IPv4, tentukan blok CIDR. Untuk informasi selengkapnya, lihat Pengukuran VPC.7. Untuk Blok CIDR IPv6, pilih Blok CIDR IPv6 yang disediakan Amazon.8. Untuk Grup Perbatasan Jaringan, pilih grup dari mana AWS mengiklankan alamat IP.9. Biarkan konfigurasi default lainnya pada halaman tersebut, dan pilih Buat VPC.10. Jendela status menunjukkan pekerjaan yang sedang berlangsung. Saat pekerjaan selesai, pilih OK

untuk menutup jendela status.11. Halaman VPC Anda menampilkan VPC default Anda dan VPC yang baru saja Anda buat.

Lihat informasi tentang VPC AndaSetelah membuat VPC, Anda dapat melihat informasi tentang subnet, gateway internet, dan tabel rute.VPC yang Anda buat memiliki dua rute tabel — tabel rute utama yang dimiliki semua VPC secara default,dan tabel rute kustom yang dibuat oleh wizard. Tabel rute kustom dikaitkan dengan subnet Anda, yangberarti bahwa rute dalam tabel tersebut menentukan bagaimana lalu lintas untuk subnet mengalir. JikaAnda menambahkan subnet baru ke VPC Anda, maka akan menggunakan tabel rute utama secara default.

Untuk melihat informasi tentang VPC Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda. Perhatikan nama dan ID VPC yang Anda buat (lihat di kolom Nama

dan ID VPC). Anda menggunakan informasi ini untuk mengidentifikasi komponen yang terkait denganVPC Anda.

Ketika Anda menggunakan Local Zones, entri IPv6 (Grup Perbatasan Jaringan) menunjukkan grupperbatasan jaringan VPC (misalnya, us-west-2-lax-1 ).

3. Di panel navigasi, pilih Subnet. Konsol menampilkan subnet yang dibuat saat Anda membuat VPCAnda. Anda dapat mengidentifikasi subnet dengan namanya di kolom Nama, atau Anda dapatmenggunakan informasi VPC yang Anda peroleh di langkah sebelumnya dan mencarinya di kolomVPC.

4. Di panel navigasi, pilih Gateway Internet. Anda dapat menemukan gateway internet yang dilampirkanpada VPC Anda dengan melihat kolom VPC, yang menampilkan ID dan nama (jika berlaku) dari VPC.

5. Di panel navigasi, pilih Tabel Rute. Ada dua rute tabel yang terkait dengan VPC. Pilih tabel rute kustom(Kolom utama menampilkan Tidak), dan kemudian pilih tab Rute untuk menampilkan informasi rute dipanel rincian:

• Dua baris pertama dalam tabel adalah rute lokal, yang memungkinkan instans dalam VPC untukberkomunikasi melalui IPv4 dan IPv6. Anda tidak dapat menghapus rute ini.

• Baris selanjutnya menunjukkan rute yang ditambahkan Amazon VPC wizard untuk mengaktifkanlalu lintas yang dituju untuk alamat IPv4 di luar (0.0.0.0/0) VPC untuk mengalir dari subnet kegateway internet.

• Baris selanjutnya menunjukkan rute yang memungkinkan lalu luntas yang dituju untuk alamat IPv6 diluar VPC (::/0) untuk mengalir dari subnet ke gateway internet.

17

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing


Amazon Virtual Private Cloud Panduan PenggunaLangkah 2: Membuat grup keamanan

6. Pilih tabel rute utama. Tabel rute utama memiliki rute lokal, namun tidak ada rute lain.

Langkah 2: Membuat grup keamananGrup keamanan bertindak sebagai firewall virtual untuk mengendalikan lalu lintas untuk instans terkait.Untuk menggunakan grup keamanan, menambahkan aturan ke dalam untuk mengontrol lalu lintasmasuk ke instans Anda, dan aturan ke luar untuk mengontrol lalu lintas keluar dari instans Anda. Untukmengaitkan grup keamanan dengan instans, tentukan grup keamanan saat Anda meluncurkan instans.

VPC Anda dilengkapi dengan grup keamanan default. Setiap instans yang tidak terkait dengan grupkeamanan lain selama peluncuran dikaitkan dengan grup keamanan default. Dalam latihan ini, Andamembuat grup keamanan baru, WebServerSG, dan menentukan grup keamanan ini ketika Andameluncurkan sebuah instans ke VPC Anda.

Membuat grup keamanan WebServerSG AndaAnda dapat membuat grup keamanan Anda menggunakan konsol Amazon VPC.

Untuk membuat grup keamanan WebServerSG dan menambahkan aturan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan, Buat Grup Keamanan.3. Untuk Nama grup, masukkan WebServerSG sebagai nama grup keamanan dan berikan deskripsi.

Anda dapat memilih menggunakan Tanda nama untuk membuat tanda untuk grup keamanan dengankunci Name dan nilai yang Anda tentukan.

4. Pilih ID VPC Anda dari menu VPC dan pilih Ya, Buat.5. Pilih grup keamanan WebServerSG yang baru saja Anda buat (Anda dapat melihat namanya di kolom

Nama Grup).6. Pada tab Aturan ke Dalam, pilih Edit dan tambahkan aturan untuk lalu lintas masuk sebagai berikut:

a. Untuk Jenis, pilih HTTP dan masukkan ::/0 di bidang Sumber.b. Pilih Tambahkan aturan lain, Untuk Jenis, pilih HTTPS, dan kemudian masukkan ::/0 di bidang

Sumber.c. Pilih Tambahkan aturan lain. Jika Anda meluncurkan instans Linux, pilih SSH untuk Jenis, atau

jika Anda meluncurkan instans Windows, pilih RDP. Masukkan rentang alamat IPv6 publikjaringan Anda di bidang Sumber. Jika Anda tidak mengetahui rentang alamat ini, Anda dapatmenggunakan ::/0 untuk latihan ini.

Important

Jika Anda menggunakan ::/0, Anda akan mengaktifkan semua alamat IPv6 untukmengakses instans Anda menggunakan SSH atau RDP. Ini dapat diterima untuk waktuyang singkat, tetapi tidak aman untuk lingkungan produksi. Dalam produksi, lakukanotorisasi pada alamat IP tertentu saja atau rentang alamat untuk mengakses instansAnda.

d. Pilih Simpan.

Langkah 3: Luncurkan instansKetika Anda meluncurkan instans EC2 ke VPC, Anda harus menyebutkan subnet untuk meluncurkaninstans tersebut. Dalam hal ini, Anda akan meluncurkan sebuah instans ke subnet publik dari VPC yangAnda buat. Gunakan lauch wizard Amazon EC2 di konsol Amazon EC2 untuk meluncurkan instans Anda.

18


Amazon Virtual Private Cloud Panduan PenggunaLangkah 3: Luncurkan instans

Untuk memastikan bahwa instans Anda dapat diakses dari internet, tetapkan alamat IPv6 dari rentangsubnet ke instans selama peluncuran. Hal ini memastikan bahwa instans Anda dapat berkomunikasidengan internet melalui IPv6.

Untuk meluncurkan instans EC2 ke dalam suatu VPC

Sebelum Anda meluncurkan instans EC2 ke VPC, konfigurasikan subnet VPC untuk secara otomatismenetapkan alamat IP IPv6. Untuk informasi lebih lanjut, lihat the section called “Memodifikasi atributpengalamatan IPv6 untuk subnet Anda” (p. 120).

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di bilah navigasi, di kanan atas, pastikan Anda memilih Wilayah yang sama dengan tempat Anda

membuat VPC dan grup keamanan Anda.3. Dari dasbor, pilih Luncurkan Instans.4. Di halaman pertama wizard, pilih AMI yang ingin Anda gunakan. Untuk latihan ini, kami sarankan Anda

memilih Amazon Linux AMI atau Windows AMI.5. Di halaman Pilih Jenis Instans, Anda dapat memilih konfigurasi hardware dan ukuran instans yang

akan diluncurkan. Secara default, wizard memilih tipe instans yang tersedia pertama berdasarkan AMIyang Anda pilih. Anda dapat tidak menggunakan pilihan default, dan kemudian memilih Berikutnya:Mengonfigurasi Detail Instans.

6. Di halaman Mengonfigurasi Detail Instans, pilih VPC yang Anda buat dari daftar Jaringan, dan subnetdari daftar Subnet.

7. Untuk Menetapkan IPv6 secara otomatis, pilih Aktifkan.8. Biarkan pengaturan default lainnya, dan buka halaman berikutnya dari wizard sampai Anda

menemukan halaman Menambahkan Tanda.9. Pada halaman Tambahkan Tanda, Anda dapat menandai instans Anda dengan tanda Name; misalnya

Name=MyWebServer. Ini membantu Anda dalam mengidentifikasi instans Anda di konsol AmazonEC2 setelah Anda meluncurkannya. Pilih Berikutnya: Konfigurasikan Grup Keamanan: saat Andaselesai.

10. Di halaman Konfigurasikan Grup Keamanan, wizard secara otomatis mendefinisikan grup keamananlaunch-wizard-X agar Anda dapat terhubung ke instans Anda. Sebagai gantinya, pilih Pilih grupkeamanan yang sudah ada, pilih grup WebServerSG yang Anda buat sebelumnya, dan kemudian pilihTinjau dan Luncurkan.

11. Pada halaman Tinjau Peluncuran Instans, periksa detail instans Anda dan pilih Luncurkan.12. Dalam kotak dialog Pilih pasangan kunci yang ada atau buat pasangan kunci baru, Anda dapat

memilih pasangan kunci yang ada, atau membuat yang baru. Jika Anda membuat pasangankunci baru, pastikan bahwa Anda mengunduh file dan menyimpannya di lokasi yang aman. Andamemerlukan isi kunci privat untuk tersambung ke instans Anda setelah diluncurkan.

Untuk meluncurkan instans Anda, pilih kotak centang pengakuan, lalu pilih Luncurkan Instans.13. Di halaman konfirmasi, pilih Tampilkan Instans untuk melihat instans Anda pada halaman Instans.

Pilih instans Anda, dan lihat detailnya di tab Deskripsi. Bidang IP Privat menampilkan alamat IPv4privat yang ditetapkan ke instans Anda dari rentang alamat IPv4 di subnet Anda. Bidang IP IPv6menampilkan alamat IPv6 yang ditetapkan ke instans Anda dari rentang alamat IPv6 di subnet Anda.

Untuk informasi selengkapnya tentang pilihan yang tersedia di launch wizard Amazon EC2, lihatMeluncurkan instans dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Anda dapat terhubung ke instans Anda melalui alamat IPv6 menggunakan SSH atau Remote Desktopdari jaringan rumah Anda. Komputer lokal Anda harus memiliki alamat IPv6 dan harus dikonfigurasiuntuk menggunakan IPv6. Untuk informasi selengkapnya tentang cara menghubungkan ke instans Linux,lihat Hubungkan ke instans Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux. Untuk

19


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html


Amazon Virtual Private Cloud Panduan PenggunaKonfigurasi wizard konsol Amazon VPC

informasi selengkapnya tentang cara menghubungkan ke instans Windows, lihat Connect ke instansWindows Anda menggunakan RDP di Panduan Pengguna Amazon EC2 untuk Instans Windows.

Note

Jika Anda juga ingin instans Anda dapat diakses melalui alamat IPv4 melalui internet, SSH, atauRDP, Anda harus mengaitkan alamat IP Elastis (alamat IPv4 publik statis) ke instans Anda, danAnda harus menyesuaikan aturan grup keamanan Anda untuk mengizinkan akses melalui IPv4.Untuk informasi lebih lanjut, lihat Memulai dengan Amazon VPC (p. 11).

Konfigurasi wizard konsol Amazon VPCAnda dapat menggunakan wizard konsol Amazon VPC untuk membuat salah satu dari konfigurasi VPCnondefault berikut ini.

Konfigurasi• VPC dengan sebuah subnet publik tunggal (p. 20)• VPC dengan subnet publik dan privat (NAT) (p. 32)• VPC dengan subnet publik dan privat dan akses AWS Site-to-Site VPN (p. 53)• VPC dengan subnet khusus privat dan akses AWS Site-to-Site VPN (p. 74)

VPC dengan sebuah subnet publik tunggalKonfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik tunggal, dansebuah gateway internet untuk mengaktifkan komunikasi melalui internet. Kami merekomendasikankonfigurasi ini jika Anda perlu menjalankan aplikasi web single-tier yang menghadap publik, seperti blogatau situs web sederhana.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6 - Anda dapat menggunakan wizard VPCuntuk membuat VPC dan subnet dengan blok CIDR IPv6 dikaitkan. Instans-instans yang diluncurkanke subnet publik dapat menerima alamat IPv6, dan berkomunikasi menggunakan IPv6. Untuk informasiselengkapnya tentang penetapan alamat IPv4 dan IPv6, lihat Pembuatan alamat IP di VPC (p. 115).

Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak padainstance Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Daftar Isi• Overview (p. 20)• Routing (p. 23)• Security (p. 24)

OverviewDiagram berikut menunjukkan komponen kunci konfigurasi untuk skenario ini.

20



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/managing-software.html


Amazon Virtual Private Cloud Panduan PenggunaVPC dengan sebuah subnet publik tunggal

Note

Jika Anda telah menyelesaikan Memulai dengan Amazon VPC (p. 11), maka anda telahmenerapkan skenario ini menggunakan wizard VPC di konsol Amazon VPC.

Konfigurasi untuk skenario ini mencakup hal berikut:

• Sebuah virtual private cloud (VPC) dengan blok CIDR IPv4 ukuran /16 (contoh: 10.0.0.0/16). VPC inimenyediakan 65.536 alamat IPv4 pribadi.

• Sebuah subnet dengan blok CIDR IPv4 ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256alamat IPv4 pribadi.

• Gateway internet. Gateway internet ini menghubungkan VPC ke internet dan ke AWS layanan yang lain.• Instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.6), yang mengaktifkan instans

untuk berkomunikasi dengan instans lain di VPC tersebut, dan sebuah alamat IPv4 elastis (contoh:198.51.100.2), yang merupakan alamat IPv4 publik yang mengaktifkan instans untuk terhubung keinternet dan dapat dicapai dari internet.

• Sebuah tabel rute kustom yang dikaitkan dengan subnet. Entri tabel rute mengaktifkan instans-instans disubnet untuk menggunakan IPv4 untuk berkomunikasi dengan instans-instans yang lainnya di VPC, dan

21


untuk berkomunikasi secara langsung melalui internet. Subnet yang dikaitkan dengan tabel rute yangmemiliki rute ke gateway internet dikenal sebagai subnet publik.

Untuk informasi selengkapnya tentang subnet, lihat VPC dan subnet (p. 98). Untuk informasiselengkapnya tentang gateway internet, lihat Gateway internet (p. 210).

Gambaran umum untuk IPv6

Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang disebutkan di atas, konfigurasi tersebut meliputi hal-hal berikut:

• Blok CIDR IPv6 dengan ukuran /56 yang dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56).Amazon secara otomatis menugaskan CIDR; Anda tidak dapat memilih rentang oleh Anda sendiri.

• Blok CIDR IPv6 dengan ukuran /64 yang dikaitkan dengan subnet publik (contoh:2001:db8:1234:1a00::/64). Anda dapat memilih rentang untuk subnet Anda dari rentang yangdialokasikan ke VPC. Anda tidak dapat memilih ukuran blok CIDR IPv6 subnet.

• Sebuah alamat IPv6 ditetapkan ke instans dari rentang subnet (contoh: 2001:db8:1234:1a00::123).• Entri tabel rute dalam tabel rute kustom mengaktifkan instans-instans di VPC untuk menggunakan IPv6

untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.

22


RoutingVPC Anda memiliki router tersirat (terlihat pada diagram konfigurasi di atas). Dalam skenario ini, wizardVPC membuat tabel rute kustom yang mengarahkan semua lalu lintas yang ditujukan untuk alamat di luarVPC ke gateway internet, dan mengaitkan tabel rute ini dengan subnet tersebut.

Tabel berikut menunjukkan tabel rute untuk contoh dalam diagram konfigurasi di atas. Entri pertama adalahentri default untuk perutean IPv4 lokal di VPC; entri ini mengaktifkan instans-instans di dalam VPC ini untukberkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnya ke gatewayinternet (misalnya, igw-1a2b3c4d).

23


Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 igw-id

Perutean untuk IPv6Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, tabel rute Anda harus memasukkanrute-rute terpisah untuk lalu lintas IPv6. Tabel berikut ini menunjukkan tabel rute kustom untuk skenarioini jika Anda memilih untuk mengaktifkan komunikasi IPv6 di VPC Anda. Entri kedua adalah rute defaultyang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6. Entri keempat mengarahkansemua lalu lintas subnet IPv6 lainnya ke gateway internet.

Tujuan Target

10.0.0.0/16 lokal

2001:db8:1234:1a00::/56 lokal

0.0.0.0/0 igw-id

::/0 igw-id

SecurityAWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: grupkeamanan dan ACL Jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untukinstans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda.Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; Namun, Anda juga dapatmenggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untukinformasi lebih lanjut, lihat Privasi lalu lintas antar jaringan di Amazon VPC (p. 156).

Untuk skenario ini, Anda menggunakan grup keamanan tetapi bukan ACL jaringan. Jika Anda inginmenggunakan ACL jaringan, lihat Aturan-aturan ACL jaringan yang disarankan untuk VPC dengan subnetpublik tunggal (p. 27).

VPC Anda dilengkapi dengan Grup keamanan default (p. 181). Sebuah instans yang diluncurkan kedalam VPC secara otomatis dikaitkan dengan grup keamanan default jika Anda tidak menentukan grupkeamanan yang berbeda selama peluncuran. Anda dapat menambahkan aturan khusus ke grup keamanandefault, tetapi aturan-aturan tersebut mungkin tidak cocok untuk instans-instasn lain yang Anda luncurkanke dalam VPC. Sebaliknya, kami menyarankan Anda membuat grup keamanan kustom untuk server webAnda.

Untuk skenario ini, buat grup keamanan bernama WebServerSG. Ketika Anda membuat sebuah grupkeamanan, terdapat aturan jalur keluar tunggal yang mengizinkan semua lalu lintas untuk meninggalkaninstans-instans. Anda harus mengubah aturan untuk mengaktifkan lalu lintas jalur masuk dan membatasilalu lintas jalur keluar seperlunya. Anda tentukan grup keamanan ini ketika Anda meluncurkan instans-instans ke dalam VPC.

Berikut ini adalah aturan jalur masuk dan keluar untuk lalu lintas IPv4 untuk grup keamanan WebServerSG.

Inbound

Sumber Protokol Rentang Port Komentar

24


0.0.0.0/0 TCP 80 Mengizinkan akses jalurmasuk HTTP ke serverweb dari alamat IPv4apa pun.

0.0.0.0/0 TCP 443 Mengizinkan akses jalurmasuk HTTPS ke serverweb dari alamat IPv4apa pun

Rentang alamat IPv4publik dari jaringan Anda

TCP 22 (Instans-instans Linux)Mengizinkan aksesjalur masuk SSHdari jaringan Andamelalui IPv4. Andabisa mendapatkanalamat IPv4 publikdari komputer lokalAnda menggunakanlayanan seperti http://checkip.amazonaws.comatau https://checkip.amazonaws.com.Jika Anda terhubungmelalui ISP atau daribelakang firewallAnda tanpa sebuahalamat IP statis, Andaperlu menemukanrentang alamat IPyang digunakan olehkomputer klien.

Rentang alamat IPv4publik dari jaringan Anda

TCP 3389 (Instans Windows)Mengizinkan aksesjalur masuk RDP darijaringan Anda melaluiIPv4.

The security group ID(sg-xxxxxxxx)

All All (Optional) Allow inboundtraffic from otherinstances associatedwith this security group.This rule is automaticallyadded to the defaultsecurity group for theVPC; for any customsecurity group youcreate, you mustmanually add the ruleto allow this type ofcommunication.

Jalur keluar (Opsional)

Tujuan Protokol Rentang Port Komentar

25

http://checkip.amazonaws.com


https://checkip.amazonaws.com



0.0.0.0/0 All All Default rule to allow alloutbound access to anyIPv4 address. If youwant your web serverto initiate outboundtraffic, for example, toget software updates,you can keep thedefault outbound rule.Otherwise, you canremove this rule.

Aturan grup keamanan untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, Anda harus menambahkan aturanterpisah ke grup keamanan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untukinstans server web Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintas internetmelalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6.

Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan yangsudah tercantum di atas).

Jalur masuk


::/0 TCP 80 Mengizinkan akses jalurmasuk HTTP ke serverweb dari alamat IPv6apa pun.

::/0 TCP 443 Mengizinkan akses jalurmasuk HTTPS ke serverweb dari alamat IPv6apa pun.

Rentang alamat IPv6dari jaringan Anda

TCP 22 (Instans Linux)Mengizinkan akses jalurmasuk SSH melalui IPv6dari jaringan Anda.


TCP 3389 (Instans Windows)Mengizinkan akses jalurmasuk RDP melaluiIPv6 dari jaringan Anda

Jalur keluar (Opsional)


::/0 All All Default rule to allow alloutbound access to anyIPv6 address. If youwant your web serverto initiate outboundtraffic, for example, toget software updates,you can keep the

26


default outbound rule.Otherwise, you canremove this rule.

Aturan-aturan ACL jaringan yang disarankan untuk VPC dengan subnet publiktunggalTabel berikut menunjukkan aturan-aturan yang kami sarankan. Aturan-aturan itu memblokir semua lalulintas kecuali yang secara eksplisit diperlukan.

Inbound

Aturan # IP sumber Protokol Port Izinkan/Tolak Komentar

100 0.0.0.0/0 TCP 80 IZINKAN Izinkan lalulintas jalurmasuk HTTPdari alamatIPv4 apa pun.

110 0.0.0.0/0 TCP 443 IZINKAN Mengizinkanlalu lintas jalurmasuk HTTPSdari alamatIPv4 apa pun.

120 Rentang alamatIPv4 publik darijaringan rumahAnda

TCP 22 IZINKAN Mengizinkanlalu lintasjalur masukSSH darijaringan rumahAnda (melaluigatewayinternet).


TCP 3389 IZINKAN Mengizinkanlalu lintasjalur masukRDP darijaringan rumahAnda (melaluigatewayinternet).

140 0.0.0.0/0 TCP 32768-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk darihost di internetyang meresponpermintaanyang berasaldari subnet.

Rentang iniadalah contohsaja. Untuk

27


informasitentangpemilihan portsementarayang benaruntukkonfigurasiAnda, lihatEphemeralport (p. 201).

* 0.0.0.0/0 Semua Semua TOLAK Menolaksemua lalulintas jalurmasuk IPv4yang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

Outbound

Aturan IP Tujuan Protokol Port Izinkan/Tolak Komentar

100 0.0.0.0/0 TCP 80 IZINKAN Mengizinkanlalu lintas jalurkeluar HTTPdari subnet keinternet.

110 0.0.0.0/0 TCP 443 IZINKAN Mengizinkanlalu lintas jalurkeluar HTTPSdari subnet keinternet.

28


120 0.0.0.0/0 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untukklien di internet(misalnya,menyajikanhalaman webuntuk orang-orang yangmengunjungiserver web disubnet).

Rentang iniadalah contohsaja. Untukinformasitentangpemilihan portsementarayang benaruntukkonfigurasiAnda, lihatEphemeralport (p. 201).

* 0.0.0.0/0 Semua Semua MENOLAK Menolaksemua lalulintas jalurkeluar IPv4yang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

Aturan ACL jaringan yang disarankan untuk IPv6

Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yangdikaitkan, Anda harus menambahkan aturan terpisah untuk ACL jaringan Anda untuk mengendalikan lalulintas IPv6 jalur masuk dan keluar.

Berikut ini adalah aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturan yang adasebelumnya).

Inbound

Aturan IP sumber Protokol Port Izinkan/Tolak Komentar

150 ::/0 TCP 80 IZINKAN Mengizinkanlalu lintas jalurmasuk HTTPdari alamatIPv6 apa pun.

29


160 ::/0 TCP 443 IZINKAN Mengizinkanlalu lintas jalurmasuk HTTPSdari alamatIPv6 apa pun.

170 Rentang alamatIPv6 darijaringan rumahAnda




190 ::/0 TCP 32768-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk darihost di internetyang meresponpermintaanyang berasaldari subnet.


30


* ::/0 Semua Semua MENOLAK Menolaksemua lalulintas IPv6jalur masukyang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

Outbound


130 ::/0 TCP 80 IZINKAN Mengizinkanlalu lintas jalurkeluar HTTPdari subnet keinternet.

140 ::/0 TCP 443 IZINKAN Mengizinkanlalu lintas jalurkeluar HTTPSdari subnet keinternet.

150 ::/0 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untukklien di internet(misalnya,menyajikanhalaman webuntuk orang-orang yangmengunjungiserver web disubnet).


31

Amazon Virtual Private Cloud Panduan PenggunaVPC dengan subnet publik dan privat (NAT)

* ::/0 Semua Semua MENOLAK Menolaksemua lalulintas jalurkeluar IPv6yang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

VPC dengan subnet publik dan privat (NAT)Konfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik dan subnetprivat. Kami merekomendasikan skenario ini jika Anda ingin menjalankan aplikasi web yang menghadappublik, sambil memelihara server back-end yang tidak dapat diakses oleh publik. Contoh umum adalahsitus web multi-tier, dengan server web di subnet publik dan server basis data di subnet pribadi. Andadapat mengatur keamanan dan perutean sehingga server web dapat berkomunikasi dengan server basisdata.

Instans di subnet publik dapat mengirimkan lalu lintas jalur keluar langsung ke internet, sedangkan instansdi subnet pribadi tidak dapat. Sebaliknya, instans-instans di subnet pribadi dapat mengakses internetdengan menggunakan gateway penerjemahan alamat jaringan (NAT) yang berada di subnet publik. Serverbasis data dapat terhubung ke internet untuk pembaruan perangkat lunak menggunakan gateway NAT,tetapi internet tidak dapat membuat koneksi ke server basis data.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6 - Anda dapat menggunakan wizard VPCuntuk membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan. Instans-instans yang diluncurkanke subnet dapat menerima alamat IPv6, dan berkomunikasi menggunakan IPv6. Instans di subnet pribadidapat menggunakan gateway internet khusus keluar untuk terhubung ke internet melalui IPv6, tetapiinternet tidak dapat mengadakan sambungan ke instans-instans pribadi melalui IPv6. Untuk informasiselengkapnya tentang IPv4 dan IPv6, lihat Pembuatan alamat IP di VPC (p. 115).


Daftar Isi• Overview (p. 32)• Routing (p. 36)• Security (p. 37)• Melaksanakan skenario 2 (p. 41)• Aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik dan privat (NAT) (p. 41)


32





• VPC dengan blok CIDR IPv4 dengan ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan 65.536alamat IPv4 pribadi.

• Sebuah subnet publik blok CIDR IPv4 dengan ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan256 alamat IPv4 pribadi. Subnet publik adalah subnet yang dikaitkan dengan tabel rute yang memilikirute ke gateway internet.

• Sebuah subnet privat blok CIDR IPv4 dengan ukuran /24 (contoh: 10.0.1.0/24). Subnet ini menyediakan256 alamat IPv4 pribadi.

• Gateway internet. Gateway internet menghubungkan VPC ke internet dan ke layanan AWS lainnya.• Instans-instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.5, 10.0.1.5). Hal ini

memungkinkan instans-instans Anda berkomunikasi satu sama lain dan berkomunikasi dengan instans-instans lain di VPC.

• Instans-instans dalam subnet publik dengan alamat IPv4 Elastis (contoh: 198.51.100.1), yang merupakanalamat IPv4 publik yang membuatnya dapat dicapai dari internet. Instans-instans dapat memiliki alamatIP publik yang ditetapkan pada peluncuran sebagai ganti alamat IP Elastis. Instans-instans di subnetpribadi adalah server back-end yang tidak perlu menerima lalu lintas yang masuk dari internet danoleh karenanya tidak memiliki alamat IP publik; namun, mereka dapat mengirim permintaan ke internetmenggunakan gateway NAT (lihat berikutnya).

• Sebuah gateway NAT dengan alamat IPv4 Elastis sendiri. Instans-instans di subnet pribadi dapatmengirimkan permintaan ke internet lewat gateway NAT melalui IPv4 (misalnya, untuk pembaruanperangkat lunak).

• Tabel rute kustom yang dikaitkan dengan subnet publik. Tabel rute ini berisikan sebuah entri yangmengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC melaluiIPv4, dan sebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi langsungdengan internet melalui IPv4.

• Tabel rute utama yang dikaitkan dengan subnet pribadi. Tabel rute berisi sebuah entri yang mengaktifkaninstans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC melalui IPv4, dansebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi dengan internet melaluigateway NAT melalui IPv4.

33


Untuk informasi selengkapnya tentang subnet, lihat VPC dan subnet (p. 98). Untuk informasiselengkapnya tentang gateway internet, lihat Gateway internet (p. 210). Untuk informasi selengkapnyatentang gateway NAT, lihat Gateway NAT (p. 226).


Anda dapat mengaktifkan IPv6 secara opsional untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut:

• Blok CIDR IPv6 dengan ukuran /56 yang dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56).Amazon secara otomatis menetapkan CIDR; Anda tidak dapat memilih rentang oleh Anda sendiri.

• Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet publik (contoh: 2001:db8:1234:1a00::/64). Andadapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapatmemilih ukuran blok CIDR IPv6 VPC.

• Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet pribadi (contoh: 2001:db8:1234:1a01::/64). Andadapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapatmemilih ukuran blok CIDR IPv6 subnet.

• Alamat IPv6 ditugaskan ke instans-instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).• Gateway internet khusus keluar. Anda gunakan gateway untuk menangani permintaan ke internet dari

instans-instans di subnet pribadi melalui IPv6 (misalnya, untuk pembaruan perangkat lunak). Sebuahgateway internet khusus keluar diperlukan jika Anda ingin instans berada di subnet pribadi untuk dapatmemulai komunikasi dengan internet melalui IPv6. Untuk informasi lebih lanjut, lihat Gateway internetkhusus jalan keluar (p. 216).

• Entri-entri rute tabel dalam tabel rute kustom mengaktifkan instans-instans di subnet publik untukmenggunakan IPv6 untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.

• Entri tabel rute di tabel rute utama yang mengaktifkan instans di subnet pribadi untuk menggunakan IPv6untuk berkomunikasi satu sama lain, dan untuk berkomunikasi dengan internet melalui gateway internetkhusus keluar.

34


Server web di subnet publik memiliki alamat berikut ini.

Server Alamat IPv4 alamat IP Elastis Alamat IPv6

1 10.0.0.5 198.51.100.1 2001:db8:1234:1a00::1a

2 10.0.0.6 198.51.100.2 2001:db8:1234:1a00::2b

3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Server basis data di subnet pribadi memiliki alamat-alamat berikut.

Server Alamat IPv4 Alamat IPv6

1 10.0.1.5 2001:db8:1234:1a01::1a

2 10.0.1.6 2001:db8:1234:1a01::2b

3 10.0.1.7 2001:db8:1234:1a01::3c

35


RoutingDalam skenario ini, wizard VPC memperbarui tabel rute utama yang digunakan dengan subnet pribadi, danmenciptakan tabel rute kustom dan mengaitkannya dengan subnet publik.

Dalam skenario ini, semua lalu lintas dari setiap subnet yang terikat ke AWS (misalnya, ke titik akhirAmazon EC2 atau Amazon S3) masuk melalui gateway internet. Server-server basis data di subnet pribaditidak dapat menerima lalu lintas dari internet secara langsung karena server-server tidak memiliki alamat IPelastis. Namun, server basis data dapat mengirim dan menerima lalu lintas internet melalui perangkat NATdi subnet publik.

Subnet tambahan yang Anda buat menggunakan tabel rute utama secara default, yang berarti bahwasubnet-subnet tersebut adalah subnet pribadi secara default. Jika Anda ingin membuat sebuah subnetmenjadi subnet publik, Anda selalu dapat mengubah tabel rute yang dikaitkan dengannya.

Tabel berikut menjelaskan tabel rute untuk skenario ini.

Tabel rute utamaTabel rute utama dikaitkan dengan subnet pribadi. Entri pertama adalah entri default untuk perutean lokaldi VPC; entri ini mengaktifkan instans-instans di VPC untuk berkomunikasi satu sama lain. Entri keduamengirimkan semua lalu lintas subnet lainnya ke gateway NAT (misalnya, nat-12345678901234567).

Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 nat-gateway-id

Tabel rute kustomTabel rute kustom dikaitkan dengan subnet publik. Entri pertama adalah entri default untuk peruteanlokal di VPC; entri ini mengaktifkan instans-instans di VPC ini untuk berkomunikasi satu sama lain. Entrikedua mengarahkan semua lalu lintas subnet lainnya ke internet melalui gateway internet (misalnya,igw-1a2b3d4d).

Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 igw-id

Perutean untuk IPv6Jika Anda mengaitkan sebuah blok CIDR IPv6 dengan VPC dan subnet Anda, Tabel rute Anda harusmemasukkan rute terpisah untuk lalu lintas IPv6. Tabel berikut menunjukkan tabel rute untuk skenario inijika Anda memilih untuk mengaktifkan komunikasi IPv6 di VPC Anda.

Tabel rute utama

Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melaluiIPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet khusus keluar.

Tujuan Target

10.0.0.0/16 lokal

36


Tujuan Target

2001:db8:1234:1a00::/56 lokal


::/0 egress-only-igw-id

Tabel rute kustom

Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melaluiIPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet.

Tujuan Target

10.0.0.0/16 lokal

2001:db8:1234:1a00::/56 lokal

0.0.0.0/0 igw-id

::/0 igw-id

SecurityAWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: grupkeamanan dan ACL Jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untukinstans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda.Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; Namun, Anda juga dapatmenggunakan ACL jaringan jika Anda menginginkan lapisan tambahan keamanan untuk VPC Anda. Untukinformasi lebih lanjut, lihat Privasi lalu lintas antar jaringan di Amazon VPC (p. 156).

Untuk skenario 2, Anda akan menggunakan grup keamanan tetapi bukan ACL jaringan. Jika Anda inginmenggunakan ACL jaringan, lihat Aturan ACL jaringan yang disarankan untuk VPC dengan subnet publikdan privat (NAT) (p. 41).

VPC Anda dilengkapi dengan grup keamanan default (p. 181). Sebuah instans yang diluncurkan kedalam VPC secara otomatis dikaitkan dengan grup keamanan default jika Anda tidak menentukan grupkeamanan yang berbeda selama peluncuran. Untuk skenario ini, kami merekomendasikan Anda membuatgrup keamanan berikut dan bukannya menggunakan grup keamanan default:

• WebServerSG: Tentukan grup keamanan ini ketika Anda meluncurkan server web di subnet publik.• DBServersg: Tentukan grup keamanan ini ketika Anda meluncurkan server basis data di subnet pribadi.

Instans-instans yang ditetapkan ke grup keamanan bisa berada di subnet yang berbeda-beda. Namun,dalam skenario ini, setiap grup keamanan menyesuaikan dengan jenis peran yang sebuah instansmainkan, dan setiap peran memerlukan instans untuk berada di subnet tertentu. Oleh karena itu, dalamskenario ini, semua instans yang ditetapkan ke grup keamanan berada di subnet yang sama.

Tabel berikut menjelaskan aturan yang direkomendasikan untuk grup keamanan WebServerSG, yangmengizinkan server web menerima lalu lintas internet, dan juga lalu lintas SSH dan RDP dari jaringanAnda. Web server juga bisa memulai membaca dan menulis permintaan ke server basis data di subnetprivat, dan mengirimkan lalu lintas ke internet; misalnya, untuk mendapatkan pembaruan perangkat lunak.Karena web server tidak memulai komunikasi jalur keluar lainnya, aturan jalur keluar default dihapus.

37


Note

Rekomendasi ini mencakup akses SSH dan RDP, dan Server Microsoft SQL dan akses MySQL.Untuk situasi Anda, Anda mungkin hanya memerlukan aturan untuk Linux (SSH dan MySQL) atauWindows (RDP dan Microsoft SQL Server).

WebServerSG: aturan-aturan yang direkomendasikan

Inbound



0.0.0.0/0 TCP 443 Mengizinkan akses jalurmasuk HTTPS ke serverweb dari alamat IPv4apa pun.

Rentang alamat IPv4publik dari jaringanrumah Anda

TCP 22 Mengizinkan akses jalurmasuk SSH ke instansLinux dari jaringanrumah Anda (melaluigateway internet). Andabisa mendapatkanalamat IPv4 publikpada komputer lokalAnda menggunakanlayanan seperti http://checkip.amazonaws.comatau https://checkip.amazonaws.com.Jika Anda terhubungmelalui ISP atau daribelakang firewallAnda tanpa sebuahalamat IP statis, Andaperlu menemukanrentang alamat IPyang digunakan olehkomputer klien.

Rentang alamat IPv4publik dari jaringanrumah Anda

TCP 3389 Mengizinkan aksesjalur masuk RDP keinstans-instans Windowsdari jaringan rumahAnda (melalui gatewayinternet).

Jalur keluar


ID dari grup-grupkeamanan DBServerSGAnda

TCP 1433 Mengizinkan aksesjalur keluar ServerMicrosoft SQL menuju

38






server basis data yangditetapkan ke grupkeamanan DBServerSG.

ID dari grup-grupkeamanan DBServerSGAnda

TCP 3306 Mengizinkan akses jalurkeluar MySQL menujuserver basis data yangditetapkan ke grupkeamanan DBServerSG.

0.0.0.0/0 TCP 80 Mengizinkan akses jalurkeluar HTTP ke alamatIPv4 apa pun.

0.0.0.0/0 TCP 443 Mengizinkan akses jalurkeluar HTTPS ke alamatIPv4 apa pun.

Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan DBServerSG,aturan-aturan yang memungkinkan membaca atau menulis permintaan basis data dari server web. Serverbasis data juga dapat memulai lalu lintas terikat untuk internet (tabel rute mengirimkan lalu lintas kegateway NAT, yang kemudian meneruskannya ke internet melalui gateway internet).

DBServersg: aturan-aturan yang direkomendasikan

Jalur masuk


ID dari grup keamananWebServerSG Anda

TCP 1433 Mengizinkan akses jalurmasuk Server MicrosoftSQL dari serverweb yang dikaitkandengan grup keamananWebServerSG.


TCP 3306 Mengizinkan aksesjalur masuk ServerMySQL dari serverweb yang dikaitkandengan grup keamananWebServerSG.

Jalur keluar


0.0.0.0/0 TCP 80 Mengizinkan akses jalurkeluar HTTP ke internetmelalui IPv4 (misalnya,untuk pembaruanperangkat lunak).

0.0.0.0/0 TCP 443 Mengizinkan aksesjalur keluar HTTPSke internet melaluiIPv4 (misalnya, untukpembaruan perangkatlunak).

39


(Opsional) Grup keamanan default untuk VPC memiliki aturan yang secara otomatis mengizinkan instans-instans yang ditugaskan untuk saling berkomunikasi. Untuk mengizinkan jenis komunikasi tersebut untukgrup keamanan kustom, Anda harus menambahkan aturan berikut:

Jalur masuk


ID grup keamanan Semua Semua Mengizinkan lalu lintasjalur masuk dari instanslain yang ditetapkanuntuk grup keamananini.

Jalur keluar


The ID of the securitygroup

All All Allow outbound trafficto other instancesassigned to this securitygroup.

(Opsional) Jika Anda meluncurkan host benteng di subnet publik Anda untuk digunakan sebagai proxyuntuk lalu lintas SSH atau RDP dari jaringan rumah Anda ke subnet pribadi Anda, tambahkan aturan kegrup keamanan DBServerSG yang mengizinkan lalu lintas jalur masuk SSH atau RDP dari instans bentengatau grup keamanan yang dikaitkan dengannya.

Aturan grup keamanan untuk IPv6Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisahuntuk grup keamanan WebServerSG dan DBServerSG untuk mengendalikan lalu lintas jalur masuk dankeluar IPv6 untuk instans Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintasinternet melalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6. Mereka jugadapat memulai lalu lintas jalur keluar IPv6 ke internet. Server basis data dapat memulai lalu lintas jalurkeluar IPv6 ke internet.

Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan-aturan yang sudah tercantum di atas).

Jalur masuk


::/0 TCP 80 Mengizinkan akses jalurmasuk HTTPke serverweb dari alamat IPv6apa pun.




40




Jalur keluar


::/0 TCP HTTP Allow outbound HTTPaccess to any IPv6address.

::/0 TCP HTTPS Allow outbound HTTPSaccess to any IPv6address.

Berikut ini adalah aturan-aturan khusus IPv6 untuk grup keamanan DBServerSG (sebagai tambahanaturan-aturan yang sudah tercantum di atas).

Jalur keluar


::/0 TCP 80 Mengizinkan akses jalurkeluar HTTP ke alamatIPv6 apa pun.

::/0 TCP 443 Mengizinkan akses jalurkeluar HTTPS ke alamatIPv6 apa pun.

Melaksanakan skenario 2Anda dapat menggunakan wizard VPC untuk membuat VPC, subnet, gateway NAT, dan secara opsional,gateway internet khusus keluar. Anda harus menentukan alamat IP Elastis untuk gateway NAT Anda; jikaAnda tidak memilikinya, Anda harus terlebih dahulu mengalokasikan satu alamat IP Elastis ke akun Anda.Jika Anda ingin menggunakan alamat IP elastis yang ada, pastikan bahwa alamat IP Elastis yang ada saatini tidak terkait dengan instans atau antarmuka jaringan lain. Gateway NAT secara otomatis dibuat dalamsubnet publik dari VPC Anda.

Aturan ACL jaringan yang disarankan untuk VPC dengan subnetpublik dan privat (NAT)Untuk skenario ini, Anda memiliki ACL jaringan untuk subnet publik, dan ACL jaringan terpisah untuksubnet pribadi. Tabel berikut menunjukkan aturan-aturan yang kami sarankan untuk setiap ACL. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan. Aturan-aturan itukebanyakan meniru aturan grup keamanan untuk skenario tersebut.

Aturan-aturan ACL untuk subnet publik

Inbound


41


100 0.0.0.0/0 TCP 80 IZINKAN Mengizinkanakses jalurmasuk HTTPdari alamatIPv4 apa pun.

110 0.0.0.0/0 TCP 443 IZINKAN Mengizinkanakses jalurmasuk HTTPSdari alamatIPv4 apa pun.

120 Rentang alamatIP publik darijaringan rumahAnda


130 Rentang alamatIP publik darijaringan rumahAnda




42


* 0.0.0.0/0 Semua Semua MENOLAK Menolaksemua lalulintas jalurmasuk IPv4yang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

Outbound




120 10.0.1.0/24 TCP 1433 IZINKAN Mengizinkanakses jalurkeluar MS SQLke server basisdata di subnetpribadi.

Nomor port iniadalah contohsaja. Contohlain termasuk3306 untukakses MySQL/Aurora, 5432untuk aksesPostgreSQL,5439 untukakses AmazonRedshift, dan1521 untukakses Oracle.

43


140 0.0.0.0/0 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untukklien di internet(misalnya,melayanihalaman webuntuk orang-orang yangmengunjungiserver web disubnet).


150 10.0.1.0/24 TCP 22 IZINKAN Mengizinkanakses jalurkeluar SSHke instans disubnet pribadiAnda (daribastion SSH,jika Andamemilikinya).


Aturan ACL untuk subnet pribadi

Inbound


100 10.0.0.0/24 TCP 1433 IZINKAN Mengizinkanserver webdi subnet

44


publik untukmembacadan menuliske server MSSQL di subnetpribadi.


120 10.0.0.0/24 TCP 22 IZINKAN Mengizinkanlalu lintasjalur masukSSH daribenteng SSHdi subnet publik(jika Andamemilikinya).

130 10.0.0.0/24 TCP 3389 IZINKAN Mengizinkanlalu lintas jalurmasuk RDPdari gatewayMicrosoftTerminalServices disubnet publik.

45


140 0.0.0.0/0 TCP 1024-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk dariperangkatNAT di subnetpublik ataspermintaanyang berasaldari subnetpribadi.

Untuk informasitentangpenetapanport sementarayang benar,lihat catatanpenting di awaltopik ini.


Outbound


100 0.0.0.0/0 TCP 80 IZINKAN Mengizinkanlalu lintas jalurkelua HTTPdari subnet keinternet.


46


120 10.0.0.0/24 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untuksubnet publik(misalnya,respon keserver webdi subnetpublik yangberkomunikasidengan serverDB di subnetpribadi).




Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yangdikaitkan, Anda harus menambahkan aturan terpisah ke ACL jaringan Anda untuk mengendalikan lalulintas jalur masuk dan keluar IPv6.

Berikut ini adalah aturan-aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturanyang ada sebelumnya).

Aturan ACL untuk subnet publik

Inbound


150 ::/0 TCP 80 IZINKAN Mengizinkanlalu lintas jalurmasuk HTTP

47


dari alamatIPv6 apa pun.

160 ::/0 TCP 443 IZINKAN Mengizinkanakses jalurmasuk HTTPSdari alamatIPv6 apa pun.


TCP 22 IZINKAN Mengizinkanlalu lintasjalur masukSSH melaluiIPv6 darijaringan rumahAnda (melaluigatewayinternet).


TCP 3389 IZINKAN Mengizinkanlalu lintasjalur masukRDP melaluiIPv6 darijaringan rumahAnda (melaluigatewayinternet).

190 ::/0 TCP 1024-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk darihost di internetyang meresponpermintaanyang berasaldari subnet.


48


* ::/0 Semua Semua MENOLAK Menolaksemua lalulintas jalurmasuk IPv6yang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

Outbound



170 ::/0 TCP 443 IZINKAN Mengizinkanlalu lintas jalurkeluar HTTPSdari subnet keinternet

180 2001:db8:1234:1a01::/64TCP 1433 IZINKAN Mengizinkanakses jalurkeluar MS SQLke server basisdata di subnetpribadi.


49


200 ::/0 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untukklien di internet(misalnya,melayanihalaman webuntuk orang-orang yangmengunjungiserver web disubnet).


210 2001:db8:1234:1a01::/64TCP 22 IZINKAN Mengizinkanakses jalurkeluar SSH keinstans-instansdi subnetpribadi Anda(dari bastionSSH, jika Andamemilikinya).


Aturan ACL untuk subnet pribadi

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 IZINKAN Mengizinkanserver webdi subnet

50


publik untukmembacadan menuliske server MSSQL di subnetpribadi.

Nomor port iniadalah contohsaja. Contoh-contoh lainnyatermasuk3306 untukakses MySQL/Aurora, 5432untuk aksesPostgreSQL,5439 untukakses AmazonRedshift, dan1521 untukakses Oracle.

170 2001:db8:1234:1a00::/64TCP 22 IZINKAN Mengizinkanlalu lintas jalurmasuk SSHdari bentengSSH di subnetpublik (jikaberlaku).

180 2001:db8:1234:1a00::/64TCP 3389 IZINKAN Mengizinkanlalu lintas jalurmasuk RDPdari gatewayMicrosoftTerminalServices disubnet publik,jika berlaku.

51


190 ::/0 TCP 1024-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk darigatewayinternet khususkeluar ataspermintaanyang berasaldari subnetpribadi.



Outbound




52

Amazon Virtual Private Cloud Panduan PenggunaVPC dengan subnet publik dan privat

dan akses AWS Site-to-Site VPN

150 2001:db8:1234:1a00::/64TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar kesubnet publik(misalnya,respon keserver webdi subnetpublik yangberkomunikasidengan serverDB di subnetpribadi).



VPC dengan subnet publik dan privat dan akses AWSSite-to-Site VPNKonfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet publik dan subnetprivat, dan virtual private gateway untuk mengaktifkan komunikasi dengan jaringan Anda sendiri melaluiterowongan IPsec VPN. Kami merekomendasikan skenario ini jika Anda ingin memperpanjang jaringanAnda ke cloud dan juga mengakses secara langsung internet dari VPC Anda. Skenario ini memungkinkanAnda untuk menjalankan aplikasi multi-tier dengan front end web yang dapat diperluas di subnet publik,dan mewadahi data Anda di subnet pribadi yang terhubung ke jaringan Anda menggunakan koneksi AWSSite-to-Site VPN IPsec.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6 - Anda dapat menggunakan wizard VPCuntuk membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan. Instans-instans yang diluncurkanke dalam subnet dapat menerima alamat IPv6. Kami tidak men-support komunikasi IPv6 melalui koneksiSite-to-Site VPN pada virtual private gateway; Namun, instans-instans di VPC dapat berkomunikasi satusama lain melalui IPv6, dan instans-instans di subnet publik dapat berkomunikasi melalui internet dengan

53



perantara IPv6. Untuk informasi selengkapnya tentang penetapan alamat IPv4 dan IPv6, lihat Pembuatanalamat IP di VPC (p. 115).


Daftar Isi• Overview (p. 54)• Routing (p. 57)• Security (p. 59)• Melaksanakan skenario 3 (p. 63)• Aturan ACL jaringan yang direkomendasikan untuk sebuah VPC dengan subnet publik dan subnet

privat dan akses AWS Site-to-Site VPN (p. 63)


Important

Untuk skenario ini, lihat Perangkat gateway pelanggan Anda di Panduan Pengguna AWS Site-to-Site VPN untuk informasi tentang konfigurasi perangkat gateway pelanggan di sisi koneksi Site-to-Site VPN Anda.


• Sebuah virtual private cloud (VPC) dengan CIDR IPv4 ukuran /16 (contoh: 10.0.0.0/16). VPC inimenyediakan 65.536 alamat IPv4 pribadi.

54



https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html



• Sebuah subnet publik dengan CIDR IPv4 ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256alamat IPv4 pribadi. Subnet publik adalah subnet yang dikaitkan dengan tabel rute yang memiliki rute kegateway internet.

• Sebuah subnet khusus VPN dengan CIDR IPv4 ukuran /24 (contoh: 10.0.1.0/24). Subnet inimenyediakan 256 alamat IPv4 pribadi.

• Gateway internet. Gateway internet menghubungkan VPC ke internet dan ke produk AWS yang lain.• Koneksi Site-to-Site VPN antara VPC Anda dan jaringan Anda. Koneksi Site-to-Site VPN terdiri dari

virtual private gateway yang terletak di Amazon bagian koneksi Site-to-Site VPN dan gateway pelangganyang terletak di bagian koneksi Site-to-Site VPN.

• Instans dengan alamat IPv4 pribadi di rentang subnet (contoh: 10.0.0.5 dan 10.0.1.5), yangmemungkinkan instans untuk berkomunikasi satu sama lain dan instans lainnya di VPC.

• Instans dalam subnet publik dengan alamat IP Elastis (contoh: 198.51.100.1), yakni alamat IPv4 publikyang memungkinkan alamat-alamat tersebut dijangkau dari internet. Instans-intans dapat memiliki alamatIPv4 publik yang ditetapkan pada peluncuran sebagai ganti alamat IP Elastis. Instans-instans di subnetkhusus VPN adalah server back-end yang tidak perlu menerima lalu lintas masuk dari internet, tetapidapat mengirim dan menerima lalu lintas dari jaringan Anda.

• Tabel rute kustom yang dikaitkan dengan subnet publik. Tabel rute ini berisi sebuah entri yangmengaktifkan instans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC, dansebuah entri yang mengaktifkan instans-instans di subnet untuk berkomunikasi secara langsung denganinternet.

• Tabel rute utama yang dikaitkan dengan subnet khusus VPN. Tabel rute berisi entri yang mengizinkaninstans-instans di subnet untuk berkomunikasi dengan instans-instans lain di VPC, dan entri yangmengizinkan instans-instan di subnet untuk berkomunikasi secara langsung dengan jaringan Anda.

Untuk informasi selengkapnya tentang subnet, lihat VPC dan subnet (p. 98) dan Pembuatanalamat IP di VPC (p. 115). Untuk informasi selengkapnya tentang gateway internet, lihat Gatewayinternet (p. 210). Untuk informasi selengkapnya tentang koneksi AWS Site-to-Site VPN Anda, lihat Apayang dimaksud AWS Site-to-Site VPN? di AWS Site-to-Site VPN Panduan Pengguna.


Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut ini:

• Blok CIDR IPv6 ukuran /56 dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). AWS secaraotomatis menetapkan CIDR; Anda tidak dapat memilih rentang sendiri.

• Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet publik (contoh: 2001:db8:1234:1a00::/64). Andadapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidak dapatmemilih ukuran CIDR IPv6.

• Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet khusus VPN (contoh: 2001:db8:1234:1a01::/64).Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidakdapat memilih ukuran CIDR IPv6.

• Alamat IPv6 ditugaskan ke instans-instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).• Entri-entri tabel rute dalam tabel rute kustom memungkinkan instans-instans di subnet publik untuk

menggunakan IPv6 untuk berkomunikasi dengan satu sama lain, dan langsung melalui internet.• Entri tabel rute dalam tabel rute utama memungkinkan instans-instans di subnet khusus VPN untuk

menggunakan IPv6 untuk berkomunikasi dengan satu sama lain.

55

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html




Server web di subnet publik memiliki alamat berikut.

Server Alamat IPv4 Alamat IP elastis Alamat IPv6

1 10.0.0.5 198.51.100.1 2001:db8:1234:1a00::1a

2 10.0.0.6 198.51.100.2 2001:db8:1234:1a00::2b

3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Server basis data di subnet pribadi memiliki alamat berikut.

56



Server Alamat IPv4 Alamat IPv6

1 10.0.1.5 2001:db8:1234:1a01::1a

2 10.0.1.6 2001:db8:1234:1a01::2b

3 10.0.1.7 2001:db8:1234:1a01::3c

RoutingVPC Anda memiliki router tersirat (ditampilkan dalam diagram konfigurasi untuk skenario ini). Dalamskenario ini, wizard VPC memperbarui tabel rute utama yang digunakan dengan subnet khusus VPN, danmenciptakan tabel rute kustom dan mengaitkan-nya dengan subnet publik.

Instans-instans di subnet khusus VPN tidak dapat menjangkau internet secara langsung; setiap lalu lintasterikat internet harus terlebih dahulu melintasi virtual private gateway ke jaringan Anda, di mana lalu lintastunduk pada kebijakan firewall dan keamanan perusahaan Anda. Jika instans mengirimkan lalu lintasterikat AWS (misalnya, permintaan ke Amazon S3 atau API Amazon EC2), permintaan harus pergi melaluivirtual private gateway ke jaringan Anda dan kemudian keluar ke internet sebelum menjangkau AWS.

Tip

Setiap lalu lintas dari jaringan Anda berangkat menuju alamat IP Elastis karena instans di subnetpublik berjalan melalui internet, dan tidak melalui virtual private gateway. Anda dapat sebaliknyamengatur sebuah rute dan grup keamanan yang mengaktifkan lalu lintas berasal dari jaringanAnda melalui virtual private gateway ke subnet publik.

Koneksi Site-to-Site VPN dikonfigurasi sebagai koneksi Site-to-Site VPN yang dirutekan secara statis ataukoneksi Site-to-Site VPN yang dirutekan secara dinamis (menggunakan BGP). Jika Anda memilih peruteanstatis, Anda akan diminta untuk secara manual memasukkan prefiks IP untuk jaringan Anda saat membuatsambungan Site-to-Site VPN. Jika Anda memilih perutean dinamis, prefiks IP diedarkan secara otomatis kevirtual private gateway untuk VPC Anda menggunakan BGP.

Tabel berikut menjelaskan tabel rute untuk skenario ini.

Tabel rute utama

Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans diVPC untuk berkomunikasi dengan satu sama lain melalui IPv4. Entri kedua mengarahkan semua lalulintas subnet IPv4 lainnya dari subnet privat ke jaringan Anda melalui virtual private gateway (misalnya,vgw-1a2b3c4d).

Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 vgw-id

Tabel rute kustom

Entri pertama adalah entri default untuk perutean lokal di VPC; entri ini mengaktifkan instans-instans diVPC untuk berkomunikasi satu sama lain. Entri kedua mengarahkan semua lalu lintas subnet IPv4 lainnyadari subnet publik ke internet melalui gateway internet (misalnya, igw-1a2b3c4d).

57



Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 igw-id

Perutean alternatif

Atau, jika Anda menginginkan instans-instans di subnet pribadi mengakses internet, Anda dapat membuatgateway atau instans penerjemahan alamat jaringan (NAT) di subnet publik, dan mengatur peruteansehingga lalu lintas yang terikat internet untuk subnet tersebut berangkat menuju perangkat NAT. Denganmelakukannya akan mengaktifkan instans di subnet khusus VPN untuk mengirimkan permintaan melaluigateway internet (misalnya, untuk pembaruan perangkat lunak).

Untuk informasi selengkapnya tentang mengatur perangkat NAT secara manual, lihat Perangkat NAT untukVPC Anda (p. 225). Untuk informasi tentang menggunakan wizard VPC untuk mengatur perangkat NAT,lihat VPC dengan subnet publik dan privat (NAT) (p. 32).

Untuk mengaktifkan lalu lintas yang terikat internet milik subnet pribadi untuk menuju ke perangkat NAT,Anda harus memperbarui tabel rute utama sebagai berikut.

Entri pertama adalah entri default untuk perutean lokal di VPC. Entri kedua mengarahkan ikatan lalu lintassubnet untuk jaringan lokal Anda (pelanggan) ke virtual private gateway. Dalam contoh ini, asumsikanrentang alamat IP jaringan lokal Anda adalah 172.16.0.0/12. Entri ketiga mengirimkan semua lalu lintassubnet lainnya ke gateway NAT.

Tujuan Target

10.0.0.0/16 lokal

172.16.0.0/12 vgw-id


Perutean untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, Tabel rute Anda harus menyertakanrute terpisah untuk lalu lintas IPv6. Tabel berikut menunjukkan tabel rute untuk skenario ini jika Andamemilih untuk mengaktifkan komunikasi IPv6 di VPC Anda.

Tabel rute utama

Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melaluiIPv6.

Tujuan Target

10.0.0.0/16 lokal

2001:db8:1234:1a00::/56 lokal

0.0.0.0/0 vgw-id

Tabel rute kustom

58



Entri kedua adalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melaluiIPv6. Entri keempat mengarahkan semua lalu lintas subnet IPv6 lainnya ke gateway internet.

Tujuan Target

10.0.0.0/16 lokal

2001:db8:1234:1a00::/56 lokal

0.0.0.0/0 igw-id

::/0 igw-id

SecurityAWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grupkeamanan dan ACL Jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untukinstans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda.Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapatmenggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untukinformasi lebih lanjut, lihat Privasi lalu lintas antar jaringan di Amazon VPC (p. 156).

Untuk skenario 3, Anda akan menggunakan grup keamanan tetapi bukan jaringan ACL. Jika Anda inginmenggunakan ACL jaringan, lihat Aturan ACL jaringan yang direkomendasikan untuk sebuah VPC dengansubnet publik dan subnet privat dan akses AWS Site-to-Site VPN (p. 63).

VPC Anda dilengkapi dengan grup keamanan default (p. 181). Instans yang diluncurkan ke dalam VPCsecara otomatis terkait dengan grup keamanan default jika Anda tidak menentukan grup keamanan yangberbeda selama peluncuran. Untuk skenario ini, kami menyarankan Anda membuat grup keamanan berikutdan bukannya menggunakan grup keamanan default:

• WebServerSG: Tentukan grup keamanan ini ketika Anda meluncurkan server web di subnet publik.• DBServerSG: Tentukan grup keamanan ini ketika Anda meluncurkan server basis data di subnet khusus

VPN.

Instans-instans yang ditetapkan ke grup keamanan dapat berada di subnet yang berbeda-beda. Namun,dalam skenario ini, setiap grup keamanan menyesuaikan dengan jenis peran yang sebuah instansmainkan, dan setiap peran memerlukan instans untuk berada di subnet tertentu. Oleh karena itu, dalamskenario ini, semua instans yang ditetapkan ke grup keamanan berada di subnet yang sama.

Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan WebServerSG,yang memungkinkan server web menerima lalu lintas internet, serta lalu lintas SSH dan RDP dari jaringanAnda. Web server juga dapat mulai membaca dan menulis permintaan ke server basis data di subnetkhusus VPN, dan mengirimkan lalu lintas ke internet; misalnya, untuk mendapatkan pembaruan perangkatlunak. Karena server web tidak memulai komunikasi keluar lainnya, aturan jalur keluar default dihapus.

Note

Grup ini termasuk akses SSH dan RDP, dan server Microsoft SQL Server dan akses MySQL.Untuk situasi Anda, Anda mungkin hanya memerlukan aturan untuk Linux (SSH dan MySQL) atauWindows (RDP dan Server Microsoft SQL).

WebServerSG: aturan-aturan yang direkomendasikan

Jalur masuk

59





0.0.0.0/0 TCP 443 Mengizinkan akses jalurmasuk HTTPS ke serverweb dari alamat IPv4apa pun.

Rentang alamat IPpublik dari jaringan Anda

TCP 22 Mengizinkan akses jalurmasuk SSH ke instansLinux dari jaringanAnda (melalui gatewayinternet).

Rentang alamat IPpublik dari jaringan Anda

TCP 3389 Mengizinkan akses jalurmasuk RDP ke instansWindows dari jaringanAnda (melalui gatewayinternet).

Jalur keluar

ID dari grup keamananDBServerSG Anda

TCP 1433 Mengizinkan akses jalurkeluar Server MicrosoftSQL ke server basisdata yang ditetapkanuntuk DBServerSG.

ID dari grup keamananDBServerSG Anda

TCP 3306 Mengizinkan aksesjalur keluar MySQLke server basis datayang ditetapkan untukDBServerSG.

0.0.0.0/0 TCP 80 Mengizinkan akses jalurkeluar HTTP ke internet.

0.0.0.0/0 TCP 443 Mengizinkan aksesjalur keluar HTTPS keinternet.

Tabel berikut menjelaskan aturan-aturan yang direkomendasikan untuk grup keamanan DBServerSG, yangmemungkinkan Server Microsoft SQL dan MySQL membaca dan menulis permintaan dari server web danlalu lintas SSH dan RDP dari jaringan Anda. Server basis data juga dapat memulai lalu lintas terikat untukinternet (tabel rute Anda mengirimkan lalu lintas tersebut melalui virtual private gateway).

DBServersg: aturan-aturan yang direkomendasikan

Jalur masuk



TCP 1433 Mengizinkan akses jalurmasuk Server MicrosoftSQL dari server

60



web yang dikaitkandengan grup keamananWebServerSG.


TCP 3306 Mengizinkan aksesjalur masuk ServerMySQL dari serverweb yang dikaitkandengan grup keamananWebServerSG.


TCP 22 Mengizinkan lalu lintasjalur masuk SSH untukinstans Linux darijaringan Anda (melaluivirtual private gateway).


TCP 3389 Mengizinkan lalu lintasjalur masuk RDP keinstans-instans Windowsdari jaringan Anda(melalui virtual privategateway).

Jalur keluar


0.0.0.0/0 TCP 80 Mengizinkan aksesHTTP jalur keluar IPv4ke internet (misalnya,untuk pembaruanperangkat lunak) melaluivirtual private gateway.

0.0.0.0/0 TCP 443 Mengizinkan aksesHTTPS jalur keluar IPv4ke internet (misalnya,untuk pembaruanperangkat lunak) melaluivirtual private gateway.

(Opsional) Grup keamanan default untuk VPC memiliki aturan yang secara otomatis mengizinkan instans-intsnas ditetapkan untuk saling berkomunikasi. Untuk mengizinkan jenis komunikasi untuk grup keamanankustom, Anda harus menambahkan aturan berikut:

Jalur masuk


ID grup keamanan Semua Semua Mengizinkan lalu lintasjalur masuk dari instanslain yang ditetapkanuntuk grup keamananini.

Jalur keluar

61




The ID of the securitygroup

All All Allow outbound trafficto other instancesassigned to this securitygroup.


Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisahuntuk grup keamanan WebServerSG dan DBServerSG untuk mengendalikan lalu lintas jalur masuk dankeluar IPv6 untuk instans Anda. Dalam skenario ini, server web akan dapat menerima semua lalu lintasinternet melalui IPv6, dan lalu lintas SSH atau RDP dari jaringan lokal Anda melalui IPv6. Mereka jugadapat memulai lalu lintas jalur keluar IPv6 ke internet. Server basis data tidak dapat memulai lalu lintas jalurkeluar IPv6 ke internet, sehingga tidak memerlukan aturan grup keamanan tambahan.

Berikut ini adalah aturan khusus IPv6 untuk grup keamanan WebServerSG (sebagai tambahan aturan-aturan yang tercantum di atas).

Jalur masuk


::/0 TCP 80 Mengizinkan akses jalurmasuk HTTP ke serverweb dari alamat IPv6apa pun.






Jalur keluar


::/0 TCP HTTP Allow outbound HTTPaccess to any IPv6address.

::/0 TCP HTTPS Allow outbound HTTPSaccess to any IPv6address.

62



Melaksanakan skenario 3Untuk melaksanakan skenario 3, dapatkan informasi tentang gateway pelanggan Anda, dan buat VPCmenggunakan wizard VPC. Wizard VPC membuat koneksi Site-to-Site VPN untuk Anda dengan sebuahgateway pelanggan dan virtual private gateway.

Prosedur ini mencakup langkah-langkah opsional untuk mengaktifkan dan mengkonfigurasi komunikasiIPv6 untuk VPC Anda. Anda tidak harus menerapkan langkah-langkah ini jika Anda tidak inginmenggunakan IPv6 di VPC Anda.

Untuk menyiapkan gateway pelanggan Anda

1. Tentukan perangkat yang akan Anda gunakan sebagai perangkat gateway pelanggan Anda. Untukinformasi selengkapnya, lihat Perangkat gateway pelanggan di Panduan Pengguna AWS Site-to-SiteVPN .

2. Mendapatkan alamat IP yang dapat dirutekan internet untuk antarmuka eksternal dari perangkatgateway pelanggan. Alamat tersebut harus bersifat statis dan mungkin berada di belakang perangkatyang melakukan penerjemahan alamat jaringan (NAT).

3. Jika Anda ingin membuat koneksi Site-to-Site VPN yang diarahkan secara statis, carilah daftar rentangIP internal (dalam notasi CIDR) yang semestinya beredar di seluruh koneksi Site-to-Site VPN ke virtualprivate gateway. Untuk informasi selengkapnya, lihat Prioritas tabel rute dan rute VPN di AWS Site-to-Site VPN Panduan Pengguna.

Untuk informasi tentang cara menggunakan wizard VPC dengan IPv4, lihat Memulai (p. 11).

Untuk informasi tentang cara menggunakan wizard VPC dengan IPv6, lihat the section called “Memulaidengan IPv6” (p. 15).

Aturan ACL jaringan yang direkomendasikan untuk sebuah VPCdengan subnet publik dan subnet privat dan akses AWS Site-to-Site VPNUntuk skenario ini Anda memiliki ACL jaringan untuk subnet publik, dan ACL jaringan terpisah untuk subnetkhusus VPN. Tabel berikut menampilkan aturan-aturan yang kami sarankan untuk setiap ACL. Aturan-aturan tersebut memblokir semua lalu lintas kecuali yang secara eksplisit diperlukan.


Inbound


100 0.0.0.0/0 TCP 80 IZINKAN Mengizinkanlalu lintas jalurmasuk HTTPke server webdari alamatIPv4 apa pun.

110 0.0.0.0/0 TCP 443 IZINKAN Mengizinkanlalu lintas jalurmasuk HTTPSke server webdari alamatIPv4 apa pun.

63


https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-route-priority




TCP 22 IZINKAN Mengizinkanlalu lintas jalurmasuk SSH keserver web darijaringan rumahAnda (melaluigatewayinternet).


TCP 3389 IZINKAN Mengizinkanlalu lintas jalurmasuk RDP keserver web darijaringan rumahAnda (melaluigatewayinternet).




Outbound


64





120 10.0.1.0/24 TCP 1433 IZINKAN Mengizinkanakses jalurkeluar MS SQLke server basisdata di subnetkhusus VPN.


65



140 0.0.0.0/0 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar IPv4untuk kliendi internet(misalnya,melayanihalaman webuntuk orang-orang yangmengunjungiserver web disubnet).


* 0.0.0.0/0 Semua Semua MENOLAK Menolaksemualalu lintasjalur keluaryang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

Pengaturan ACL untuk subnet khusus VPN

Inbound


100 10.0.0.0/24 TCP 1433 IZINKAN Mengizinkanserver webdi subnetpublik untukmembacadan menuliske server MSSQL di subnetkhusus VPN.

Nomor port iniadalah contoh

66



saja. Contohlain termasuk3306 untukakses MySQL/Aurora, 5432untuk aksesPostgreSQL,5439 untukakses AmazonRedshift, dan1521 untukakses Oracle.

120 Rentang alamatIPv4 pribadidari jaringanrumah Anda

TCP 22 IZINKAN Mengizinkanlalu lintas jalurmasuk SSHdari jaringanrumah (melaluivirtual privategateway).

130 Rentang alamatIPv4 pribadidari jaringanrumah Anda

TCP 3389 IZINKAN Mengizinkanlalu lintas jalurmasuk RDPdari jaringanrumah (melaluivirtual privategateway).

140 Rentang alamatIP pribadi darijaringan rumahAnda

TCP 32768-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk dariklien di jaringanrumah (melaluivirtual privategateway).


67



* 0.0.0.0/0 Semua Semua MENOLAK Menolaksemualalu lintasjalur masukyang belumditanganioleh aturansebelumnya(tidak dapatdimodifikasi).

Outbound



Semua Semua IZINKAN Mengizinkansemua lalulintas jalurkeluar darisubnet kejaringan rumahAnda (melaluivirtual privategateway).Aturan ini jugamencakupaturan 120.Namun, Andadapat membuataturan ini lebihketat denganmenggunakanjenis protokoldan nomor porttertentu. JikaAnda membuataturan inilebih ketat,Anda harusmemasukkanaturan 120 diACL jaringanAnda untukmemastikanbahwa responkeluar tidakdiblokir.

68



110 10.0.0.0/24 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar keserver web disubnet publik.



TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untukklien di jaringanrumah (melaluivirtual privategateway).



69




Jika Anda menerapkan support IPv6 dan membuat VPC dan subnet dengan blok CIDR IPv6 yangdikaitkan, Anda harus tambahkan aturan terpisah ke ACL jaringan Anda untuk mengendalikan lalu lintasjalur masuk dan keluar IPv6.

Berikut ini adalah aturan-aturan khusus IPv6 untuk ACL jaringan Anda (sebagai tambahan aturan-aturanyang ada sebelumnya).


Inbound


150 ::/0 TCP 80 IZINKAN Mengizinkanakses jalurmasuk HTTPdari alamatIPv6 apa pun.

160 ::/0 TCP 443 IZINKAN Mengizinkanakses jalurmasuk HTTPSdari alamatIPv6 apa pun.


TCP 22 IZINKAN Mengizinkanlalu lintasjalur masukSSH melaluiIPv6 darijaringan rumahAnda (melaluigatewayinternet).


TCP 3389 IZINKAN Mengizinkanlalu lintasjalur masukRDP melaluiIPv6 darijaringan rumahAnda (melaluigatewayinternet).

190 ::/0 TCP 1024-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk darihost di internetyang meresponke permintaanyang berasaldari subnet.

Rentang iniadalah contoh

70



saja. Untukinformasitentangpemilihan portsementarayang benaruntukkonfigurasiAnda, lihatEphemeralport (p. 201).


Outbound




71



170 2001:db8:1234:1a01::/64TCP 1433 IZINKAN Mengizinkanakses jalurkeluar MS SQLke server basisdata di subnetpribadi.


190 ::/0 TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untukklien di internet(misalnya,melayanihalaman webuntuk orang-orang yangmengunjungiserver web disubnet).


72




Aturan ACL untuk subnet rentang VPN

Inbound


150 2001:db8:1234:1a00::/64TCP 1433 IZINKAN Mengizinkanserver webdi subnetpublik untukmembacadan menuliske server MSSQL di subnetpribadi.



Outbound


73

Amazon Virtual Private Cloud Panduan PenggunaVPC dengan subnet khusus privatdan akses AWS Site-to-Site VPN

130 2001:db8:1234:1a00::/64TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar kesubnet publik(misalnya,respon keserver webdi subnetpublik yangberkomunikasidengan serverDB di subnetpribadi).



VPC dengan subnet khusus privat dan akses AWSSite-to-Site VPNKonfigurasi untuk skenario ini mencakup virtual private cloud (VPC) dengan subnet privat tunggal,dan virtual private gateway untuk mengaktifkan komunikasi dengan jaringan Anda sendiri melaluiterowongan IPsec VPN. Tidak ada gateway internet untuk mengaktifkan komunikasi melalui internet.Kami merekomendasikan skenario ini jika Anda ingin memperluas jaringan Anda ke cloud menggunakaninfrastruktur Amazon tanpa mengekspos jaringan Anda ke internet.

Skenario ini juga dapat dikonfigurasi secara opsional untuk IPv6 - Anda dapat menggunakan wizard VPCuntuk membuat VPC dan subnet dengan blok CIDR IPv6 yang dikaitkan. Instans-instans yang diluncurkanke dalam subnet dapat menerima alamat IPv6. Kami tidak men-support komunikasi IPv6 melalui koneksiAWS Site-to-Site VPN pada virtual private gateway; Namun, instans-instas di VPC dapat berkomunikasisatu sama lain dengan perantara IPv6. Untuk informasi selengkapnya tentang penetapan alamat IPv4 danIPv6, lihat Pembuatan alamat IP di VPC (p. 115).

74

http://aws.amazon.com/what-is-cloud-computing/


Untuk informasi tentang mengelola perangkat lunak instans EC2, lihat Mengelola perangkat lunak padainstans Linux Anda di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Daftar Isi• Overview (p. 75)• Routing (p. 76)• Security (p. 77)


Important

Untuk skenario ini, lihat Perangkat gateway pelanggan untuk mengonfigurasi perangkat gatewaypelanggan di sisi koneksi Site-to-Site VPN Anda.


• Sebuah virtual private cloud (VPC) dengan CIDR ukuran /16 (contoh: 10.0.0.0/16). VPC ini menyediakan65.536 alamat IP pribadi.

• Sebuah subnet khusus VPN dengan CIDR ukuran /24 (contoh: 10.0.0.0/24). Subnet ini menyediakan 256alamat IP pribadi.

• Koneksi Site-to-Site VPN antara VPC dan jaringan Anda. Koneksi Site-to-Site VPN terdiri dari virtualprivate gateway yang terletak di Amazon bagian koneksi Site-to-Site VPN dan gateway pelanggan yangterletak di bagian koneksi Site-to-Site VPN.

• Instans-instans dengan alamat-alamat IP pribadi di rentang subnet (contoh: 10.0.0.5, 10.0.0.6, dan10.0.0.7), yang memungkinkan instans-instans untuk berkomunikasi satu sama lain dan instans-instanslain di VPC tersebut.

• Tabel rute utama berisi rute yang mengaktifkan instans-instans di subnet untuk berkomunikasi denganinstans-instans lain di VPC. Propagasi rute diaktifkan, sehingga rute yang mengaktifkan instans-instansdi subnet untuk berkomunikasi secara langsung dengan jaringan Anda muncul sebagai rute yang disebardi tabel rute utama.

75





Untuk informasi selengkapnya tentang subnet, lihat VPC dan subnet (p. 98) dan Pembuatan alamatIP di VPC (p. 115). Untuk informasi selengkapnya tentang koneksi Site-to-Site VPN Anda, lihat Apayang dimaksud AWS Site-to-Site VPN? di AWS Site-to-Site VPN Panduan Pengguna. Untuk informasiselengkapnya tentang konfigurasi perangkat gateway pelanggan, lihat perangkat gateway pelanggan.


Anda dapat secara opsional mengaktifkan IPv6 untuk skenario ini. Sebagai tambahan komponen-komponen yang sudah tercantum di atas, konfigurasi meliputi hal-hal berikut ini:

• Blok CIDR IPv6 ukuran /56 dikaitkan dengan VPC (contoh: 2001:db8:1234:1a00::/56). AWS secaraotomatis menetapkan CIDR; Anda tidak dapat memilih rentang Anda sendiri.

• Blok CIDR IPv6 ukuran /64 dikaitkan dengan subnet khusus VPN (contoh: 2001:db8:1234:1a00::/64).Anda dapat memilih rentang untuk subnet Anda dari rentang yang dialokasikan ke VPC. Anda tidakdapat memilih ukuran CIDR IPv6.

• Alamat IPv6 ditetapkan ke instans dari rentang subnet (contoh: 2001:db8:1234:1a00::1a).• Entri tabel rute di tabel rute utama mengaktifkan instans-instans di subnet pribadi untuk menggunakan

IPv6 untuk berkomunikasi satu sama lain.

RoutingVPC Anda memiliki router tersirat (ditampilkan dalam diagram konfigurasi untuk skenario ini). Dalamskenario ini, wizard VPC menciptakan tabel rute yang mengarahkan semua lalu lintas yang ditujukan kealamat di luar VPC ke koneksi AWS Site-to-Site VPN, dan mengaitkan tabel rute dengan subnet.

Berikut ini menjelaskan tabel rute untuk skenario ini. Entri pertama adalah entri default untuk peruteanlokal di VPC; entri ini mengaktifkan instans-instans di dalam VPC ini untuk berkomunikasi satu samalain. Entri kedua mengarahkan semua lalu lintas subnet lainnya ke virtual private gateway (misalnya,vgw-1a2b3c4d).

Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 vgw-id

Koneksi AWS Site-to-Site VPN dikonfigurasi sebagai koneksi Site-toSite VPN yang diarahkan secara statisatau sebagai koneksi Site-to-Site VPN yang diarahkan secara dinamis (menggunakan BGP). Jika Andamemilih perutean statis, Anda akan diminta untuk secara manual memasukkan prefiks IP untuk jaringanAnda ketika Anda membuat sambungan Site-to-Site VPN. Jika Anda memilih perutean dinamis, prefiks IPdiedarkan secara otomatis ke VPC Anda melalui BGP.

Instans-instans di VPC Anda tidak dapat menjangkau internet secara langsung; lalu lintas yang terikatinternet harus terlebih dahulu melintasi virtual private gateway ke jaringan Anda, tempat lalu lintas harustunduk pada firewall dan kebijakan keamanan perusahaan Anda. Jika instans-instans mengirimkan lalulintas terkait AWS (misalnya, permintaan ke Amazon S3 atau Amazon EC2), permintaan harus melaluivirtual private gateway ke jaringan Anda dan kemudian ke internet sebelum mencapai AWS.

Perutean untuk IPv6

Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda, tabel rute Anda memasukkan ruteterpisah untuk lalu lintas IPv6. Hal berikut ini menjelaskan tabel rute kustom untuk skenario ini. Entri keduaadalah rute default yang secara otomatis ditambahkan untuk perutean lokal di VPC melalui IPv6.

76





Tujuan Target

10.0.0.0/16 lokal

2001:db8:1234:1a00::/56 lokal

0.0.0.0/0 vgw-id

SecurityAWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: grupkeamanan dan ACL Jaringan. Grup keamanan mengendalikan lalu lintas jalur masuk dan keluar untukinstans Anda, dan ACL jaringan mengendalikan lalu lintas jalur masuk dan keluar untuk subnet Anda.Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapatmenggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untukinformasi lebih lanjut, lihat Privasi lalu lintas antar jaringan di Amazon VPC (p. 156).

Untuk skenario 4, Anda akan menggunakan grup keamanan default untuk VPC Anda tetapi bukan ACLjaringan. Jika Anda ingin menggunakan ACL jaringan, lihat Aturan ACL jaringan yang disarankan untukVPC dengan subnet privat saja dan akses AWS Site-to-Site VPN (p. 78).

VPC Anda dilengkapi dengan grup keamanan default yang pengaturan awalnya menolak semua lalu lintasjalur masuk, mengizinkan semua lalu lintas jalur keluar, dan mengizinkan semua lalu lintas antar instansyang ditetapkan ke grup keamanan. Untuk skenario ini, kami menyarankan Anda menambahkan aturanjalur masuk ke grup keamanan default untuk mengizinkan lalu lintas SSH (Linux) dan lalu lintas Desktopjarak jauh (Windows) dari jaringan Anda.

Important

Grup keamanan default secara otomatis mengizinkan instans yang ditetapkan untukberkomunikasi satu sama lain, sehingga Anda tidak perlu menambahkan aturan untukmengizinkannya. Jika Anda menggunakan grup keamanan yang berbeda, Anda harusmenambahkan aturan untuk mengizinkannya.

Tabel berikut ini menjelaskan aturan jalur masuk yang Anda harus tambahkan ke grup keamanan defaultuntuk VPC Anda.

Grup keamanan default: aturan yang disarankan

Jalur masuk


Rentang alamat IPv4pribadi dari jaringanAnda

TCP 22 (Instans Linux)Mengizinkan lalu lintasjalur masuk SSH darijaringan Anda.

Rentang alamat IPv4pribadi dari jaringanAnda

TCP 3389 (Instans Windows)Mengizinkan lalu lintasjalur masuk RDP darijaringan Anda.


Jika Anda mengaitkan blok CIDR IPv6 dengan VPC dan subnet, Anda harus menambahkan aturan terpisahke grup keamanan Anda untuk mengendalikan lalu lintas jalur masuk dan keluar IPv6 untuk instans Anda.

77


Dalam skenario ini, server basis data tidak dapat dicapai melalui koneksi Site-to-Site VPN menggunakanIPv6; oleh karena itu, tidak ada aturan grup keamanan tambahan yang diperlukan.

Aturan ACL jaringan yang disarankan untuk VPC dengan subnet privat saja danakses AWS Site-to-Site VPN

Tabel berikut menampilkan aturan-aturan yang kami sarankan. Aturan-aturan tersebut memblokir semualalu lintas kecuali yang secara eksplisit diperlukan.

Inbound



TCP 22 IZINKAN Mengizinkanlalu lintas jalurmasuk SSHke subnet darijaringan rumahAnda.


TCP 3389 IZINKAN Mengizinkanlalu lintas jalurmasuk RDPke subnet darijaringan rumahAnda.


TCP 32768-65535 IZINKAN Mengizinkanlalu lintaskembali jalurmasuk daripermintaanyang berasaldari subnet.


* 0.0.0.0/0 Semua Semua MENOLAK Menolaksemualalu lintasjalur masukyang belumditanganioleh aturansebelumnya

78


(tidak dapatdimodifikasi).

Outbound



Semua Semua IZINKAN Mengizinkansemua lalulintas jalurkeluar darisubnet kejaringanrumah Anda.Aturan ini jugamencakupaturan 120.Namun, Andadapat membuataturan ini lebihketat denganmenggunakanjenis protokoldan nomor porttertentu. JikaAnda membuataturan inilebih ketat,Anda harusmemasukkanaturan 120 diACL jaringanAnda untukmemastikanbahwa responjalur keluartidak diblokir.


TCP 32768-65535 IZINKAN Mengizinkanrespon jalurkeluar untukklien di jaringanrumah.


79




Jika Anda menerapkan skenario 4 dengan support IPv6 dan membuat VPC dan subnet dengan blokCIDR IPv6 yang dikaitkan, Anda harus menambahkan aturan terpisah ke ACL jaringan Anda untukmengendalikan lalu lintas jalur masuk dan keluar IPv6.

Dalam skenario ini, server basis data tidak dapat dicapai melalui komunikasi VPN dengan perantara IPv6,oleh karena itu tidak ada aturan ACL jaringan tambahan yang diperlukan. Berikut ini adalah aturan-aturandefault yang menolak lalu lintas IPv6 yang menuju dan berasal dari subnet.

Aturan ACL untuk subnet khusus VPN

Inbound



Outbound



80


Contoh untuk VPCBagian ini memiliki contoh untuk membuat dan mengkonfigurasi VPC.

Contoh Penggunaan

Contoh: Buat VPC IPv4 dansubnet menggunakan AWSCLI (p. 83)

Gunakan AWS CLI untuk membuat VPC dengan subnet publik dansubnet privat.

Contoh: Membuat VPC IPv6dan subnet menggunakan AWSCLI (p. 88)

Gunakan AWS CLI untuk membuat VPC dengan blok CIDR IPv6terkait dan subnet publik dan subnet privat, masing-masing denganblok CIDR IPv6 terkait.

the section called “Contoh:Membagikan subnet publik dansubnet privat” (p. 82)

Bagikan subnet publik dan privat dengan banyak akun.

the section called “Contoh:Layanan yang menggunakanAWS PrivateLink dan peeringVPC” (p. 82)

Pelajari cara menggunakan kombinasi peering VPC dan AWSPrivateLink untuk memperluas akses ke layanan privat ke konsumen.

Anda dapat juga menggunakan transit gateway untuk menghubungkan VPC Anda.

Contoh Penggunaan

Router terpusat Anda dapat mengkonfigurasi transit gateway Anda sebagai routerterpusat yang menghubungkan semua koneksi VPC Anda, AWSDirect Connect, dan AWS Site-to-Site VPN.

Untuk informasi lebih lanjut tentang konfigurasi gateway transitAnda sebagai router terpusat, lihat Contoh Transit Gateway: RouterTerpusat di Gateway Transit Amazon VPC.

VPC Terisolasi Anda dapat mengkonfigurasi transit gateway Anda sebagai beberaparouter terisolasi. Hal ini mirip dengan menggunakan beberapa transitgateway, tetapi memberikan lebih banyak fleksibilitas dalam kasus dimana rute dan lampiran mungkin berubah.

Untuk informasi lebih lanjut tentang konfigurasi gateway transit Andauntuk mengisolasi VPC Anda, lihat Contoh Transit Gateway: vpCTerisolasi di Gateway Transit Amazon VPC.

VPC Terisolasi dengan LayananBersama

Anda dapat mengkonfigurasi transit gateway Anda sebagai beberaparouter terisolasi yang menggunakan layanan bersama Ini miripdengan menggunakan beberapa gateway transit, tetapi memberikanfleksibilitas lebih dalam kasus di mana rute dan lampiran mungkinberubah.

Untuk informasi lebih lanjut tentang konfigurasi gateway transit Andauntuk mengisolasi VPC Anda, lihat Contoh Transit Gateway: VPCTerisolasi di Gateway Transit Amazon VPC.

81

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-isolated-shared.html

Amazon Virtual Private Cloud Panduan PenggunaContoh: Membagikan subnet publik dan subnet privat

Contoh: Membagikan subnet publik dan subnetprivat

Pertimbangkan skenario ini jika Anda ingin suatu akun bertanggung jawab untuk infrastruktur, termasuksubnet, rute tabel, Gateway, dan rentang CIDR dan akun lain yang berada di Organisasi AWS yang samauntuk menggunakan subnet. Pemilik VPC (Akun A) membuat infrastruktur perutean, termasuk VPC,subnet, rute tabel, gateway, dan ACL jaringan. Akun D ingin membuat aplikasi-aplikasi yang menghadappublik. Akun B dan Akun C ingin membuat aplikasi privat yang tidak perlu terhubung ke internet dan harusberada di subnet privat. Akun A dapat menggunakan AWS Resource Access Manager untuk membuatPembagian Sumber Daya untuk subnet dan kemudian membagikan subnet tersebut. Akun A membagikansubnet publik dengan Akun D dan subnet privat dengan Akun B, dan Akun C. Akun B, Akun C, dan Akun Ddapat membuat sumber daya di subnet. Setiap akun hanya dapat melihat subnet yang dibagikan denganmereka, misalnya, Akun D hanya dapat melihat subnet publik. Masing-masing akun dapat mengontrolsumber daya mereka, termasuk instans, dan grup keamanan.

Akun A mengelola infrastruktur IP, termasuk tabel rute untuk subnet publik, dan subnet privat. Tidak adakonfigurasi tambahan yang diperlukan untuk subnet bersama, sehingga tabel rutenya sama dengan tabelrute yang digunakan oleh subnet yang tidak dibagikan.

Akun A (ID Akun 111111111111) membagikan subnet publik dengan Akun D ((444444444444). Akun Dmelihat subnet berikut, dan kolom Pemilik menyediakan dua indikator yang dibagikan ke subnet tersebut.

• ID Akun adalah pemilik VPC (111111111111) dan berbeda dengan ID Akun D (444444444444).• Kata "dibagikan" muncul di samping ID akun pemilik.

Contoh: Layanan yang menggunakan AWSPrivateLink dan peering VPC

Penyedia layanan AWS PrivateLink mengkonfigurasi instans yang menjalankan layanan di VPC mereka,dengan Penyeimbang Beban Jaringan sebagai front end. Gunakan peering VPC antar-wilayah (VPC-VPCyang berada di Wilayah yang sama) dan peering VPC antar-wilayah (VPC-VPC yang berada di Daerah-daerah yang berbeda) dengan AWS PrivateLink untuk mengizinkan akses pribadi ke para konsumen diseluruh koneksi peering VPC.

Para konsumen di VPC jarak jauh tidak dapat menggunakan nama-nama DNS Pribadi di seluruh koneksipeering. Akan tetapi mereka dapat membuat zona yang di-hosting pribadi milik mereka sendiri di Route53, dan melampirkannya ke VPC mereka untuk menggunakan nama DNS pribadi yang sama. Untukinformasi tentang cara menggunakan transit gateway dengan Amazon Route 53 Resolver, untuk berbagititik akhir antarmuka PrivateLink antar beberapa VPC yang terkoneksi dan lingkungan on-premise, lihatCara Mengintegrasi Transit Gateway AWS dengan AWS PrivateLink Amazon Route 53 Resolver.

Untuk informasi tentang kasus-penggunaan berikut, lihat Mengakses Layanan Dengan Aman Melalui AWSPrivateLink:

82

http://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/

https://d1.awsstatic.com/whitepapers/aws-privatelink.pdf

https://d1.awsstatic.com/whitepapers/aws-privatelink.pdf

Amazon Virtual Private Cloud Panduan PenggunaContoh: Buat VPC IPv4 dan subnet menggunakan AWS CLI

• Akses Pribadi ke Aplikasi SaaS• Layanan Bersama• Layanan Hibrida• Layanan Titik Akhir Antar Wilayah• Akses Antar Wilayah ke Layanan Titik Akhir

Sumber daya tambahan

Topik-topik berikut ini dapat membantu Anda mengonfigurasi komponen-komponen yang diperlukan untukkasus-penggunaan:

• Layanan VPC endpoint• Memulai dengan Penyeimbang Beban Jaringan• Bekerja dengan koneksi peering VPC• Membuat sebuah titik akhir antarmuka

Untuk contoh peering VPC lebih banyak lagi, lihat topik-topik berikut di Panduan Peering Amazon VPC:

• Pertonfigurasi Peering VPC• Konfigurasi peering VPC tidak di-support

Contoh: Buat VPC IPv4 dan subnet menggunakanAWS CLI

Contoh berikut menggunakan perintah AWS CLI untuk membuat VPC nondefault dengan blok CIDR IPv4,dan subnet publik dan pribadi di VPC. Setelah Anda membuat VPC dan subnet, Anda dapat meluncurkansebuah instans di subnet publik dan menghubungkannya. Untuk memulai, Anda harus terlebih dahulumenginstal dan mengkonfigurasi AWS CLI. Untuk informasi lebih lanjut, lihat Memasang AWS CLI.

Anda akan membuat sumber daya AWS berikut:

• VPC• Dua subnet• Gateway internet• Tabel rute• Instans EC2

Tugas• Langkah 1: Buat VPC dan subnet (p. 83)• Langkah 2: Jadikan subnet Anda subnet publik (p. 84)• Langkah 3: Luncurkan sebuah instance ke subnet Anda (p. 86)• Langkah 4: Membersihkan (p. 88)

Langkah 1: Buat VPC dan subnetLangkah pertama adalah membuat VPC dan dua subnet. Contoh ini menggunakan blok CIDR10.0.0.0/16 untuk VPC, tapi Anda bisa memilih blok CIDR yang berbeda. Untuk informasi lebih lanjut,lihat Penetapan ukuran VPC dan subnet (p. 101).

83

https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-service.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html

https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint

https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations.html

https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

Amazon Virtual Private Cloud Panduan PenggunaLangkah 2: Jadikan subnet Anda subnet publik

Untuk membuat VPC dan subnet menggunakan AWS CLI

1. Buat VPC dengan Blok CIDR 10.0.0.0/16.

aws ec2 create-vpc --cidr-block 10.0.0.0/16

Dalam output yang dihasilkan, perhatikan ID VPC.

{ "Vpc": { "VpcId": "vpc-2f09a348", ... }}

2. Menggunakan ID VPC dari langkah sebelumnya, buat subnet dengan blok CIDR 10.0.1.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24

3. Buat subnet kedua di VPC Anda dengan blok CIDR 10.0.0.0/24.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24

Langkah 2: Jadikan subnet Anda subnet publikSetelah Anda membuat VPC dan subnet, Anda dapat membuat salah satu subnet menjadi subnet publikdengan melampirkan gateway internet ke VPC Anda, membuat tabel rute kustom, dan mengonfigurasiperutean untuk subnet tersebut ke gateway internet.

Untuk membuat subnet Anda menjadi subnet publik

1. Membuat sebuah gateway internet.

aws ec2 create-internet-gateway

Dalam output yang dihasilkan, perhatikan ID gateway internet.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}

2. Menggunakan ID dari langkah sebelumnya, lampirkan gateway internet ke VPC Anda.

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Buat tabel rute kustom untuk VPC Anda.

aws ec2 create-route-table --vpc-id vpc-2f09a348

Dalam output yang dihasilkan, perhatikan ID tabel rute.

84

Amazon Virtual Private Cloud Panduan PenggunaLangkah 2: Jadikan subnet Anda subnet publik

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Buat rute dalam tabel rute yang mengarahkan semua lalu lintas ke gateway Internet (0.0.0.0/0).

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-cidr-block 0.0.0.0/0 --gateway-id igw-1ff7a07b

5. Untuk mengkonfirmasi bahwa rute Anda telah dibuat dan sedang aktif, Anda dapat mendeksripsikantabel rute dan melihat hasilnya.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "igw-1ff7a07b", "DestinationCidrBlock": "0.0.0.0/0", "State": "active", "Origin": "CreateRoute" } ] } ]}

6. Tabel rute saat ini tidak terkait dengan subnet apapun. Anda harus mengaitkannya dengansebuah subnet di VPC Anda sehingga lalu lintas dari subnet itu diarahkan ke gateway internet.Pertama, gunakan perintah describe-subnets untuk mendapatkan ID subnet Anda. Anda dapatmenggunakan pilihan --filter untuk mengembalikan subnet hanya untuk VPC baru Anda saja, danpilihan --query untuk mengembalikan subnet ID dan blok CIDR nya saja.

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query "Subnets[*].{ID:SubnetId,CIDR:CidrBlock}"

[ { "CIDR": "10.0.1.0/24", "ID": "subnet-b46032ec" }, {

85

Amazon Virtual Private Cloud Panduan PenggunaLangkah 3: Luncurkan sebuah instance ke subnet Anda

"CIDR": "10.0.0.0/24", "ID": "subnet-a46032fc" }]

7. Anda dapat memilih subnet mana yang akan dikaitkan dengan tabel rute kustom, misalnya, subnet-b46032ec. Subnet ini akan menjadi subnet publik Anda.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

8. Anda dapat memilih memodifikasi perilaku penentuan alamat IP publik atas subnet Anda sehinggainstans yang diluncurkan ke subnet secara otomatis menerima alamat IP publik. Jika tidak, Anda harusmengaitkan alamat IP Elastis dengan instans Anda setelah peluncuran sehingga dapat dijangkau dariinternet.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --map-public-ip-on-launch

Langkah 3: Luncurkan sebuah instance ke subnetAndaUntuk menguji bahwa subnet Anda bersifat publik dan bahwa instans di subnet dapat diakses melaluiinternet, luncurkan sebuah instance ke subnet publik Anda dan sambungkan ke sana. Pertama-tama, Andaharus membuat grup keamanan untuk dikaitkan dengan instans Anda, dan sebuah pasangan kunci yangakan membuat Anda terhubung ke instans Anda. Untuk informasi selengkapnya tentang grup keamanan,lihat Grup Keamanan untuk VPC Anda (p. 179). Untuk informasi selengkapnya tentang pasangan kunci,lihat Pasangan Kunci Amazon EC2 di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Untuk meluncurkan dan terhubung ke sebuah instance di subnet publik Anda

1. Buat pasangan kunci dan gunakan opsi --query dan opsi teks --output untuk menyalurkan kuncipribadi Anda secara langsung ke dalam sebuah file dengan ekstensi .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query "KeyMaterial" --output text > MyKeyPair.pem

Dalam contoh ini, Anda meluncurkan instans Amazon Linux. Jika Anda menggunakan klien SSHpada komputer dengan sistem operasi Linux atau Mac OS X untuk tersambung ke instans Anda,gunakan perintah berikut untuk mengatur izin file kunci pribadi Anda sehingga hanya Anda yang dapatmembacanya.

chmod 400 MyKeyPair.pem

2. Buat grup keamanan di VPC Anda menggunakan perintah create-security-group.

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

{ "GroupId": "sg-e1fb8c9a"}

Tambahkan aturan yang mengizinkan akses SSH dari mana saja menggunakan perintah authorize-security-group-ingress.

86

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html


Amazon Virtual Private Cloud Panduan PenggunaLangkah 3: Luncurkan sebuah instance ke subnet Anda

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --protocol tcp --port 22 --cidr 0.0.0.0/0

Note

Jika Anda menggunakan 0.0.0.0/0, Anda akan mengaktifkan semua alamat IPv4 untukmengakses instans Anda menggunakan SSH. Ini dapat diterima untuk latihan singkat ini,namun dalam produksi, hanya otorisasi alamat atau rentang alamat IP tertentu.

3. Luncurkan sebuah instans ke dalam subnet publik Anda, menggunakan grup keamanan dan pasangankunci yang telah Anda buat. Dalam output, perhatikan ID instans untuk instans Anda.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

Dalam contoh ini, AMI adalah Amazon Linux AMI di Wilayah US East (N. Virginia). Jika Andaberada di Wilayah yang berbeda, Anda memerlukan ID AMI untuk mendapatkan AMI yangsesuai di Wilayah Anda. Untuk informasi lebih lanjut, lihat Temukan Linux AMI di PanduanPengguna Amazon EC2 untuk Instans Linux.

4. Instans Anda harus berada dalam status running untuk terhubung ke sana. Deskripsikan instansAnda dan konfirmasikan statusnya, dan perhatikan alamat IP publiknya.

aws ec2 describe-instances --instance-id i-0146854b7443af453

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "PublicIpAddress": "52.87.168.235", ... } ] } ]}

5. Ketika instans Anda dalam status sedang berjalan, Anda dapat terhubung dengan itu menggunakanklien SSH pada komputer Linux atau Mac OS X dengan menggunakan perintah berikut:

ssh -i "MyKeyPair.pem" [email protected]

Jika Anda tersambung dari komputer Windows, gunakan petunjuk berikut: Menghubungkan ke instansLinux Anda dari Windows menggunakan PuTTY.

87

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html


Amazon Virtual Private Cloud Panduan PenggunaLangkah 4: Membersihkan

Langkah 4: MembersihkanSetelah memverifikasi bahwa Anda dapat terhubung ke instans Anda, Anda dapat menghentikannya jikaAnda tidak lagi membutuhkannya. Untuk melakukannya, gunakan perintah terminate-instances. Untukmenghapus sumber daya lain yang telah Anda buat dalam contoh ini, gunakan perintah berikut dalamurutan yang tercantum:

1. Hapus grup keamanan Anda:

aws ec2 delete-security-group --group-id sg-e1fb8c9a

2. Hapus subnet Anda:

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Hapus tabel rute kustom Anda:

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

4. Lepaskan gateway internet Anda dari VPC Anda:

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

5. Hapus gateway internet Anda:

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Hapus VPC Anda:

aws ec2 delete-vpc --vpc-id vpc-2f09a348

Contoh: Membuat VPC IPv6 dan subnetmenggunakan AWS CLI

Contoh-contoh berikut ini menggunakan perintah AWS CLI untuk membuat VPC non-default dengan blokCIDR IPv6, subnet publik, dan subnet pribadi dengan akses internet outbound saja. Setelah Anda membuatVPC dan subnet, Anda dapat meluncurkan sebuah instans di subnet publik dan menyambungkannya. Andadapat meluncurkan sebuah instans di subnet pribadi Anda dan memverifikasi bahwa instans tersebut dapatterhubung ke internet. Untuk memulai, Anda harus terlebih dahulu menginstal dan mengonfigurasi AWSCLI. Untuk informasi lebih lanjut, lihat Memasang AWS CLI.

Anda akan membuat yang sumber daya AWS berikut:

• VPC• Dua subnet• Gateway internet• Tabel rute• Instans EC2

88

https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

Amazon Virtual Private Cloud Panduan PenggunaLangkah 1: Buat sebuah VPC dan subnet

Tugas• Langkah 1: Buat sebuah VPC dan subnet (p. 89)• Langkah 2: Mengonfigurasi subnet publik (p. 90)• Langkah 3: Mengonfigurasi subnet pribadi egress-only (p. 92)• Langkah 4: Memodifikasi perilaku penentuan alamat di subnet IPv6 (p. 93)• Langkah 5: Luncurkan sebuah instans ke subnet publik Anda (p. 93)• Langkah 6: Luncurkan sebuah instans ke dalam subnet pribadi Anda (p. 95)• Langkah 7: Membersihkan (p. 96)

Langkah 1: Buat sebuah VPC dan subnetLangkah pertama adalah membuat VPC dan dua subnet. Contoh ini menggunakan blok CIDR10.0.0.0/16 IPv4 untuk VPC, tapi Anda dapat memilih blok CIDR yang berbeda. Untuk informasi lebihlanjut, lihat Penetapan ukuran VPC dan subnet (p. 101).

Untuk membuat VPC dan subnet menggunakan AWS CLI

1. Buat sebuah VPC dengan Blok CIDR 10.0.0.0/16 dan kaitkan blok CIDR IPv6 dengan VPCtersebut.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --amazon-provided-ipv6-cidr-block

Dalam output yang dihasilkan, perhatikan ID VPC.

{ "Vpc": { "VpcId": "vpc-2f09a348", ...}

2. Deskripsikan VPC Anda untuk mendapatkan blok CIDR IPv6 yang terkait dengan VPC.

aws ec2 describe-vpcs --vpc-id vpc-2f09a348

{ "Vpcs": [ { ... "Ipv6CidrBlockAssociationSet": [ { "Ipv6CidrBlock": "2001:db8:1234:1a00::/56", "AssociationId": "vpc-cidr-assoc-17a5407e", "Ipv6CidrBlockState": { "State": "ASSOCIATED" } } ], ...}

3. Buat subnet dengan sebuah Blok CIDR IPv4 10.0.0.0/24 dan sebuah Blok CIDR IPv62001:db8:1234:1a00::/64 (mulai dari rentang yang dihasilkan di langkah sebelumnya).

89

Amazon Virtual Private Cloud Panduan PenggunaLangkah 2: Mengonfigurasi subnet publik

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.0.0/24 --ipv6-cidr-block 2001:db8:1234:1a00::/64

4. Buat subnet kedua di VPC Anda dengan Blok CIDR IPv4 10.0.1.0/24 dan Blok CIDR IPv62001:db8:1234:1a01::/64.

aws ec2 create-subnet --vpc-id vpc-2f09a348 --cidr-block 10.0.1.0/24 --ipv6-cidr-block 2001:db8:1234:1a01::/64

Langkah 2: Mengonfigurasi subnet publikSetelah membuat VPC dan subnet, Anda dapat membuat salah satu subnet menjadi subnet publik denganmelampirkan gateway internet ke VPC Anda, membuat tabel rute kustom, dan mengonfigurasi peruteanuntuk subnet ke gateway internet. Dalam contoh ini, tabel rute dibuat yang mengarahkan semua lalu lintasIPv4 dan lalu lintas IPv6 ke gateway internet.

Untuk membuat subnet Anda menjadi subnet publik

1. Buat sebuah gateway internet.

aws ec2 create-internet-gateway

Dalam output yang dihasilkan, perhatikan ID gateway internet.

{ "InternetGateway": { ... "InternetGatewayId": "igw-1ff7a07b", ... }}

2. Setelah menggunakan ID dari langkah sebelumnya, lampirkan gateway internet ke VPC Anda.

aws ec2 attach-internet-gateway --vpc-id vpc-2f09a348 --internet-gateway-id igw-1ff7a07b

3. Buat tabel rute kustom untuk VPC Anda.


Dalam output yang dihasilkan, perhatikan ID tabel rute.

{ "RouteTable": { ... "RouteTableId": "rtb-c1c8faa6", ... }}

4. Buat sebuah rute di tabel rute yang mengarahkan semua (::/0) lalu lintas IPv6 ke gateway internet.

90

Amazon Virtual Private Cloud Panduan PenggunaLangkah 2: Mengonfigurasi subnet publik

aws ec2 create-route --route-table-id rtb-c1c8faa6 --destination-ipv6-cidr-block ::/0 --gateway-id igw-1ff7a07b

Note

Jika Anda berniat menggunakan subnet publik Anda untuk lalu lintas IPv4 juga, Anda perlumenambahkan rute lain untuk lalu lintas 0.0.0.0/0 yang mengarah ke gateway internet.

5. Untuk mengkonfirmasi bahwa rute Anda telah dibuat dan sedang aktif, Anda dapat mendeskripsikantabel rute dan melihat hasilnya.

aws ec2 describe-route-tables --route-table-id rtb-c1c8faa6

{ "RouteTables": [ { "Associations": [], "RouteTableId": "rtb-c1c8faa6", "VpcId": "vpc-2f09a348", "PropagatingVgws": [], "Tags": [], "Routes": [ { "GatewayId": "local", "DestinationCidrBlock": "10.0.0.0/16", "State": "active", "Origin": "CreateRouteTable" }, { "GatewayId": "local", "Origin": "CreateRouteTable", "State": "active", "DestinationIpv6CidrBlock": "2001:db8:1234:1a00::/56" }, { "GatewayId": "igw-1ff7a07b", "Origin": "CreateRoute", "State": "active", "DestinationIpv6CidrBlock": "::/0" } ] } ]}

6. Tabel rute tersebut saat ini tidak terkait dengan subnet apapun. Kaitkan tabel rute dengan subnetdi VPC Anda sehingga lalu lintas dari subnet tersebut diarahkan ke gateway internet. Pertama,dekripsikan subnet Anda untuk mendapatkan ID mereka. Anda dapat menggunakan opsi --filteruntuk menghasilkan subnet untuk VPC Anda yang baru saja, dan opsi --query untuk menghasilkanID subnet saja dan blok CIDR IPv4 dan IPv6 dari subnet.

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-2f09a348" --query "Subnets[*].{ID:SubnetId,IPv4CIDR:CidrBlock,IPv6CIDR:Ipv6CidrBlockAssociationSet[*].Ipv6CidrBlock}"

[ { "IPv6CIDR": [ "2001:db8:1234:1a00::/64"

91

Amazon Virtual Private Cloud Panduan PenggunaLangkah 3: Mengonfigurasi subnet pribadi egress-only

], "ID": "subnet-b46032ec", "IPv4CIDR": "10.0.0.0/24" }, { "IPv6CIDR": [ "2001:db8:1234:1a01::/64" ], "ID": "subnet-a46032fc", "IPv4CIDR": "10.0.1.0/24" }]

7. Anda dapat memilih subnet mana yang akan dikaitkan dengan tabel rute kustom tersebut, misalnya,subnet-b46032ec. Subnet ini akan menjadi subnet publik Anda.

aws ec2 associate-route-table --subnet-id subnet-b46032ec --route-table-id rtb-c1c8faa6

Langkah 3: Mengonfigurasi subnet pribadi egress-onlyAnda dapat mengonfigurasi subnet kedua di VPC Anda menjadi subnet privat egress-only IPv6.Instans-instans yang diluncurkan di subnet ini dapat mengakses internet melalui IPv6 (misalnya, untukmendapatkan pembaruan perangkat lunak) melalui gateway internet egress-only, tetapi host di internettidak dapat menjangkau instans Anda.

Untuk membuat subnet Anda menjadi subnet pribadi egress-only

1. Buat gateway internet egress-only untuk VPC Anda. Dalam output yang dihasilkan, perhatikan IDgateway.

aws ec2 create-egress-only-internet-gateway --vpc-id vpc-2f09a348

{ "EgressOnlyInternetGateway": { "EgressOnlyInternetGatewayId": "eigw-015e0e244e24dfe8a", "Attachments": [ { "State": "attached", "VpcId": "vpc-2f09a348" } ] }}

2. Membuat tabel rute kustom untuk VPC Anda. Dalam output yang dihasilkan, perhatikan ID tabel rute.


3. Buat sebuah rute dalam tabel rute yang mengarahkan semua lalu lintas IPv6 (::/0) ke gatewayInternet egress-only.

aws ec2 create-route --route-table-id rtb-abc123ab --destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

4. Kaitkan tabel rute dengan subnet kedua di VPC Anda (Anda sudah deskripsikan subnet di bagiansebelumnya). Subnet ini akan menjadi subnet pribadi Anda dengan akses internet IPv6 egress-only.

92

Amazon Virtual Private Cloud Panduan PenggunaLangkah 4: Memodifikasi perilakupenentuan alamat di subnet IPv6

aws ec2 associate-route-table --subnet-id subnet-a46032fc --route-table-id rtb-abc123ab

Langkah 4: Memodifikasi perilaku penentuan alamat disubnet IPv6Anda dapat memodifikasi perilaku penentuan alamat IP di subnet Anda sehingga instans-instansdiluncurkan ke subnet secara otomatis menerima alamat IPv6. Ketika Anda meluncurkan sebuah instanske subnet, satu alamat IPv6 dimunculkan dari jangkauan subnet ke antarmuka jaringan primer (eth0) dariinstans.

aws ec2 modify-subnet-attribute --subnet-id subnet-b46032ec --assign-ipv6-address-on-creation

aws ec2 modify-subnet-attribute --subnet-id subnet-a46032fc --assign-ipv6-address-on-creation

Langkah 5: Luncurkan sebuah instans ke subnetpublik AndaUntuk menguji bahwa subnet publik Anda bersifat publik dan bahwa instans di subnet dapat diaksesdari internet, luncurkan sebuah instance ke subnet publik Anda dan hubungkan ke sana. Pertama-tama,Anda harus membuat grup keamanan untuk dikaitkan dengan instans Anda, dan kunci yang berpasangandengannya di mana Anda akan menghubungkannya ke instans Anda. Untuk informasi selengkapnyatentang grup keamanan, lihat Grup Keamanan untuk VPC Anda (p. 179). Untuk informasi selengkapnyamengenai pasangan kunci, lihat pasangan kunci Amazon EC2 di Panduan Pengguna Amazon EC2 untukInstans Linux.

Untuk meluncurkan dan terhubung ke sebuah instans di subnet publik Anda

1. Buat pasangan kunci dan gunakan opsi --query dan opsi teks --output untuk menyalurkan kuncipribadi Anda secara langsung ke dalam sebuah file dengan ekstensi .pem.

aws ec2 create-key-pair --key-name MyKeyPair --query "KeyMaterial" --output text > MyKeyPair.pem

Dalam contoh ini, luncurkan instans Amazon Linux. Jika Anda menggunakan klien SSH pada sistemoperasi Linux atau OS X untuk terhubung ke instans Anda, gunakan perintah berikut ini untukmengatur izin file kunci pribadi Anda sehingga hanya Anda yang dapat membacanya.

chmod 400 MyKeyPair.pem

2. Buat grup keamanan untuk VPC Anda menggunakan perintah create-security-group.

aws ec2 create-security-group --group-name SSHAccess --description "Security group for SSH access" --vpc-id vpc-2f09a348

{ "GroupId": "sg-e1fb8c9a"}

93

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html


Amazon Virtual Private Cloud Panduan PenggunaLangkah 5: Luncurkan sebuahinstans ke subnet publik Anda

Tambahkan aturan yang mengizinkan akses SSH dari alamat IPv6 mana pun menggunakan perintahauthorize-security-group-ingress. Perhatikan bahwa sintaksis berikut hanya bekerja pada Linux danMacOS. Untuk sintaksis yang bekerja pada Windows, lihat bagian contoh di AWS CLI ReferensiPerintah.

aws ec2 authorize-security-group-ingress --group-id sg-e1fb8c9a --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

Note

Jika Anda menggunakan ::/0, Anda akan mengaktifkan semua alamat IPv6 untukmengakses instans Anda menggunakan SSH. Hal ini dapat diterima untuk latihan singkatini, namun dalam produksi, otorisasi hanya pada alamat IP atau rentang alamat tertentu sajauntuk mengakses instans Anda.

3. Luncurkan instans ke subnet publik Anda, menggunakan grup keamanan dan pasangan kunci yangtelah Anda buat. Pada hasilnya, perhatikan ID instans untuk instans Anda.

aws ec2 run-instances --image-id ami-0de53d8956e8dcf80 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-e1fb8c9a --subnet-id subnet-b46032ec

Note

Dalam contoh ini, AMI mengacu pada Amazon Linux AMI di Wilayah US East (N. Virginia).Jika Anda berada di Wilayah yang berbeda, Anda memerlukan ID AMI untuk mendapatkanAMI yang sesuai di Wilayah Anda. Untuk informasi lebih lanjut, lihat Temukan Linux AMI diPanduan Pengguna Amazon EC2 untuk Instans Linux.

4. Instans Anda harus berada dalam status running untuk terhubung ke sana. Deskripsikan instansAnda dan konfirmasikan statusnya, dan perhatikan alamat IPv6 nya.

aws ec2 describe-instances --instance-id i-0146854b7443af453

Berikut ini adalah contoh hasil.

{ "Reservations": [ { ... "Instances": [ { ... "State": { "Code": 16, "Name": "running" }, ... "NetworkInterfaces": { "Ipv6Addresses": { "Ipv6Address": "2001:db8:1234:1a00::123" } ... } ] } ]

94


https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html#examples

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/finding-an-ami.html

Amazon Virtual Private Cloud Panduan PenggunaLangkah 6: Luncurkan sebuah

instans ke dalam subnet pribadi Anda

}

5. Saat instans Anda berada dalam status berjalan, Anda dapat menghubungkannya menggunakan klienSSH di komputer Linux atau OS X dengan menggunakan perintah berikut. Komputer lokal Anda harusmemiliki alamat IPv6 yang terkonfigurasi.

ssh -i "MyKeyPair.pem" ec2-user@2001:db8:1234:1a00::123

Jika Anda tersambung dari komputer Windows, gunakan petunjuk berikut: Terhubunglah ke instansLinux Anda dari Windows menggunakan PuTTY.

Langkah 6: Luncurkan sebuah instans ke dalamsubnet pribadi AndaUntuk menguji bahwa instans di subnet pribadi egress-only Anda dapat mengakses internet, luncurkansebuah instans di subnet pribadi Anda dan hubungkan ke sana menggunakan instans bastion di subnetpublik Anda (Anda dapat menggunakan instans yang Anda luncurkan di bagian sebelumnya). Pertama,Anda harus membuat grup keamanan untuk instans tersebut. Grup keamanan harus memiliki aturan yangmengizinkan instans bastion Anda terhubung menggunakan SSH, dan aturan yang mengizinkan perintahping6 (lalu lintas ICMPv6) untuk memverifikasi instans tidak dapat diakses dari internet.

1. Buat grup keamanan di VPC Anda menggunakan perintah create-security-group.

aws ec2 create-security-group --group-name SSHAccessRestricted --description "Security group for SSH access from bastion" --vpc-id vpc-2f09a348

Tambahkan aturan yang mengizinkan akses inbound SSH dari alamat IPv6 dari instans di subnetpublik Anda, dan aturan yang mengizinkan semua lalu lintas ICMPv6 menggunakan perintahauthorize-security-group-ingress. Perhatikan bahwa sintaksis berikut ini hanya bekerja pada Linuxdan MacOS. Untuk sintaksis yang bekerja pada Windows, lihat bagian Contoh di AWS CLI ReferensiPerintah.

{ "GroupId": "sg-aabb1122"}

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "Ipv6Ranges": [{"CidrIpv6": "2001:db8:1234:1a00::123/128"}]}]'

aws ec2 authorize-security-group-ingress --group-id sg-aabb1122 --ip-permissions '[{"IpProtocol": "58", "FromPort": -1, "ToPort": -1, "Ipv6Ranges": [{"CidrIpv6": "::/0"}]}]'

2. Luncurkan instans ke subnet pribadi Anda, menggunakan grup keamanan yang telah Anda buat danpasangan kunci yang Anda gunakan untuk meluncurkan instans di subnet publik.

aws ec2 run-instances --image-id ami-a4827dc9 --count 1 --instance-type t2.micro --key-name MyKeyPair --security-group-ids sg-aabb1122 --subnet-id subnet-a46032fc

Gunakan perintah describe-instances untuk memverifikasi bahwa instans Anda sedang berjalan,dan untuk mendapatkan alamat IPv6.

95





https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html#examples


3. Mengkonfigurasi agen SSH meneruskan ke mesin lokal Anda, dan kemudian terhubung ke instansAnda di subnet publik.

Untuk Linux, gunakan perintah berikut:

ssh-add MyKeyPair.pemssh -A ec2-user@2001:db8:1234:1a00::123

Untuk OS X, gunakan perintah berikut:

ssh-add -K MyKeyPair.pemssh -A ec2-user@2001:db8:1234:1a00::123

Untuk Windows, gunakan instruksi berikut ini: Untuk mengkonfigurasi SSH forwarding untuk Windows(PuTTY) (p. 231). Connect ke instans di subnet publik dengan menggunakan alamat IPv6 nya.

4. Dari instans Anda di subnet publik (instans bastion), menyambung ke instans Anda di subnet pribadidengan menggunakan alamat IPv6 nya:

ssh ec2-user@2001:db8:1234:1a01::456

5. Dari instans pribadi Anda, ujilah keterhubungan Anda ke internet dengan menjalankan perintah ping6untuk situs web yang ICMP nya diaktifkan, misalnya:

ping6 -n ietf.org

PING ietf.org(2001:1900:3001:11::2c) 56 data bytes64 bytes from 2001:1900:3001:11::2c: icmp_seq=1 ttl=46 time=73.9 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=2 ttl=46 time=73.8 ms64 bytes from 2001:1900:3001:11::2c: icmp_seq=3 ttl=46 time=73.9 ms...

6. Untuk menguji bahwa host di internet tidak dapat menjangkau instans Anda di subnet pribadi, gunakanperintah ping6 dari komputer yang diaktifkan untuk IPv6. Anda harus mendapatkan respon timeout.Jika Anda mendapatkan respons yang valid, maka instans Anda dapat diakses dari internet—periksatabel rute yang terkait dengan subnet pribadi Anda dan verifikasi bahwa tabel rute tidak memiliki ruteuntuk lalu lintas IPv6 ke gateway internet.

ping6 2001:db8:1234:1a01::456

Langkah 7: MembersihkanSetelah memverifikasi bahwa Anda dapat terhubung ke instans Anda di subnet publik dan bahwainstans Anda di subnet pribadi dapat mengakses internet, Anda dapat mengakhiri instans jika Anda tidakmembutuhkannya lagi. Untuk melakukannya, gunakan perintah terminate-instances. Untuk menghapussumber daya lain yang telah Anda buat dalam contoh ini, gunakan perintah berikut ini dalam urutan yangtercantum:

1. Hapus grup keamanan Anda:

aws ec2 delete-security-group --group-id sg-e1fb8c9a

aws ec2 delete-security-group --group-id sg-aabb1122

96

https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html


2. Hapus subnet Anda:

aws ec2 delete-subnet --subnet-id subnet-b46032ec

aws ec2 delete-subnet --subnet-id subnet-a46032fc

3. Hapus tabel rute kustom Anda:

aws ec2 delete-route-table --route-table-id rtb-c1c8faa6

aws ec2 delete-route-table --route-table-id rtb-abc123ab

4. Lepaskan gateway internet Anda dari VPC Anda:

aws ec2 detach-internet-gateway --internet-gateway-id igw-1ff7a07b --vpc-id vpc-2f09a348

5. Hapus gateway internet Anda:

aws ec2 delete-internet-gateway --internet-gateway-id igw-1ff7a07b

6. Hapus gateway internet egress-only Anda:

aws ec2 delete-egress-only-internet-gateway --egress-only-internet-gateway-id eigw-015e0e244e24dfe8a

7. Hapus VPC Anda:

aws ec2 delete-vpc --vpc-id vpc-2f09a348

97

Amazon Virtual Private Cloud Panduan PenggunaDasar-dasar VPC dan subnet

VPC dan subnetUntuk memulai dengan Amazon Virtual Private Cloud (Amazon VPC), buatlah sebuah VPC dan subnet.Untuk gambaran umum Amazon VPC, lihat Apa itu Amazon VPC? (p. 1).

Daftar Isi• Dasar-dasar VPC dan subnet (p. 98)• Penetapan ukuran VPC dan subnet (p. 101)• Perutean subnet (p. 106)• Keamanan subnet (p. 107)• Bekerja dengan VPC dan subnet (p. 107)• Pembuatan alamat IP di VPC (p. 115)• Bekerja dengan VPC bersama (p. 136)• Perluas VPC Anda (p. 140)

Dasar-dasar VPC dan subnetSebuah virtual private cloud (VPC) adalah jaringan virtual yang didedikasikan untuk akun AWS Anda. VPCdiisolasi secara logis dari jaringan virtual lain di Cloud AWS. Anda dapat meluncurkan sumber daya AWSAnda seperti instans Amazon EC2, ke dalam VPC Anda.

Ketika Anda membuat VPC, Anda harus menentukan kisaran alamat IPv4 untuk VPC dalam bentuk blok(CIDR) Perutean Classless Inter-Domain; misalnya, 10.0.0.0/16. Ini adalah blok CIDR utama untuk VPCAnda. Untuk informasi selengkapnya tentang notasi CIDR, lihat RFC 4632.

Diagram berikut menunjukkan VPC baru dengan blok CIDR IPv4.

98

https://tools.ietf.org/html/rfc4632


Tabel rute utama memiliki rute berikut.

Tujuan Target

10.0.0.0/16 lokal

VPC mencakup semua Availability Zone di Wilayah. Setelah membuat VPC, Anda dapat menambahkansatu atau beberapa subnet di setiap Availability Zone. Anda dapat secara opsional menambahkan subnetdi zona lokal, yakni deployment infrastruktur AWS yang menempatkan komputasi, penyimpanan, database,dan layanan pilihan lainnya yang lebih dekat ke pengguna akhir Anda. Zona lokal memungkinkanpengguna akhir Anda untuk menjalankan aplikasi yang memerlukan latensi milidetik satu digit. Untukinformasi lebih lanjut tentang Wilayah yang men-support Local Zones, lihat Wilayah yang Tersedia diPanduan Pengguna Amazon EC2 untuk Instans Linux. Saat Anda membuat subnet, Anda tentukan blokCIDR untuk subnet, yang merupakan bagian dari blok CIDR VPC. Setiap subnet harus berada sepenuhnyadalam satu Availability Zone dan tidak dapat memperluas zona. Availability Zone berada di lokasi yangberjauhan yang ditata sedemikian rupa agar terisolasi dari kegagalan di Availability Zone yang lain. Denganmeluncurkan instans dalam Availability Zone terpisah, Anda dapat melindungi aplikasi Anda dari kegagalansatu lokasi. Kami menetapkan ID unik untuk setiap subnet.

Anda juga dapat secara opsional menugaskan sebuah blok CIDR IPv6 ke VPC Anda dan menugaskanblok-blok CIDR IPv6 ke subnet Anda.

Diagram berikut menunjukkan VPC yang telah terkonfigurasi dengan subnet di beberapa Availability Zone.1A, 2A, dan 3A adalah instans-instans dalam VPC Anda. Blok CIDR IPv6 dikaitkan dengan VPC, dan blok

99

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions


CIDR IPv6 dikaitkan dengan subnet 1. Gateway internet mengaktifkan komunikasi melalui internet, dankoneksi jaringan pribadi virtual (VPN) mengaktifkan komunikasi dengan jaringan perusahaan Anda.

Jika lalu lintas subnet diarahkan ke gateway internet, subnet dikenal sebagai subnet publik. Dalamdiagram ini, subnet 1 adalah subnet publik. Jika Anda ingin instans Anda yang berada di subnet publikberkomunikasi dengan internet melalui IPv4, instans Anda harus memiliki alamat IPv4 publik atau alamatIP Elastis (IPv4). Untuk informasi lebih lanjut tentang alamat IPv4 publik, lihat Alamat IPv4 publik (p. 117).Jika Anda ingin instans Anda di subnet publik berkomunikasi dengan internet melalui IPv6, instans Andaharus memiliki alamat IPv6.

Jika sebuah subnet tidak memiliki rute ke gateway internet, subnet tersebut dikenal sebagai subnet privat.Dalam diagram ini, subnet 2 adalah subnet privat.

Jika sebuah subnet tidak memiliki rute ke gateway internet, tetapi memiliki lalu lintas yang diarahkan kevirtual private gateway untuk sambungan Site-to-Site VPN, subnet tersebut dikenal sebagai Subnet khususVPN. Dalam diagram ini, subnet 3 adalah subnet khusus VPN. Saat ini, kami tidak mendukung lalu lintasIPv6 melalui sambungan Site-to-Site VPN.

Untuk informasi lebih lanjut, lihat Contoh untuk VPC (p. 81), Gateway internet (p. 210), dan Apa itu AWSSite-to-Site VPN? di AWS Site-to-Site VPN Panduan Pengguna.

100



Amazon Virtual Private Cloud Panduan PenggunaPenetapan ukuran VPC dan subnet

Note

Terlepas dari jenis subnet, kisaran alamat IPv4 internal dari subnet selalu bersifat pribadi—kamitidak mengumumkan blok alamat ke internet.

Anda memiliki kuota jumlah VPC dan subnet yang dapat Anda buat di akun Anda. Untuk informasi lebihlanjut, lihat Kuota Amazon VPC (p. 341).

Penetapan ukuran VPC dan subnetAmazon VPC men-support penetapan alamat IPv4 dan IPv6, dan memiliki kuota ukuran blok CIDR yangberbeda-beda untuk masing-masingnya. Secara default, semua VPC dan subnet harus memiliki blok CIDRIPv4 — Anda tidak dapat mengubah perilaku ini. Anda dapat mengaitkan blok CIDR IPv6 dengan VPCAnda.

Untuk informasi selengkapnya tentang penetapan alamat IP, lihat Pembuatan alamat IP di VPC (p. 115).

Daftar Isi• Penetapan ukuran VPC dan subnet untuk IPv4 (p. 101)• Menambahkan blok CIDR IPv4 ke sebuah VPC (p. 102)• Penetapan ukuran VPC dan subnet untuk IPv6 (p. 106)

Penetapan ukuran VPC dan subnet untuk IPv4Saat Anda membuat VPC, Anda harus menentukan blok CIDR IPv4 untuk VPC. Ukuran blok yang diizinkanadalah antara netmask /16 (alamat IP 65,536) dan netmask /28 (alamat IP 16). Setelah Anda membuatVPC Anda, Anda dapat mengaitkan blok CIDR sekunder dengan VPC. Untuk informasi lebih lanjut, lihatMenambahkan blok CIDR IPv4 ke sebuah VPC (p. 102).

Saat Anda membuat VPC, kami menyarankan Anda menentukan blok CIDR dari rentang alamat IPv4pribadi seperti yang ditentukan dalam RFC 1918:

Rentang RFC 1918 Contoh Blok CIDR

10.0.0.0 - 10.255.255.255 (prefiks 10/8) VPC Anda harus berukuran /16 atau lebih kecil,misalnya, 10.0.0.0/16.

172.16.0.0 - 172.31.255.255 (prefiks172.16/12)

VPC Anda haruslah /16 atau lebih kecil, misalnya,172.31.0.0/16.

192.168.0.0 - 192.168.255.255 (prefiks192.168/16)

VPC Anda bisa lebih kecil, misalnya192.168.0.0/20.

Anda dapat membuat VPC dengan blok CIDR yang dapat dirutekan secara publik yang berada di luarrentang alamat IPv4 pribadi yang ditentukan dalam RFC 1918; Namun, untuk tujuan dokumentasi ini, kamimerujuk ke Alamat IP pribadi sebagai alamat IPv4 yang berada dalam kisaran CIDR dari VPC Anda.

Note

Jika Anda membuat VPC untuk digunakan dengan layanan AWS, periksa dokumentasi layananuntuk memverifikasi jika ada persyaratan khusus untuk kisaran alamat IP atau komponen jaringan.

101

http://www.faqs.org/rfcs/rfc1918.html

Amazon Virtual Private Cloud Panduan PenggunaMenambahkan blok CIDR IPv4 ke sebuah VPC

Blok CIDR dari subnet bisa jadi sama saja dengan blok CIDR untuk VPC (untuk subnet tunggal di VPC),atau subset blok CIDR untuk VPC (untuk beberapa subnet). Ukuran blok yang diizinkan adalah antaranetmask /28 dan netmask /16. Jika Anda membuat lebih dari satu subnet dalam sebuah VPC, blok-blokCIDR pada subnet-subnet tidak akan tumpang tindih.

Sebagai contoh, jika anda membuat VPC dengan blok CIDR 10.0.0.0/24, block tersebut men-support 256 alamat IP. Anda dapat memecahkan blok CIDR ini menjadi dua subnet, masing-masingmendukung 128 alamat IP. Satu subnet menggunakan blok CIDR 10.0.0.0/25 (untuk alamat 10.0.0.0- 10.0.0.127) dan yang lain menggunakan blok CIDR 10.0.0.128/25 (untuk alamat 10.0.0.128 -10.0.0.255).

Ada alat yang tersedia di internet untuk membantu Anda menghitung dan membuat blok CIDR subnetIPv4. Anda dapat menemukan alat yang sesuai dengan kebutuhan Anda dengan mencari istilah-istilahseperti 'kalkulator subnet' atau 'kalkulator CIDR'. Grup rekayasa jaringan Anda juga dapat membantu Andamenentukan blok CIDR untuk menspesifikasi subnet Anda.

Empat alamat IP pertama dan alamat IP terakhir di setiap blok CIDR subnet tidak dapat untuk Andagunakan, dan tidak dapat ditugaskan ke instans. Sebagai contoh, dalam sebuah subnet dengan blok CIDR10.0.0.0/24, lima alamat IP berikut dicadangkan:

• 10.0.0.0: Alamat jaringan.• 10.0.0.1: Dicadangkan oleh AWS untuk router VPC.• 10.0.0.2: Dicadangkan oleh AWS. Alamat IP server DNS adalah basis rentang jaringan VPC plus

dua. Untuk VPC dengan beberapa blok CIDR, alamat IP server DNS terletak di CIDR utama. Kamijuga mencadangkan basis setiap rentang subnet ditambah dua untuk semua blok CIDR di VPC. Untukinformasi lebih lanjut, lihat Server Amazon DNS (p. 255).

• 10.0.0.3: Dicadangkan untuk AWS penggunaan di masa depan.• 10.0.0.255: Alamat siaran jaringan. Kami tidak men-support siaran di VPC, oleh karena itu kami

mencadangkan alamat ini.

Jika Anda membuat VPC atau subnet menggunakan alat baris perintah atau API Amazon EC2, blok CIDRsecara otomatis dimodifikasi ke bentuk kanonisnya. Misalnya, jika Anda menentukan 100.68.0.18/18untuk blok CIDR, kami membuat blok CIDR 100.68.0.0/18.

Menambahkan blok CIDR IPv4 ke sebuah VPCAnda dapat mengaitkan blok CIDR IPv4 sekunder dengan VPC Anda. Ketika Anda mengaitkan blokCIDR dengan VPC Anda, rute secara otomatis ditambahkan ke tabel rute VPC Anda untuk mengaktifkanperutean di dalam VPC (tujuannya adalah blok CIDR dan target adalah local).

Dalam contoh berikut, VPC di sebelah kiri memiliki sebuah blok CIDR tunggal (10.0.0.0/16) dan duasubnet. VPC di sebelah kanan mewakili arsitektur VPC yang sama setelah Anda menambahkan blok CIDRkedua (10.2.0.0/16) dan membuat subnet baru dari rentang CIDR kedua.

102


Untuk menambahkan blok CIDR ke VPC Anda, aturan berikut berlaku:

• Ukuran blok yang diperbolehkan adalah antara netmask /28 dan netmask /16.• Blok CIDR tidak boleh tumpang tindih dengan blok CIDR yang ada yang sudah dikaitkan dengan VPC.• Ada pembatasan pada rentang alamat IPv4 yang dapat Anda gunakan. Untuk informasi lebih lanjut, lihat

Pembatasan pengaitan blok CIDR IPv4 (p. 104).• Anda tidak dapat menambah atau mengurangi ukuran blok CIDR yang ada.• Anda memiliki kuota pada jumlah blok CIDR yang dapat Anda kaitkan dengan VPC dan pada jumlah rute

yang dapat Anda tambahkan ke tabel rute. Anda tidak dapat mengaitkan blok CIDR jika hal ini membuatAnda melebihi kuota Anda. Untuk informasi lebih lanjut, lihat Kuota Amazon VPC (p. 341).

• Blok CIDR tidak boleh sama besar atau lebih besar dari kisaran CIDR tujuan di sebuah rute di salah satutabel rute VPC. Sebagai contoh, dalam sebuah VPC dimana blok CIDR utama adalah 10.2.0.0/16,Anda memiliki rute yang ada dalam tabel rute dengan tujuan 10.0.0.0/24 ke virtual private gateway.Anda ingin mengaitkan blok CIDR sekunder di rentang 10.0.0.0/16. Karena rute yang ada, Anda tidakdapat mengaitkan blok CIDR 10.0.0.0/24 atau yang lebih besar. Namun, Anda dapat mengaitkan blokCIDR sekunder 10.0.0.0/25 atau yang lebih kecil.

103


• Jika Anda telah mengaktifkan VPC Anda untuk ClassicLink, Anda dapat mengaitkan blok CIDR darirentang 10.0.0.0/16 dan 10.1.0.0/16, tetapi Anda tidak dapat mengaitkan blok CIDR lain darirentang 10.0.0.0/8.

• Aturan berikut berlaku saat Anda menambahkan blok CIDR IPv4 ke VPC yang merupakan bagian darikoneksi peering VPC:• Jika koneksi peering VPC active, Anda dapat menambahkan blok CIDR ke VPC asalkan blok-blok

tersebut tidak tumpang tindih dengan blok CIDR dari VPC rekan.• Jika koneksi peering VPC adalah pending-acceptance, pemilik peminta VPC tidak dapat

menambahkan blok CIDR ke VPC, terlepas apakah blok tumpang tindih dengan blok CIDR dari VPCpenerima. Baik pemilik VPC penerima harus menerima koneksi peering, atau pemilik VPC pemintaharus menghapus permintaan koneksi peering VPC, menambahkan blok CIDR, dan kemudianmeminta koneksi peering VPC.

• Jika koneksi peering VPC adalah pending-acceptance, pemilik VPC penerimsa dapatmenambahkan blok CIDR ke VPC. Jika blok CIDR sekunder tumpang tindih dengan blok CIDR dariVPC peminta, permintaan koneksi peering VPC mengintip menjadi gagal dan tidak dapat diterima.

• Jika Anda menggunakan AWS Direct Connect untuk ter-connect ke beberapa VPC melalui gatewayDirect Connect, VPC yang dikaitkan dengan gateway Direct Connect tidak boleh memiliki blok CIDRyang tumpang tindih. Jika Anda menambahkan blok CIDR ke VPC yang dikaitkan dengan gateway DirectConnect, pastikan bahwa blok CIDR yang baru tidak tumpang tindih dengan blok CIDR yang sudah adadari VPC manapun yang dikaitkan lainnya. Untuk informasi selengkapnya, lihat Gateway Direct Connectdi Panduan Pengguna AWS Direct Connect.

• Bila Anda menambahkan atau menghapus blok CIDR, blok bisa saja berstatus: associating |associated | disassociating | disassociated | failing | failed. Blok CIDR siap digunakansaat berada dalam status associated.

Tabel berikut memberikan gambaran umum tentang pengaitan blok CIDR yang diizinkan dan dibatasi, yangbergantung pada kisaran alamat IPv4 di mana blok CIDR utama VPC Anda berada.

Pembatasan pengaitan blok CIDR IPv4

Kisaran alamat IP adalah tempatblok CIDR VPC utama Andaberada

Pengaitan blok CIDR yangdibatasi

Pengaitan blok CIDR yangdiizinkan

10.0.0.0/8 Blok CIDR dari RFC 1918 lainnyarentang* (172.16.0.0/12 dan192.168.0.0/16).

Jika CIDR utama Anda beradadalam rentang 10.0.0.0/15, Andatidak dapat menambahkan blokCIDR dari rentang 10.0.0.0/16.

Blok CIDR dari rentang198.19.0.0/16.

Setiap CIDR lainnya dari rentang10.0.0.0/8 yang tidak dibatasi.

Setiap blok CIDR IPv4 yangdapat diarahkan secara publik(non-RFC 1918), atau blok CIDRdari rentang 100.64.0.0/10.

172.16.0.0/12 Blok CIDR dari RFC 1918lainnya rentang* (10.0.0.0/8 dan192.168.0.0/16).



Setiap CIDR lainnya dari rentang172.16.0.0/12 yang tidak dibatasi.


104

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html


Kisaran alamat IP adalah tempatblok CIDR VPC utama Andaberada

Pengaitan blok CIDR yangdibatasi

Pengaitan blok CIDR yangdiizinkan

192.168.0.0/16 Blok CIDR dari RFC 1918 lainnyarentang* (172.16.0.0/12 dan10.0.0.0/8).


Setiap CIDR lainnya dari rentang192.168.0.0/16.


198.19.0.0/16 Blok CIDR dari RFC 1918rentang*.


Blok CIDR yang dapat diarahkansecara publik (non-RFC 1918),atau blok CIDR dari rentang100.64.0.0/10.

Blok CIDR dari RFC 1918rentang*.



*Rentang RFC 1918 adalah rentang alamat IPv4 pribadi yang ditentukan dalam RFC 1918.

Anda dapat memutus pengaitan blok CIDR yang Anda telah dikaitkan dengan VPC Anda; namun, Andatidak dapat memutus pengaitan blok CIDR yang VPC-nya Anda buat di awal (blok CIDR utama). Untukmelihat CIDR utama untuk VPC Anda di konsol Amazon VPC, pilih VPC Anda, pilih VPC Anda, danperhatikan entri pertama pada Blok CIDR. Atau, Anda dapat menggunakan perintah describe-vpcs:

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

CIDR utama dikembalikan di elemen CidrBlock tingkat atas.

{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } }

105


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html

Amazon Virtual Private Cloud Panduan PenggunaPenetapan ukuran VPC dan subnet untuk IPv6

], "State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ]}

Penetapan ukuran VPC dan subnet untuk IPv6Anda dapat mengaitkan satu blok CIDR IPv6 tunggal dengan VPC yang ada di akun Anda, atau saat Andamembuat VPC yang baru. Blok CIDR adalah kepanjang prefiks tetap dari /56. Anda dapat meminta blokCIDR IPv6 dari kumpulan alamat IPv6 Amazon.

Jika Anda telah mengaitkan blok CIDR IPv6 dengan VPC Anda, Anda dapat mengaitkan blok CIDR IPv6dengan subnet yang ada di VPC Anda, atau saat Anda membuat subnet baru. Blok CIDR IPv6 sebuahsubnet adalah kepanjangan prefiks tetap /64.

Misalnya, Anda membuat VPC dan menentukan bahwa Anda ingin mengaitkan blok CIDR IPv6 yangdisediakan Amazon ke VPC tersebut. Amazon menetapkan blok CIDR IPv6 berikut ini untuk VPCAnda: 2001:db8:1234:1a00::/56. Anda tidak dapat memilih rentang alamat IP tersebut oleh Andasendiri. Anda dapat membuat sebuah subnet dan mengaitkan blok CIDR IPv6 dari kisaran ini; misalnya,2001:db8:1234:1a00::/64.

Ada alat yang tersedia di internet untuk membantu Anda menghitung dan membuat blok CIDR subnet IPv6;misalnya, Perencana Alamat IPv6. Anda dapat menemukan alat lain yang sesuai dengan kebutuhan Andadengan mencari istilah seperti 'kalkulator subnet IPv6' atau 'kalkulator CIDR IPv6'. Grup rekayasa jaringanAnda juga dapat membantu Anda menentukan blok CIDR IPv6 untuk menspesifikasi subnet Anda.

Anda dapat memutus pengaitan blok CIDR IPv6 dari subnet, dan Anda dapat memutus pengaitan blokCIDR IPv6 dari sebuah VPC. Setelah Anda memutus pengaitan blok CIDR IPv6 dari sebuah VPC, Andatidak dapat mengharapkan untuk menerima CIDR yang sama jika Anda mengaitkan blok CIDR IPv6dengan VPC Anda lagi nanti.

Empat alamat IPv6 pertama dan alamat IPv6 terakhir di setiap blok CIDR subnet tidak tersedia bagi Andauntuk digunakan, dan tidak dapat ditugaskan untuk sebuah instans. Sebagai contoh, di subnet dengan blokCIDR 2001:db8:1234:1a00/64, lima alamat IP berikut dicadangkan:

• 2001:db8:1234:1a00::

• 2001:db8:1234:1a00::1

• 2001:db8:1234:1a00::2

• 2001:db8:1234:1a00::3

• 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Perutean subnetSetiap subnet harus dikaitkan dengan sebuah tabel rute, yang menentukan rute yang diizinkan untuk lalulintas outbound meninggalkan subnet. Setiap subnet yang Anda buat secara otomatis dikaitkan dengantabel rute utama untuk VPC. Anda dapat mengubah pengaitan, dan Anda dapat mengubah isi dari tabelrute utama. Untuk informasi lebih lanjut, lihat Tabel rute untuk VPC Anda (p. 281).

Pada diagram sebelumnya, tabel rute yang dikaitkan dengan subnet 1 mengarahkan semua lalu lintas IPv4(0.0.0.0/0) dan lalu lintas IPv6 (::/0) ke gateway internet (misalnya, igw-1a2b3c4d). Karena instans1A memiliki alamat IP Elastis IPv4 dan alamat IPv6, hal tersebut dapat dicapai dari internet melalui IPv4dan IPv6.

106

https://network00.com/NetworkTools/IPv6VisualSubnetCalculatorCreator

Amazon Virtual Private Cloud Panduan PenggunaKeamanan subnet

Note

(Khusus IPv4) Alamat IPv4 elastis atau alamat IPv4 publik yang dikaitkan dengan instans Andadiakses melalui gateway internet dari VPC Anda. Lalu lintas yang melewati sebuah koneksi AWSSite-to-Site VPN antara instans Anda dan jaringan lain melintasi virtual private gateway, bukangateway internet, dan oleh karenanya tidak dapat mengakses alamat IPv4 Elastis atau alamatIPv4 publik.

Instans 2A tidak dapat menjangkau internet, tetapi dapat menjangkau instans-instans lain di VPC. Andadapat mengizinkan sebuah instans di VPC Anda untuk memulai koneksi outbound ke internet melaluiIPv4 tetapi mencegah koneksi inbound yang tidak diinginkan dari internet menggunakan gateway atauinstans penerjemahan alamat jaringan (NAT). Karena Anda dapat mengalokasikan sejumlah alamatIP elastis, kami sarankan Anda menggunakan perangkat NAT jika Anda memiliki lebih banyak instansyang memerlukan alamat IP publik statis. Untuk informasi lebih lanjut, lihat Perangkat NAT untuk VPCAnda (p. 225). Untuk memulai komunikasi khusus outbound ke internet melalui IPv6, Anda dapatmenggunakan gateway internet khusus egress. Untuk informasi lebih lanjut, lihat Gateway internet khususjalan keluar (p. 216).

Tabel rute yang dikaitkan dengan subnet 3 mengarahkan semua lalu lintas IPv4 (0.0.0.0/0) kevirtual private gateway (misalnya, vgw-1a2b3c4d). Instans 3A dapat menjangkau komputer di jaringanperusahaan melalui koneksi Site-to-Site VPN.

Keamanan subnetAWS menyediakan dua fitur yang dapat Anda gunakan untuk meningkatkan keamanan di VPC Anda: Grupkeamanan dan ACL jaringan. Grup keamanan mengendalikan lalu lintas inbound dan outbound untukinstans Anda, dan ACL jaringan mengendalikan lalu lintas inbound dan outbound untuk subnet Anda.Dalam kebanyakan kasus, grup keamanan dapat memenuhi kebutuhan Anda; namun, Anda juga dapatmenggunakan ACL jaringan jika Anda menginginkan lapisan keamanan tambahan untuk VPC Anda. Untukinformasi lebih lanjut, lihat Privasi lalu lintas antar jaringan di Amazon VPC (p. 156).

Berdasarkan desain, setiap subnet harus dikaitkan dengan ACL jaringan. Setiap subnet yang Anda buatsecara otomatis dikaitkan dengan ACL jaringan default milik VPC . Anda dapat mengubah pengaitan, danAnda dapat mengubah isi ACL jaringan default. Untuk informasi lebih lanjut, lihat ACL jaringan (p. 190).

Anda dapat membuat log alur pada VPC atau subnet Anda untuk menangkap lalu lintas yang mengalir kedan dari antarmuka jaringan di VPC atau subnet Anda. Anda juga dapat membuat log alur pada antarmukajaringan individu. Log alur diterbitkan ke CloudWatch Logs atau Amazon S3. Untuk informasi lebih lanjut,lihat Log Alur VPC (p. 307).

Bekerja dengan VPC dan subnetProsedur berikut adalah untuk membuat VPC dan subnet secara manual. Anda juga harus secara manualmenambahkan gateway dan tabel perutean. Atau, Anda dapat menggunakan wizard Amazon VPC untukmembuat VPC ditambah subnetnya, gateway, dan tabel perutean dalam satu langkah. Untuk informasilebih lanjut, lihat Contoh untuk VPC (p. 81).

Tugas• Buat VPC (p. 108)• Buat subnet di VPC Anda (p. 109)• Lihat subnet Anda (p. 110)• Kaitkan blok CIDR IPv4 dengan VPC Anda (p. 110)• Kaitkan blok CIDR IPv6 dengan VPC Anda (p. 111)• Kaitkan blok CIDR IPv6 dengan subnet Anda (p. 111)

107

Amazon Virtual Private Cloud Panduan PenggunaBuat VPC

• Luncurkan sebuah instans di subnet Anda (p. 112)• Hapus subnet Anda (p. 112)• Putuskan pengaitan blok CIDR IPv4 dari VPC Anda (p. 113)• Memutus pengaitan blok CIDR IPv6 dari VPC atau subnet Anda (p. 113)• Hapus VPC Anda (p. 114)

Buat VPCAnda dapat membuat VPC kosong menggunakan konsol Amazon VPC.

Untuk membuat VPC menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda, Buat VPC.3. Tentukan rincian VPC berikut sesuai kebutuhan.

• Tag nama: Secara opsional berikan nama untuk VPC Anda. Melakukan hal itu akan menciptakan tagdengan kunci Name dan nilai yang Anda tentukan.

• Blok CIDR IPv4: Tentukan blok CIDR IPv4 untuk VPC. Blok CIDR terkecil yang dapat Anda tentukanadalah /28, dan yang terbesar adalah /16. Kami menyarankan agar Anda menspesifikasikan sebuahblok CIDR dari rentang alamat IP pribadi (tak dapat dirutekan secara publik) sebagaimana yangditentukan dalam RFC 1918; misalnya, 10.0.0.0/16, atau 192.168.0.0/16.

Note

Anda dapat menentukan rentang alamat IPv4 yang dapat dirutekan secara publik.Namun, saat ini kami tidak men-support akses langsung ke internet dari blok CIDRyang dapat dirutekan secara publik dalam sebuah VPC. Instans Windows tidak dapatmelakukan booting dengan benar jika diluncurkan ke dalam VPC yang memiliki rentang dari224.0.0.0 hingga 255.255.255.255 (Rentang alamat IP Kelas D dan Kelas E).

• Blok CIDR IPv6: Secara opsional mengaitkan blok CIDR IPv6 dengan VPC Anda. Pilih salah satudari opsi berikut, dan kemudian pilih Pilih CIDR:• Blok CIDR IPv6 yang disediakan Amazon: Permintaan blok CIDR IPv6 dari kumpulan alamat IPv6

Amazon. Untuk Grup Perbatasan Jaringan, pilih grup tempat AWS mengiklankan alamat IP.• CIDR IPv6 yang dimiliki oleh saya: (BYOIP) Alokasikan blok CIDR IPv6 dari kumpulan alamat IPv6

Anda. Untuk Kumpulan, pilih kumpulan alamat IPv6 untuk mengalokasikan blok CIDR IPv6.• Sewa: Pilih opsi sewa. Penyewaan khusus memastikan instans Anda berjalan pada perangkat keras

penyewa tunggal. Untuk informasi selengkapnya, lihat Instans khusus dalam Panduan PenggunaAmazon EC2 untuk Instans Linux.

• (Opsional) Tambahkan atau hapus tag.

[Tambahkan tag] Pilih Tambah tag dan lakukan hal berikut:• Untuk Kunci, masukkan nama kunci.• Untuk Nilai, masukkan nilai kunci.

[Hapus tag] Pilih Hapus di sebelah kanan Kunci dan Nilai tag.4. Pilih Buat.

Sebagai alternatif, Anda dapat menggunakan alat baris perintah.

Untuk membuat VPC menggunakan alat baris perintah

• create-vpc (AWS CLI)

108



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html

Amazon Virtual Private Cloud Panduan PenggunaBuat subnet di VPC Anda

• New-EC2Vpc (AWS Tools for Windows PowerShell)

Untuk mendeskripsikan sebuah VPC menggunakan alat baris perintah

• describe-vpcs (AWS CLI)• Get-EC2Vpc (AWS Tools for Windows PowerShell)

Untuk informasi selengkapnya tentang alamat IP, lihat Pembuatan alamat IP di VPC (p. 115).

Setelah membuat VPC, Anda dapat membuat subnet. Untuk informasi lebih lanjut, lihat Buat subnet di VPCAnda (p. 109).

Buat subnet di VPC AndaUntuk menambahkan subnet baru ke VPC Anda, Anda harus menentukan blok CIDR IPv4 untuk subnetdari rentang VPC Anda. Anda dapat menentukan Availability Zone tempat Anda ingin subnet berada. Andadapat memiliki beberapa subnet di Availability Zone yang sama.

Anda dapat secara opsional menentukan blok CIDR IPv6 untuk subnet Anda jika blok CIDR IPv6 di--kaitkan dengan VPC Anda.

Untuk membuat subnet di Zona lokal, atau Zona Wavelength, Anda harus mengaktifkan Zona. Untukinformasi tentang cara mengaktifkan Wavelength Zone, lihat Pengaktifan Wavelength Zone di PanduanPengguna Amazon EC2 untuk Instans Linux.

Untuk menambahkan subnet ke VPC Anda menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet, Buat subnet.3. Tentukan rincian subnet sebagaimana diperlukan dan pilih Buat.

• Tag nama: Secara opsional berikan nama untuk subnet Anda. Melakukan hal itu akan menciptakantag dengan kunci Name dan nilai yang Anda tentukan.

• VPC: Pilih VPC tempat Anda membuat subnet.• Availability Zone: Secara opsional pilih sebuah Zona tempat subnet Anda akan berdiam, atau

meninggalkan default Tidak Ada Pilihan untuk membiarkan AWS memilih Availability Zone untukAnda.

Untuk informasi lebih lanjut tentang Wilayah dan Zona, lihat Wilayah dan zona di PanduanPengguna Amazon EC2 untuk Instans Linux.

• Blok CIDR IPv4: Tentukan blok CIDR IPv4 untuk subnet Anda, misalnya, 10.0.1.0/24. Untukinformasi lebih lanjut, lihat Penetapan ukuran VPC dan subnet untuk IPv4 (p. 101).

• IPv6 Blok CIDR: (Opsional) Jika Anda telah mengaitkan blok CIDR IPv6 dengan VPC Anda, pilihTentukan CIDR IPv6 kustom. Tentukan nilai pasangan heksadesimal untuk subnet, atau biarkan nilaidefault.

4. (Opsional) Jika diperlukan, ulangi langkah-langkah di atas untuk membuat lebih banyak subnet di VPCAnda.


Untuk menambahkan subnet menggunakan alat baris perintah

• create-subnet (AWS CLI)

109

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Vpc.html


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#enable-zone-group



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-subnet.html

Amazon Virtual Private Cloud Panduan PenggunaLihat subnet Anda

• New-EC2Subnet (AWS Tools for Windows PowerShell)

Setelah membuat subnet, Anda dapat melakukan hal berikut:

• Mengonfigurasi Perutean Anda. Untuk membuat subnet Anda menjadi subnet publik, Anda harusmelampirkan gateway internet ke VPC Anda. Untuk informasi lebih lanjut, lihat Membuat danmelampirkan gateway internet (p. 213). Anda kemudian dapat membuat tabel rute kustom,dan menambahkan rute ke gateway internet. Untuk informasi lebih lanjut, lihat Buat tabel rutekustom (p. 214). Untuk opsi perutean lainnya, lihat Tabel rute untuk VPC Anda (p. 281).

• Modifikasi pengaturan subnet untuk menentukan bahwa semua instans yang diluncurkan di subnettersebut menerima alamat IPv4 publik, atau alamat IPv6, atau keduanya. Untuk informasi lebih lanjut,lihat Perilaku pengalamatan IP untuk subnet Anda (p. 119).

• Buat atau modifikasi grup keamanan sesuai kebutuhan. Untuk informasi lebih lanjut, lihat GrupKeamanan untuk VPC Anda (p. 179).

• Buat atau modifikasi ACL jaringan Anda sesuai kebutuhan. Untuk informasi lebih lanjut, lihat ACLjaringan (p. 190).

• Berbagi subnet dengan akun lain. Untuk informasi lebih lanjut, lihat ??? (p. 137).

Lihat subnet AndaAnda dapat melihat rincian tentang subnet Anda.

Untuk melihat rincian subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih subnet, lalu pilih Lihat detail.

Untuk mendeskripsikan subnet menggunakan alat baris perintah

• describe-subnets (AWS CLI)• Get-EC2Subnet (AWS Tools for Windows PowerShell)

Kaitkan blok CIDR IPv4 dengan VPC AndaAnda dapat menambahkan blok CIDR IPv4 lain ke VPC Anda. Pastikan Anda telah membacabatasan (p. 102) yang berlaku.

Setelah Anda mengaitkan blok CIDR, statusnya menjadi associating. Blok CIDR siap digunakan saatberstatus associated.

Amazon Virtual Private Cloud Console menyediakan status permintaan di bagian atas halaman.

Untuk menambahkan blok CIDR ke VPC Anda menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Pilih VPC, dan pilih Tindakan, Sunting CIDR.4. Pilih Tambahkan IPv4 CIDR, dan masukkan blok CIDR untuk menambahkan; misalnya,

10.2.0.0/16. Pilih ikon centang.

110

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Subnet.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-subnets.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html


Amazon Virtual Private Cloud Panduan PenggunaKaitkan blok CIDR IPv6 dengan VPC Anda

5. Pilih Tutup.


Untuk menambahkan blok CIDR menggunakan alat baris perintah

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)

Setelah menambahkan blok CIDR IPv4 yang Anda butuhkan, Anda dapat membuat subnet. Untukinformasi lebih lanjut, lihat Buat subnet di VPC Anda (p. 109).

Kaitkan blok CIDR IPv6 dengan VPC AndaAnda dapat mengaitkan blok CIDR IPv6 dengan VPC yang ada. VPC tersebut tidak boleh memiliki blokCIDR IPv6 yang sudah ada yang dikaitkan dengannya.

Untuk mengaitkan blok CIDR IPv6 dengan sebuah VPC menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/..2. Di panel navigasi, pilih VPC Anda.3. Pilih VPC Anda, pilih Tindakan, Sunting CIDR.4. Pilih Tambahkan CIDR IPv6.5. Pilih Tambahkan CIDR IPv6.6. Untuk Blok CIDR IPv6, pilih salah satu dari berikut ini, lalu pilih Pilih CIDR:

• Blok CIDR IPv6 yang disediakan Amazon: Permintaan blok CIDR IPv6 dari kumpulan alamat IPv6Amazon.

• CIDR IPv6 yang dimiliki oleh saya: (BYOIP) Mengalokasikan sebuah blok CIDR IPv6 dari kumpulanalamat IPv6 Anda. Untuk Kumpulan, pilih kumpulan alamat IPv6 untuk mengalokasikan blok CIDRIPv6.

7. Jika Anda memilih Blok CIDR IPv6 yang disediakan Amazon, dari Grup Perbatasan Jaringan, pilih grupdari tempat AWS mengiklankan alamat IP.

8. Pilih Pilih CIDR.9. Pilih Tutup.


Untuk mengaitkan blok CIDR IPv6 dengan sebuah VPC menggunakan alat baris perintah

• associate-vpc-cidr-block (AWS CLI)• Register-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)

Kaitkan blok CIDR IPv6 dengan subnet AndaAnda dapat mengaitkan blok CIDR IPv6 dengan subnet yang sudah ada di VPC Anda. Subnet tidak bolehmemiliki blok CIDR IPv6 yang sudah ada yang dikaitkan dengannya.

Untuk mengaitkan blok CIDR IPv6 dengan sebuah subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

111

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2VpcCidrBlock.html


Amazon Virtual Private Cloud Panduan PenggunaLuncurkan sebuah instans di subnet Anda

2. Di panel navigasi, pilih Subnet.3. Pilih subnet Anda, pilih Tindakan Subnet, Sunting CIDR IPv6.4. Pilih Tambahkan CIDR IPv6. Tentukan pasangan heksadesimal untuk subnet (misalnya, 00) dan

konfirmasikan entri dengan memilih ikon centang.5. Pilih Tutup.


Untuk mengaitkan blok CIDR IPv6 dengan sebuah subnet menggunakan baris perintah

• associate-subnet-cidr-block (AWS CLI)• Register-EC2SubnetCidrBlock (AWS Tools for Windows PowerShell)

Luncurkan sebuah instans di subnet AndaSetelah membuat subnet Anda dan mengkonfigurasi perutean Anda, Anda dapat meluncurkan instans kesubnet Anda menggunakan konsol Amazon EC2.

Untuk meluncurkan instans ke subnet Anda menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Pada dasbor, pilih Luncurkan instans.3. Ikuti petunjuk dalam wizard. Pilih AMI dan tipe instans dan pilih Berikutnya: Konfigurasi Detail Instans.

Note

Jika Anda ingin instans Anda berkomunikasi melalui IPv6, Anda harus memilih tipe instansyang di-support. Semua tipe instans generasi saat ini men-support alamat IPv6.

4. Pada halaman Konfigurasikan Detail Instans, pastikan Anda telah memilih VPC yang diperlukan didaftar Jaringan, lalu pilih subnet tempat untuk meluncurkan instans. Pertahankan pengaturan defaultlainnya pada halaman ini dan pilih Berikutnya: Tambah Penyimpanan.

5. Di halaman berikutnya pada wizard, Anda dapat mengonfigurasi penyimpanan untuk instans Anda,dan tambahkan tag. Pada halaman Konfigurasi Grup Keamanan, pilih dari grup keamanan milik Andayang sudah ada, atau ikuti arahan wizard untuk membuat grup keamanan yang baru. Pilih Tinjau andLuncurkan setelah Anda selesai.

6. Tinjau pengaturan Anda dan pilih Luncurkan.7. Pilih pasangan kunci yang sudah ada yang Anda miliki atau buatlah satu yang bar, dan lalu pilih

Luncurkan Instans ketika sudah selesai.


Untuk meluncurkan sebuah instans ke dalam subnet Anda menggunakan alat baris perintah

• run-instance (AWS CLI)• New-EC2Instance (AWS Tools for Windows PowerShell)

Hapus subnet AndaJika Anda tidak lagi memerlukan subnet, Anda dapat menghapusnya. Anda harus mengakhiri setiapinstans di subnet terlebih dahulu.

112

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2SubnetCidrBlock.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html

Amazon Virtual Private Cloud Panduan PenggunaPutuskan pengaitan blok CIDR IPv4 dari VPC Anda

Untuk menghapus subnet Anda menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Mengakhiri semua instans di subnet. Untuk informasi lebih lanjut, lihat Akhiri Instans Anda dalam

Panduan Pengguna EC2.3. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.4. Di panel navigasi, pilih Subnet.5. Pilih subnet untuk menghapus dan pilih Tindakan, Hapus subnet.6. Di kotak dialog Hapus subnet, pilih Hapus subnet.


Untuk menghapus subnet menggunakan alat baris perintah

• delete-subnet (AWS CLI)• Remove-EC2Subnet (AWS Tools for Windows PowerShell)

Putuskan pengaitan blok CIDR IPv4 dari VPC AndaJika VPC Anda memiliki lebih dari satu blok CIDR IPv4 yang dikaitkan dengannya, Anda dapat memutuspengaitan blok CIDR IPv4 dari VPC. Anda tidak dapat memutus pengaitan blok CIDR IPv4 utama. Andahanya dapat memutus pengaitan seluruh blok CIDR; Anda tidak dapat memutus pengaitan subset darisebuah blok CIDR atau kisaran gabungan blok CIDR. Anda harus terlebih dahulu menghapus semuasubnet di blok CIDR.

Untuk menghapus blok CIDR dari VPC menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Pilih VPC, dan pilih Tindakan, Sunting CIDR.4. Di bawah CIDR IPv4 VPC, pilih tombol hapus (silang) untuk menghapus blok CIDR.5. Pilih Tutup.


Untuk menghapus blok CIDR IPv4 dari VPC menggunakan alat baris perintah

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)

Memutus pengaitan blok CIDR IPv6 dari VPC atausubnet AndaJika Anda tidak lagi menginginkan support IPv6 di VPC atau subnet Anda, tetapi Anda ingin terusmenggunakan VPC atau subnet Anda untuk membuat dan berkomunikasi dengan sumber daya IPv4, Andadapat memutus pengaitan blok CIDR IPv6.

Untuk memutus pengaitan blok CIDR IPv6, Anda harus terlebih dahulu menghapus alamat IPv6 yangditugaskan ke setiap instans di subnet Anda. Untuk informasi lebih lanjut, lihat Untuk membatalkanpenetapan alamat IPv6 dari sebuah instans (p. 122).

113


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-subnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Subnet.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html

Amazon Virtual Private Cloud Panduan PenggunaHapus VPC Anda

Untuk memutus pengaitan blok CIDR IPv6 dari subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih subnet Anda, pilih Tindakan, Sunting CIDR IPv6.4. Hapus blok CIDR IPv6 untuk subnet dengan memilih ikon silang.5. Pilih Tutup.

Untuk memutus pengaitan blok CIDR IPv6 dari VPC menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Pilih VPC Anda, pilih Tindakan, Sunting CIDR.4. Hapus blok CIDR IPv6 dengan memilih ikon silang.5. Pilih Tutup.

Note

Memutus pengaitan blok CIDR IPv6 tidak akan secara otomatis menghapus aturan grupkeamanan, aturan ACL jaringan, atau rute pada tabel rute yang telah Anda konfigurasi untukjaringan IPv6. Anda harus secara manual mengubah atau menghapus aturan-aturan atau rute-ruteini.


Untuk memutus pengaitan blok CIDR IPv6 dari subnet menggunakan alat baris perintah

• disassociate-subnet-cidr-block (AWS CLI)• Unregister-EC2SubnetCidrBlock (AWS Tools for Windows PowerShell)

Untuk memutus pengaitan blok CIDR IPv6 dari sebuah VPC menggunakan alat baris perintah

• disassociate-vpc-cidr-block (AWS CLI)• Unregister-EC2VpcCidrBlock (AWS Tools for Windows PowerShell)

Hapus VPC AndaUntuk menghapus sebuah VPC menggunakan konsol VPC, Anda pertama-tama harus mengakhiri ataumenghapus komponen berikut:

• Semua instans di VPC - Untuk informasi tentang cara mengakhiri sebuah instance, lihat Akhiri instansAnda di Panduan Pengguna Amazon EC2 untuk Instans Linux.

• Koneksi peering VPC• Endpoint Antarmuka• Gateway NAT

Ketika Anda menghapus VPC menggunakan konsol VPC, kami juga menghapus komponen VPC berikutuntuk Anda:

• Subnet

114



https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-subnet-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2SubnetCidrBlock.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-vpc-cidr-block.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2VpcCidrBlock.html



Amazon Virtual Private Cloud Panduan PenggunaPembuatan alamat IP

• Grup keamanan• ACL Jaringan• Tabel rute• Titik akhir Gateway• Gateway internet• Gateway internet khusus egress• Opsi DHCP

Jika Anda memiliki koneksi AWS Site-to-Site VPN, Anda tidak perlu menghapusnya atau menghapuskomponen lain yang terkait dengan VPN (seperti gateway pelanggan dan virtual private gateway). JikaAnda berencana untuk menggunakan gateway pelanggan dengan VPC lain, kami sarankan agar Andatetap mempertahankan koneksi Site-to-Site VPN dan gateway-nya. Jika tidak, Anda harus mengonfigurasiperangkat gateway pelanggan Anda lagi setelah Anda membuat koneksi Site-to-Site VPN yang baru.

Untuk menghapus VPC Anda menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Akhiri semua instans di VPC. Untuk informasi lebih lanjut, lihat Akhiri Instans Anda di Panduan

Pengguna Amazon EC2 untuk Instans Linux.3. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.4. Di panel navigasi, pilih VPC Anda.5. Pilih VPC yang akan dihapus dan pilih Tindakan, Hapus VPC..6. Jika Anda memiliki koneksi Site-to-Site VPN, pilih opsi untuk menghapusnya; jika tidak, biarkan tidak

dipilih. Pilih Hapus VPC.

Sebagai alternatif, Anda dapat menggunakan alat baris perintah. Ketika Anda menghapus sebuah VPCmenggunakan baris perintah, Anda harus terlebih dahulu mengakhiri semua instans, dan menghapus ataumelepas semua sumber daya yang dikaitkan, termasuk subnet, grup keamanan kustom, ACL jaringankustom, tabel rute kustom, koneksi peering VPC, endpoint, gateway NAT, gateway internet, dan gatewayinternet khusus egress.

Untuk menghapus VPC menggunakan baris perintah

• delete-vpc (AWS CLI)• Remove-EC2Vpc (AWS Tools for Windows PowerShell)

Pembuatan alamat IP di VPCAlamat IP memungkinkan sumber daya di VPC Anda untuk berkomunikasi satu sama lain, dan dengansumber daya melalui internet. Amazon EC2 dan Amazon VPC mendukung protokol pengalamatan IPv4dan IPv6. Untuk informasi selengkapnya, lihat Pengalamatan IP instans Amazon EC2.

Secara default, Amazon EC2 dan Amazon VPC menggunakan protokol pengalamatan IPv4. Saat Andamembuat VPC, Anda harus menentukan blok CIDR IPv4 (rentang alamat IPv4 privat). Alamat IPv4 privattidak dapat dijangkau melalui internet. Untuk terhubung ke instans Anda melalui internet, atau untukmengaktifkan komunikasi antara instans Anda dan layanan AWS lain yang memiliki titik akhir publik, Andadapat menetapkan alamat IPv4 publik yang unik secara global ke instans Anda.

Atau, Anda dapat memilih mengaitkan blok CIDR IPv6 ke VPC dan subnet Anda, serta menetapkan alamatIPv6 dari blok tersebut ke instans di VPC Anda. Alamat IPv6 bersifat publik dan dapat dijangkau melaluiInternet.

115




https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Vpc.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html

Amazon Virtual Private Cloud Panduan PenggunaPembuatan alamat IP

Note

Untuk memastikan bahwa instans Anda dapat berkomunikasi dengan internet, Anda jugaharus melampirkan gateway internet ke VPC Anda. Untuk informasi lebih lanjut, lihat Gatewayinternet (p. 210).

VPC Anda dapat beroperasi dalam mode dual-stack: sumber daya Anda dapat berkomunikasi melaluiIPv4, atau IPv6, atau keduanya. Alamat IPv4 dan IPv6 bersifat independen satu sama lain dan Anda harusmengonfigurasi perutean dan keamanan di VPC Anda secara terpisah untuk IPv4 dan IPv6.

Tabel berikut merangkum perbedaan antara IPv4 dan IPv6 di Amazon EC2 dan Amazon VPC.

Karakteristik IPv4 dan IPv6 dan pembatasan

IPv4 IPv6

Formatnya 32-bit, 4 grup hingga 3 digit desimal. Formatnya 128-bit, 8 grup dari 4 digitheksadesimal.

Default dan diperlukan untuk semua VPC; tidakdapat dihapus.

Hanya Opt-in.

Ukuran blok CIDR VPC dapat dari /16 hingga /28. Ukuran blok CIDR VPC ditetapkan /56.

Ukuran blok CIDR subnet dapat dari /16 hingga /28. Ukuran blok CIDR subnet ditetapkan /64.

Anda dapat memilih blok CIDR IPv4 privat untukVPC Anda.

Kami memilih blok CIDR IPv6 untuk VPC Andadari kolam alamat IPv6 Amazon. Anda tidak dapatmemilih rentang Anda sendiri.

Ada perbedaan antara alamat IP privat dan publik.Untuk mengaktifkan komunikasi dengan internet,alamat IPv4 publik dipetakan ke alamat IPv4 privatprimer melalui terjemahan alamat jaringan (NAT).

Ada perbedaan antara alamat IP privat dan publik.Alamat IPv6 bersifat publik.

Didukung pada semua tipe instans. Didukung pada semua tipe instans generasisaat ini dan tipe instans generasi C3, R3, dan I2sebelumnya. Untuk informasi lebih lanjut, lihat Tipeinstans.

Mendukung di EC2-Classic, dan koneksi EC2-Classic dengan VPC melalui ClassicLink.

Tidak mendukung di EC2-Classic, dan tidakmendukung untuk koneksi EC2-Classic denganVPC melalui ClassicLink.

Mendukung pada semua AMI. Secara otomatis mendukung pada AMIS yangdikonfigurasi untuk DHCPv6. Amazon Linuxversi 2016.09.0 dan kemudian dan WindowsServer 2008 R2 dan kemudian dikonfigurasiuntuk DHCPv6. Untuk AMI lainnya, Andaharus mengkonfigurasi instans Anda secaramanual (p. 130) untuk mengenali alamat IPv6yang ditetapkan.

Instans menerima nama host DNS privat yangdisediakan Amazon yang sesuai dengan alamatIPv4 privat, dan jika berlaku, nama host DNS publikyang sesuai dengan IPv4 publik atau alamat IPElastis.

Nama host DNS yang disediakan Amazon tidakdidukung.

Alamat IPv4 Elastis didukung. Alamat IPv6 Elastis tidak didukung.

116

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html


Amazon Virtual Private Cloud Panduan PenggunaAlamat IPv4 privat

IPv4 IPv6

Didukung untuk gateway pelanggan, gateway privatvirtual, perangkat NAT, dan VPC endpoint.

Tidak didukung untuk gateway pelanggan,gateway privat virtual, NAT perangkat, dan VPCendpoint.

Kami mendukung lalu lintas IPv6 melalui virtual private gateway ke koneksi AWS Direct Connect. Untukinformasi selengkapnya, lihat Panduan Pengguna AWS Direct Connect.

Alamat IPv4 privatAlamat IPv4 privat (juga disebut sebagai Alamat IP privat dalam topik ini) tidak dapat dijangkau melaluiinternet, dan dapat digunakan untuk komunikasi antar instans di VPC Anda. Saat Anda meluncurkansebuah instans ke VPC, alamat IP privat primer dari rentang alamat IPv4 subnet ditetapkan ke antarmukajaringan default (eth0) instans. Setiap instans juga diberikan nama host DNS privat (internal) yang berubahke alamat IP privat instans. Jika Anda tidak menentukan alamat IP privat primer, kami akan memilih alamatIP yang tersedia di rentang subnet untuk Anda. Untuk informasi selengkapnya terkait antarmuka jaringanelastis, lihat Antarmuka Jaringan Elastis dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Anda dapat menetapkan alamat IP privat tambahan, yang dikenal sebagai alamat IP privat sekunder,untuk contoh yang berjalan di VPC. Tidak seperti alamat IP privat primer, Anda dapat menetapkan ulangalamat IP Privat sekunder dari satu jaringan ke jaringan lainnya. Alamat IP privat tetap terkait denganantarmuka jaringan saat instans dihentikan dan dimulai, dan dilepas saat instans dihentikan. Untukinformasi selengkapnya tentang alamat IP primer dan sekunder, lihat Beberapa Alamat IP dalam PanduanPengguna Amazon EC2 untuk Instans Linux.

Note

Kami merujuk ke alamat IP privat sebagai alamat IP yang berada dalam rentang CIDR IPv4 VPC.Sebagian besar rentang alamat IP VPC jatuh dalam rentang alamat IP privat (yang tidak dapatdirutekan secara publik) yang ditentukan di RFC 1918; namun, Anda dapat menggunakan blokCIDR publik untuk VPC Anda. Terlepas dari rentang alamat IP VPC Anda, kami tidak mendukungakses langsung ke internet dari blok CIDR VPC Anda, termasuk blok CIDR yang dapat dirutekansecara publik. Anda harus mengatur akses internet melalui gateway; misalnya, gateway internet,virtual private gateway, koneksi AWS Site-to-Site VPN, atau AWS Direct Connect.

Alamat IPv4 publikSemua subnet memiliki atribut yang menentukan apakah antarmuka jaringan yang dibuat di subnet secaraotomatis menerima alamat IPv4 publik (juga disebut sebagai alamat IP publik dalam topik ini). Oleh karenaitu, ketika Anda meluncurkan sebuah instans ke subnet yang mengaktifkan atribut seperti ini, alamat IPpublik ditetapkan ke antarmuka jaringan primer (eth0) yang dibuat untuk instans tersebut. Alamat IP publikdipetakan ke alamat IP privat primer melalui terjemahan alamat jaringan (NAT).

Anda dapat mengontrol apakah instans Anda menerima alamat IP publik dengan melakukan tindakanberikut:

• Memodifikasi atribut pengalamatan IP publik dari subnet Anda. Untuk informasi lebih lanjut, lihatMemodifikasi atribut pengalamatan IPv4 publik untuk subnet Anda (p. 119).

• Mengaktifkan atau menonaktifkan fitur pengalamatan IP publik selama peluncuran instans, yangmenggantikan atribut pengalamatan IP publik subnet. Untuk informasi lebih lanjut, lihat Menetapkanalamat IPv4 publik selama peluncuran instans (p. 120).

Alamat IP publik ditetapkan dari kolam alamat IP publik Amazon, dan tidak dikaitkan dengan akun Anda.Ketika alamat IP publik tidak dikaitkan dengan instans Anda, alamat IP tersebut dilepas kembali ke kolam,

117


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html

Amazon Virtual Private Cloud Panduan PenggunaAlamat IPv6

dan tidak lagi tersedia untuk Anda gunakan. Anda tidak dapat mengaitkan atau memisahkan alamat IPpublik. Sebagai gantinya, dalam kasus tertentu, kami melepas alamat IP publik dari instans Anda, ataumenetapkan alamat IP yang baru. Untuk informasi selengkapnya, lihat Alamat IP Publik di PanduanPengguna Amazon EC2 untuk Instans Linux.

Jika Anda memerlukan alamat IP publik yang persisten yang dialokasikan ke akun Anda dan yang dapatditetapkan ke dan dilepaskan dari instans sesuai kebutuhan, gunakan alamat IP Elastis. Untuk informasilebih lanjut, lihat Alamat IP elastis (p. 275).

Jika VPC Anda diaktifkan untuk mendukung nama host DNS, setiap instans yang menerima alamat IPpublik atau alamat IP Elastis juga diberikan nama host DNS publik. Kami mengubah nama host DNS publikmenjadi alamat IP publik instans di luar jaringan instans, dan untuk alamat IP privat instans dari dalamjaringan instans. Untuk informasi lebih lanjut, lihat Support DNS untuk VPC Anda (p. 259).

Alamat IPv6Atau, Anda dapat memilih mengaitkan blok CIDR IPv6 dengan VPC dan subnet Anda. Untuk informasiselengkapnya, lihat topik berikut:

• Kaitkan blok CIDR IPv6 dengan VPC Anda (p. 111)• Kaitkan blok CIDR IPv6 dengan subnet Anda (p. 111)

Instans Anda dalam VPC menerima alamat IPv6 jika blok CIDR IPv6 dikaitkan dengan VPC dan subnetAnda, dan jika salah satu dari pernyataan berikut adalah benar:

• subnet Anda dikonfigurasi untuk secara otomatis menetapkan alamat IPv6 ke antarmuka jaringan primersebuah instans selama peluncuran.

• Anda menetapkan alamat IPv6 ke instans Anda selama peluncuran secara manual.• Anda menetapkan alamat IPv6 ke instans Anda setelah peluncuran.• Anda menetapkan alamat IPv6 ke antarmuka jaringan di subnet yang sama, dan menyertakan antarmuka

jaringan ke instans Anda setelah peluncuran.

Saat instans Anda menerima alamat IPv6 selama peluncuran, alamat tersebut dikaitkan dengan antarmukajaringan primer (eth0) dari instans. Anda dapat memisahkan alamat IPv6 dari antarmuka jaringan primer.Kami tidak mendukung nama host DNS IPv6 untuk instans Anda.

Alamat IPv6 tetap ada saat Anda menghentikan dan memulai instans Anda, dan akan dilepas saat Andamenghentikan instans. Anda tidak dapat menetapkan ulang alamat IPv6 saat ditetapkan ke antarmukajaringan lain—Anda harus membatalkan penetapannya terlebih dahulu.

Anda dapat menetapkan alamat IPv6 tambahan ke instans Anda dengan menetapkannya ke antarmukajaringan yang disertakan ke instans Anda. Jumlah alamat IPv6 yang dapat Anda tetapkan ke antarmukajaringan dan jumlah antarmuka jaringan yang dapat Anda sertakan ke sebuah instans bervariasi tergantungtipe instans. Untuk informasi selengkapnya, lihat Alamat IP Per Antarmuka Jaringan Per Tipe Instans dalamPanduan Pengguna Amazon EC2.

Alamat IPv6 bersifat unik secara global, jadi dapat diakses melalui Internet. Anda dapat mengontrol apakahinstans dapat dicapai melalui alamat IPv6 mereka dengan mengontrol perutean untuk subnet Anda, ataudengan menggunakan grup keamanan dan aturan ACL jaringan. Untuk informasi lebih lanjut, lihat Privasilalu lintas antar jaringan di Amazon VPC (p. 156).

Untuk informasi selengkapnya tentang rentang alamat IPv6 yang disimpan, lihat Daftar Alamat TujuanKhusus IANA IPv6 dan RFC4291.

118

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml

http://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml


Amazon Virtual Private Cloud Panduan PenggunaPerilaku pengalamatan IP untuk subnet Anda

Perilaku pengalamatan IP untuk subnet AndaSemua subnet memiliki atribut yang dapat dimodifikasi yang menentukan apakah antarmuka jaringan yangdibuat di subnet tersebut ditetapkan sebagai alamat IPv4 publik dan, jika berlaku, alamat IPv6. Ini termasukantarmuka jaringan primer (eth0) yang dibuat untuk sebuah instans saat Anda meluncurkan sebuah instansdi subnet tersebut.

Terlepas dari atribut subnet, Anda masih dapat mengganti pengaturan ini untuk instans tertentu selamapeluncuran. Untuk informasi selengkapnya, lihat Menetapkan alamat IPv4 publik selama peluncuraninstans (p. 120) dan Menetapkan alamat IPv6 selama peluncuran instans (p. 121).

Gunakan Alamat IP Anda sendiriAnda dapat membawa sebagian atau semua baris alamat IPv4 atau baris alamat IPv6 ke akun AWS Anda.Anda tetap memiliki baris alamat sendiri, tetapi AWS mengiklankannya di internet secara default. Setelahmembawa rentang alamat ke AWS, rentang tersebut akan muncul di akun Anda sebagai kumpulan alamat.Anda dapat membuat alamat IP Elastis dari kumpulan alamat IPv4 Anda, dan Anda dapat mengaitkan blokCIDR IPv6 dari kumpulan alamat IPv6 Anda dengan VPC.

Untuk informasi selengkapnya, lihat Bring your own IP address (BYOIP) di Panduan Pengguna AmazonEC2 untuk Instans Linux.

Bekerja dengan alamat IPAnda dapat mengubah perilaku pengalamatan IP dari subnet Anda, menetapkan alamat IPv4 publik keinstans Anda selama peluncuran, dan menetapkan atau menghapus penetapan alamat IPv6 ke dan dariinstans Anda.

Tugas• Memodifikasi atribut pengalamatan IPv4 publik untuk subnet Anda (p. 119)• Memodifikasi atribut pengalamatan IPv6 untuk subnet Anda (p. 120)• Menetapkan alamat IPv4 publik selama peluncuran instans (p. 120)• Menetapkan alamat IPv6 selama peluncuran instans (p. 121)• Menetapkan alamat IPv6 ke sebuah instans (p. 122)• Untuk membatalkan penetapan alamat IPv6 dari sebuah instans (p. 122)• gambaran umum API dan Perintah (p. 122)

Memodifikasi atribut pengalamatan IPv4 publik untuk subnetAndaSecara default, subnet non-default mengatur atribut pengalamatan IPv4 publik ini ke false, dan subnetdefault mengatur atribut ini ke true. Pengecualian adalah subnet nondefault yang dibuat oleh wizardinstans peluncuran Amazon EC2 - wizard tersebut menetapkan atribut ke true. Anda dapat mengubahatribut ini menggunakan konsol Amazon VPC.

Untuk mengubah perilaku pengalamatan IPv4 publik subnet Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih subnet Anda dan pilih Tindakan Subnet, Ubah pengaturan penetapan IP otomatis.

119



Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan alamat IP

4. Kotak centang Aktifkan penetapan alamat IPv4 publik otomatis, jika dipilih, permintaan alamat IPv4publik untuk semua instans diluncurkan ke subnet yang dipilih. Pilih atau hapus kotak centang sesuaikebutuhan, lalu pilih Simpan.

Memodifikasi atribut pengalamatan IPv6 untuk subnet AndaSecara default, semua subnet memiliki atribut pengalamatan IPv6 diatur ke false. Anda dapat mengubahatribut ini menggunakan konsol Amazon VPC. Jika Anda mengaktifkan atribut pengalamatan IPv6 untuksubnet Anda, antarmuka jaringan yang dibuat di subnet menerima alamat IPv6 dari rentang subnet. Instansyang diluncurkan ke subnet menerima alamat IPv6 pada antarmuka jaringan primer.

Subnet Anda harus memiliki blok CIDR IPv6 terkait.

Note

Jika Anda mengaktifkan fitur pengalamatan IPv6 untuk subnet Anda, antarmuka jaringan Andaatau instans hanya menerima alamat IPv6 jika dibuat menggunakan API Amazon EC2 versi2016-11-15 atau yang lebih baru. Konsol Amazon EC2 menggunakan API versi terbaru.

Untuk mengubah perilaku pengalamatan IPv6 subnet Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih subnet Anda dan pilih Tindakan Subnet, Ubah pengaturan penetapan IP otomatis.4. Kotak centang Aktifkan penetapan alamat IPv6 otomatis, jika dipilih, meminta alamat IPv6 untuk

semua antarmuka jaringan yang dibuat di subnet yang dipilih. Pilih atau hapus kotak centang sesuaikebutuhan, lalu pilih Simpan.

Menetapkan alamat IPv4 publik selama peluncuran instansAnda dapat mengontrol apakah instans Anda dalam subnet default atau nondefault ditetapkan alamat IPv4publik selama peluncuran.

Important

Anda tidak dapat secara manual memisahkan alamat IPv4 publik dari instans Anda setelahpeluncuran. Sebaliknya, dalam beberapa kasus tertentu alamat IP publik tersebut secara otomatisakan dilepas, setelah alamat IP Anda tidak dapat digunakan lagi. Jika Anda memerlukan alamatIP publik persisten yang dapat Anda kaitkan atau pisahkan sesuka hati, kaitkan alamat IP Elastisdengan instans setelah peluncuran. Untuk informasi lebih lanjut, lihat Alamat IP elastis (p. 275).

Untuk menetapkan alamat IPv4 publik ke sebuah instans selama peluncuran

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Pilih Luncurkan Instans.3. Pilih AMI dan tipe instans, lalu pilih Berikutnya: Konfigurasikan Detail Instans.4. Di halaman Mengkonfigurasi Detail Instans, untuk Jaringan, pilih VPC. Daftar IP Publik yang ditetapkan

secara otomatis ditampilkan. Pilih Aktifkan atau Nonaktifkan untuk mengganti pengaturan default untuksubnet.

5. Ikuti langkah-langkah di halaman wizard berikutnya untuk menyelesaikan penyiapan instans Anda.Di halaman Meninjau Peluncuran Instans akhir, periksa pengaturan Anda, lalu pilih Luncurkan untukmemilih key pair dan meluncurkan instans Anda.

6. Di halaman Instans, pilih instans baru Anda dan lihat alamat IP publiknya di kolom IPv4 IP Publik padapanel detail.

120




Note

Alamat IPv4 publik ditampilkan sebagai properti antarmuka jaringan di konsol, tetapidipetakan ke alamat IPv4 privat primer melalui NAT. Oleh karena itu, jika Anda memeriksaproperti antarmuka jaringan pada instans Anda, misalnya melalui ipconfig pada instansWindows atau ifconfig pada instans Linux, alamat IP publik tidak ditampilkan. Untukmenentukan alamat IP publik instans Anda dari instans, Anda dapat menggunakan metadatainstans. Untuk informasi selengkapnya, lihat Metadata instans dan data pengguna.

Fitur ini hanya tersedia selama peluncuran. Namun, terlepas dari apakah Anda menetapkan alamat IPv4publik ke instans Anda selama peluncuran atau tidak, Anda dapat mengaitkan alamat IP Elastis denganinstans Anda setelah diluncurkan. Untuk informasi lebih lanjut, lihat Alamat IP elastis (p. 275).

Menetapkan alamat IPv6 selama peluncuran instansAnda dapat menetapkan alamat IPv6 ke instans Anda selama peluncuran secara otomatis. Untukmelakukan ini, Anda harus meluncurkan instans Anda ke dalam VPC dan subnet yang memiliki Blok CIDRIPv6 terkait (p. 111). Alamat IPv6 ditetapkan dari rentang subnet, dan ditetapkan ke antarmuka jaringanutama (eth0).

Untuk menetapkan alamat IPv6 ke sebuah instans selama peluncuran secara otomatis

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Pilih Luncurkan Instans.3. Pilih AMI dan tipe instans dan pilih Berikutnya: Konfigurasi Detail Instans.

Note

Pilih tipe instans yang mendukung alamat IPv6.4. Di halaman Konfigurasi Detail Instans, pilih VPC Anda dari Jaringan dan subnet dari Subnet. Untuk

Menetapkan IPv6 secara otomatis, pilih Aktifkan.5. Ikuti langkah-langkah selanjutnya di wizard untuk meluncurkan instans Anda.

Atau, jika Anda ingin menetapkan alamat IPv6 tertentu dari rentang subnet ke instans Anda selamapeluncuran, Anda dapat menetapkan alamat ke antarmuka jaringan primer untuk instans Anda.

Untuk menetapkan alamat IPv6 tertentu ke sebuah instans selama peluncuran

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Pilih Luncurkan Instans.3. Pilih AMI dan tipe instans dan pilih Berikutnya: Konfigurasi Detail Instans.

Note

Pilih tipe instans yang mendukung alamat IPv6.4. Di halaman Konfigurasi Detail Instans, pilih VPC dari Jaringan dan subnet dari Subnet.5. Pergi ke bagian Antarmuka jaringan. Untuk antarmuka jaringan eth0, di bawah IPv6 IPs pilih Tambah

IP.6. Masukkan alamat IPv6 dari rentang subnet.7. Ikuti langkah-langkah selanjutnya di wizard untuk meluncurkan instans Anda.

Untuk informasi selengkapnya tentang menetapkan beberapa alamat IPv6 ke instans Anda selamapeluncuran, lihat Bekerja dengan Beberapa Alamat IPv6 dalam Panduan Pengguna Amazon EC2 untukInstans Linux

121

https://docs.aws.amazon.com/AWSEC2/latest/DeveloperGuide/ec2-instance-metadata.html



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html#working-with-multiple-ipv6


Menetapkan alamat IPv6 ke sebuah instansJika instans Anda berada di VPC dan subnet dengan Blok CIDR IPv6 terkait (p. 111), Anda dapatmenggunakan konsol Amazon EC2 untuk menetapkan alamat IPv6 ke instans Anda dari rentang subnet.

Untuk mengaitkan alamat IPv6 dengan instans Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Instans dan pilih instans Anda.3. Pilih Tindakan, Jaringan, Kelola Alamat IP.4. Di bawah Alamat IPv6, pilih Tetapkan IP baru. Anda dapat menentukan alamat IPv6 dari rentang

subnet, atau membiarkan nilai Auto-assign agar Amazon dapat memilih alamat IPv6 untuk Anda.5. Pilih Simpan.

Atau, Anda dapat menetapkan beberapa IPv6 ke suatu antarmuka jaringan. Untuk informasi selengkapnya,lihat Menetapkan alamat IPv6 dalam topik Antarmuka Jaringan Elastis di Panduan Pengguna Amazon EC2untuk Instans Linux.

Untuk membatalkan penetapan alamat IPv6 dari sebuah instansJika Anda tidak lagi memerlukan alamat IPv6 untuk instans Anda, Anda dapat memisahkannya dari instansmenggunakan konsol Amazon EC2.

Untuk melepaskan pengaitan alamat IPv6 dari instans Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Instans dan pilih instans Anda.3. Pilih Tindakan, Jaringan, Kelola Alamat IP.4. Di bawah Alamat IPv6, pilih Batalkan penetapan untuk alamat IPv6.5. Pilih Simpan.

Atau, Anda dapat memisahkan alamat IPv6 dari suatu antarmuka jaringan. Untuk informasi selengkapnya,lihat Membatalkan penetapan alamat IPv6 dalam topik Antarmuka Jaringan Elastis di Panduan PenggunaAmazon EC2 untuk Instans Linux.

gambaran umum API dan PerintahAnda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untukinformasi selengkapnya tentang antarmuka baris perintah dan daftar API yang tersedia, lihat MengaksesAmazon VPC (p. 1).

Menetapkan alamat IPv4 publik selama peluncuran

• gunakan opsi --associate-public-ip-address atau --no-associate-public-ip-addressdengan perintah run-instances. (AWS CLI)

• Gunakan parameter -AssociatePublicIp dengan perintah New-EC2instans (AWS Tools for WindowsPowerShell)

Menetapkan alamat IPv6 selama peluncuran

• Gunakan opsi --ipv6-addresses dengan perintah run-instances (AWS CLI)

122


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-assign-ipv6


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#eni-unassign-ipv6




Amazon Virtual Private Cloud Panduan PenggunaMigrasi ke IPv6

• Gunakan parameter -Ipv6Addresses dengan perintah New-EC2instans (AWS Tools for WindowsPowerShell)

Memodifikasi perilaku pengalamatan IP subnet

• modify-subnet-attribute (AWS CLI)• Edit-EC2SubnetAttribute (AWS Tools for Windows PowerShell)

Menetapkan alamat IPv6 ke antarmuka jaringan

• assign-ipv6-addresses (AWS CLI)• Register-EC2Ipv6AddressList (AWS Tools for Windows PowerShell)

Membatalkan penetapan alamat IPv6 dari antarmuka jaringan

• unassign-ipv6-addresses (AWS CLI)• Unregister-EC2Ipv6AddressList (AWS Tools for Windows PowerShell)

Migrasi ke IPv6Jika Anda memiliki VPC yang ada yang mendukung hanya IPv4, dan sumber daya dalam subnet Andayang dikonfigurasi untuk menggunakan hanya IPv4, Anda dapat mengaktifkan dukungan IPv6 untuk VPCdan sumber daya Anda. VPC Anda dapat beroperasi dalam mode dual-stack — sumber daya Anda dapatberkomunikasi melalui IPv4, atau IPv6, atau keduanya. Komunikasi IPv4 dan IPv6 terpisah satu sama lain.

Anda tidak dapat menonaktifkan dukungan IPv4 untuk VPC dan subnet; ini adalah sistem pengalamatan IPdefault untuk Amazon VPC dan Amazon EC2.

Note

Informasi ini mengasumsikan bahwa Anda memiliki VPC yang ada dengan subnet publik danprivat. Untuk informasi tentang pengaturan VPC baru untuk digunakan dengan IPv6, lihat thesection called “Gambaran umum untuk IPv6” (p. 22).

Tabel berikut memberikan gambaran umum tentang langkah-langkah untuk mengaktifkan VPC dan subnetuntuk menggunakan IPv6.

Langkah Catatan

Langkah 1: Tautkan blok CIDR IPv6 dengan VPCdan subnet Anda (p. 127)

Mengaitkan blok CIDR IPv6 yang disediakanAmazon dengan VPC Anda dan dengan subnetAnda.

Langkah 2: Perbarui tabel rute VPCAnda (p. 128)

Memperbarui tabel rute Anda untuk rute lalu lintasIPv6 Anda. Untuk subnet publik, buat rute yangrute merutekan semua lalu lintas IPv6 dari subnetke gateway internet. Untuk subnet privat, buat ruteyang merutekan semua lalu lintas IPv6 yang terikatinternet dari subnet ke gateway internet hanyakeluar.

Langkah 3: Perbarui aturan grup keamananAnda (p. 128)

Memperbarui aturan grup keamanan Anda untukmenyertakan aturan untuk alamat IPv6. Hal ini

123


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SubnetAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-ipv6-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Ipv6AddressList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-ipv6-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Ipv6AddressList.html


Langkah Catatanmemungkinkan lalu lintas IPv6 mengalir ke dandari instans Anda. Jika Anda telah membuat aturanACL jaringan kustom untuk mengontrol aliranlalu lintas ke dan dari subnet Anda, Anda harusmenyertakan aturan untuk lalu lintas IPv6.

Langkah 4: Ubah tipe instans (p. 129) Jika tipe instans Anda tidak mendukung IPv6, ubahtipe instans.

Langkah 5: Tentukan alamat IPv6 ke instansAnda (p. 130)

Anda menetapkan alamat IPv6 ke instans Andadari rentang alamat IPv6 subnet Anda.

Langkah 6: (Opsional) Konfigurasi IPv6 padainstans Anda (p. 130)

Jika instans Anda diluncurkan dari AMI yang tidakdikonfigurasi untuk menggunakan DHCPv6, Andaharus secara manual mengkonfigurasi instansAnda untuk mengenali alamat IPv6 yang ditetapkanuntuk instans.

Sebelum Anda bermigrasi untuk menggunakan IPv6, pastikan bahwa Anda telah membaca fiturpengalamatan IPv6 untuk Amazon VPC: Karakteristik IPv4 dan IPv6 dan pembatasan (p. 116).

Daftar Isi• Contoh: Aktifkan IPv6 di VPC dengan subnet publik dan privat (p. 124)• Langkah 1: Tautkan blok CIDR IPv6 dengan VPC dan subnet Anda (p. 127)• Langkah 2: Perbarui tabel rute VPC Anda (p. 128)• Langkah 3: Perbarui aturan grup keamanan Anda (p. 128)• Langkah 4: Ubah tipe instans (p. 129)• Langkah 5: Tentukan alamat IPv6 ke instans Anda (p. 130)• Langkah 6: (Opsional) Konfigurasi IPv6 pada instans Anda (p. 130)

Contoh: Aktifkan IPv6 di VPC dengan subnet publik dan privatDalam contoh ini, VPC Anda memiliki subnet publik dan privat. Anda memiliki instans basis data di subnetprivat Anda yang memiliki komunikasi keluar dengan internet melalui gateway NAT di VPC Anda. Andamemiliki server web yang menghadap publik di subnet publik Anda yang memiliki akses internet melaluigateway internet. Diagram berikut merupakan arsitektur VPC Anda.

124


Grup keamanan untuk server web Anda (sg-11aa22bb11aa22bb1) memiliki aturan masuk berikut:

Jenis Protokol Baris Port Sumber Komentar

Semua lalu lintas Semua Semua sg-33cc44dd33cc44dd3Memungkinkanakses masuk untuksemua lalu lintasdari instans yangterkait dengansg-33cc44dd33cc44dd3(instans basisdata).

HTTP TCP 80 0.0.0.0/0 Memungkinkan lalulintas masuk dariinternet melaluiHTTP.

HTTPS TCP 443 0.0.0.0/0 Memungkinkan lalulintas masuk dariinternet melaluiHTTPS.

SSH TCP 22 203.0.113.123/32 Memungkinkanakses SSH masukdari komputer lokal

125


Jenis Protokol Baris Port Sumber KomentarAnda; misalnya,ketika Anda perluuntuk terhubung keinstans Anda untukmelakukan tugas-tugas administrasi.

Grup keamanan untuk instans basis data Anda (sg-33cc44dd33cc44dd3) memiliki aturan masuk berikut:

Jenis Protokol Baris Port Sumber Komentar

MySQL TCP 3306 sg-11aa22bb11aa22bb1Memungkinkanakses masuk untuklalu lintas MySQLdari instans yangterkait dengansg-11aa22bb11aa22bb1(instans serverweb).

Kedua grup keamanan memiliki aturan keluar default yang mengizinkan semua lalu lintas IPv4 ke luar, dantidak ada aturan keluar lainnya.

Server web Anda adalah tipe instans t2.medium. Server basis data Anda adalah m3.large.

Anda ingin VPC dan sumber daya Anda untuk diaktifkan untuk IPv6, dan Anda ingin keduanya beroperasidalam mode dual-stack; dengan kata lain, Anda ingin menggunakan kedua pengalamatan IPv6 dan IPv4antara sumber daya di VPC Anda dan sumber daya melalui internet.

Setelah Anda menyelesaikan langkah-langkah tersebut, VPC Anda akan memiliki konfigurasi berikut.

126


Langkah 1: Tautkan blok CIDR IPv6 dengan VPC dan subnetAndaAnda dapat mengaitkan blok CIDR IPv6 dengan VPC Anda, dan kemudian mengaitkan blok CIDR /64 darirentang itu dengan masing-masing subnet.

Untuk mengaitkan Blok CIDR IPv6 dengan VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Pilih VPC Anda, pilih Tindakan, Edit CIDR.4. Pilih Tambahkan CIDR IPv6, pilih salah satu opsi berikut, lalu pilih Pilih CIDR:

• Blok CIDR IPv6 yang disediakan Amazon: Meminta blok CIDR IPv6 dari kolam alamat IPv6 Amazon.Untuk Grup Perbatasan Jaringan, pilih grup dari mana AWS mengiklankan alamat IP.

• CIDR IPv6 dimiliki oleh saya: (BYOIP) Mengalokasikan blok CIDR IPv6 dari kolam alamat IPv6Anda. Untuk Kolam pilih kolam alamat IPv6 untuk mengalokasikan blok CIDR IPv6.

Untuk mengaitkan Blok CIDR IPv6 dengan subnet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih subnet Anda, pilih Tindakan Subnet, Edit CIDR IPv6.

127





4. Pilih Tambahkan CIDR IPv6. Tentukan pasangan heksadesimal untuk subnet (misalnya, 00) dankonfirmasikan entri dengan memilih ikon centang.

5. Pilih Penutupan. Ulangi langkah-langkah untuk subnet lain di VPC Anda.

Untuk informasi lebih lanjut, lihat Penetapan ukuran VPC dan subnet untuk IPv6 (p. 106).

Langkah 2: Perbarui tabel rute VPC AndaUntuk subnet publik, Anda harus memperbarui tabel rute untuk mengaktifkan instans (seperti server web)untuk menggunakan gateway internet hanya untuk lalu lintas IPv6.

Untuk subnet privat, Anda harus memperbarui tabel rute untuk mengaktifkan contoh (seperti instans basisdata) untuk menggunakan gateway internet hanya keluar untuk lalu lintas IPv6.

Memperbarui tabel rute Anda untuk subnet publik

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute dan pilih tabel rute yang terkait dengan subnet publik.3. Di tab Rute, pilih Edit rute.4. Pilih Tambahkan rute. Tentukan ::/0 untuk Tujuan, pilih ID dari gateway internet untuk Target, lalu

pilih Simpan perubahan.

Untuk memperbarui tabel rute Anda untuk subnet privat

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Jika Anda menggunakan perangkat NAT di subnet privat, perangkat ini tidak mendukung lalu lintas

IPv6. Sebaliknya, buat gateway internet hanya keluar untuk subnet privat Anda untuk mengaktifkankomunikasi keluar ke internet melalui IPv6 dan mencegah komunikasi masuk. Gateway internet hanyakeluar mendukung lalu lintas IPv6 saja. Untuk informasi lebih lanjut, lihat Gateway internet khususjalan keluar (p. 216).

3. Di panel navigasi, pilih Tabel Rute dan pilih tabel rute yang terkait dengan subnet privat.4. Di tab Rute, pilih Edit rute.5. Pilih Tambahkan rute. Untuk Tujuan, tentukan ::/0. Untuk Target, pilih ID dari gateway internet hanya

keluar, dan pilih Simpan perubahan.

Untuk informasi lebih lanjut, lihat Opsi perutean contoh (p. 289).

Langkah 3: Perbarui aturan grup keamanan AndaUntuk mengaktifkan instans Anda untuk mengirim dan menerima lalu lintas melalui IPv6, Anda harusmemperbarui aturan grup keamanan untuk menyertakan aturan untuk alamat IPv6.

Misalnya, dalam contoh di atas, Anda dapat memperbarui server web grup keamanan(sg-11aa22bb11aa22bb1) untuk menambahkan aturan yang mengizinkan akses HTTP, HTTPS, danSSH masuk dari alamat IPv6. Anda tidak perlu membuat perubahan aturan masuk untuk grup keamananbasis data Anda; aturan yang memungkinkan semua komunikasi dari sg-11aa22bb11aa22bb1 termasukkomunikasi IPv6 secara default.

Untuk memperbarui aturan grup keamanan Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Dalam panel navigasi, pilih Grup Keamanan lalu pilih grup keamanan server web Anda.3. Dalam tab Aturan Masuk, pilih Edit.

128





4. Untuk masing-masing aturan, pilih Tambahkan aturan lain, dan pilih Simpan setelah selesai. Misalnya,untuk menambahkan aturan yang mengizinkan semua lalu lintas HTTP melalui IPv6, untuk Tipe, pilihHTTP dan untuk Sumber, masukkan ::/0.

Secara default, aturan keluar yang mengizinkan semua lalu lintas IPv6 secara otomatis ditambahkanke grup keamanan Anda saat Anda mengaitkan blok CIDR IPv6 dengan VPC Anda. Namun, jika Andamengubah aturan keluar asal untuk grup keamanan Anda, aturan ini tidak secara otomatis ditambahkan,dan Anda harus menambahkan aturan keluar setara untuk lalu lintas IPv6. Untuk informasi lebih lanjut, lihatGrup Keamanan untuk VPC Anda (p. 179).

Memperbarui aturan ACL jaringan AndaJika Anda mengaitkan blok CIDR IPv6 dengan VPC Anda, kami secara otomatis menambahkan aturanke ACL jaringan default untuk mengizinkan lalu lintas IPv6, selama Anda belum mengubah aturan default.Jika Anda telah mengubah ACL jaringan default atau jika Anda telah membuat ACL jaringan kustomdengan aturan untuk mengontrol aliran lalu lintas ke dan dari subnet Anda, Anda harus secara manualmenambahkan aturan untuk lalu lintas IPv6. Untuk informasi lebih lanjut, lihat ACL jaringan (p. 190).

Langkah 4: Ubah tipe instansSemua tipe instans generasi saat ini yang mendukung IPv6. Untuk informasi lebih lanjut, lihat Tipe instans.

Jika tipe instans Anda tidak mendukung IPv6, Anda harus mengubah ukuran instans ke tipe instans yangdidukung. Dalam contoh di atas, instans basis data adalah tipe instans m3.large, yang tidak mendukungIPv6. Anda harus mengubah ukuran instans ke tipe instans yang didukung, misalnya, m4.large.

Untuk mengubah ukuran instans Anda, perhatikan keterbatasan kompatibilitas. Untuk informasiselengkapnya, lihat Kompatibilitas untuk mengubah ukuran instans dalam Panduan Pengguna AmazonEC2 untuk Instans Linux. Dalam skenario ini, jika instans basis data Anda diluncurkan dari AMI yangmenggunakan virtualisasi HVM, Anda dapat mengubah ukurannya ke Tipe instans m4.large denganmenggunakan prosedur berikut.

Important

Untuk mengubah ukuran instans Anda, Anda harus menghentikannya. Menghentikan dan memulaisebuah instans akan mengubah alamat IPv4 publik untuk instans tersebut, jika memilikinya. JikaAnda memiliki data yang disimpan di volume penyimpanan instans, data akan dihapus.

Untuk mengubah ukuran instans Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Instans, lalu pilih instans basis data.3. Pilih Tindakan, Status instans, Hentikan.4. Di kotak dialog konfirmasi, pilih Ya, Berhenti.5. Dengan instans yang masih dipilih, pilih Tindakan, Pengaturan Instans, Ubah Jenis Instans.6. Untuk Tipe instans, pilih tipe instans baru, lalu pilih Terapkan.7. Untuk memulai ulang instans yang dihentikan, pilih instans dan pilih Tindakan, Status Instans, Mulai. Di

kotak dialog konfirmasi, pilih Ya, Mulai.

Jika instans Anda adalah AMI yang didukung penyimpanan instans, Anda tidak dapat mengubahukuran instans Anda menggunakan prosedur sebelumnya. Sebagai gantinya, Anda dapat membuat AMIyang didukung penyimpanan instans dari instans Anda, dan meluncurkan instans baru dari AMI Andamenggunakan tipe instans baru. Untuk informasi selengkapnya, lihat Membuat Linux AMI yang didukungpenyimpanan instans dalam Panduan Pengguna Amazon EC2 untuk Instans Linux, dan Membuat AMIWindows AMI yang didukung penyimpanan instans dalam Panduan Pengguna Amazon EC2 untuk InstansWindows.

129


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html#resize-limitations


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html


Anda mungkin tidak dapat bermigrasi ke tipe instans baru jika ada keterbatasan kompatibilitas. Misalnya,jika instans Anda diluncurkan dari AMI yang menggunakan virtualisasi PV, satu-satunya tipe instans yangmendukung virtualisasi PV dan IPv6 adalah C3. Tipe instans ini mungkin tidak cocok untuk kebutuhanAnda. Dalam kasus ini, Anda mungkin perlu menginstal ulang perangkat lunak Anda pada AMI HVM dasar,dan meluncurkan sebuah instans baru.

Jika Anda meluncurkan sebuah instans dari AMI baru, Anda dapat menetapkan alamat IPv6 ke instansAnda selama peluncuran.

Langkah 5: Tentukan alamat IPv6 ke instans AndaSetelah Anda memverifikasi apakah tipe instans Anda mendukung IPv6, Anda dapat menetapkan alamatIPv6 ke instans Anda menggunakan konsol Amazon EC2. Alamat IPv6 ditetapkan ke antarmuka jaringanprimer (eth0) untuk instans.

Untuk menetapkan alamat IPv6 ke instans Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Instans.3. Pilih instans Anda, dan pilih Tindakan, Jaringan, Kelola alamat IP.4. Di bawah Alamat IPv6, pilih Tetapkan IP baru. Anda dapat memasukkan alamat IPv6 tertentu dari

rentang subnet Anda, atau Anda dapat membiarkan nilai Auto-Assign default untuk membiarkanAmazon memilihnya untuk Anda.

5. Pilih Ya, Perbarui.

Atau, jika Anda meluncurkan instans baru (misalnya, jika Anda tidak dapat mengubah tipe instans danAnda membuat AMI baru sebagai gantinya), Anda dapat menetapkan alamat IPv6 selama peluncuran.

Untuk menetapkan alamat IPv6 ke sebuah instans selama peluncuran

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Pilih AMI dan tipe instans yang kompatibel IPv6, lalu pilih Berikutnya: Konfigurasi Detail Instans.3. Di halaman Konfigurasi Detail Instans, pilih VPC untuk Jaringan dan subnet untuk Jaringan. Untuk

Menetapkan IPv6 secara otomatis, pilih Aktifkan.4. Ikuti langkah-langkah selanjutnya di wizard untuk meluncurkan instans Anda.

Anda dapat terhubung ke instans Windows menggunakan alamat IPv6-nya. Jika Anda tersambung darikomputer lokal, pastikan komputer lokal Anda memiliki alamat IPv6 dan dikonfigurasi untuk menggunakanIPv6. Untuk informasi selengkapnya, lihat Connect ke Instans Linux Anda di Panduan Pengguna AmazonEC2 untuk Instans Linux dan Menghubungkan ke Instans Windows Anda di Panduan Pengguna AmazonEC2 untuk Instans Windows.

Langkah 6: (Opsional) Konfigurasi IPv6 pada instans AndaJika Anda meluncurkan instans Anda menggunakan Amazon Linux 2016.09.0 atau versi yang lebih baru,Windows Server 2008 R2 atau yang lebih baru, atau Ubuntu Server 2018 atau versi yang lebih baru,instans Anda dikonfigurasi untuk IPv6 dan tidak memerlukan langkah tambahan.

Jika Anda meluncurkan instans dari AMI yang berbeda, instans tersebut mungkin tidak dikonfigurasi untukIPv6 dan DHCPv6, yang berarti bahwa alamat IPv6 yang Anda tetapkan ke instans tidak dikenali secaraotomatis pada antarmuka jaringan primer.

Untuk memverifikasi DHCPv6 pada Linux

Gunakan perintah ping6 sebagai berikut.

130






$ ping6 ipv6.google.com

Untuk memverifikasi DHCPv6 pada Windows

Gunakan perintah ping sebagai berikut.

C:\> ping -6 ipv6.google.com

Jika instans Anda belum dikonfigurasi, Anda dapat mengkonfigurasinya secara manual, seperti ditunjukkandalam prosedur berikut.

Konfigurasi manual, dengan sistem operasi• Amazon Linux (p. 131)• Ubuntu (p. 132)• RHEL/CentOS (p. 134)• Windows (p. 135)

Amazon Linux

Mengonfigurasi instans Amazon Linux Anda

1. Connect ke instans Anda menggunakan alamat IPv4 publik instans tersebut.2. Dapatkan paket perangkat lunak terbaru untuk instans Anda:

sudo yum update -y

3. Menggunakan editor teks pilihan Anda, buka /etc/sysconfig/network-scripts/ifcfg-eth0dan temukan baris berikut:

IPV6INIT=no

Ganti baris tersebut dengan:

IPV6INIT=yes

Tambahkan dua baris berikut, dan simpan perubahan Anda:

DHCPV6C=yesDHCPV6C_OPTIONS=-nw

4. Buka /etc/sysconfig/network, hapus baris berikut, dan simpan perubahan Anda:

NETWORKING_IPV6=noIPV6INIT=noIPV6_ROUTER=noIPV6_AUTOCONF=noIPV6FORWARDING=noIPV6TO4INIT=noIPV6_CONTROL_RADVD=no

5. Buka /etc/hosts, ganti konten dengan berikut, dan simpan perubahan Anda:

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

131


::1 localhost6 localhost6.localdomain6

6. Menyalakan ulang instans Anda. Hubungkan kembali ke instans Anda dan gunakan perintahifconfig untuk memverifikasi bahwa alamat IPv6 diakui pada antarmuka jaringan primer.

Ubuntu

Anda dapat mengkonfigurasi instans Ubuntu Anda untuk secara dinamis mengenali alamat IPv6 yangditugaskan ke antarmuka jaringan. Jika instans Anda tidak memiliki alamat IPv6, konfigurasi ini dapatmenyebabkan waktu boot instans Anda diperpanjang hingga 5 menit.

Daftar Isi• Ubuntu Server 16 (p. 132)• Ubuntu Server 14 (p. 133)• Mulai klien DHCPv6 (p. 133)

Ubuntu Server 16

Langkah-langkah ini harus dilakukan sebagai pengguna root.

Untuk mengkonfigurasi instans Ubuntu Server 16

1. Connect ke instans Anda menggunakan alamat IPv4 publik instans tersebut.2. Lihat konten file /etc/network/interfaces.d/50-cloud-init.cfg:

cat /etc/network/interfaces.d/50-cloud-init.cfg

# This file is generated from information provided by# the datasource. Changes to it will not persist across an instance.# To disable cloud-init's network configuration capabilities, write a file# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:# network: {config: disabled}auto loiface lo inet loopback

auto eth0iface eth0 inet dhcp

Pastikan bahwa perangkat jaringan loopback (lo) dikonfigurasi, dan perhatikan nama antarmukajaringan. Dalam contoh ini, nama antarmuka jaringan adalah eth0; nama mungkin berbeda tergantungpada tipe instans.

3. Buat file /etc/network/interfaces.d/60-default-with-ipv6.cfg dan tambahkan barisberikut. Jika diperlukan, ganti eth0 dengan nama antarmuka jaringan yang Anda ambil di langkah diatas.

iface eth0 inet6 dhcp

4. Reboot instans Anda, atau restart antarmuka jaringan dengan menjalankan perintah berikut. Jikadiperlukan, ganti eth0 dengan nama antarmuka jaringan Anda.

sudo ifdown eth0 ; sudo ifup eth0

5. Koneksikan kembali ke instans Anda dan gunakan perintah ifconfig untuk memastikan bahwaalamat IPv6 dikonfigurasi pada antarmuka jaringan.

132


Untuk mengkonfigurasi IPv6 menggunakan data pengguna

• Anda dapat meluncurkan instans Ubuntu baru dan memastikan bahwa setiap alamat IPv6 yangditugaskan ke instans secara otomatis dikonfigurasi pada antarmuka jaringan dengan menentukandata pengguna berikut selama peluncuran:

#!/bin/bashecho "iface eth0 inet6 dhcp" >> /etc/network/interfaces.d/60-default-with-ipv6.cfgdhclient -6

Dalam kasus ini, Anda tidak harus terhubung ke instans untuk mengkonfigurasi alamat IPv6.

Untuk informasi selengkapnya, lihat Menjalankan Perintah pada Instans Linux Anda saat Diluncurkandi Panduan Pengguna Amazon EC2 untuk Instans Linux.

Ubuntu Server 14

Jika Anda menggunakan Ubuntu Server 14, Anda harus menyertakan solusi untuk masalah diketahui yangterjadi ketika me-restart antarmuka jaringan dual-stack (hasil restart dalam timeout diperpanjang selamainstans Anda tidak terjangkau).

Langkah-langkah ini harus dilakukan sebagai pengguna root.

Untuk mengkonfigurasi instans Ubuntu Server 14

1. Connect ke instans Anda menggunakan alamat IPv4 publik instans tersebut.2. Edit file /etc/network/interfaces.d/eth0.cfg sehingga berisi hal berikut ini:

auto loiface lo inet loopbackauto eth0iface eth0 inet dhcp up dhclient -6 $IFACE

3. Menyalakan ulang instans Anda:

sudo reboot

4. Hubungkan kembali ke instans Anda dan gunakan perintah ifconfig untuk memverifikasi bahwaalamat IPv6 dikonfigurasi pada antarmuka jaringan.

Mulai klien DHCPv6

Atau, untuk segera memunculkan alamat IPv6 untuk antarmuka jaringan tanpa melakukan konfigurasitambahan, Anda dapat memulai klien DHCPv6 untuk instans. Namun, alamat IPv6 tidak bertahan padaantarmuka jaringan setelah reboot.

Untuk memulai klien DHCPv6 di Ubuntu

1. Connect ke instans Anda menggunakan alamat IPv4 publik instans tersebut.2. Mulai klien DHCPv6:

sudo dhclient -6

3. Gunakan perintah ifconfig untuk memverifikasi bahwa alamat IPv6 diakui pada antarmuka jaringanprimer.

133

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html

https://bugs.launchpad.net/ubuntu/+source/ifupdown/+bug/1013597


RHEL/CentOSRHEL 7.4 dan CentOS 7 dan kemudian menggunakan cloud-init untuk mengkonfigurasi antarmuka jaringanAnda dan membuat file /etc/sysconfig/network-scripts/ifcfg-eth0. Anda dapat membuatkonfigurasi cloud-init kustom untuk mengaktifkan DHCPv6, yang menghasilkan file ifcfg-eth0dengan pengaturan yang mengaktifkan DHCPv6 setelah setiap reboot.

Note

Karena masalah yang diketahui, jika Anda menggunakan RHEL/CentOS 7.4 dengan versi cloud-init-0.7.9 terbaru, langkah-langkah ini dapat mengakibatkan Anda kehilangan konektivitas keinstans setelah reboot. Sebagai solusi, Anda dapat mengedit file /etc/sysconfig/network-scripts/ifcfg-eth0.

Untuk mengkonfigurasi instans RHEL/CentOS menggunakan cloud-init

1. Connect ke instans Anda menggunakan alamat IPv4 publik instans tersebut.2. Dengan menggunakan editor teks pilihan Anda, buat file kustom, misalnya:

/etc/cloud/cloud.cfg.d/99-custom-networking.cfg

3. Tambahkan baris berikut ke file Anda, dan simpan perubahan Anda:

network: version: 1 config: - type: physical name: eth0 subnets: - type: dhcp - type: dhcp6

4. Dengan menggunakan editor teks pilihan Anda, tambahkan baris berikut ke file khusus antarmukadi bawah /etc/sysctl.d. Jika Anda menonaktifkan Penamaan Perangkat Jaringan Konsisten,jaringan-antarmuka-nama adalah ethX, atau antaramuka sekunder.

net.ipv6.conf.network-interface-name.accept_ra=1

Pada contoh berikut, antarmuka jaringan adalah en5.

net.ipv6.conf.en5.accept_ra=1

5. Menyalakan ulang instans Anda.6. Hubungkan kembali ke instans Anda dan gunakan perintah ifconfig untuk memverifikasi bahwa alamat

IPv6 dikonfigurasi pada antarmuka jaringan.

Atau, Anda dapat menggunakan prosedur berikut untuk mengubah file /etc/sysconfig/network-scripts/ifcfg-eth0 secara langsung. Anda harus menggunakan metode ini dengan versi RHEL danCentOS sebelumnya yang tidak mendukung cloud-init.

Untuk mengonfigurasi instans RHEL/CentOS

1. Connect ke instans Anda menggunakan alamat IPv4 publik instans tersebut.2. Menggunakan editor teks pilihan Anda, buka /etc/sysconfig/network-scripts/ifcfg-eth0

dan temukan baris berikut:

IPV6INIT="no"

134

http://cloudinit.readthedocs.io/en/latest/index.html


Ganti baris tersebut dengan:

IPV6INIT="yes"

Tambahkan dua baris berikut, dan simpan perubahan Anda:

DHCPV6C=yesNM_CONTROLLED=no

3. Buka /etc/sysconfig/network, tambahkan atau ubah baris berikut, dan simpan perubahan Anda:

NETWORKING_IPV6=yes

4. Restart jaringan instans Anda dengan menjalankan perintah berikut:

sudo service network restart

Anda dapat menggunakan perintah ifconfig untuk memverifikasi bahwa alamat IPv6 diakui padaantarmuka jaringan primer.

Untuk memecahkan masalah RHEL 6 atau CentOS 6

Jika Anda me-restart jaringan dan Anda mendapatkan galat bahwa alamat IPv6 tidak dapat diperoleh, buka/etc/sysconfig/network-scripts/ifup-eth dan cari baris berikut (secara default, ada di baris327):

if /sbin/dhclient "$DHCLIENTARGS"; then

Hapus tanda kutip yang mengelilingi $DHCLIENTARGS dan simpan perubahan Anda. Restart jaringan diinstans Anda:

sudo service network restart

Windows

Gunakan prosedur berikut untuk mengkonfigurasi IPv6 pada Windows Server 2003 dan Windows Server2008 SP2.

Untuk memastikan bahwa IPv6 lebih dipilih daripada IPv4, unduh fix bernama Prefer IPv6 over IPv4 dalamkebijakan prefiks dari halaman dukungan Microsoft berikut: https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows.

Untuk mengaktifkan dan mengkonfigurasi IPv6 pada Windows Server 2003

1. Dapatkan alamat IPv6 instans Anda dengan menggunakan perintah describe-instances AWS CLI, ataudengan memeriksa bidang IPv6 IPs untuk instans di konsol Amazon EC2.

2. Connect ke instans Anda menggunakan alamat IPv4 publik instans tersebut.3. Dari dalam instans Anda, pilih Start, Panel Kontrol, Koneksi Jaringan, Koneksi Area Lokal.4. Pilih Properti, lalu pilih Instal.5. Pilih Protokol, dan pilih Tambahkan. Di daftar Protokol Jaringan, pilih versi Microsoft TCP/IP 6, lalu pilih

OKE.6. Buka command prompt dan buka shell jaringan.

135

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan VPC bersama

netsh

7. Beralih ke konteks IPv6 antarmuka.

interface ipv6

8. Tambahkan alamat IPv6 ke koneksi area lokal menggunakan perintah berikut. Ganti nilai untuk alamatIPv6 dengan alamat IPv6 untuk instans Anda.

add address "Local Area Connection" "ipv6-address"

Sebagai contoh:

add address "Local Area Connection" "2001:db8:1234:1a00:1a01:2b:12:d08b"

9. Keluar dari shell jaringan.

exit

10. Gunakan perintah ipconfig untuk memverifikasi bahwa alamat IPv6 diakui untuk Koneksi AreaLokal.

Untuk mengaktifkan dan mengkonfigurasi IPv6 pada Windows Server 2008 SP2

1. Dapatkan alamat IPv6 instans Anda dengan menggunakan perintah describe-instances AWS CLI, ataudengan memeriksa bidang IPv6 IPs untuk instans di konsol Amazon EC2.

2. Connect ke instans Windows Anda menggunakan alamat IPv4 publik instans tersebut.3. Pilih Start, Panel Kontrol.4. Buka Jaringan dan Pusat Berbagi, lalu buka Koneksi Jaringan.5. Klik kanan Jaringan Area Lokal (untuk antarmuka jaringan) dan pilih Properti.6. Pilih kotak centang Protokol Internet Versi 6 (TCP/IPv6), dan pilih OKE.7. Buka kotak dialog properti untuk Jaringan Area Lokal lagi. Pilih Internet Protocol Version 6 (TCP/IPv6),

dan pilih Properti.8. Pilih Gunakan alamat IPv6 berikut dan lakukan hal berikut:

• Untuk Alamat IPv6, masukkan alamat IPv6 yang Anda peroleh di langkah 1.• Untuk Panjang prefiks subnet, masukkan 64.

9. Pilih OKE dan tutup kotak dialog properti.10. Buka command prompt. Gunakan perintah ipconfig untuk memverifikasi bahwa alamat IPv6 diakui

untuk Koneksi Area Lokal.

Bekerja dengan VPC bersamaPembagian VPC memungkinkan beberapa akun AWS untuk membuat sumber daya aplikasi mereka,seperti instans Amazon EC2, basis data Amazon Relational Database Service (RDS), klaster AmazonRedshift, dan fungsi AWS Lambda, ke virtual private cloud (VPC) bersama yang dikelola secara terpusat.Dalam model ini, akun yang memiliki VPC (pemilik) membagikan satu atau beberapa subnet denganakun lain (peserta) yang termasuk dalam organisasi yang sama dari AWS Organizations. Setelah subnetdibagikan, peserta dapat melihat, membuat, mengubah, dan menghapus sumber daya aplikasi mereka di

136


Amazon Virtual Private Cloud Panduan PenggunaPrasyarat VPC bersama

subnet yang dibagikan dengan mereka. Peserta tidak dapat melihat, mengubah, atau menghapus sumberdaya milik peserta lain atau pemilik VPC.

Anda dapat membagikan VPC Anda untuk memanfaatkan perutean implisit dalam VPC untuk aplikasi yangmemerlukan tingkat interkonektivitas yang tinggi dan berada dalam batas kepercayaan yang sama. Hal inimengurangi jumlah VPC yang Anda buat dan kelola, saat menggunakan akun terpisah untuk penagihandan kontrol akses. Anda dapat menyederhanakan topologi jaringan dengan menginterkoneksikan AmazonVPC bersama menggunakan fitur konektivitas, seperti AWS PrivateLink, transit gateway, dan peering VPC.Untuk informasi selengkapnya tentang manfaat pembagian VPC, lihat Pembagian VPC: Pendekatan baruuntuk pengelolaan banyak akun dan VPC.

Daftar Isi• Prasyarat VPC bersama (p. 137)• Membagikan subnet (p. 137)• Membatalkan pembagian subnet bersama (p. 138)• Mengidentifikasi pemilik subnet bersama (p. 138)• Izin subnet bersama (p. 138)• Penagihan dan pengukuran untuk pemilik dan peserta (p. 139)• Layanan yang tidak didukung untuk subnet bersama (p. 139)• Limitations (p. 140)

Prasyarat VPC bersamaAnda harus mengaktifkan pembagian sumber daya dari akun pengelolaan organisasi Anda. Untukinformasi tentang mengaktifkan berbagi sumber daya, lihat Mengaktifkan pembagian dengan OrganizationsAWS dalam Panduan Pengguna AWS RAM.

Membagikan subnetAnda dapat membagikan subnet non-default dengan akun lain di organisasi Anda. Untuk membagikansubnet, Anda harus terlebih dahulu membuat Pembagian Sumber Daya dengan subnet-subnet yang akandibagikan dan akun, unit organisasi, atau seluruh organisasi AWS yang ingin Anda jadikan penerimapembagian subnet. Untuk informasi tentang pembuatan Pembagian Sumber Daya, lihat Membuatpembagian sumber daya dalam Panduan Pengguna AWS RAM.

Untuk membagikan subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih subnet Anda dan pilih Tindakan, Bagikan subnet.4. Pilih pembagian sumber daya Anda dan pilih Bagikan subnet.

Untuk membagikan subnet menggunakan AWS CLI

Gunakan perintah create-resource-share dan associate-resource-share.

Memetakan subnet di seluruh Availability ZoneUntuk memastikan bahwa sumber daya didistribusikan di seluruh Availability Zone untuk suatu Wilayah,kami secara independen memetakan Availability Zone untuk nama masing-masing akun. Misalnya,

137

http://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/

http://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/

https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs


https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create



https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html

Amazon Virtual Private Cloud Panduan PenggunaMembatalkan pembagian subnet bersama

Availability Zone us-east-1a untuk akun AWS Anda mungkin tidak memiliki lokasi yang sama karena us-east-1a untuk akun AWS lainnya.

Untuk mengoordinasikan Availability Zone di seluruh akun untuk pembagian VPC, Anda harusmenggunakan AZ ID, yang merupakan pengenal unik dan konsisten untuk Availability Zone. Misalnya,use1-az1 adalah salah satu Availability Zone di Wilayah us-east-1. ID Availability Zone memungkinkanAnda untuk menentukan lokasi sumber daya di satu akun relatif terhadap sumber daya di akun lain. Untukinformasi selengkapnya, lihat AZ ID untuk sumber daya Anda dalam Panduan Pengguna AWS RAM.

Membatalkan pembagian subnet bersamaPemilik dapat membatalkan pembagian subnet bersama dengan para peserta kapan saja. Setelah pemilikmembatalkan pembagian subnet bersama, berlaku aturan berikut:

• Sumber daya peserta yang ada terus berjalan di subnet yang pembagiannya dibatalkan.• Peserta tidak dapat lagi membuat sumber daya baru di subnet yang pembagiannya dibatalkan.• Peserta dapat mengubah, menjelaskan, dan menghapus sumber daya mereka yang ada di subnet.• Jika peserta masih memiliki sumber daya di subnet yang pembagiannya dibatalkan, pemilik tidak dapat

menghapus subnet bersama atau VPC subnet bersama. Pemilik hanya dapat menghapus subnet atauVPC subnet bersama setelah peserta menghapus semua sumber daya di subnet yang pembagiannyadibatalkan.

Untuk membatalkan pembagian subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih subnet Anda dan pilih Tindakan, Batalkan pembagian subnet.4. Pilih Tindakan, Hentikan pembagian.

Untuk membatalkan pembagian subnet menggunakan AWS CLI

Gunakan perintah disassociate-resource-share.

Mengidentifikasi pemilik subnet bersamaPeserta dapat melihat subnet yang telah dibagikan dengan mereka dengan menggunakan konsol AmazonVPC, atau alat baris perintah.

Untuk mengidentifikasi pemilik subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet. Kolom Pemilik menampilkan pemilik subnet.

Untuk mengidentifikasi pemilik subnet menggunakan AWS CLI

Gunakan perintah describe-subnets and describe-vpcs, yang meliputi ID pemilik di outputnya.

Izin subnet bersamaIzin lapisanPemilik VPC bertanggung jawab untuk membuat, mengelola dan menghapus semua sumber daya tingkatVPC termasuk subnet, tabel rute, ACL jaringan, koneksi peering, titik akhir gateway, titik akhir antarmuka,

138

https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html


https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html




Amazon Virtual Private Cloud Panduan PenggunaPenagihan dan pengukuran untuk pemilik dan peserta

titik akhir Amazon Route 53 Resolver, gateway internet, gateway NAT, virtual private gateway, dan transitgateway attachment.

Pemilik VPC tidak dapat mengubah atau menghapus sumber daya peserta termasuk grup keamananyang dibuat oleh peserta. Pemilik VPC dapat melihat detail untuk semua antarmuka jaringan, dan grupkeamanan yang dilekatkan pada sumber daya peserta untuk memudahkan pemecahan masalah, danaudit. Pemilik VPC dapat membuat langganan log alur di tingkat VPC, subnet, atau antarmuka jaringanuntuk pemantauan atau pemecahan masalah lalu lintas.

Izin pesertaPeserta yang berada dalam VPC bersama bertanggung jawab atas pembuatan, pengelolaan danpenghapusan sumber daya mereka termasuk instans Amazon EC2, basis data Amazon RDS, danpenyeimbang beban. Peserta tidak dapat melihat, atau mengubah sumber daya milik akun peserta lain.Peserta dapat melihat detail tabel rute, dan ACL jaringan yang dilekatkan ke subnet bersama denganmereka. Namun, mereka tidak dapat mengubah sumber daya tingkat VPC termasuk rute tabel, ACLjaringan, atau subnet. Peserta dapat merujuk grup keamanan yang menjadi milik peserta lain atau pemilikdengan menggunakan ID grup keamanan. Peserta hanya dapat membuat langganan log alur untukantarmuka yang mereka miliki. Peserta tidak dapat langsung mengaitkan salah satu zona yang di-hostingprivat mereka dengan VPC bersama. Jika peserta perlu mengendalikan perilaku zona yang di-hostingprivat yang terkait dengan VPC, ada dua pilihan:

• Peserta dapat membuat dan membagikan zona yang di-hosting privat dengan pemilik VPC. Untukinformasi tentang pembagian zona yang di-hosting privat, lihat Mengaitkan Amazon VPC dan zona yangdi-hosting privat yang Anda buat dengan akun AWS berbeda dalam Panduan Developer Amazon Route53.

• Pemilik VPC dapat membuat IAM role lintas akun yang menyediakan kontrol atas zona yang di-hostingprivat yang telah dikaitkan pemilik dengan VPC. Pemilik selanjutnya dapat memberi izin yang diperlukankepada akun peserta untuk melaksanakan peran tersebut. Untuk informasi selengkapnya, lihat TutorialIAM: Mendelegasikan akses di akun AWS yang menggunakan IAM role dalam Panduan PenggunaIdentity and Access Management AWS. Akun peserta kemudian dapat melaksanakan peran, danmelakukan kendali apapun atas zona yang di-hosting privat yang telah didelegasikan pemilik melalui izinperan.

Penagihan dan pengukuran untuk pemilik dan pesertaDalam VPC bersama, setiap peserta membayar untuk sumber daya aplikasi mereka termasuk instansAmazon EC2, basis data Amazon Relational Database Service, klaster Amazon Redshift, dan fungsi AWSLambda. Peserta juga membayar biaya transfer data yang terkait dengan transfer data antar AvailabilityZone, transfer data melalui koneksi peering VPC, dan transfer data melalui gateway AWS Direct Connect.Pemilik VPC membayar biaya per jam (jika berlaku), pemrosesan data, dan biaya transfer data di gatewayNAT, gateway privat virtual, transit gateway, AWS PrivateLink, dan VPC endpoint. Transfer data dalamAvailability Zone yang sama (yang diidentifikasi secara unik menggunakan AZ-ID) bebas terlepas darikepemilikan akun sumber daya yang berkomunikasi.

Layanan yang tidak didukung untuk subnet bersamaPeserta tidak dapat membuat sumber daya untuk layanan berikut di subnet bersama:

• AWS CloudHSM• Amazon MQ• Amazon Managed Workflows for Apache Airflow (MWAA)• RDS Proxy

139

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

Amazon Virtual Private Cloud Panduan PenggunaLimitations

LimitationsBatasan berikut berlaku untuk bekerja dengan pembagian VPC:

• Pemilik hanya dapat membagikan subnet dengan akun atau unit organisasi lain yang berada diorganisasi yang sama dari AWS Organizations.

• Pemilik tidak dapat membagikan subnet yang ada di VPC default.• Peserta tidak dapat meluncurkan sumber daya menggunakan grup keamanan yang dimiliki oleh peserta

lain yang membagikan VPC, atau pemilik VPC.• Peserta tidak dapat meluncurkan sumber daya menggunakan grup keamanan default untuk VPC karena

milik pemilik.• Peserta tidak dapat meluncurkan sumber daya menggunakan grup keamanan yang dimiliki oleh peserta

lain.• Ketika peserta meluncurkan sumber daya di subnet bersama, mereka harus memastikan bahwa mereka

melekatkan grup keamanan mereka ke sumber daya, dan tidak bergantung pada grup keamanan default.Peserta tidak dapat menggunakan grup keamanan default karena milik pemilik VPC.

• Peserta tidak dapat membuat titik akhir Amazon Route53 Resolver dalam VPC yang mereka tidak miliki.Hanya pemilik VPC yang dapat membuat sumber daya tingkat VPC seperti titik akhir masuk.

• Tag VPC, dan tag untuk sumber daya dalam VPC bersama tidak dibagikan dengan peserta.• Hanya pemilik subnet yang dapat melekatkan transit gateway ke subnet bersama. Peserta tidak bisa.• Hanya pemilik subnet yang dapat memilih subnet bersama saat membuat Penyeimbang Beban Gateway.

Peserta tidak bisa.• Service quotas berlaku per akun individu.

Perluas VPC AndaAnda dapat meng-host sumber daya VPC, seperti subnet, di beberapa lokasi di seluruh dunia. Lokasi initerdiri dari Wilayah, Availability Zones, Local Zones, dan Wavelength Zones. Setiap Wilayah adalah wilayahgeografis yang terpisah.

• Availability Zones adalah beberapa lokasi terisolasi di setiap Wilayah.• Local Zones membuat Anda dapat menempatkan sumber daya, seperti komputasi dan penyimpanan, di

beberapa lokasi yang lebih dekat dengan pengguna akhir Anda.• AWS Outposts menghadirkan layanan, infrastruktur, dan model operasi AWS asli ke hampir semua pusat

data, ruang kolokasi, atau fasilitas on-premise virtual.• Wavelength Zones memungkinkan pengembang membangun aplikasi yang menghadirkan latensi

sangat rendah ke perangkat 5G dan pengguna akhir. Wavelength men-deploy layanan komputasi danpenyimpanan AWS standar ke tepi jaringan 5G operator telekomunikasi.

AWS mengoperasikan pusat data mutakhir dan sangat tersedia. Meskipun jarang terjadi, kegagalan dapatterjadi yang memengaruhi ketersediaan instans yang berada di lokasi yang sama. Jika Anda meng-hostsemua instans Anda di satu lokasi yang dipengaruhi oleh kegagalan, tidak ada instans Anda yang akantersedia.

Untuk membantu Anda menentukan deployment mana yang terbaik untuk Anda, lihat FAQ AWSWavelength.

Memperluas sumber daya VPC Anda ke Local ZonesLocal Zones AWS memungkinkan Anda menempatkan sumber daya lebih dekat ke pengguna akhir Anda,dan terhubung dengan lancar ke berbagai layanan di Wilayah AWS menggunakan API dan seperangkat

140

http://aws.amazon.com/wavelength/faqs/

http://aws.amazon.com/wavelength/faqs/

Amazon Virtual Private Cloud Panduan PenggunaMemperluas sumber daya VPC Anda ke Local Zones

alat yang sudah Anda kenal. Anda dapat memperluas Wilayah VPC Anda dengan membuat subnet baruyang memiliki penetapan Zona Lokal. Saat Anda membuat subnet di Zona Lokal, VPC Anda diperluas keZona Lokal tersebut.

Untuk menggunakan Zona Lokal, lakukan proses tiga langkah berikut:

• Pertama, berlangganan Zona Lokal.• Selanjutnya, buat subnet di Zona Lokal.• Terakhir, luncurkan sumber daya yang dipilih di subnet Zona Lokal, sehingga aplikasi Anda dekat

dengan pengguna akhir Anda.

Grup perbatasan jaringan adalah satu set unik Zona Availability Zones atau Local Zones dari mana AWSmengiklankan alamat IP publik.

Ketika Anda membuat VPC yang memiliki alamat IPv6, Anda dapat memilih untuk menugaskan satuset alamat IP publik yang disediakan Amazon untuk VPC tersebut, dan juga mengatur grup perbatasanjaringan untuk alamat yang membatasi alamat ke grup tersebut. Ketika Anda menetapkan grup perbatasanjaringan, alamat IP tidak dapat bergerak di antara grup perbatasan jaringan. Grup perbatasan jaringan us-west-2 berisi empat Availability Zones US West (Oregon). Grup perbatasan jaringan us-west-2-lax-1berisi Local Zones Los Angeles.

Aturan berikut berlaku untuk Local Zones:

• Subnet Zona Lokal mengikuti aturan perutean yang sama sebagaimana subnet Availability Zone,termasuk tabel rute, grup keamanan, dan ACL jaringan.

• Anda dapat menetapkan Local Zones untuk subnet menggunakan Amazon Virtual Private CloudConsole, AWS CLI, atau API.

• Anda harus menyediakan alamat IP publik untuk digunakan di Zona Lokal. Bila Anda mengalokasikanalamat, Anda dapat menyebutkan lokasi yang darinya alamat IP diiklankan. Kami menyebut ini sebagaigrup perbatasan jaringan, dan Anda dapat mengatur parameter ini untuk membatasi alamat ke lokasi ini.Setelah Anda menyediakan alamat IP, Anda tidak dapat memindahkannya dari Zona Lokal ke Wilayahinduk atau sebaliknya (misalnya, dari us-west-2-lax-1a ke us-west-2).

• Anda dapat meminta alamat IP yang disediakan IPv6 Amazon dan mengaitkannya dengan grupperbatasan jaringan untuk VPC baru atau yang sudah ada.

Note

IPv6 hanya didukung di Los Angeles Local Zones.• Lalu lintas internet keluar meninggalkan suatu Zona Lokal dari Zona Lokal tersebut.

Untuk informasi selengkapnya tentang bekerja dengan Local Zones di Linux lihat Local Zones dalamPanduan Pengguna Amazon EC2 untuk Instans Linux. Untuk informasi selengkapnya tentang bekerjadengan Local Zones di Windows lihat Local Zones dalam Panduan Pengguna Amazon EC2 untuk InstansWindows. Kedua panduan berisi daftar Local Zones yang tersedia dan sumber daya yang Anda dapatluncurkan di masing-masing Zona Lokal.

Pertimbangan untuk gateway internetPertimbangkan informasi berikut ketika Anda menggunakan gateway internet (di Wilayah induk) di LocalZones:

• Anda dapat menggunakan gateway internet di Local Zones dengan alamat IP Elastis atau alamat IPpublik yang ditetapkan Amazon. Alamat IP Elastis yang Anda kaitkan harus mencakup grup perbatasanjaringan Zona Lokal. Untuk informasi lebih lanjut, lihat the section called “Alamat IP elastis” (p. 275).

Anda tidak dapat mengaitkan alamat IP Elastis yang ditetapkan untuk Wilayah.

141

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-local-zones

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-regions-availability-zones.html#concepts-local-zones


• Alamat IP Elastis yang digunakan dalam Local Zones memiliki kuota yang sama sebagaimana alamatIP Elastis di suatu Wilayah. Untuk informasi lebih lanjut, lihat the section called “Alamat IP elastis(IPv4)” (p. 341).

• Anda dapat menggunakan gateway internet di tabel rute yang terkait dengan sumber daya Zona Lokal.Untuk informasi lebih lanjut, lihat the section called “Perutean ke gateway internet” (p. 289).

Akses Local Zones menggunakan gateway Direct ConnectPertimbangkan skenario di mana Anda ingin pusat data on-premise mengakses sumber daya yang beradadi Zona Lokal. Anda menggunakan virtual private gateway untuk VPC yang terkait dengan Zona Lokaluntuk terhubung ke gateway Direct Connect. Gateway Direct Connect terhubung ke lokasi AWS DirectConnect di Wilayah. Pusat data on-premise memiliki koneksi AWS Direct Connect ke lokasi AWS DirectConnect.

Anda mengonfigurasi sumber daya berikut untuk konfigurasi ini:

• Sebuah virtual private gateway untuk VPC yang terkait dengan subnet Zona Lokal. Anda dapat melihatVPC untuk subnet pada halaman rincian subnet di Amazon Virtual Private Cloud Console, ataumenggunakan describe-subnets.

Untuk informasi tentang cara membuat virtual private gateway, lihat Membuat gateway target di PanduanPengguna AWS Site-to-Site VPN.

• Koneksi Direct Connect. AWS merekomendasikan agar Anda menggunakan salah satu lokasi berikutuntuk performa latensi terbaik untuk LA Local Zones:• T5 di El Segundo, Los Angeles, CA (AWS merekomendasikan lokasi ini untuk latensi terendah ke

Zona Lokal LA)• CoreSite LA1, Los Angeles, CA• Equinix LA3, El Segundo, CA

Untuk informasi tentang memerintahkan koneksi, lihat Koneksi silang dalam Panduan Pengguna AWSDirect Connect.

142


https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-create-target-gateway

https://docs.aws.amazon.com/directconnect/latest/UserGuide/Colocation.html#cross-connect-us-west-1


• Sebuah gateway Direct Connect. Untuk informasi tentang cara membuat gateway Direct Connect, lihatMembuat gateway Direct Connect di Panduan Pengguna AWS Direct Connect.

• Pengaitan virtual private gateway untuk menghubungkan VPC ke gateway Direct Connect. Untukinformasi tentang cara membuat pengaitan virtual private gateway, lihat Mengaitkan dan memisahkanvirtual private gateway di Panduan Pengguna AWS Direct Connect.

• Antarmuka virtual privat pada koneksi dari lokasi AWS Direct Connect ke pusat data on-premise. Untukinformasi tentang cara membuat gateway Direct Connect, lihat Membuat antarmuka virtual privat kegateway Direct Connect di Panduan Pengguna AWS Direct Connect.

Connect subnet Zona Lokal ke transit gatewayDiagram berikut menunjukkan cara mengkonfigurasi jaringan Anda sehingga subnet di Zona Lokalterhubung ke transit gateway. Anda memiliki subnet di Zona Lokal (subnet 3) dan subnet di zonaAvailability Zone induk (subnet 2). Anda menghubungkan subnet 2 ke transit gateway, dan kemudianmembuat rute di tabel rute VPC 2 yang merutekan lalu lintas untuk VPC 1 CIDR untuk transit gateway.

Anda perlu membuat sumber daya berikut untuk mengaktifkan komunikasi:

• Sebuah subnet di Availability Zone induk. Untuk informasi tentang membuat subnet, lihat the sectioncalled “Buat subnet di VPC Anda” (p. 109). Gunakan describe-availability-zones untuk menemukanzona induk.

• Transit gateway. Untuk informasi selengkapnya tentang membuat transit gateway, lihat Membuat transitgateway di Amazon VPC Transit Gateways.

• Transit gateway attachment untuk VPC yang mencakup Availability Zone induk. Untuk informasiselengkapnya tentang membuat transit gateway attachment, lihat Transit gateway attachment diPanduan Amazon VPC Transit Gateways.

• Sebuah tabel rute transit gateway yang terkait dengan transit gateway attachment. Untuk informasitentang membuat rute transit gateway, lihat Tabel rute transit gateway di Panduan Amazon VPC TransitGateways.

• Untuk setiap VPC, entri dalam tabel rute VPC yang memiliki VPC CIDR lain sebagai tujuan, dan transitgateway ID sebagai target. Untuk informasi lebih lanjut, lihat the section called “Perutean untuk TransitGateway” (p. 293).

143

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html#create-direct-connect-gateway

https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html#associate-vgw-with-direct-connect-gateway

https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html#associate-vgw-with-direct-connect-gateway

https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html#create-private-vif-for-gateway

https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html#create-private-vif-for-gateway

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-availability-zones.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw


https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html

Amazon Virtual Private Cloud Panduan PenggunaMemperluas sumber daya VPC Anda ke Wavelength Zones

Dalam diagram sebelumnya, tabel rute untuk VPC 1 berisi entri berikut:

Tujuan Target

10.1.0.0/24 tgw-22222222222222222

Misalnya, tabel rute untuk VPC 2 memiliki entri berikut:

Tujuan Target

10.0.0.0/24 tgw-22222222222222222

Memperluas sumber daya VPC Anda ke WavelengthZonesAWS Wavelength memungkinkan developer membangun aplikasi yang memberikan latensi yangsangat rendah ke perangkat seluler dan pengguna akhir. Wavelength men-deploy layanan komputasidan penyimpanan AWS standar ke edge jaringan 5G operator telekomunikasi. Developer dapatmemperluas Amazon Virtual Private Cloud (VPC) ke satu atau beberapa Wavelength Zones, dan kemudianmenggunakan sumber daya AWS seperti instans Amazon Elastic Compute Cloud (EC2) untuk menjalankanaplikasi yang memerlukan latensi sangat rendah dan terhubung ke layanan AWS di Wilayah.

Untuk menggunakan Wavelength Zones, Anda harus terlebih dahulu memilih Zona tersebut. Selanjutnya,membuat subnet di Zona Wavelength. Anda dapat membuat instans Amazon EC2, volume Amazon EBS,dan subnet Amazon VPC dan gateway operator di Wavelength Zones. Anda juga dapat menggunakanlayanan yang mengatur atau bekerja dengan EC2, EBS, dan VPC, seperti Amazon EC2 Auto Scaling,cluster Amazon EKS, cluster Amazon ECS, Amazon EC2 Systems Manager, Amazon CloudWatch, AWSCloudTrail, dan AWS CloudFormation. Layanan di Wavelength adalah bagian dari VPC yang terhubungmelalui koneksi bandwidth tinggi yang andal ke Wilayah AWS untuk akses mudah ke layanan termasukAmazon DynamoDB dan Amazon RDS.

Aturan berikut berlaku untuk Wavelength Zones:

• Sebuah VPC meluas ke Zona Wavelength ketika Anda membuat subnet di VPC dan mengaitkannyadengan Zona Wavelength.

• Secara default, setiap subnet yang Anda buat di VPC yang mencakup Zona Wavelength mewarisi tabelrute VPC utama, termasuk rute lokal.

• Ketika Anda meluncurkan instans EC2 di subnet di Zona Wavelength, Anda menetapkan alamat IPoperator untuk itu. Carrier operator menggunakan alamat untuk lalu lintas dari antarmuka ke internet,atau perangkat seluler. Gateway operator menggunakan NAT untuk menerjemahkan alamat, dankemudian mengirimkan lalu lintas ke tujuan. Lalu lintas dari rute jaringan operator telekomunikasi melaluigateway operator.

• Anda dapat mengatur target tabel rute VPC, atau subnet tabel rute di Zona Wavelength untuk gatewayoperator, yang memungkinkan lalu lintas masuk dari jaringan operator di lokasi tertentu, dan lalu lintaskeluar ke jaringan operator dan internet. Untuk informasi lebih lanjut tentang pilihan perutean di ZonaWavelength, lihat Perutean di Panduan Developer AWS Wavelength.

• Anda dapat menetapkan Wavelength Zones untuk subnet menggunakan Amazon Virtual Private CloudConsole, AWS CLI, atau API.

• Subnet di Wavelength Zones memiliki komponen jaringan yang sama dengan subnet di AvailabilityZones, termasuk alamat IPv4, DHCP Option set, dan ACL jaringan.

144

https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html#wavelength-routing-overview

Amazon Virtual Private Cloud Panduan PenggunaMemperluas sumber daya VPC Anda ke Wavelength Zones

Pertimbangan untuk beberapa WavelengthInstans EC2 yang berada di Wavelength Zones yang berbeda di VPC yang sama tidak diperbolehkanuntuk berkomunikasi satu sama lain. Jika Anda membutuhkan Zona Wavelength untuk komunikasi ZonaWavelength, AWS merekomendasikan Anda menggunakan beberapa VPC, satu untuk setiap ZonaWavelength. Anda dapat menggunakan transit gateway untuk menghubungkan VPC. Konfigurasi inimemungkinkan komunikasi antar instans di Wavelength Zones.

Rute lalu lintas Zona Wavelength ke Zona Wavelength Zona melalui Wilayah AWS. Untuk informasiselengkapnya, lihat AWS Transit Gateway.

Diagram berikut menunjukkan cara mengkonfigurasi jaringan Anda sehingga instans dalam dua ZonaWavelength yang berbeda dapat berkomunikasi. Anda memiliki dua Zona Wavelength (Zona Wavelength Adan Zona Wavelength B). Anda perlu membuat sumber daya berikut untuk mengaktifkan komunikasi:

• Untuk setiap Zona Wavelength, subnet di Availability Zone yang merupakan Availability Zone induk untukZona Wavelength. Misalnya, Anda membuat subnet 1 dan subnet 2. Untuk informasi tentang membuatsubnet, lihat the section called “Buat subnet di VPC Anda” (p. 109). Gunakan describe-availability-zones untuk menemukan zona induk.

• Transit gateway. Transit gateway menghubungkan VPC. Untuk informasi selengkapnya tentangmembuat transit gateway, lihat Membuat transit gateway di Panduan Amazon VPC Transit Gateways.

• Untuk setiap VPC, VPC attachment ke transit gateway. Untuk informasi selengkapnya tentang membuattransit gateway attachment ke VPC, lihat Transit gateway attachment ke VPC di Panduan Amazon VPCTransit Gateways.

• Entri untuk setiap VPC dalam tabel rute transit gateway. Untuk informasi tentang membuat rute transitgateway, lihat Tabel rute transit gateway di Panduan Amazon VPC Transit Gateways.

• Untuk setiap VPC, entri dalam tabel rute VPC yang memiliki VPC CIDR lain sebagai tujuan, dan transitgateway ID sebagai target. Untuk informasi lebih lanjut, lihat the section called “Perutean untuk TransitGateway” (p. 293).


Tujuan Target

10.1.0.0/24 tgw-22222222222222222


Tujuan Target

10.0.0.0/24 tgw-22222222222222222

145

http://aws.amazon.com/transit-gateway/




https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html

Amazon Virtual Private Cloud Panduan PenggunaSubnet di AWS Outposts

Subnet di AWS OutpostsAWS Outposts menawarkan infrastruktur hardware, layanan, API dan alat AWS yang sama untuk membuatdan menjalankan aplikasi Anda di lokasi dan di cloud. AWS Outposts ideal untuk beban kerja yangmemerlukan akses latensi rendah ke aplikasi atau sistem on-premise, dan untuk beban kerja yang perlumenyimpan dan memproses data secara lokal. Untuk informasi lebih lanjut tentang AWS Outposts, lihatAWS Outposts.

Amazon VPC dapat mencakup semua Availability Zones di Wilayah AWS. Ketika Anda menghubungkanOutposts ke Wilayah induk, semua VPC yang ada dan baru dibuat di akun Andam mencakup semuaAvailability Zones dan lokasi Outpost terkait di Wilayah.

Aturan berikut berlaku untuk AWS Outposts:

• Subnet harus berada di satu lokasi Outpost.• Gateway lokal menangani konektivitas jaringan antara VPC Anda dan jaringan on-premise. Untuk

informasi lebih lanjut tentang gateway lokal, lihat Gateway Lokal di Panduan Pengguna AWS Outposts.• Jika akun Anda terkait dengan AWS Outposts, Anda menetapkan subnet ke Outpost dengan

menyebutkan Outpost ARN saat Anda membuat subnet tersebut.• Secara default, setiap subnet yang Anda buat di VPC yang terkiait dengan suatu Outpost mewarisi tabel

rute VPC utama, termasuk rute gateway lokal. Anda juga dapat secara eksplisit mengaitkan tabel rutekustom dengan subnet di VPC Anda dan memiliki gateway lokal sebagai target hop berikutnya untuksemua lalu lintas yang perlu dirutekan ke jaringan on-premise.

146

http://aws.amazon.com/outposts

https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

Amazon Virtual Private Cloud Panduan PenggunaKomponen VPC default

VPC default dan subnet defaultJika Anda membuat akun AWS setelah 2013-12-04, akun tersebut hanya mendukung EC2-VPC. Dalam halini, Anda memiliki VPC default di masing-masing Wilayah AWS. VPC default siap Anda gunakan sehinggaAnda tidak perlu membuat dan mengkonfigurasi VPC Anda sendiri. Anda dapat segera meluncurkaninstans Amazon EC2 ke VPC default Anda. Anda juga dapat menggunakan layanan seperti Elastic LoadBalancing, Amazon RDS, dan Amazon EMR di VPC default Anda.

VPC default cocok untuk memulai dengan cepat, dan untuk meluncurkan instans publik seperti blog atausitus web sederhana. Anda dapat mengubah komponen VPC default Anda sesuai kebutuhan. Jika Andamemilih membuat VPC nondefault yang sesuai dengan kebutuhan spesifik Anda; misalnya, menggunakanrentang blok CIDR pilihan dan ukuran subnet pilihan Anda, lihat contoh skenario (p. 81).

Daftar Isi• Komponen VPC default (p. 147)• Ketersediaan dan platform yang didukung (p. 149)• Menampilkan VPC default dan subnet default (p. 150)• Meluncurkan instans EC2 ke dalam VPC default Anda (p. 151)• Menampilkan subnet default dan VPC default (p. 152)• Membuat VPC default (p. 152)• Membuat subnet default (p. 153)

Komponen VPC defaultKetika kita membuat VPC default, kita melakukan hal berikut untuk menyiapkannya untuk Anda:

• Membuat VPC dengan ukuran blok CIDR IPv4 /16 (172.31.0.0/16). Tindakan ini menyediakan65.536 alamat IPv4 privat.

• Membuat subnet default ukuran /20 di setiap Availability Zone. Tindakan ini menyediakan hingga 4.096alamat per subnet, beberapa di antaranya disimpan untuk kami gunakan.

• Membuat gateway internet (p. 210) dan menghubungkannya ke VPC default Anda.• Menambahkan rute ke tabel rute utama yang mengarahkan semua lalu lintas (0.0.0.0/0) ke gateway

internet.• Membuat grup keamanan default dan mengaitkannya dengan VPC default Anda.• Membuat daftar kontrol akses (ACL) jaringan default dan mengaitkannya dengan VPC default Anda.• Mengaitkan opsi DHCP default yang ditetapkan untuk akun AWS Anda dengan VPC default Anda.

Note

Amazon membuat sumber daya di atas atas nama Anda. Kebijakan IAM tidak berlaku untuktindakan ini karena Anda tidak melakukan tindakan ini. Sebagai contoh, jika Anda memilikikebijakan IAM yang menyangkal kemampuan untuk memanggil CreateInternetGateway, dankemudian Anda memanggil CreateDefaultVpc, gateway internet di VPC default masih dibuat.

147

Amazon Virtual Private Cloud Panduan PenggunaKomponen VPC default

Gambar berikut menggambarkan komponen kunci yang kita siapkan untuk VPC default.

Anda dapat menggunakan VPC default sebagaimana Anda akan menggunakan VPC lain:

• Menambahkan subnet nondefault tambahan.• Mengubah tabel rute utama.• Menambahkan tabel rute tambahan.• Mengaitkan grup keamanan tambahan.• Memperbarui aturan grup keamanan default.• Menambahkan koneksi AWS Site-to-Site VPN.• Menambahkan lebih banyak blok CIDR IPv4.• Mengakses VPC di Wilayah terpencil dengan menggunakan gateway Direct Connect. Untuk informasi

tentang opsi gateway Direct Connect, lihat Gateway Direct Connect di Panduan Pengguna AWS DirectConnect.

Anda dapat menggunakan subnet default sebagaimana Anda menggunakan subnet lainnya;menambahkan tabel rute kustom dan mengatur ACL jaringan. Anda juga dapat menentukan subnet defaulttertentu ketika Anda meluncurkan instans EC2.

Atau, Anda dapat memilih mengaitkan blok CIDR IPv6 dengan VPC default Anda. Untuk informasiselengkapnya, Bekerja dengan VPC dan subnet (p. 107).

148

https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html

Amazon Virtual Private Cloud Panduan PenggunaSubnet default

Subnet defaultSecara default, suatu subnet default adalah subnet publik, karena tabel rute utama mengirimkan lalu lintassubnet yang ditujukan untuk internet ke gateway internet. Anda dapat membuat subnet default ke subnetprivat dengan menghapus rute dari tujuan 0.0.0.0/0 ke gateway internet. Namun, jika Anda melakukan ini,tidak ada instans EC2 berjalan di subnet tersebut yang dapat mengakses internet.

Instans yang Anda luncurkan ke subnet default menerima alamat IPv4 publik dan alamat IPv4 privat, dannama host DNS publik dan privat. Instans yang Anda luncurkan ke subnet nondefault di VPC default tidakmenerima alamat IPv4 publik atau nama host DNS. Anda dapat mengubah perilaku pengalamatan IP publikdefault subnet Anda. Untuk informasi lebih lanjut, lihat Memodifikasi atribut pengalamatan IPv4 publik untuksubnet Anda (p. 119).

Dari waktu ke waktu, AWS dapat menambahkan Availability Zone baru untuk suatu Wilayah. Sebagianbesar kami secara otomatis membuat subnet default baru di Availability Zone ini untuk VPC default Andadalam beberapa hari. Namun, jika Anda membuat perubahan pada VPC default Anda, kami tidak akanmenambahkan subnet default baru. Jika Anda ingin subnet default untuk Availability Zone baru, Anda dapatmembuat subnet default sendiri. Untuk informasi lebih lanjut, lihat Membuat subnet default (p. 153).

Ketersediaan dan platform yang didukungJika Anda membuat akun AWS sendiri setelah 2013-12-04, akun tersebut hanya mendukung EC2-VPC danAnda memiliki VPC default di setiap Wilayah AWS. Oleh karena itu, kecuali Anda membuat VPC nondefaultdan menentukannya saat meluncurkan instans tersebut, kami akan meluncurkan instans Anda ke VPCdefault Anda.

Jika Anda membuat akun AWS Anda sebelum 2013-03-18, akun tersebut mendukung EC2-Classic danEC2-VPC di Wilayah yang telah Anda gunakan sebelumnya, dan hanya EC2-VPC di Wilayah yang belumAnda gunakan. Dalam hal ini, kami membuat VPC default di setiap Wilayah di mana Anda belum membuatsumber daya AWS. Kecuali Anda membuat VPC nondefault dan menentukannya saat meluncurkan suatuinstans di Wilayah baru, kami meluncurkan instans tersebut ke VPC default Anda untuk Wilayah tersebut.Namun, jika Anda meluncurkan sebuah instans di Wilayah yang telah Anda gunakan sebelumnya, kamimeluncurkan instans ke dalam EC2-Classic.

Jika Anda membuat akun AWS antara 2013-03-18 dan 2013-12-04, akun tersebut mungkin hanyamendukung EC2-VPC. Atau, akun tersebut mungkin mendukung EC2-Classic dan EC2-VPC di beberapaWilayah yang telah Anda gunakan. Untuk informasi tentang cara memeriksa dukungan platform di masing-masing Wilayah untuk akun AWS Anda, lihat Memeriksa platform yang didukung (p. 149). Untukinformasi tentang kapan masing-masing Wilayah diaktifkan untuk VPC default, lihat Pengumuman: AkltivasiWilayah untuk fitur VPC default yang ditetapkan dalam forum untuk Amazon VPC AWS.

Jika suatu akun AWS hanya mendukung EC2-VPC, setiap akun IAM yang terkait dengan akun AWS inijuga hanya mendukung EC2-VPC, dan menggunakan VPC default yang sama seperti akun AWS.

Jika akun AWS Anda mendukung EC2-Classic dan EC2-VPC, Anda dapat membuat akun AWS baru ataumeluncurkan instans Anda ke Wilayah yang belum pernah Anda gunakan sebelumnya. Anda mungkinmelakukan ini untuk mendapatkan manfaat menggunakan EC2-VPC dengan kesederhanaan peluncuaninstans ke dalam EC2-Classic. Jika Anda masih lebih memilih untuk menambahkan VPC default untuksuatu Wilayah yang tidak memiliki VPC default dan mendukung EC2-Classic, lihat "Saya benar-benarmenginginkan VPC default untuk akun EC2 saya yang ada. Apa itu mungkin?" dalam FAQ VPC Default.

Memeriksa platform yang didukungAnda dapat menggunakan konsol Amazon EC2 atau baris perintah untuk menentukan apakah akun AWSAnda mendukung kedua platform, atau apakah Anda memiliki VPC default.

149

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html

http://forums.aws.amazon.com/ann.jspa?annID=1875#

http://forums.aws.amazon.com/ann.jspa?annID=1875#

http://aws.amazon.com/vpc/faqs/#Default_VPCs

Amazon Virtual Private Cloud Panduan PenggunaMenampilkan VPC default dan subnet default

Untuk memeriksa dukungan platform menggunakan konsol Amazon EC2

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di bilah navigasi, gunakan pemilih Wilayah di kanan atas untuk memilih Wilayah Anda.3. Di dasbor konsol Amazon EC2, cari Platform yang Didukung di Atribut Akun. Jika ada dua nilai, yaitu

EC2 dan VPC, Anda dapat meluncurkan instans ke salah satu platform. Jika ada satu nilai, VPC, Andadapat meluncurkan instans hanya ke EC2-VPC.

Sebagai contoh, berikut ini menunjukkan bahwa akun tersebut hanya mendukung platform EC2-VPC,dan memiliki VPC default dengan identifier vpc-1a2b3c4d.

Jika Anda menghapus VPC default, nilai VPC Default yang ditampilkan adalah None.

Untuk memeriksa dukungan platform menggunakan baris perintah

• describe-account-attributes (AWS CLI)• Get-EC2AccountAttribute (AWS Tools for Windows PowerShell)

Atribut supported-platforms dalam output menunjukkan platform mana yang dapat meluncurkaninstans EC2.

Menampilkan VPC default dan subnet defaultAnda dapat menampilkan VPC dan subnet default Anda menggunakan konsol Amazon VPC atau barisperintah.

Untuk menampilkan VPC dan subnet default Anda menggunakan konsol Amazon VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Di kolom VPC Default, cari nilai Ya. Perhatikan ID dari VPC default.4. Di panel navigasi, pilih Subnet.5. Di bilah pencarian, ketik ID dari VPC default. Subnet yang dikembalikan adalah subnet di VPC default

Anda.6. Untuk memverifikasi subnet mana yang merupakan subnet default, cari nilai Ya dalam kolom Subnet

Default.

Untuk mendeskripsikan VPC default Anda menggunakan baris perintah

• Gunakan describe-vpcs (AWS CLI)• Gunakan Get-EC2Vpc (AWS Tools for Windows PowerShell)

Gunakan perintah-perintah tersebut dengan filter isDefault dan tetapkan nilai filter ke true.

150


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-account-attributes.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2AccountAttribute.html



https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Vpc.html

Amazon Virtual Private Cloud Panduan PenggunaMeluncurkan instans EC2 ke dalam VPC default Anda

Untuk mendeskripsikan subnet default Anda menggunakan baris perintah

• Gunakan describe-subnets (AWS CLI)• Gunakan Get-EC2Subnet (AWS Tools for Windows PowerShell)

Gunakan perintah-perintah tersebut dengan filter vpc-id dan tetapkan nilai filter ke ID VPC default. Dalamoutput, bidang DefaultForAz diatur ke true untuk subnet default.

Meluncurkan instans EC2 ke dalam VPC defaultAnda

Ketika Anda meluncurkan instans EC2 tanpa menentukan subnet, maka akan secara otomatis diluncurkanke subnet default di VPC default Anda. Secara default, kami memilih Availability Zone untuk Anda danmeluncurkan instans ke subnet yang sesuai untuk Availability Zone tersebut. Atau, Anda dapat memilihAvailability Zone untuk instans Anda dengan memilih subnet default yang sesuai di konsol, atau denganmenentukan subnet atau Availability Zone di AWS CLI.

Meluncurkan instans EC2 menggunakan konsolUntuk meluncurkan instans EC2 ke dalam VPC default Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Dari dasbor EC2, pilih Luncurkan Instans.3. Ikuti petunjuk di dalam wizard. Pilih AMI, dan pilih jenis instans. Anda dapat menerima pengaturan

default untuk sisa wizard dengan memilih Tinjau dan Luncurkan. Tindakan ini akan membawa Andalangsung ke halaman Tinjau Peluncuran instans.

4. Meninjau pengaturan Anda. Di bagian Detail Instans, default untuk Subnet adalah Tidak ada preferensi(default subnet di setiap Availability Zone). Ini berarti bahwa instans diluncurkan ke subnet default dariAvailability Zone yang kita pilih. Atau, pilih Edit detail instans Dan pilih subnet default untuk AvailabilityZone tertentu.

5. Pilih Luncurkan untuk memilih sebuah key pair dan meluncurkan instans.

Meluncurkan instans EC2 menggunakan barisperintahAnda dapat menggunakan salah satu perintah berikut untuk meluncurkan instans EC2:

• run-instances (AWS CLI)• New-EC2Instance (AWS Tools for Windows PowerShell)

Untuk meluncurkan instans EC2 ke VPC default Anda, gunakan perintah ini tanpa menentukan subnet atauAvailability Zone.

Untuk meluncurkan instans EC2 ke subnet default tertentu di VPC default Anda, tentukan subnet ID atauAvailability Zone.

151


https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Subnet.html




Amazon Virtual Private Cloud Panduan PenggunaMenampilkan subnet default dan VPC default

Menampilkan subnet default dan VPC defaultAnda dapat menghapus subnet default atau VPC default sebagaimana Anda menghapus subnet atau VPClainnya. Untuk informasi lebih lanjut, lihat Bekerja dengan VPC dan subnet (p. 107). Namun, jika Andamenghapus subnet default atau VPC default, Anda harus secara eksplisit menentukan subnet di VPC laindi untuk meluncurkan instans Anda, karena Anda tidak dapat meluncurkan instans ke dalam EC2-Classic.Jika Anda tidak memiliki VPC lain, Anda harus membuat VPC nondefault dan subnet nondefault. Untukinformasi lebih lanjut, lihat Buat VPC (p. 108).

Jika Anda menghapus VPC default, Anda dapat membuat yang baru. Untuk informasi lebih lanjut, lihatMembuat VPC default (p. 152).

Jika Anda menghapus subnet default, Anda dapat membuat yang baru. Untuk informasi lebih lanjut, lihatMembuat subnet default (p. 153). Untuk memastikan bahwa subnet default baru Anda berperilaku sepertiyang diharapkan, ubah subnet atribut untuk menetapkan alamat IP publik untuk instans yang diluncurkandi subnet tersebut. Untuk informasi lebih lanjut, lihat Memodifikasi atribut pengalamatan IPv4 publik untuksubnet Anda (p. 119). Anda hanya dapat memiliki satu subnet default per Availability Zone. Anda tidakdapat membuat subnet default di VPC nondefault.

Membuat VPC defaultJika Anda menghapus VPC default, Anda dapat membuat yang baru. Anda tidak dapat memulihkan VPCdefault sebelumnya yang Anda hapus, dan Anda tidak dapat menandai VPC nondefault yang ada sebagaiVPC default. Jika akun Anda mendukung EC2-Classic, Anda tidak dapat menggunakan prosedur ini untukmembuat VPC default di Wilayah yang mendukung EC2-Classic.

Bila Anda membuat VPC default, itu dibuat dengan komponen (p. 147) standar VPC default, termasuksubnet default di setiap Availability Zone. Anda tidak dapat menentukan komponen Anda sendiri. Subnetblok CIDR VPC default baru Anda mungkin tidak memetakan Availability Zone yang sama sebagaimanaVPC default Anda sebelumnya. Sebagai contoh, jika subnet dengan blok CIDR 172.31.0.0/20 telahdibuat di us-east-2a di VPC default sebelumnya, mungkin dibuat di us-east-2b di VPC default baruAnda.

Jika Anda sudah memiliki VPC default di Wilayah, Anda tidak dapat membuat yang lain.

Untuk membuat VPC default menggunakan konsol Amazon VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Pilih Tindakan, Buat VPC Default.4. Pilih Buat. Tutup layar konfirmasi.

Untuk membuat VPC default menggunakan baris perintah

Anda dapat menggunakan perintah AWS CLI create-default-vpc. Perintah ini tidak memiliki parameterinput.

aws ec2 create-default-vpc

Berikut ini adalah contoh output.

{ "Vpc": {

152


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-vpc.html

Amazon Virtual Private Cloud Panduan PenggunaMembuat subnet default

"VpcId": "vpc-3f139646", "InstanceTenancy": "default", "Tags": [], "Ipv6CidrBlockAssociationSet": [], "State": "pending", "DhcpOptionsId": "dopt-61079b07", "CidrBlock": "172.31.0.0/16", "IsDefault": true }}

Sebagai alternatif, Anda dapat menggunakan perintah Tools for Windows PowerShell New-EC2DefaultVpcatau tindakan Amazon EC2 API CreateDefaultVpc.

Membuat subnet defaultAnda dapat membuat subnet default di Availability Zone yang tidak memiliki subnet default. Misalnya,Anda mungkin ingin membuat subnet default jika Anda telah menghapus subnet default, atau jika AWStelah menambahkan Availability Zone baru dan tidak secara otomatis membuat subnet default untuk zonatersebut di VPC default Anda.

Jika Anda membuat subnet default, subnet default tersebut dibuat dengan ukuran blok CIDR IPv4 /20 diruang bersebelahan yang tersedia berikutnya di VPC default Anda. Aturan berikut berlaku:

• Anda tidak dapat menentukan blok CIDR sendiri.• Anda tidak dapat memulihkan subnet default yang telah dihapus sebelumnya.• Anda hanya dapat memiliki satu subnet default per Availability Zone.• Anda tidak dapat membuat subnet default di VPC nondefault.

Jika tidak ada cukup ruang alamat di VPC default Anda untuk membuat Blok CIDR ukuran /20, permintaangagal. Jika Anda memerlukan lebih banyak ruang alamat, Anda dapat tambahkan blok CIDR IPv4 ke VPCAnda (p. 102).

Jika Anda telah mengaitkan blok CIDR IPv6 dengan VPC default Anda, subnet default baru tidak akansecara otomatis menerima blok CIDR IPv6. Sebaliknya, Anda dapat mengaitkan blok CIDR IPv6 dengansubnet default setelah Anda membuatnya. Untuk informasi lebih lanjut, lihat Kaitkan blok CIDR IPv6dengan subnet Anda (p. 111).

Anda tidak dapat membuat subnet default menggunakan AWS Management Console.

Untuk membuat subnet default menggunakan AWS CLI

Gunakan perintah create-default-subnet AWS CLI dan tentukan Availability Zone untuk membuat subnet.

aws ec2 create-default-subnet --availability-zone us-east-2a


{ "Subnet": { "AvailabilityZone": "us-east-2a", "Tags": [], "AvailableIpAddressCount": 4091, "DefaultForAz": true, "Ipv6CidrBlockAssociationSet": [], "VpcId": "vpc-1a2b3c4d",

153

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultVpc.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultVpc.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-default-subnet.html

Amazon Virtual Private Cloud Panduan PenggunaMembuat subnet default

"State": "available", "MapPublicIpOnLaunch": true, "SubnetId": "subnet-1122aabb", "CidrBlock": "172.31.32.0/20", "AssignIpv6AddressOnCreation": false }}

Untuk informasi selengkapnya tentang pengaturan AWS CLI, lihat Panduan Pengguna AWS CommandLine Interface.

Sebagai alternatif, Anda dapat menggunakan perintah Tools for Windows PowerShell New-EC2DefaultSubnet atau tindakan Amazon EC2 API CreateDefaultSubnet.

154

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/cli/latest/userguide/

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultSubnet.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DefaultSubnet.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateDefaultSubnet.html

Amazon Virtual Private Cloud Panduan PenggunaPerlindungan data

Keamanan di Amazon Virtual PrivateCloud

Keamanan cloud di AWS merupakan prioritas tertinggi. Sebagai pelanggan AWS, Anda akan mendapatkankeuntungan dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasiyang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara AWS dan Anda. Model tanggung jawab bersamamenggambarkan ini sebagai keamanan dari cloud dan keamanan di dalam cloud:

• Keamanan cloud – AWSbertanggung jawab untuk melindungi infrastruktur yang menjalankan layananAWS di AWSCloud. AWS juga menyediakan layanan yang dapat Anda gunakan dengan aman. Auditorpihak ketiga menguji dan memverifikasi efektivitas keamanan kami secara berkala sebagai bagian dariProgram Kepatuhan AWS. Untuk mempelajari tentang program kepatuhan yang berlaku untuk AmazonVirtual Private Cloud, lihat Layanan AWS yang Dicakup oleh Program Kepatuhan.

• Keamanan di cloud – Tanggung jawab Anda ditentukan menurut layanan AWS yang Anda gunakan.Anda juga bertanggung jawab atas faktor lain termasuk sensitivitas data Anda, persyaratan perusahaanAnda, serta hukum dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saatmenggunakan Amazon VPC. Topik berikut menunjukkan cara mengonfigurasi Amazon VPC untukmemenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan layanan AWSlainnya yang dapat membantu Anda dalam memantau dan mengamankan sumber daya Amazon VPCAnda.

Daftar Isi• Perlindungan data di Amazon Virtual Private Cloud (p. 155)• Keamanan infrastruktur di Amazon VPC (p. 158)• Identity and access management untuk Amazon VPC (p. 160)• Mencatat dan memantau VPC Anda (p. 177)• Ketahanan di Amazon Virtual Private Cloud (p. 178)• Validasi kepatuhan untuk Amazon Virtual Private Cloud (p. 178)• Analisis konfigurasi dan kelemahan di Amazon Virtual Private Cloud (p. 179)• Grup Keamanan untuk VPC Anda (p. 179)• ACL jaringan (p. 190)• Praktik terbaik keamanan untuk VPC Anda (p. 208)

Perlindungan data di Amazon Virtual Private CloudModel tanggung jawab bersama AWS diterapkan untuk perlindungan data di Amazon Virtual Private Cloud.Sebagaimana diuraikan dalam model ini, AWS bertanggung jawab untuk melindungi infrastruktur globalyang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kontrol terhadapkonten Anda yang di-host pada infrastruktur ini. Konten ini mencakup konfigurasi keamanan dan tugasmanajemen untuk layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data,lihat Pertanyaan Umum Privasi Data. Untuk informasi tentang perlindungan data di Eropa, lihat postinganblog Model Tanggung Jawab Bersama dan GDPR AWS di Blog KeamananAWS.

Untuk tujuan perlindungan data, kami merekomendasikan agar Anda melindungi kredensial Akun AWSdan menyiapkan akun pengguna individu dengan AWS Identity and Access Management (IAM). Dengan

155

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

Amazon Virtual Private Cloud Panduan PenggunaPrivasi lalu lintas antar jaringan

cara tersebut, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tugas pekerjaan mereka.Kami juga menyarankan agar Anda mengamankan data Anda dengan cara-cara berikut:

• Gunakan autentikasi multi-faktor (MFA) pada setiap akun.• Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya AWS. Kami merekomendasikan TLS 1.2

atau versi yang lebih baru.• Siapkan API dan log aktivitas pengguna dengan AWS CloudTrail.• Gunakan solusi enkripsi AWS, bersama semua kontrol keamanan default dalam layanan AWS.• Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan

dan mengamankan data pribadi yang disimpan di Amazon S3.• Jika Anda memerlukan modul kriptografi yang divalidasi FIPS 140-2 ketika mengakses AWS melalui

antarmuka baris perintah atau API, gunakan titik akhir FIPS. Untuk informasi selengkapnya tentang titikakhir FIPS yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-2.

Kami sangat menyarankan agar Anda tidak memasukkan informasi rahasia atau sensitif apa pun, sepertialamat email pelanggan Anda, ke dalam tanda atau kolom isian teks bebas seperti kolom Nama. Initermasuk ketika Anda bekerja dengan Amazon VPC atau layanan AWS menggunakan konsol, API, AWSCLI, atau SDK AWS. Data apa pun yang Anda masukkan ke dalam tanda atau bidang formulir bebas yangdigunakan untuk nama dapat digunakan untuk penagihan atau log diagnostik. Jika Anda menyediakan URLke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensial dalamURL untuk memvalidasi permintaan Anda ke server itu.

Privasi lalu lintas antar jaringan di Amazon VPCAmazon Virtual Private Cloud menyediakan fitur yang dapat Anda gunakan untuk meningkatkan danmemantau keamanan untuk virtual private cloud (VPC) Anda:

• Grup keamanan:bertindak sebagai firewall untuk instans Amazon EC2 yang terkait, yang mengontrollalu lintas masuk maupun keluar di tingkat instans. Saat Anda meluncurkan sebuah instans, Anda dapatmengaitkannya dengan satu grup keamanan atau lebih yang telah Anda buat. Setiap instans di VPCAnda bisa menjadi milik grup keamanan yang berbeda. Jika Anda tidak menentukan grup keamanansaat meluncurkan sebuah instans, instans Anda secara otomatis terkait dengan grup keamanan defaultuntuk VPC. Untuk informasi lebih lanjut, lihat Grup Keamanan untuk VPC Anda (p. 179).

• Daftar kontrol akses (ACL) jaringan: ACLs jaringan bertindak sebagai firewall untuk subnet yang terkait,yang mengontrol lalu lintas masuk dan keluar di tingkat subnet. Untuk informasi lebih lanjut, lihat ACLjaringan (p. 190).

• Log alur: Log alur menangkap informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPCAnda. Anda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan individu. Data log alurdipublikasikan ke CloudWatch Logs atau Amazon S3, dan dapat membantu Anda mendiagnosis grupkeamanan dan aturan ACL jaringan yang terlalu ketat atau terlalu longgar. Untuk informasi lebih lanjut,lihat Log Alur VPC (p. 307).

• Mirroring lalu lintas: Anda dapat menyalin lalu lintas jaringan dari antarmuka jaringan elastis dari instansAmazon EC2. Anda kemudian dapat mengirim lalu lintas ke peralatan keamanan dan pemantauan di luarband. Untuk informasi lebih lanjut, lihat Panduan Mirroring Lalu Lintas.

Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk mengontrol siapa diorganisasi Anda memiliki izin untuk membuat dan mengelola grup keamanan, ACL jaringan, dan log alur.Misalnya, Anda dapat memberikan izin kepada administrator jaringan Anda, tetapi tidak memberikan izinkepada personil yang hanya perlu meluncurkan instans. Untuk informasi lebih lanjut, lihat Identity andaccess management untuk Amazon VPC (p. 160).

Grup keamanan Amazon dan ACL jaringan tidak mem-filter lalu lintas yang dituju ke dan dari layananAmazon berikut:

156

http://aws.amazon.com/compliance/fips/

https://docs.aws.amazon.com/vpc/latest/mirroring/

Amazon Virtual Private Cloud Panduan PenggunaPrivasi lalu lintas antar jaringan

• Layanan Nama Domain Amazon (DNS)• Protokol Konfigurasi Host Dinamis (DHCP)• Metadata instans Amazon EC2• Aktivasi lisensi Windows Amazon• Amazon Time Sync Service• Alamat IP yang dipesan dari router VPC default

Membandingkan grup keamanan dan ACL jaringanTabel berikut merangkum dasar perbedaan antara grup keamanan dan ACL jaringan.

Grup keamanan ACL Jaringan

Beroperasi pada tingkat instans Beroperasi pada tingkat subnet

Mendukung hanya mengizinkan aturan Mendukung mengizinkan aturan dan menolakaturan

Stateful: Lalu lintas kembali secara otomatisdiperbolehkan, terlepas dari aturan

Stateless: Lalu lintas kembali harus secara eksplisitdiizinkan oleh aturan

Kami mengevaluasi semua aturan sebelummemutuskan apakah akan mengizinkan lalu lintas

Kami memproses aturan secara berurutan,dimulai dengan aturan bernomor terendah, ketikamemutuskan apakah akan mengizinkan lalu lintas

Berlaku untuk sebuah instans hanya jika seseorangmenentukan grup keamanan ketika meluncurkaninstans, atau mengaitkan grup keamanan denganinstans di lain waktu

Secara otomatis berlaku untuk semua instans disubnet yang terkait dengannya (oleh karena itu,menyediakan lapisan pertahanan tambahan jikaaturan grup keamanan terlalu longgar)

Diagram berikut menggambarkan lapisan keamanan yang disediakan oleh grup keamanan dan ACLjaringan. Sebagai contoh, lalu lintas dari gateway internet dirutekan ke subnet yang sesuai menggunakanrute dalam tabel perutean. Aturan ACL jaringan yang terkait dengan kontrol subnet yang lalu lintasdiperbolehkan untuk subnet. Aturan grup keamanan yang terkait dengan kontrol instans yang lalu lintasnyadiizinkan untuk instans tersebut.

157

Amazon Virtual Private Cloud Panduan PenggunaEnkripsi dalam transit

Anda dapat mengamankan instans Anda hanya menggunakan grup keamanan. Namun, Anda dapatmenambahkan ACL jaringan sebagai lapisan pertahanan tambahan. Sebagai contoh, lihat Contoh: Kontrolakses ke instans dalam subnet (p. 206).

Enkripsi dalam transitAWS menyediakan konektivitas yang aman dan privat antar instans EC2 pada semua jenis. Selain itu,beberapa jenis instans menggunakan kemampuan offload dari perangkat keras acuan untuk secaraotomatis mengenkripsi lalu lintas dalam transit antar instans, dengan menggunakan algoritma AEADdengan enkripsi 256-bit. Tidak ada dampak pada performa jaringan. Untuk informasi lebih lanjut tentangenkripsi instans, lihat Enkripsi di transit dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Keamanan infrastruktur di Amazon VPCSebagai suatu layanan terkelola, Amazon VPC dilindungi oleh prosedur keamanan jaringan global AWSyang dijelaskan dalam laporan resmi Amazon Web Services: Gambaran Umum Proses Keamanan.

Anda menggunakan panggilan API yang dipublikasikan AWS untuk mengakses Amazon VPC melaluijaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.0 atau versi yang lebihbaru. Kami merekomendasikan TLS 1.2 atau yang versi lebih baru. Klien juga harus mendukung suitecipher dengan Perfect Forward Secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic CurveEphemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern seperti Java 7 dan sistem yang lebihbaru mendukung mode ini.

Selain itu, permintaan harus ditandatangani dengan menggunakan access key ID dan secret access keyyang terkait dengan prinsipal IAM. Atau Anda bisa menggunakan AWS Security Token Service (AWS STS)untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.

158

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

Amazon Virtual Private Cloud Panduan PenggunaIsolasi jaringan

Isolasi jaringanSebuah virtual private cloud (VPC) adalah jaringan virtual di area Anda yang diisolasi secara logis dalamCloud AWS. Gunakan VPC yang terpisah untuk mengisolasi infrastruktur berdasarkan beban kerja atauentitas organisasi.

Sebuah subnet adalah serangkaian alamat IP di VPC. Saat Anda meluncurkan sebuah instans, Andameluncurkannya ke dalam sebuah subnet dalam VPC Anda. Gunakan subnet untuk mengisolasi jenjangaplikasi Anda (misalnya web, aplikasi, dan basis data) dalam satu VPC. Gunakan subnet pribadi untukinstans Anda jika tidak dapat diakses secara langsung dari internet.

Untuk memerintahkan Amazon EC2 API dari VPC Anda tanpa mengirimkan lalu lintas melalui internetpublik, gunakan AWS PrivateLink.

Mengendalikan lalu lintas jaringanPertimbangkan opsi berikut untuk mengontrol lalu lintas jaringan pada instans EC2 Anda:

• Batasi Akses ke Subnet Anda menggunakan the section called “Grup keamanan” (p. 179). Misalnya,Anda dapat mengizinkan lalu lintas hanya dari rentang alamat untuk jaringan perusahaan Anda.

• Manfaatkan grup keamanan sebagai mekanisme utama untuk mengendalikan akses jaringan keVPC. Jika perlu, gunakan ACL jaringan secara terbatas untuk menyediakan kontrol jaringan statelessdan secara garis besar. Grup keamanan bersifat lebih serba guna daripada ACL jaringan karenakemampuannya untuk melakukan pemfilteran paket stateful dan menciptakan aturan yang mengacupada grup keamanan lainnya. Akan tetapi, ACL jaringan akan efektif sebagai pengendali sekunderuntuk menolak subset lalu lintas khusus atau menyediakan pagar pengaman subnet tingkat tinggi. Juga,karena ACL jaringan berlaku untuk keseluruhan subnet, jaringan ini dapat digunakan sebagai pertahananmendalam jika sebuah instans diluncurkan secara tidak sengaja tanpa grup keamanan yang tepat.

• Gunakan subnet pribadi untuk instans Anda jika tidak dapat diakses secara langsung dari internet.Gunakan host bastion atau gateway NAT untuk akses internet dari sebuah instans dalam sebuah subnetprivat.

• Lakukan konfigurasi pada tabel rute subnet Amazon VPC dengan rute jaringan syarat minimal. Misalnya,tempatkan hanya instans Amazon EC2 yang membutuhkan akses Internet langsung ke dalam subnetdengan rute ke sebuah gateway internet, dan tempatkan hanya instans Amazon EC2 yang memerlukanakses langsung ke jaringan internal ke dalam subnet dengan rute ke sebuah virtual private gateway.

• Pertimbangkan untuk menggunakan grup keamanan tambahan atau antarmuka jaringan untukmengontrol dan meng-audit lalu lintas pengelolaan instans Amazon EC2 secara terpisah dari lalu lintasaplikasi reguler. Pendekatan ini memungkinkan pelanggan untuk melaksanakan kebijakan IAM khususuntuk kontrol pengubahan, mempermudahnya untuk meng-audit perubahan pada aturan grup keamananatau skrip verifikasi aturan otomatis. Sejumlah antarmuka jaringan juga menyediakan opsi tambahanuntuk mengontrol lalu lintas jaringan termasuk kemampuan untuk menciptakan kebijakan peruteanberbasis host atau memanfaatkan berbagai aturan perutean subnet VPC berdasarkan antarmukajaringan yang ditetapkan untuk subnet.

• Gunakan AWS Virtual Private Network atau AWS Direct Connect untuk membuat koneksi privat darijaringan jarak jauh ke VPC Anda. Untuk informasi selengkapnya, lihat Opsi Konektivitas Network-to-Amazon VPC.

• Gunakan Log Aliran VPC untuk memonitor lalu lintas yang mencapai instans Anda.• Gunakan AWS Security Hub untuk memeriksa aksesibilitas jaringan yang tidak diinginkan pada instans

Anda.

Selain membatasi akses jaringan ke setiap instans Amazon EC2, Amazon VPC mendukung kontrolkeamanan jaringan tambahan pelaksana. Untuk informasi selengkapnya, lihat Melindungi Jaringan.

159

https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html

https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html

http://aws.amazon.com/security-hub/

https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html

Amazon Virtual Private Cloud Panduan PenggunaIdentity and access management

Identity and access management untuk AmazonVPC

AWS Identity and Access Management (IAM) adalah layanan AWS yang membantu administrator yangsecara aman mengendalikan akses ke sumber daya AWS. Administrator IAM mengendalikan siapa yangdapat diautentikasi (masuk) dan diotorisasi (memiliki izin) untuk menggunakan sumber daya Amazon VPC.IAM adalah layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

Daftar Isi• Audience (p. 160)• Mengautentikasi menggunakan identitas (p. 160)• Mengelola akses menggunakan kebijakan (p. 162)• Bagaimana cara Amazon VPC bekerja sama dengan IAM (p. 164)• Contoh kebijakan Amazon VPC (p. 168)• Pecahkan masalah identitas dan akses Amazon VPC (p. 174)• Kebijakan terkelola AWS untuk Amazon Virtual Private Cloud (p. 176)

AudienceCara menggunakan AWS Identity and Access Management (IAM) akan berbeda-beda, tergantung padapekerjaan yang Anda lakukan di Amazon VPC.

Pengguna layanan – Jika Anda menggunakan layanan Amazon VPC untuk melakukan tugas, makaadministrator Anda akan memberikan kredensial dan izin yang dibutuhkan. Saat Anda menggunakanlebih banyak fitur di Amazon VPC untuk melakukan pekerjaan, Anda mungkin memerlukan izin tambahan.Memahami bagaimana akses yang dikelola dapat membantu Anda untuk meminta izin yang tepat dariadministrator Anda. Jika Anda tidak dapat mengakses fitur di Amazon VPC, lihat Pecahkan masalahidentitas dan akses Amazon VPC (p. 174).

Administrator layanan – Jika Anda bertanggung jawab atas sumber daya Amazon VPC di perusahaanAnda, Anda mungkin memiliki akses penuh ke Amazon VPC. Anda bertanggung jawab untuk menentukanfitur-fitur Amazon VPC dan sumber daya mana yang dapat diakses oleh karyawan Anda. Anda harusmengirimkan permintaan ke administrator IAM Anda untuk mengubah izin pengguna layanan Anda. Tinjauinformasi di halaman ini untuk memahami konsep dasar IAM. Untuk mempelajari selengkapnya tentangbagaimana perusahaan Anda dapat menggunakan IAM dengan Amazon VPC, lihat Bagaimana caraAmazon VPC bekerja sama dengan IAM (p. 164).

Administrator IAM – Jika Anda seorang administrator IAM, Anda mungkin ingin mempelajari detail tentangbagaimana Anda dapat menulis kebijakan untuk mengelola akses ke Amazon VPC. Untuk melihat contohkebijakan, lihat Contoh kebijakan Amazon VPC (p. 168).

Mengautentikasi menggunakan identitasAutentikasi adalah cara Anda untuk masuk ke AWS menggunakan kredensial identitas Anda. Untukinformasi selengkapnya tentang cara masuk menggunakan AWS Management Console, lihat Masuk keAWS Management Console sebagai pengguna IAm atau pengguna asal dalam Panduan Pengguna IAM.

Anda harus terautentikasi (masuk ke AWS) sebagai pengguna akar Akun AWS, pengguna IAM, ataudengan mengasumsikan IAM role. Anda juga dapat menggunakan autentikasi masuk tunggal milikperusahaan Anda, atau bahkan masuk menggunakan Google maupun Facebook. Dalam kasus ini,administrator Anda sebelumnya telah menyiapkan federasi identitas menggunakan IAM role. Saat Anda

160

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

Amazon Virtual Private Cloud Panduan PenggunaMengautentikasi menggunakan identitas

mengakses AWS menggunakan kredensial dari perusahaan lain, secara tidak langsung Anda mengambilsebuah peran.

Untuk masuk secara langsung ke AWS Management Console, gunakan kata sandi Anda dengan alamatemail pengguna asal atau nama pengguna IAM Anda. Anda dapat mengakses AWS secara terprogrammenggunakan kunci akses pengguna asal atau pengguna IAM Anda. AWS menyediakan SDK dan alatbaris perintah untuk menandatangani permintaan Anda secara kriptografis menggunakan kredensial Anda.Jika Anda tidak menggunakan peralatan AWS, Anda harus menandatangani sendiri permintaan tersebut.Lakukan ini menggunakan Signature Version 4, sebuah protokol untuk mengautentikasi permintaan APIinbound. Untuk informasi selengkapnya tentang autentikasi permintaan, lihat proses penandatangananSignature Version 4 di AWS Referensi Umum.

Terlepas dari metode autentikasi yang Anda gunakan, Anda mungkin juga diminta untuk memberikaninformasi keamanan tambahan. Misalnya, AWS menyarankan supaya Anda menggunakan autentikasimulti-faktor (MFA) untuk meningkatkan keamanan akun Anda. Untuk pelajari selengkapnya, lihatPenggunaan autentikasi multi-faktor (MFA) di AWS di Panduan Pengguna IAM.

Akun AWS Pengguna asalSaat pertama kali membuat akun Akun AWS, Anda memulai dengan satu identitas masuk yang memilikiakses lengkap ke semua layanan dan sumber daya AWS di akun tersebut. Identitas ini disebut AkunAWS pengguna asal dan diakses dengan cara masuk menggunakan alamat email dan kata sandi yangAnda gunakan saat membuat akun. Kami sangat menyarankan agar Anda tidak menggunakan PenggunaAsal untuk tugas sehari-hari, bahkan tugas administratif. Sebagai gantinya, patuhi praktik terbaik untukmenggunakan Pengguna Asal untuk menciptakan Pengguna IAM pertama Anda. Kemudian, kuncikredensial pengguna utama dengan aman dan gunakan kredensial itu untuk melakukan beberapa tugasmanajemen akun dan layanan saja.

Pengguna dan grup IAMSeorang pengguna IAM adalah identitas dalam akun Akun AWS Anda yang memiliki izin khusus untuk satuorang atau satu aplikasi. Pengguna IAM dapat memiliki kredensial jangka panjang, seperti nama penggunadan kata sandi atau satu set kunci akses. Untuk mempelajari cara membuat kunci akses, lihat Mengelolakunci akses untuk pengguna IAM dalam Panduan Pengguna IAM. Saat Anda membuat kunci akses untukpengguna IAM, pastikan bahwa Anda melihat pasangan kunci dan menyimpannya dengan aman. Andatidak dapat memulihkan secret access key di masa mendatang. Sebagai gantinya, Anda harus membuatpasangan access key baru.

Grup IAM adalah identitas yang mengacu pada kumpulan para pengguna IAM. Anda tidak dapat masuksebagai grup. Anda dapat menggunakan grup untuk menentukan izin untuk beberapa pengguna sekaligus.Grup-grup menjadikan izin lebih mudah untuk dikelola oleh sejumlah besar pengguna. Misalnya, Andadapat memiliki grup yang diberi nama IAMAdmins dan memberikan izin kepada grup tersebut untukmengelola sumber daya IAM.

Para pengguna dibedakan menurut peran. Seorang pengguna secara unik dikaitkan dengan satuorang atau aplikasi, tetapi peran ini dimaksudkan untuk dapat diasumsikan oleh siapa pun yangmembutuhkannya. Pengguna memiliki kredensial jangka panjang permanen, tetapi peran menyediakankredensial sementara. Untuk mempelajari selengkapnya, lihat Kapan harus membuat pengguna IAM(sebagai ganti peran) dalam Panduan Pengguna IAM.

IAM roleIAM role adalah identitas dalam akun Akun AWS Anda yang memiliki izin khusus. Ini mirip denganpengguna IAM, tetapi tidak terkait dengan orang tertentu. Anda dapat menjadi IAM role untuk sementaradi dalam AWS Management Console dengan cara berganti peran. Anda dapat mengambil peran dengancara memanggil operasi API AWS CLI atau AWS atau menggunakan URL khusus. Untuk informasiselengkapnya tentang metode penggunaan peran, lihat Menggunakan IAM roles dalam PanduanPengguna IAM.

161

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

Amazon Virtual Private Cloud Panduan PenggunaMengelola akses menggunakan kebijakan

IAM role dengan kredensial sementara berguna dalam situasi berikut:

• Izin pengguna IAM sementara – Pengguna IAM dapat menjadi IAM role untuk sementara danmendapatkan izin yang berbeda untuk tugas tertentu.

• Akses pengguna gabungan – Alih-alih menciptakan pengguna IAM, Anda dapat menggunakan identitasyang sudah ada dari AWS Directory Service, direktori pengguna korporasi Anda, atau penyedia identitasweb. Hal ini dikenal sebagai pengguna gabungan. AWS tugaskan sebuah peran kepada penggunagabungan saat akses diminta melalui penyedia identitas. Untuk informasi selengkapnya tentangpengguna gabungan, lihat Pengguna gabungan dan peran di Panduan Pengguna IAM.

• Akses lintas akun – Anda dapat menggunakan IAM role agar seseorang (prinsipal terpercaya) di akunlain diizinkan untuk mengakses sumber daya di akun Anda. Peran adalah cara utama untuk memberikanakses lintas-akun. Namun, dengan beberapa layanan AWS, Anda dapat melampirkan kebijakanlangsung ke sumber daya (alih-alih menggunakan peran sebagai proxy). Untuk mempelajari perbedaanantara peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat Bagaimana IAM roledibedakan dari kebijakan berbasis sumber daya dalam Panduan Pengguna IAM.

• Akses lintas-layanan – Beberapa layanan AWS menggunakan fitur-fitur di layanan AWS lainnya.Misalnya, saat Anda melakukan panggilan dalam suatu layanan, biasanya layanan tersebut menjalankanaplikasi di Amazon EC2 atau menyimpan objek di Amazon S3. Layanan mungkin melakukan inimenggunakan izin panggilan prinsipal, menggunakan peran layanan, atau peran tertaut layanan.• Izin Prinsipal – Saat Anda menggunakan pengguna IAM atau IAM role untuk melakukan tindakan

di AWS, Anda dianggap sebagai prinsipal. Kebijakan memberikan izin kepada prinsipal. Saat Andamenggunakan beberapa layanan, Anda mungkin melakukan tindakan yang kemudian memicutindakan lain di layanan yang berbeda. Dalam hal ini, Anda harus memiliki izin untuk melakukan keduatindakan tersebut. Untuk melihat apakah suatu tindakan memerlukan tindakan dependen tambahandalam kebijakan, lihat Tindakan, Sumber Daya, dan Kunci Syarat Amazon Elastic Compute Clouddalam Referensi Otorisasi Layanan.

• Peran layanan – Peran layanan adalah IAM role yang diambil oleh layanan untuk melakukan tindakanatas nama Anda. Peran layanan hanya menyediakan akses dalam akun Anda dan tidak dapatdigunakan untuk memberikan akses ke layanan di akun lain. Administrator IAM dapat membuat,mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihatMembuat peran untuk mendelegasikan izin ke layanan AWS dalam Panduan Pengguna IAM.

• Peran tertaut layanan – Peran tertaut layanan adalah jenis peran layanan yang tertaut ke layananAWS. Layanan dapat mengambil peran untuk melakukan tindakan atas nama Anda. Peran tertaut-layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat,tetapi tidak dapat mengedit izin untuk peran tertaut layanan.

• Aplikasi yang berjalan di Amazon EC2 – Anda dapat menggunakan IAM role untuk mengelola kredensialsementara untuk aplikasi yang berjalan pada instans EC2, dan membuat AWS CLI atau permintaan APIAWS. Ini lebih disukai dibandingkan menyimpan kunci akses di dalam instans EC2. Untuk menugaskansebuah peran AWS ke instans EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda dapatmembuat sebuah profil instans yang dilampirkan ke instans. Profil instans berisi peran dan mengaktifkanprogram yang berjalan di instans EC2 untuk mendapatkan kredensial sementara. Untuk informasiselengkapnya, lihat Menggunakan IAM role untuk memberikan izin ke aplikasi yang berjalan di instansAmazon EC2 dalam Panduan Pengguna IAM.

Untuk mempelajari kapan waktunya menggunakan IAM role atau pengguna IAM, lihat Kapan harusmembuat IAM role (sebagai ganti pengguna) dalam Panduan Pengguna IAM.

Mengelola akses menggunakan kebijakanAnda mengendalikan akses di AWS dengan membuat kebijakan dan melampirkannya ke identitas IAMatau sumber daya AWS. Kebijakan adalah objek di AWS, yang saat terkait dengan identitas atau sumberdaya, akan menentukan izinnya. Anda dapat masuk sebagai pengguna asal atau pengguna IAM, atauAnda dapat mengambil IAM role. Ketika Anda kemudian membuat permintaan, mengevaluasi AWSkebijakan berbasis identitas atau kebijakan berbasis sumber daya yang terkait. Izin dalam kebijakan dapat

162

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

Amazon Virtual Private Cloud Panduan PenggunaMengelola akses menggunakan kebijakan

menentukan apakah permintaan tersebut diizinkan atau ditolak. Sebagian besar kebijakan disimpan diAWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang struktur dan isi dokumen kebijakanJSON, lihat Gambaran umum kebijakan JSON dalam Panduan Pengguna IAM.

Administrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses kehal apa. Yaitu, prinsipal mana yang dapat melakukan tindakan pada suatu sumber daya, dan berdasarkansyarat apa.

Setiap entitas IAM (pengguna atau peran) dimulai tanpa izin. Dengan kata lain, secara default, penggunatidak dapat melakukan apa pun, termasuk untuk mengubah kata sandi mereka sendiri. Untuk memberikanizin kepada pengguna untuk melakukan sesuatu, administrator harus melampirkan kebijakan izin kepadapengguna. Atau administrator dapat menambahkan pengguna ke grup yang memiliki izin yang diinginkan.Ketika administrator memberikan izin untuk grup, semua pengguna dalam grup tersebut diberikan izintersebut.

Kebijakan IAM menentukan izin untuk suatu tindakan terlepas dari metode yang Anda gunakan untukpengoperasiannya. Misalnya, Anda memiliki kebijakan yang mengizinkan tindakan iam:GetRole.Pengguna dengan kebijakan tersebut dapat memperoleh informasi peran dari API AWS ManagementConsole, AWS CLI, atau AWS.

Kebijakan berbasis identitasKebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke identitas,seperti pengguna IAM, grup pengguna, atau peran. Kebijakan ini mengontrol tindakan apa yang dapatdilakukan oleh pengguna dan peran, di sumber daya mana, dan dalam kondisi apa. Untuk mempelajaricara membuat kebijakan berbasis identitas, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Kebijakan berbasis identitas dapat dikategorikan lebih lanjut sebagai kebijakan inline atau kebijakanterkelola. Kebijakan inline disematkan langsung ke seorang pengguna, satu grup, atau satu peran.Kebijakan terkelola adalah kebijakan mandiri yang dapat Anda lampirkan ke beberapa pengguna, beberapagrup, dan beberapa peran dalam akun Akun AWS Anda. Kebijakan terkelola meliputi kebijakan yangdikelola AWS dan kebijakan yang dikelola pelanggan. Untuk mempelajari cara memilih antara kebijakanterkelola atau kebijakan inline, lihat Memilih antara kebijakan terkelola dan kebijakan inline dalam PanduanPengguna IAM.

Kebijakan berbasis sumber dayaKebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumberdaya. Contoh kebijakan berbasis sumber daya adalah kebijakan kepercayaan IAM role dan kebijakanbucket Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administratorlayanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumberdaya yang dilampiri kebijakan tersebut, kebijakan menetapkan tindakan apa yang dapat dilakukan olehprinsipal tertentu di sumber daya tersebut dan dalam kondisi apa. Anda harus menentukan prinsipal dalamkebijakan berbasis sumber daya. Prinsipal dapat termasuk akun, pengguna, peran, pengguna gabungan,atau layanan AWS.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidakdapat menggunakan kebijakan yang dikelola AWS dari IAM dalam kebijakan berbasis sumber daya.

Daftar kontrol akses (ACL)Daftar kontrol akses (ACL) mengendalikan prinsipal mana (anggota akun, pengguna, atau peran) yangmemiliki izin untuk mengakses sumber daya. ACL serupa dengan kebijakan berbasis sumber daya,meskipun tidak menggunakan format dokumen kebijakan JSON.

Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung ACL. Untukmempelajari ACL selengkapnya, lihat Gambaran umum daftar kontrol akses (ACL) dalam PanduanDeveloper Amazon Simple Storage Service.

163

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

Amazon Virtual Private Cloud Panduan PenggunaBagaimana cara Amazon VPC bekerja sama dengan IAM

Jenis kebijakan lainnyaAWS mendukung jenis kebijakan tambahan, yang kurang lazim. Jenis kebijakan ini dapat mengatur izinmaksimum yang diberikan kepada Anda oleh jenis kebijakan yang lebih lazim.

• Batasan izin – Batasan izin adalah fitur lanjutan di mana Anda mengatur izin maksimum yang dapatdiberikan oleh kebijakan berbasis identitas kepada entitas IAM (pengguna atau IAM role). Anda dapatmenetapkan batasan izin untuk suatu entitas. Izin yang dihasilkan adalah persimpangan antara kebijakanberbasis identitas milik entitas dan batasan izinnya. Kebijakan berbasis sumber daya yang menentukanpengguna atau peran dalam bidang Principal tidak dibatasi oleh batasan izin. Penolakan eksplisitdalam salah satu kebijakan ini dapat membatalkan izin. Untuk informasi selengkapnya tentang batasanizin, lihat Batasan izin untuk entitas IAM dalam Panduan Pengguna IAM.

• Kebijakan Kontrol Layanan (SCP) – SCP adalah kebijakan JSON yang menentukan izin maksimumuntuk sebuah organisasi atau unit organisasi (OU) di AWS Organizations. AWS Organizations adalahlayanan untuk mengelompokkan dan mengelola beberapa Akun AWS secara terpusat yang dimilikioleh bisnis Anda. Jika Anda mengaktifkan semua fitur di sebuah organisasi, Anda dapat menerapkankebijakan kontrol layanan (SCP) ke salah satu atau ke semua akun Anda. SCP membatasi izin untukentitas di akun anggota, termasuk setiap pengguna asal Akun AWS. Untuk informasi selengkapnyatentang Organizations dan SCP, lihat Cara kerja SCP dalam Panduan Pengguna AWS Organizations.

• Kebijakan sesi – Kebijakan sesi adalah kebijakan lanjutan yang Anda berikan sebagai parameter saatAnda membuat sesi pendek secara terprogram untuk sebuah peran atau pengguna gabungan. Izin sesiyang dihasilkan adalah persimpangan kebijakan berbasis identitas pengguna atau peran dan kebijakansesi. Izin juga dapat berasal dari kebijakan berbasis sumber daya. Penolakan secara tegas pada salahsatu kebijakan ini membatalkan izin. Untuk informasi selengkapnya, lihat Kebijakan sesi dalam PanduanPengguna IAM.

Berbagai jenis kebijakanKetika beberapa jenis kebijakan berlaku untuk sebuah permintaan, izin yang dihasilkan lebih rumit untukdipahami. Untuk mempelajari bagaimana AWS menentukan apakah akan mengizinkan permintaan atautidak jika beberapa jenis kebijakan terlibat, lihat Logika evaluasi kebijakan dalam Panduan Pengguna IAM.

Bagaimana cara Amazon VPC bekerja sama denganIAMSebelum Anda menggunakan IAM untuk mengelola akses ke Amazon EKS, Anda harus memahami fitur-fitur IAM apa saja yang tersedia untuk digunakan bersama Amazon VPC. Untuk mendapatkan tampilantingkat tinggi tentang cara Amazon VPC dan layanan AWS lainnya bekerja dengan IAM, lihat LayananAWS yang Bekerja Dengan IAM dalam Panduan Pengguna IAM.

Daftar Isi• Actions (p. 165)• Resources (p. 165)• Kunci syarat (p. 166)• kebijakan berbasis sumber daya Amazon VPC (p. 167)• Otorisasi berdasarkan tag (p. 167)• IAM role (p. 167)

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan yang diizinkan atau ditolak.Untuk beberapa tindakan, Anda dapat menentukan sumber daya dan syarat apakah suatu tindakandiizinkan atau ditolak. Amazon VPC men-support tindakan, sumber daya, dan kunci syarat tertentu. Untuk

164

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html


mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakanIAM JSON dalam Panduan Pengguna IAM.

ActionsAdministrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses kehal apa. Yaitu, prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan dengan syaratapa.

Elemen Action pada kebijakan JSON menjelaskan tindakan-tindakan yang dapat Anda gunakan untukmengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki namayang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan izin-saja yangtidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakandalam kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam sebuah kebijakan untuk memberikan izin pelaksanaan operasi terkait.

Amazon VPC berbagi namespace API dengan Amazon EC2. Tindakan kebijakan di Amazon VPCmenggunakan prefiks berikut ini sebelum tindakan: ec2:. Misalnya, memberikan seseorang izin untukmembuat VPC dengan operasi API CreateVpc Amazon EC2, masukkan tindakan ec2:CreateVpc kedalam kebijakannya. Pernyataan kebijakan harus memuat elemen Action atau NotAction.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti yangditunjukkan dalam contoh berikut.

"Action": [ "ec2:action1", "ec2:action2"]

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukansemua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut.

"Action": "ec2:Describe*"

Untuk melihat daftar tindakan Amazon VPC, lihat Tindakan, Sumber Daya, dan kunci syarat untuk AmazonEC2 di Panduan Pengguna IAM.

ResourcesAdministrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses kehal apa. Yaitu, prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan dengan syaratapa.

Elemen kebijakan JSON Resource menentukan objek atau objek-objek yang menjadi target penerapantindakan. Pernyataan harus mencakup elemen Resource atau NotResource. Sebagai praktik terbaik,tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuktindakan yang men-support jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak men-support izin tingkat sumber daya, misalnya operasi pembuatan daftar,gunakan karakter wildcart (*) untuk menunjukkan bahwa pernyataan tersebut berlaku bagi semua sumberdaya.

"Resource": "*"

Important

Saat ini, tidak semua tindakan API Amazon EC2 men-support izin tingkat sumber daya. Jikatindakan Amazon EC2 API tidak men-support izin di tingkat sumber daya, Anda dapat memberikan

165

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html


https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html


pengguna izin untuk melakukan tindakan, tetapi Anda harus menentukan * untuk elemen sumberdaya pada pernyataan kebijakan Anda. Untuk melihat tindakan yang dapat Anda tentukan ARN-nya untuk elemen sumber daya, lihat Tindakan yang Ditetapkan oleh Amazon EC2.

Sumber daya VPC memiliki ARN yang ditunjukkan dalam contoh berikut.

arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}

Untuk informasi lebih lanjut tentang format ARN, lihat Amazon Resource Name (ARN).

Misalnya, untuk menentukan VPC vpc-1234567890abcdef0 dalam pernyataan Anda, gunakan ARNyang ditunjukkan dalam contoh berikut ini.

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"

Untuk menentukan semua VPC di Wilayah tertentu milik akun tertentu, gunakan wildcard (*).

"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"

Beberapa tindakan Amazon VPC, seperti membuat sumber daya, tidak dapat dilakukan pada sumber dayatertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Banyak tindakan API Amazon EC2 yang melibatkan beberapa sumber daya. Untuk menentukan beberapasumber daya dalam satu pernyataan tunggal, pisahkan ARN dengan koma.

"Resource": [ "resource1", "resource2"]

Untuk melihat daftar jenis sumber daya Amazon VPC dan ARN-nya, lihat Sumber Daya yang Ditetapkanoleh Amazon EC2 di Panduan Pengguna IAM.

Kunci syaratAdministrator dapat menggunakan kebijakan JSON AWS untuk menentukan siapa yang memiliki akses kehal apa. Yaitu, prinsipal mana yang dapat melakukan tindakan pada sumber daya apa, dan dengan syaratapa.

Elemen Condition (atau blok Condition) memungkinkan Anda menentukan syarat yang mengizinkanAnda untuk menerapkan pernyataan. Elemen Condition bersifat opsional. Anda dapat membuat ekspresibersyarat yang menggunakan syarat operator, seperti sama dengan atau kurang dari, untuk mencocokkansyarat dalam kebijakan dengan nilai-nilai dalam permintaan.

Jika Anda menentukan beberapa elemen Condition dalam pernyataan, atau beberapa kunci dalam satuelemen Condition, AWS mengevaluasinya menggunakan operasi logika AND. Jika Anda menetapkanbeberapa nilai untuk kunci syarat tunggal, AWS akan mengevaluasi syarat tersebut menggunakan operasilogika OR. Semua ketentuan harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan ketentuan. Misalnya, Anda dapatmemberikan izin pengguna IAM untuk mengakses sumber daya hanya jika ditandai dengan namapengguna IAM mereka. Untuk informasi lebih lanjut, lihat Elemen kebijakan IAM: variabel dan tag dalamPanduan Pengguna IAM.

166

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-actions-as-permissions

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html


AWS mendukung kunci syarat global dan kunci syarat khusus layanan. Untuk melihat semua kunciketentuan global AWS, lihat Kunci konteks syarat global AWS dalam Panduan Pengguna IAM.

Amazon VPC menentukan pengaturan kunci syaratnya sendiri dan juga men-support penggunaanbeberapa kunci syarat global. Untuk melihat semua kunci ketentuan global AWS, lihat Kunci KonteksSyarat Global AWS dalam Panduan Pengguna IAM.

Semua tindakan Amazon EC2 men-support kunci syarat aws:RequestedRegion dan ec2:Region.Untuk informasi selengkapnya, lihat Contoh: Membatasi Akses ke Wilayah Tertentu.

Untuk melihat daftar kunci syarat Amazon VPC, lihat Kunci Syarat untuk Amazon EC2 dalam PanduanPengguna IAM. Untuk mempelajari tindakan dan sumber daya mana untuk gunakan kunci syarat, lihatTindakan yang Ditentukan oleh Amazon EC2.

kebijakan berbasis sumber daya Amazon VPCKebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang menentukan tindakan apa yangdapat dilakukan oleh prinsipal tertentu pada sumber daya Amazon VPC dan dengan syarat apa.

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau entitas IAM di akun lainsebagai prinsipal di kebijakan berbasis sumber daya. Menambahkan prinsipal akun silang ke kebijakanberbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dansumber daya berada pada akun AWS yang berbeda, Anda juga harus memberikan izin entitas utamauntuk mengakses sumber daya. Berikan izin dengan melampirkan kebijakan berbasis identitas ke entitas.Namun, jika kebijakan berbasis sumber daya memberikan akses ke prinsipal dalam akun yang sama, tidakdiperlukan kebijakan berbasis identitas tambahan. Untuk informasi lebih lanjut, lihat Bagaimana peran IAMberbeda dari kebijakan berbasis sumber daya di Panduan Pengguna IAM.

Otorisasi berdasarkan tagAnda dapat melampirkan tag ke sumber daya Amazon VPC atau meneruskan tag dalam sebuahpermintaan. Untuk mengendalikan akses berdasarkan tag, berikan informasi mengenai tag di elemensyarat kebijakan menggunakan kunci kondisi ec2:ResourceTag/key-name, aws:RequestTag/key-name, atau aws:TagKeys. Untuk informasi selengkapnya, lihat Izin Tingkat Sumber Daya untukPenandaan Tag di Panduan Pengguna Amazon EC2.

Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tagpada sumber daya tersebut, lihat Meluncurkan instans ke VPC tertentu (p. 173).

IAM roleIAM role adalah entitas di dalam akun AWS Anda yang memiliki izin khusus.

Gunakan kredensial sementaraAnda dapat menggunakan kredensial sementara untuk masuk bersama gabungan, menjalankan IAMrole, atau menjalankan peran lintas-akun. Anda mendapatkan kredensial keamanan sementara denganmemanggil operasi API AWS STS, misalnya AssumeRole atau GetFederationToken.

Amazon VPC men-support penggunaan kredensial sementara.

Peran tertaut layananPeran tertaut layanan mengizinkan layanan AWS untuk mengakses sumber daya di layanan lain untukmenyelesaikan tindakan atas nama Anda. Peran tertaut layanan muncul di akun IAM Anda dan dimiliki olehlayanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat menyunting izin untuk peran tertautlayanan.

Transit Gateway men-support peran yang tertaut dengan layanan.

167

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-actions-as-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html#supported-iam-actions-tagging

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html#supported-iam-actions-tagging


https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-service-linked-roles.html

Amazon Virtual Private Cloud Panduan PenggunaContoh kebijakan

Peran layananFitur ini memungkinkan layanan untuk mendapat peran layanan atas nama Anda. Peran ini mengizinkanlayanan untuk mengakses sumber daya di layanan lain sebagai upaya menyelesaikan tindakan atas namaAnda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini artinya administratorIAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

Amazon VPC men-support peran layanan untuk log alur. Saat membuat log alur, Anda harus memilih peranyang mengizinkan layanan log alur mengakses CloudWatch Logs. Untuk informasi lebih lanjut, lihat IAMrole untuk menerbitkan log alur ke CloudWatch Logs (p. 318).

Contoh kebijakan Amazon VPCSecara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumberdaya VPC. Mereka juga tidak dapat melakukan tugas menggunakan API AWS Management Console,AWS CLI, atau AWS. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepadapara pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang merekaperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup IAM yangmemerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumenkebijakan JSON ini, lihat Membuat kebijakan di tab JSON dalam Panduan Pengguna IAM.

Daftar Isi• Praktik terbaik kebijakan (p. 168)• Gunakan konsol Amazon VPC (p. 169)• Buat sebuah VPC dengan subnet publik (p. 170)• Modifikasi dan hapus sumber daya VPC (p. 170)• Mengelola grup keamanan (p. 171)• Mengelola aturan grup keamanan (p. 172)• Luncurkan instans ke dalam subnet tertentu (p. 173)• Meluncurkan instans ke VPC tertentu (p. 173)• Contoh kebijakan Amazon VPC tambahan (p. 174)

Praktik terbaik kebijakanKebijakan-kebijakan berbasis identitas sangatlah kuat. Kebijakan-kebijakan itu menentukan apakahseseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon VPC di akun Anda.Tindakan ini dapat dikenai biaya untuk Akun AWS Anda. Ketika Anda membuat atau mengedit kebijakanberbasis identitas, ikuti panduan dan rekomendasi ini:

• Memulai penggunaan kebijakan terkelola AWS – Untuk segera memulai penggunaan Amazon VPC,gunakan kebijakan terkelola AWS agar para karyawan mendapatkan izin yang diperlukan. Kebijakan inisudah tersedia di akun Anda dan dikelola, serta diperbarui oleh AWS. Untuk informasi selengkapnya,lihat Memulai menggunakan izin dengan kebijakan terkelola AWS dalam Panduan Pengguna IAM.

• Berikan hak istimewa terkecil – Ketika Anda membuat kebijakan kustom, berikan izin yang diperlukansaja untuk melakukan tugas. Mulai dengan seperangkat izin minimum dan berikan izin tambahan sesuaikebutuhan. Melakukan hal tersebut lebih aman daripada memulai dengan izin yang terlalu longgar, lalumencoba memperketatnya nanti. Untuk informasi selengkapnya, lihat Berikan hak istimewa terkecildalam Panduan Pengguna IAM.

• Aktifkan MFA untuk operasi yang sensitif – Untuk keamanan ekstra, mintalah pengguna IAM untukmenggunakan autentikasi multi-faktor (MFA) guna mengakses sumber daya atau operasi API yangsensitif. Untuk informasi selengkapnya, lihat Menggunakan autentikasi multi-faktor (MFA) di AWS dalamPanduan Pengguna IAM.

168

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


• Gunakan syarat kebijakan untuk keamanan tambahan – Sejauh hal itu praktis, tentukan persyaratan agarkebijakan berbasis identitas Anda mengizinkan akses ke sumber daya. Misalnya, Anda dapat membuatpersyaratan untuk menentukan rentang alamat IP yang diperbolehkan untuk mengajukan permintaan.Anda juga dapat menulis persyaratan untuk meloloskan permintaan hanya dalam rentang tanggal atauwaktu tertentu, atau untuk mewajibkan penggunaan SSL atau MFA. Untuk informasi selengkapnya, lihatElemen kebijakan IAM JSON: Syarat dalam Panduan Pengguna IAM.

Gunakan konsol Amazon VPCUntuk mengakses konsol Amazon VPC, Anda harus memiliki satu set izin minimum. Izin ini harusmemperbolehkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Amazon VPC diakun AWS Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat dibandingkan izinminimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (penggunaIAM atau IAM role) dengan kebijakan tersebut.

Kebijakan berikut memberikan izin pengguna untuk mencantumkan sumber daya di konsol VPC, tetapitidak untuk membuat, memperbarui, atau menghapusnya.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeClassicLinkInstances", "ec2:DescribeClientVpnEndpoints", "ec2:DescribeCustomerGateways", "ec2:DescribeDhcpOptions", "ec2:DescribeEgressOnlyInternetGateways", "ec2:DescribeFlowLogs", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeMovingAddresses", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfacePermissions", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSecurityGroupRules", "ec2:DescribeStaleSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeTrafficMirrorFilters", "ec2:DescribeTrafficMirrorSessions", "ec2:DescribeTrafficMirrorTargets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcClassicLink", "ec2:DescribeVpcClassicLinkDnsSupport", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointConnectionNotifications", "ec2:DescribeVpcEndpointConnections", "ec2:DescribeVpcEndpointServiceConfigurations",

169



"ec2:DescribeVpcEndpointServicePermissions", "ec2:DescribeVpcEndpointServices", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetManagedPrefixListAssociations", "ec2:GetManagedPrefixListEntries" ], "Resource": "*" } ]}

Anda tidak perlu meloloskan izin konsol minimum untuk pengguna yang hanya melakukan panggilanke AWS CLI atau API AWS. Sebagai gantinya, untuk pengguna yang demikian, izinkan akses hanya ketindakan yang cocok dengan operasi API yang perlu mereka lakukan.

Buat sebuah VPC dengan subnet publikContoh berikut memungkinkan pengguna untuk membuat VPC, subnet, tabel rute, dan gateway internet.Pengguna juga dapat melampirkan gateway internet untuk VPC dan membuat rute dalam tabel rute.Tindakan ec2:ModifyVpcAttribute memungkinkan para pengguna untuk mengaktifkan nama hostDNS untuk VPC, sehingga setiap instans yang diluncurkan ke VPC menerima nama host DNS.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:ModifyVpcAttribute" ], "Resource": "*" } ]}

Kebijakan sebelumnya juga memungkinkan pengguna untuk membuat VPC menggunakan opsi konfigurasiVPC wizard yang pertama di konsol Amazon VPC. Untuk melihat wizard VPC, pengguna juga harusmemiliki izin untuk menggunakan ec2:DescribeVpcEndpointServices. Hal ini memastikan bahwabagian endpoint VPC dari wizard VPC memuat dengan benar.

Modifikasi dan hapus sumber daya VPCAnda mungkin ingin mengendalikan pengguna sumber daya VPC mana yang dapat mengubah ataumenghapus. Sebagai contoh, kebijakan berikut mengizinkan pengguna untuk bekerja dan menghapustabel rute yang memiliki tag Purpose=Test. Kebijakan ini juga menetapkan bahwa pengguna hanya dapatmenghapus gateway internet yang memiliki tag Purpose=Test. Pengguna tidak dapat bekerja dengantabel rute atau gateway internet yang tidak memiliki tag ini.

{ "Version": "2012-10-17",

170


"Statement": [ { "Effect": "Allow", "Action": "ec2:DeleteInternetGateway", "Resource": "arn:aws:ec2:*:*:internet-gateway/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteRouteTable", "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*", "Condition": { "StringEquals": { "ec2:ResourceTag/Purpose": "Test" } } } ]}

Mengelola grup keamananKebijakan berikut memungkinkan untuk melihat grup keamanan dan aturan grup keamanan. Pernyataankedua mengizinkan pengguna untuk menghapus grup keamanan apa pun yang memiliki tag Stack=testdan mengelola aturan inbound dan outbound untuk grup keamanan apa pun yang memiliki tagStack=test. Pernyataan ketiga mengharuskan para pengguna untuk memberi tag setiap grup keamananyang diberi tag Stack=Test. Pernyataan keempat mengizinkan para pengguna untuk membuat tag saatmembuat grup keamanan.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSecurityGroupRules", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress", "ec2:UpdateSecurityGroupRuleDescriptionsIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:UpdateSecurityGroupRuleDescriptionsEgress", "ec2:ModifySecurityGroupRules", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition":{

171


"StringEquals": { "ec2:ResourceTag/Stack": "test" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "aws:RequestTag/Stack": "test" }, "ForAllValues:StringEquals": { "aws:TagKeys": ["Stack"] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction" : "CreateSecurityGroup" } } } ]}

Untuk mengizinkan pengguna mengubah grup keamanan yang dikaitkan dengan instans, tambahkantindakan ec2:ModifyInstanceAttribute ke kebijakan Anda.

Untuk mengizinkan pengguna untuk mengubah grup keamanan untuk antarmuka jaringan, tambahkantindakan ec2:ModifyNetworkInterfaceAttribute ke kebijakan Anda.

Mengelola aturan grup keamananKebijakan berikut memberikan izin kepada para pengguna untuk melihat semua grup keamanan dan aturangrup keamanan, tambahkan dan buang aturan inbound dan outbound untuk grup keamanan untuk VPCtertentu, dan modifikasi deskripsi aturan untuk VPC tertentu. Pernyataan pertama menggunakan kuncisyarat ec2:Vpc untuk membatasi cakupan izin untuk VPC tertentu.

Pernyataan kedua memberikan izin pengguna untuk menjelaskan semua grup keamanan, aturan grupkeamanan, dan tag. Hal ini memungkinkan para pengguna untuk melihat aturan grup keamanan agar bisamemodifikasinya.

{ "Version": "2012-10-17", "Statement":[{ "Effect":"Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress", "ec2:UpdateSecurityGroupRuleDescriptionsIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:UpdateSecurityGroupRuleDescriptionsEgress",

172


"ec2:ModifySecurityGroupRules" ], "Resource": "arn:aws:ec2:region:account:security-group/*", "Condition": { "ArnEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSecurityGroupRules", "ec2:DescribeTags" ], "Resource": "*" } ]}

Luncurkan instans ke dalam subnet tertentuKebijakan berikut memberikan izin para pengguna untuk meluncurkan instans ke subnet tertentu,dan menggunakan grup keamanan tertentu dalam permintaan. Kebijakan tersebut dapat berbuatdemikian dengan menentukan ARN untuk subnet-11223344556677889, dan ARN untuksg-11223344551122334. Jika para pengguna mencoba untuk meluncurkan sebuah instans ke subnetyang berbeda atau menggunakan grup keamanan yang berbeda, permintaan akan gagal (kecuali kebijakanatau pernyataan lainnya memberikan izin kepada pengguna untuk melakukannya).

Kebijakan ini juga memberikan izin untuk menggunakan sumber daya antarmuka jaringan. Ketikameluncurkan ke dalam sebuah subnet, permintaan RunInstances menciptakan antarmuka jaringanutama secara default, sehingga pengguna membutuhkan izin untuk membuat sumber daya ini ketikameluncurkan instans.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-*", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:subnet/subnet-11223344556677889", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/sg-11223344551122334" ] } ]}

Meluncurkan instans ke VPC tertentuKebijakan berikut memberikan izin kepada para pengguna untuk meluncurkan instans ke dalam subnet apapun di dalam VPC tertentu. Kebijakan tersebut dapat berbuat demikian dengan menerapkan kunci syarat(ec2:Vpc) ke sumber daya subnet.

Kebijakan ini juga memberikan izin kepada para pengguna untuk meluncurkan instans-instansmenggunakan AMI yang memiliki tag "department=dev" saja.

173

Amazon Virtual Private Cloud Panduan PenggunaPecahkan masalah

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region:account:subnet/*", "Condition": { "StringEquals": { "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region::image/ami-*", "Condition": { "StringEquals": { "ec2:ResourceTag/department": "dev" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:volume/*", "arn:aws:ec2:region:account:network-interface/*", "arn:aws:ec2:region:account:key-pair/*", "arn:aws:ec2:region:account:security-group/*" ] } ]}

Contoh kebijakan Amazon VPC tambahanAnda dapat menemukan contoh tambahan kebijakan IAM yang terkait dengan Amazon VPC dalamdokumentasi berikut:

• ClassicLink• Daftar prefiks terkelola (p. 269)• Mirroring lalu lintas• Transit gateway• VPC endpoint dan layanan VPC endpoint• Kebijakan VPC endpoint• Peering VPC• AWS Wavelength

Pecahkan masalah identitas dan akses Amazon VPCGunakan informasi berikut untuk membantu Anda mendiagnosis dan mengatasi masalah umum yangmungkin Anda temui saat bekerja menggunakan Amazon VPC dan IAM.

Masalah• Saya tidak berwenang untuk melakukan tindakan di Amazon VPC (p. 175)

174

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#iam-example-classiclink

https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-iam.html

https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html

https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html

https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-policy-examples.html


• Saya tidak berwenang untuk melakukan iam:PassRole (p. 175)• Saya ingin melihat access key saya (p. 175)• Saya adalah administrator dan ingin mengizinkan orang lain mengakses Amazon VPC (p. 176)• Saya ingin mengizinkan orang di luar akun AWS saya untuk mengakses sumber daya Amazon VPC

saya (p. 176)

Saya tidak berwenang untuk melakukan tindakan di Amazon VPCJika AWS Management Console memberitahu Anda bahwa Anda tidak berwenang untuk melakukantindakan, Anda harus kontak administrator untuk mendapatkan bantuan. Administrator Anda adalah orangyang memberikan nama pengguna dan kata sandi Anda.

Contoh kesalahan berikut terjadi ketika pengguna IAM mateojackson mencoba menggunakan konsoltersebut untuk melihat detail tentang sebuah subnet, tetapi tidak memiliki izin ec2:DescribeSubnets.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id

Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya agar dia dapatmengakses subnet.

Saya tidak berwenang untuk melakukan iam:PassRoleJika Anda menerima kesalahan bahwa Anda tidak terotorisasi untuk melakukan tindakan iam:PassRole,maka Anda harus menghubungi administrator untuk mendapatkan bantuan. Administrator Andaadalah orang yang memberikan nama pengguna dan kata sandi Anda. Mintalah orang tersebut untukmemperbarui kebijakan Anda untuk mengizinkan Anda mendapat peran pada Amazon VPC.

Beberapa layanan AWS mengizinkan Anda untuk mendapat peran yang ada ke layanan tersebut, alih-alihmembuat peran layanan yang baru atau peran yang ditautkan dengan layanan. Untuk melakukannya, Andaharus memiliki izin untuk mendapatkan peran ke layanan.

Contoh kesalahan berikut terjadi saat pengguna IAM bernama marymajor mencoba menggunakan konsoltersebut untuk melaksanakan tindakan di Amazon VPC. Namun, tindakan tersebut mewajibkan layananmemiliki izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk mendapatkan peran tersebutke layanan.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Dalam kasus ini, Mary meminta administrator untuk memperbarui kebijakannya agar mengizinkannya untukmelakukan tindakan iam:PassRole.

Saya ingin melihat access key sayaSetelah Anda membuat access key pengguna IAM, Anda dapat melihat access key ID Anda setiap saat.Namun, Anda tidak dapat melihat secret access key lagi. Jika Anda kehilangan kunci rahasia, Anda harusmembuat pasangan access key baru.

Access key terdiri dari dua bagian: access key ID (misalnya, AKIAIOSFODNN7EXAMPLE) dan secret accesskey (misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Seperti nama pengguna dan katasandi, Anda harus menggunakan access key ID dan secret access key sekaligus untuk mengautentikasipermintaan Anda. Mengelola access key Anda sama amannya dengan nama pengguna dan kata sandiAnda.

175

Amazon Virtual Private Cloud Panduan PenggunaKebijakan terkelola AWS

Important

Jangan berikan access key Anda ke pihak ke tiga, bahkan untuk membantu menemukan IDpengguna kanonis Anda. Dengan melakukan ini, Anda mungkin memberi seseorang aksespermanen ke akun Anda.

Saat membuat pasangan access key, Anda diminta menyimpan access key ID dan secret access key dilokasi yang aman. Secret access key hanya tersedia saat Anda membuatnya. Jika Anda kehilangan secretaccess key, Anda harus menambahkan access key baru ke pengguna IAM Anda. Anda dapat memilikimaksimal dua access key. Jika Anda sudah memiliki dua, Anda harus menghapus satu pasangan kuncisebelum membuat yang baru. Untuk melihat instruksi, lihat Mengelola access key di Panduan PenggunaIAM.

Saya adalah administrator dan ingin mengizinkan orang lainmengakses Amazon VPCUntuk mengizinkan orang lain mengakses Amazon VPC, Anda harus membuat entitas IAM (penggunaatau peran) untuk orang atau aplikasi yang memerlukan akses. Mereka akan menggunakan kredensialuntuk entitas tersebut untuk mengakses AWS. Anda kemudian harus melampirkan kebijakan pada entitastersebut yang memberi mereka izin yang tepat di Amazon VPC.

Untuk segera mulai, lihat Membuat pengguna dan grup IAM pertama yang terdelegasi di PanduanPengguna IAM.

Saya ingin mengizinkan orang di luar akun AWS saya untukmengakses sumber daya Amazon VPC sayaAnda dapat membuat peran yang dapat digunakan para pengguna di akun lain atau orang-orang di luarorganisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa yang dipercayauntuk menjalankan peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya ataudaftar kontrol akses (ACL), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses kesumber daya Anda.

Untuk mempelajari selengkapnya, konsultasikan hal berikut:

• Untuk mempelajari apakah Amazon VPC men-support fitur-fitur ini, lihat Bagaimana cara Amazon VPCbekerja sama dengan IAM (p. 164).

• Untuk mempelajari cara memberikan akses ke sumber daya di seluruh Akun AWS yang Anda miliki, lihatMenyediakan akses ke pengguna IAM di Akun AWS lainnya yang Anda miliki di Panduan Pengguna IAM.

• Untuk mempelajari cara memberikan akses ke sumber daya Anda ke Akun AWS pihak ketiga, lihatMenyediakan akses ke Akun AWS yang dimiliki oleh pihak ke tiga di Panduan Pengguna IAM.

• Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat Memberikan akses kepengguna terautentikasi secara eksternal (federasi identitas) dalam Panduan Pengguna IAM.

• Untuk mempelajari perbedaan antara penggunaan peran dan kebijakan berbasis sumber daya untukakses lintas akun, lihat Perbedaan IAM role dengan kebijakan berbasis sumber daya dalam PanduanPengguna IAM.

Kebijakan terkelola AWS untuk Amazon Virtual PrivateCloudUntuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan terkelolaAWS dibandingkan menulis kebijakan sendiri. Membutuhkan waktu dan keahlian untuk membuat kebijakan

176

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html

Amazon Virtual Private Cloud Panduan PenggunaPencatatan dan pemantauan

yang dikelola pelanggan IAM yang memberikan kepada tim Anda izin yang mereka perlukan saja. Untukmulai dengan cepat, Anda dapat menggunakan kebijakan yang dikelola AWS. Kebijakan ini mencakupkasus penggunaan umum dan tersedia di akun AWS Anda. Untuk informasi selengkapnya tentangkebijakan yang dikelola AWS, lihat kebijakan terkelola AWS dalam Panduan Pengguna IAM.

Layanan AWS memelihara dan memperbarui kebijakan terkelola AWS. Anda tidak dapat mengubahizin di dalam kebijakan yang dikelola AWS. Layanan terkadang menambahkan izin tambahan kekebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini memengaruhi semuaidentitas (pengguna, grup, dan peran) tempat kebijakan dilampirkan. Layanan kemungkinan besar akanmemperbarui kebijakan yang dikelola AWS saat fitur baru diluncurkan atau saat operasi baru tersedia.Layanan tidak menghapus izin dari kebijakan yang dikelola AWS, sehingga pembaruan kebijakan tidakakan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan.Misalnya, kebijakan terkelola AWS ReadOnlyAccess memberikan akses baca-saja ke semua layanan AWSdan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin baca-saja untuk operasidan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi tugas, lihat kebijakan terkelola AWSuntuk fungsi tugas dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AmazonVPCFullAccessAnda dapat melampirkan kebijakan AmazonVPCFullAccess ke identitas IAM Anda. Kebijakan inimemberikan izin yang memungkinkan akses penuh ke Amazon VPC.

Untuk melihat izin kebijakan ini, lihat AmazonVPCFullAccess di AWS Management Console.

AWS Kebijakan terkelola: AmazonVPCReadOnlyAccessAnda dapat melampirkan kebijakan AmazonVPCReadOnlyAccess ke identitas IAM Anda. Kebijakan inimemberikan izin akses baca saja ke Amazon VPC.

Untuk melihat izin kebijakan ini, lihat AmazonVPCReadOnlyAccess di AWS Management Console.

Pembaruan Amazon VPC pada kebijakan AWS yang dikelolaLihat detail tentang pembaruan pada kebijakan AWS yang dikelola untuk Amazon VPC karena layanan inimulai melacak perubahan tersebut sejak Maret 2021.

Perubahan Deskripsi Tanggal

the section called“AmazonVPCFullAccess” (p. 177)- Pembaruan ke kebijakan yangtersedia

Tindakan ditambahkan untukgateway operator, kumpulanIPv6, gateway lokal, dan tabelrute gateway lokal.

23 Juni 2021

the section called“AmazonVPCReadOnlyAccess” (p. 177)- Pembaruan ke kebijakan yangtersedia

Tindakan tambahan untukgateway operator, kumpulanIPv6, gateway lokal, dan tabelrute gateway lokal.

23 Juni 2021

Mencatat dan memantau VPC AndaAnda dapat menggunakan alat pemantauan otomatis berikut untuk memantau VPC dan melaporkan saatterjadi kesalahan:

177

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess

https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess

Amazon Virtual Private Cloud Panduan PenggunaKetahanan

• Log alur: Log alur menangkap informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di VPCAnda. Anda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan individu. Data log alurdipublikasikan ke CloudWatch Logs atau Amazon S3, dan dapat membantu Anda mendiagnosis grupkeamanan dan aturan ACL jaringan yang terlalu ketat atau terlalu longgar. Untuk informasi lebih lanjut,lihat Log Alur VPC (p. 307).

• Memantau gateway NAT: Anda dapat memantau gateway NAT Anda menggunakan CloudWatch, yangmengumpulkan informasi dari gateway NAT Anda dan membuat metrik yang dapat dibaca dan hampirsecara langsung. Untuk informasi lebih lanjut, lihat Memantau gateway NAT menggunakan AmazonCloudWatch (p. 233).

Ketahanan di Amazon Virtual Private CloudInfrastruktur global AWS dibangun di sekitar Wilayah AWS dan Availability Zones. AWS Wilayah AWSmenyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung denganjaringan berlatensi rendah, throughput yang tinggi, dan sangat redundan. Dengan Availability Zone, Andadapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis mengalami failover antar zona tanpa gangguan. Availability Zone lebih tersedia, toleran kegagalan, dan dapat diskalakandibandingkan infrastruktur pusat data tunggal atau ganda tradisional.

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat Infrastruktur Global AWS.

Selain infrastruktur global AWS, Amazon VPC menawarkan beberapa fitur untuk membantu mendukungketahanan data dan kebutuhan backup Anda.

• Opsi Konektivitas Amazon VPC ke Amazon VPC• Opsi Konektivitas Jaringan ke Amazon VPC

Validasi kepatuhan untuk Amazon Virtual PrivateCloud

Auditor pihak ketiga menilai keamanan dan kepatuhan layanan AWS sebagai bagian dari beberapaprogram kepatuhan AWS, misalnya SOC, PCI, FedRAMP, dan HIPAA.

Untuk mempelajari apakah Amazon VPC atau layanan AWS lainnya berada dalam cakupan programkepatuhan tertentu, lihat Layanan AWS yang Dicakup oleh Program Kepatuhan. Untuk informasi umum,lihat Program Kepatuhan AWS.

Anda bisa mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasiselengkapnya, lihat Mengunduh Laporan di AWS Artifact.

Tanggung jawab kepatuhan Anda saat menggunakan layanan AWS ditentukan oleh sensitivitas data,tujuan kepatuhan perusahaan Anda, serta undang-undang dan peraturan yang berlaku. AWS menyediakansumber daya berikut untuk membantu dalam hal kepatuhan:

• Panduan Quick Start Keamanan dan Kepatuhan – Panduan deployment ini membahas pertimbanganarsitektur dan menerangkan langkah-langkah untuk men-deploy lingkungan dasar di AWS yang menjadifokus keamanan dan kepatuhan.

• Merancang Laporan Resmi Keamanan dan Kepatuhan HIPAA – Laporan resmi ini menjelaskanbagaimana perusahaan dapat menggunakan AWS untuk membuat aplikasi yang patuh-HIPAA.

Note

Tidak semua layanan patuh terhadap HIPAA.

178

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/answers/networking/aws-single-data-center-ha-network-connectivity/

http://aws.amazon.com/answers/networking/aws-single-data-center-ha-network-connectivity/

http://aws.amazon.com/compliance/services-in-scope/

http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Amazon Virtual Private Cloud Panduan PenggunaAnalisis konfigurasi dan kelemahan

• Sumber Daya Kepatuhan AWS – Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industridan lokasi Anda.

• Mengevaluasi Sumber Daya dengan Aturan dalam Panduan Developer AWS Config – Layanan AWSConfig menilai seberapa baik konfigurasi sumber daya Anda dalam mematuhi praktik internal, pedomanindustri, dan peraturan.

• AWS Security Hub – Layanan AWS ini memberikan pandangan yang komprehensif tentang statuskeamanan Anda di dalam AWS yang dapat membantu Anda untuk memeriksa kepatuhan terhadapstandar industri keamanan dan praktik terbaik.

• AWS Audit Manager – Layanan AWS ini akan membantu Anda terus meng-audit penggunaan AWSuntuk menyederhanakan bagaimana Anda mengelola risiko dan kepatuhan terhadap aturan dan standarindustri.

Analisis konfigurasi dan kelemahan di AmazonVirtual Private Cloud

Konfigurasi dan kontrol IT merupakan tanggung jawab bersama antara AWS dan Anda, pelanggan kami.Untuk informasi lebih lanjut, lihat model tanggung jawab bersama AWS. Selain model tanggung jawabbersama, pengguna VPC harus mengetahui hal berikut:

• Pelanggan bertanggung jawab untuk menambalkan patch aplikasi klien mereka dengan dependensi sisiklien yang relevan.

• Pelanggan harus mempertimbangkan uji penetrasi untuk NAT gateway dan instrans EC2 (lihat UjiPenetrasi/).

Grup Keamanan untuk VPC AndaGrup keamanan bertindak sebagai firewall virtual untuk instans Anda guna mengontrol lalu lintas masukdan keluar. Saat meluncurkan instans di VPC, Anda dapat menetapkan hingga lima grup keamanan keinstans. Grup keamanan bertindak pada tingkat instans, bukan tingkat subnet. Oleh karena itu, setiapinstans dalam subnet di VPC Anda dapat ditugaskan untuk serangkaian grup keamanan yang berbeda.

Jika Anda meluncurkan instans menggunakan API Amazon EC2 atau alat baris perintah dan Anda tidakmenentukan grup keamanan, instans secara otomatis ditetapkan ke grup keamanan default untuk VPC.Jika Anda meluncurkan instans menggunakan konsol Amazon EC2, Anda memiliki pilihan untuk membuatgrup keamanan baru untuk instans tersebut.

Untuk setiap grup keamanan, Anda menambahkan aturan yang mengontrol lalu lintas masuk ke instans,dan seperangkat aturan terpisah yang mengontrol lalu lintas keluar. Bagian ini menjelaskan hal-hal dasaryang perlu Anda ketahui tentang grup keamanan untuk VPC Anda dan aturan mereka.

Anda boleh mengatur ACL jaringan dengan aturan yang mirip dengan grup keamanan Anda untukmenambahkan lapisan keamanan tambahan untuk VPC Anda. Untuk informasi lebih lanjut tentangperbedaan antara grup keamanan dan ACL jaringan, lihat Membandingkan grup keamanan dan ACLjaringan (p. 157).

Daftar Isi• Dasar-dasar grup keamanan (p. 180)• Grup keamanan default untuk VPC Anda (p. 181)• Aturan grup keamanan (p. 181)

179

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html


http://aws.amazon.com/security/penetration-testing/

http://aws.amazon.com/security/penetration-testing/

Amazon Virtual Private Cloud Panduan PenggunaDasar-dasar grup keamanan

• Bekerja dengan grup keamanan (p. 184)• Mengelola grup keamanan VPC secara terpusat menggunakan AWS Firewall Manager (p. 189)

Dasar-dasar grup keamananBerikut ini adalah karakteristik grup keamanan:

• Anda dapat menentukan untuk mengizinkan aturan, tetapi tidak menolak aturan.• Anda dapat menentukan memisahkan aturan untuk lalu lintas masuk dan keluar.• Aturan grup keamanan memungkinkan Anda untuk mem-filter lalu lintas berdasarkan protokol dan jumlah

port.• Grup keamanan bersifat stateful — jika Anda mengirimkan sebuah permintaan dari instans Anda, lalu

lintas respon untuk permintaan tersebut diperbolehkan untuk mengalir masuk terlepas dari aturan grupkeamanan masuk. Respon terhadap lalu lintas masuk diperbolehkan untuk mengalirkan keluar, terlepasdari aturan keluar.

Note

Beberapa jenis lalu lintas dilacak secara berbeda dari jenis lain. Untuk informasi selengkapnya,lihat Pelacakan koneksi dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

• Saat Anda pertama kali membuat grup keamanan, grup keamanan tersebut tidak memiliki aturanmasuk. Oleh karena itu, tidak ada lalu lintas masuk yang berasal dari host lain ke instans Anda yangdiperbolehkan hingga Anda menambahkan aturan masuk ke grup keamanan tersebut.

• Secara default, suatu grup keamanan mencakup aturan keluar yang mengizinkan semua lalu lintaskeluar. Anda dapat menghapus aturan dan menambahkan aturan keluar yang hanya mengizinkan lalulintas keluar tertentu. Jika grup keamanan Anda tidak memiliki aturan keluar, tidak ada lalu lintas keluarberasal dari instans Anda yang diperbolehkan.

• Ada kuota jumlah grup keamanan yang dapat Anda buat per VPC, jumlah aturan yang dapat Andatambahkan ke setiap grup keamanan, dan jumlah grup keamanan yang dapat Anda kaitkan denganantarmuka jaringan. Untuk informasi lebih lanjut, lihat Kuota Amazon VPC (p. 341).

• Instans yang terkait dengan grup keamanan tidak dapat berbicara satu sama lain kecuali Andamenambahkan aturan yang mengizinkan lalu lintas tersebut (pengecualian: grup keamanan defaultmemiliki aturan ini secara default).

• Grup keamanan terkait dengan antarmuka jaringan. Setelah Anda meluncurkan sebuah instans, Andadapat mengubah grup keamanan yang terkait dengan instans tersebut, yang mengubah grup keamananyang terkait dengan antarmuka jaringan primer (eth0). Anda juga dapat menentukan untuk mengubahgrup keamanan yang terkait dengan antarmuka jaringan lainnya. Secara default, ketika Anda membuatantarmuka jaringan, antarmuka tersebut terkait dengan grup keamanan default untuk VPC, kecuali Andamenentukan grup keamanan yang berbeda. Untuk informasi selengkapnya tentang antarmuka jaringan,lihat Antarmuka jaringan elastis.

• Saat Anda membuat grup keamanan, Anda harus memberi nama dan deskripsi untuknya. Aturan berikutberlaku:• Nama dan deskripsi dapat memiliki panjang hingga 255 karakter.• Nama dan deskripsi terbatas pada karakter berikut: a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=&;{}!$*.• Saat nama tersebut berisi spasi di bagian paling belakang, kami akan menghapus spasi tersebut saat

kami menyimpan nama tersebut. Misalnya, jika Anda memasukkan "Grup Keamanan Pengujian "sebagai namanya, kami menyimpannya sebagai "Grup Keamanan Pengujian ".

• Nama grup keamanan tidak dapat memulai dengan sg- karena ini adalah nama sebuah grupkeamanan default.

• Nama grup keamanan harus unik di VPC.• Grup keamanan hanya dapat digunakan dalam VPC yang Anda tentukan saat Anda membuat grup

keamanan tersebut.

180

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-connection-tracking


Amazon Virtual Private Cloud Panduan PenggunaGrup keamanan default untuk VPC Anda

Grup keamanan default untuk VPC AndaVPC Anda secara otomatis dilengkapi dengan grup keamanan default. Jika Anda tidak menentukan grupkeamanan yang berbeda saat meluncurkan sebuah instans, kami akan mengaitkan grup keamanan defaultdengan instans Anda.

Note

Jika Anda meluncurkan sebuah instans di konsol Amazon EC2, wizard instans peluncuran secaraotomatis menentukan sebuah grup keamanan "launch-wizard-xx", yang dapat Anda kaitkandengan instans, bukan grup keamanan default.

Tabel berikut ini menjelaskan aturan default untuk grup keamanan default.

Inbound

Sumber Protokol Rentang port Deskripsi

ID grup keamanan(sg-xxxxxxxx)

Semua Semua Mengizinkan lalu lintasmasuk dari antarmukajaringan (dan instansterkait mereka) yangditetapkan ke grupkeamanan yang sama.

Outbound

Tujuan Protokol Rentang port Deskripsi

0.0.0.0/0 Semua Semua Mengizinkan semua lalulintas IPv4 keluar.

::/0 All All Allow all outbound IPv6traffic. This rule is addedby default if you create aVPC with an IPv6 CIDRblock or if you associatean IPv6 CIDR block withyour existing VPC.

Anda dapat mengubah aturan untuk grup keamanan default.

Anda tidak dapat menghapus grup keamanan default. Jika Anda mencoba menghapus grup keamanandefault, Anda akan mendapatkan pesan kesalahan berikut: Client.CannotDelete: the specifiedgroup: "sg-51530134" name: "default" cannot be deleted by a user.

Jika Anda telah mengubah aturan keluar untuk grup keamanan Anda, kami tidak secara otomatismenambahkan aturan keluar untuk lalu lintas IPv6 ketika Anda mengaitkan blok IPv6 dengan VPC Anda.

Aturan grup keamananAnda dapat menambahkan atau menghapus aturan untuk sebuah grup keamanan (juga disebut sebagaimemberikan otorisasi atau mencabut akses masuk atau keluar). Suatu aturan berlaku baik untuk lalu lintasmasuk (ingress) atau lalu lintas keluar (egress). Anda dapat memberikan akses ke rentang CIDR tertentu,atau ke grup keamanan lain di VPC Anda atau VPC peer (memerlukan koneksi peering VPC).

181

Amazon Virtual Private Cloud Panduan PenggunaAturan grup keamanan

Aturan grup keamanan mengontrol lalu lintas masuk yang diperbolehkan untuk mencapai instans yangterkait dengan grup keamanan. Aturan tersebut juga mengontrol lalu lintas keluar yang diperbolehkan untukmeninggalkannya.

Berikut ini adalah karakteristik aturan grup keamanan:

• Secara default, grup keamanan mengizinkan semua lalu lintas keluar.• Aturan grup keamanan selalu bersifat permisif; Anda tidak dapat membuat aturan yang menolak akses.• Aturan grup keamanan memungkinkan Anda untuk mem-filter lalu lintas berdasarkan protokol dan jumlah

port.• Grup keamanan bersifat stateful—jika Anda mengirimkan sebuah permintaan dari instans Anda, lalu

lintas respon untuk permintaan tersebut diperbolehkan untuk mengalir terlepas dari aturan masuk. Hal inijuga berarti respon terhadap lalu lintas masuk diperbolehkan mengalir keluar, terlepas dari aturan keluar.

• Anda dapat menambahkan dan menghapus aturan kapan saja. Perubahan Anda diterapkan secaraotomatis ke instans yang terkait dengan grup keamanan.

Dampak dari beberapa perubahan aturan dapat bergantung pada cara pelacakan lalu lintas.• Saat Anda mengaitkan beberapa grup keamanan dengan sebuah instans, aturan dari setiap grup

keamanan secara efektif diagregasi untuk membuat satu set aturan. Amazon EC2 menggunakan setaturan ini untuk menentukan apakah akses diperbolehkan.

Anda dapat menetapkan beberapa grup keamanan pada sebuah instans. Oleh karena itu, sebuahinstans dapat memiliki ratusan aturan yang berlaku. Hal ini dapat menyebabkan masalah saat Andamengakses instans tersebut. Kami menyarankan agar Anda sedapat mungkin membuat aturan Andapadat.

Untuk setiap aturan, Anda menentukan hal berikut:

• Nama: Nama untuk grup keamanan (misalnya, my-security-group).

Sebuah nama dapat memiliki panjang hingga 255 karakter. Karakter yang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=;{}!$*. Saat nama tersebut berisi spasi di bagian paling belakang, kamiakan memangkas spasi tersebut saat kami menyimpan nama tersebut. Misalnya, jika Anda memasukkan"Grup Keamanan Pengujian " sebagai namanya, kami menyimpannya sebagai "Grup KeamananPengujian ".

• Protokol: Protokol untuk mengizinkan. Protokol yang paling umum adalah 6 (TCP), 17 (UDP), dan 1(ICMP).

• Rentang port: Untuk TCP, UDP, atau protokol khusus, ada rentang port yang diizinkan. Anda dapatmenentukan angka port tunggal (misalnya, 22), atau sebuah rentang angka port (misalnya, 7000-8000).

• Tipe dan kode ICMP: Untuk ICMP, jenis dan kode ICMP.• Sumber atau tujuan: Sumber (aturan masuk) atau tujuan (aturan keluar) untuk lalu lintas. Tentukan salah

satu pilihan ini:• Satu alamat IPv4. Anda harus menggunakan panjang prefiks /32; misalnya, 203.0.113.1/32.• Satu alamat IPv6. Anda harus menggunakan panjang prefiks /128; misalnya,2001:db8:1234:1a00::123/128.

• Serangkaian alamat IPv4, dalam notasi blok CIDR; misalnya, 203.0.113.0/24.• Serangkaian alamat IPv6 dalam notasi blok CIDR; misalnya, 2001:db8:1234:1a00::/64.• ID daftar prefiks, misalnya, pl-1234abc1234abc123. Untuk informasi lebih lanjut, lihat Daftar

prefiks (p. 264).• Grup keamanan lainnya. Hal ini memungkinkan instans yang terkait dengan grup keamanan yang

ditentukan untuk mengakses instans yang terkait dengan grup keamanan ini. Pemilihan opsi ini tidakakan menambah aturan dari grup keamanan sumber ke grup keamanan ini. Anda dapat menentukansalah satu dari grup keamanan berikut:

182

Amazon Virtual Private Cloud Panduan PenggunaAturan grup keamanan

• Grup keamanan saat ini• Grup keamanan yang berbeda untuk VPC yang sama• Grup keamanan yang berbeda untuk sebuah VPC peer dalam koneksi peering VPC

• Deskripsi (Opsional): Anda dapat menambahkan deskripsi untuk aturan, yang dapat membantu Andauntuk mengidentifikasinya nanti. Sebuah deskripsi dapat memiliki panjang hingga 255 karakter. Karakteryang diperbolehkan adalah a-z, A-Z, 0-9, spasi, dan ._-:/()#,@[]+=;{}!$*.

Bila Anda membuat suatu aturan grup keamanan, AWS memberikan ID unik untuk aturan tersebut. Andadapat menggunakan ID aturan ketika Anda menggunakan API atau CLI untuk mengubah atau menghapusaturan tersebut.

Saat Anda menentukan sebuah grup keamanan sebagai sumber atau tujuan dari sebuah aturan, aturantersebut memengaruhi semua instans yang berkaitan grup keamanan tersebut. Lalu lintas masuk diizinkanberdasarkan alamat IP privat dari instans yang terkait dengan grup keamanan sumber (dan bukan alamatIP publik atau alamat IP Elastis). Jika aturan grup keamanan Anda merujuk pada sebuah grup keamanandalam sebuah VPC peer, dan grup keamanan yang dirujuk atau koneksi peering VPC dihapus, aturantersebut akan ditandai sebagai kedaluwarsa. Untuk informasi selengkapnya, lihat Cara MenggunakanAturan Grup Keamanan Kedaluwarsa dalam Panduan Peering Amazon VPC.

Bila Anda menentukan grup keamanan sebagai sumber aturan, lalu lintas diizinkan dari antarmuka jaringanyang terkait dengan grup keamanan sumber untuk protokol dan port yang ditentukan. Lalu lintas masukdiperbolehkan berdasarkan alamat IP privat dari antarmuka jaringan yang terkait dengan grup keamanansumber (dan bukan alamat IP publik atau alamat IP Elastis). Menambahkan grup keamanan sebagaisumber tidak akan menambah aturan dari grup keamanan sumber. Sebagai contoh, lihat Grup keamanandefault untuk VPC Anda (p. 181).

Beberapa sistem untuk mengatur firewall memungkinkan Anda mem-filter port sumber. Grup keamananmemungkinkan Anda untuk mem-filter hanya pada port tujuan.

Saat Anda menambahkan, memperbarui atau menghapus aturan, perubahan tersebut akan diterapkansecara otomatis pada semua instans yang terkait dengan grup keamanan.

Jenis aturan yang Anda tambahkan sering bergantung pada tujuan grup keamanan. Tabel berikut inimenjelaskan aturan contoh untuk sebuah grup keamanan yang terkait dengan server web. Web serverdapat menerima lalu lintas HTTP dan HTTPS dari semua alamat IPv4 dan IPv6, dan dapat mengirim lalulintas SQL atau MySQL ke server basis data.

Inbound

Sumber Protokol Rentang port Deskripsi

0.0.0.0/0 TCP 80 Mengizinkan aksesHTTP masuk darisemua alamat IPv4

::/0 TCP 80 Allow inbound HTTPaccess from all IPv6addresses

0.0.0.0/0 TCP 443 Mengizinkan aksesHTTPS masuk darisemua alamat IPv4

::/0 TCP 443 Allow inbound HTTPSaccess from all IPv6addresses

183

https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html#vpc-peering-stale-groups


Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan grup keamanan

Rentang alamat IPv4publik jaringan Anda

TCP 22 Mengizinkan akses SSHmasuk ke instans Linuxdari alamat IP IPv4 dijaringan Anda (melaluigateway internet)

Rentang alamat IPv4publik jaringan Anda

TCP 3389 Mengizinkan aksesRDP masuk ke instansWindows dari alamatIP IPv4 di jaringanAnda (melalui gatewayinternet)

Outbound

Tujuan Protokol Rentang port Deskripsi

ID grup keamananuntuk server basis dataMicrosoft SQL ServerAnda

TCP 1433 Mengizinkan aksesMicrosoft SQL Serverkeluar ke instans dalamgrup keamanan tertentu

ID dari grup keamananuntuk server basis dataMySQL Anda

TCP 3306 Mengizinkan aksesMySQL keluar keinstans dalam grupkeamanan tertentu

Sebuah server basis data membutuhkan seperangkat aturan yang berbeda. Sebagai contoh, bukannya lalulintas HTTP dan HTTPS masuk, Anda dapat menambahkan aturan yang mengizinkan akses MySQL atauMicrosoft SQL Server. Sebagai contoh aturan grup keamanan untuk server web dan server basis data, lihatSecurity (p. 59). Untuk informasi selengkapnya tentang grup keamanan untuk instans DB Amazon RDS,lihat Mengendalikan akses dengan grup keamanan di Panduan Pengguna Amazon RDS.

sebagai contoh aturan grup keamanan untuk jenis akses tertentu, lihat Referensi aturan grup keamanandalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Aturan grup keamanan yang kedaluwarsaJika VPC Anda memiliki koneksi peering VPC dengan VPC lain, aturan grup keamanan dapat merujuk grupkeamanan lain di VPC peer tersebut. Hal ini memungkinkan instans yang terkait dengan grup keamananyang dirujuk dan yang terkait dengan grup keamanan yang merujuk untuk saling berkomunikasi.

Jika pemilik VPC peer menghapus grup keamanan yang dirujuk, atau jika Anda atau pemilik VPC peermenghapus koneksi peering VPC, aturan grup keamanan ditandai sebagai stale. Anda dapat menghapusaturan grup keamanan kedaluwarsa seperti yang Anda lakukan terhadap aturan grup keamanan lainnya.

Untuk informasi selengkapnya, lihat Cara menggunakan aturan grup keamanan kedaluwarsa dalamPanduan Peering Amazon VPC.

Bekerja dengan grup keamananTugas-tugas berikut menunjukkan kepada Anda tentang cara bekerja dengan grup keamananmenggunakan konsol Amazon VPC.

Izin yang diperlukan

• Mengelola grup keamanan (p. 171)• Mengelola aturan grup keamanan (p. 172)

184

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html



Tugas• Mengubah grup keamanan default (p. 185)• Membuat grup keamanan (p. 185)• Melihat grup keamanan Anda (p. 186)• Menandai grup keamanan Anda (p. 186)• Menambahkan aturan ke sebuah grup keamanan (p. 186)• Memperbarui aturan grup keamanan (p. 187)• Menandai aturan grup keamanan (p. 188)• Menghapus aturan grup keamanan (p. 188)• Mengubah grup keamanan untuk instans (p. 189)• Menghapus grup keamanan (p. 189)

Mengubah grup keamanan defaultVPC Anda mencakup grup keamanan default (p. 181). Anda tidak dapat menghapus grup ini; namun,Anda dapat mengubah aturan grup. Prosedur ini sama dengan mengubah grup keamanan lainnya.

Membuat grup keamananMeskipun Anda dapat menggunakan grup keamanan default untuk instans Anda, Anda mungkin inginmembuat grup Anda sendiri untuk mencerminkan peran yang berbeda yang dimainkan instans di sistemAnda.

Secara default, grup keamanan baru dimulai hanya dengan aturan keluar yang mengizinkan semua lalulintas meninggalkan instans. Anda harus menambahkan aturan untuk mengaktifkan lalu lintas masuk ataumembatasi lalu lintas keluar.

Grup keamanan hanya dapat digunakan dalam VPC yang menjadi tujuan pembuatan grup keamanantersebut.

Untuk informasi tentang izin yang diperlukan untuk membuat grup keamanan dan mengelola aturan grupkeamanan, lihat Mengelola grup keamanan (p. 171) dan Mengelola aturan grup keamanan (p. 172).

Untuk membuat grup keamanan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Pilih Buat grup keamanan.4. Masukkan nama dan deskripsi untuk grup keamanan tersebut. Anda tidak dapat mengubah nama dan

deskripsi grup keamanan setelah dibuat.5. Dari VPC, pilih VPC.6. Anda dapat menambahkan aturan grup keamanan sekarang, atau Anda dapat menambahkannya

nanti. Untuk informasi lebih lanjut, lihat Menambahkan aturan ke sebuah grup keamanan (p. 186).7. Anda dapat menambahkan tag sekarang, atau Anda dapat menambahkannya nanti. Untuk

menambahkan tag, pilih Tambahkan tag baru dan masukkan kunci dan nilai tag.8. Pilih Buat grup keamanan.

Untuk membuat grup keamanan menggunakan baris perintah

• create-security-group (AWS CLI)• New-EC2SecurityGroup (AWS Tools for Windows PowerShell)

185



https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html


Melihat grup keamanan AndaAnda dapat melihat informasi tentang grup keamanan Anda sebagai berikut.

Untuk informasi tentang izin yang diperlukan untuk melihat grup keamanan, lihat Mengelola grupkeamanan (p. 171).

Untuk memperbarui grup keamanan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Grup keamanan Anda terdaftar. Untuk melihat detail untuk suatu grup keamanan tertentu, termasuk

aturan masuk dan keluar, pilih grup keamanan tersebut.

Untuk membuat grup keamanan menggunakan baris perintah

• describe-security-groups dan describe-security-group-rules (AWS CLI)• Get-EC2SecurityGroup dan Get-EC2SecurityGroupRules (AWS Tools for Windows PowerShell)

Menandai grup keamanan AndaTambahkan tag ke sumber daya Anda untuk membantu mengatur dan mengidentifikasi sumber dayatersebut, misalnya berdasarkan tujuan, pemilik, atau lingkungan. Anda dapat menambahkan tag kegrup keamanan Anda. Kunci tag harus unik untuk masing-masing aturan grup keamanan. Jika Andamenambahkan tag dengan kunci yang sudah terkait dengan aturan, maka nilai tag tersebut akandiperbarui.

Untuk menandai grup keamanan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Pilih kotak centang untuk grup keamanan.4. Pilih Tindakan, Kelola tag.5. Halaman Kelola tag menampilkan tag yang ditetapkan ke grup keamanan. Untuk menambahkan tag,

pilih Tambahkan tag dan masukkan kunci dan nilai tag. Untuk menghapus tag, pilih Hapus di sampingtag yang ingin Anda hapus.

6. Pilih Simpan Perubahan.

Untuk menandai grup keamanan menggunakan baris perintah

• create-tags (AWS CLI)• New-EC2Tag (AWS Tools for Windows PowerShell)

Menambahkan aturan ke sebuah grup keamananSaat Anda menambahkan sebuah aturan ke sebuah grup keamanan, aturan baru secara otomatisditerapkan ke setiap instans yang terkait dengan grup keamanan tersebut.

Jika Anda memiliki koneksi peering VPC, Anda dapat merujuk grup keamanan dari VPC peer sebagaisumber atau tujuan dalam aturan grup keamanan Anda. Untuk informasi selengkapnya, lihat Memperbaruigrup keamanan Anda untuk merujuk grup keamanan VPC peer dalam Panduan Peering Amazon VPC.

186


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-rules.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroup.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupRules.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html

https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html



Untuk informasi tentang izin yang diperlukan untuk mengelola aturan grup keamanan, lihat Mengelolaaturan grup keamanan (p. 172).

Untuk menambahkan aturan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Memilih grup keamanan.4. Pilih Tindakan, Edit aturan masuk atau Tindakan, Edit aturan keluar.5. Untuk setiap aturan, pilih Tambahkan aturan dan lakukan hal berikut.

a. Untuk Jenis, pilih jenis protokol yang diperbolehkan.

• Untuk TCP atau UDP, Anda harus memasukkan rentang port yang diperbolehkan.• Untuk ICMP kustom, Anda harus memilih jenis ICMP dari Protokol, dan, jika memungkinkan,

nama kode dari Rentang port.• Untuk jenis lainnya, protokol dan rentang port dikonfigurasi secara otomatis.

b. Untuk Sumber (aturan masuk) atau Tujuan (aturan keluar), lakukan salah satu dari hal berikutuntuk mengizinkan lalu lintas:

• Pilih Kustom lalu masukkan alamat IP dalam notasi CIDR, blok CIDR, grup keamanan lainnya,atau daftar prefiks.

• Pilih Dimana saja untuk mengizinkan lalu lintas dari alamat IP mana pun untuk mencapaiinstans Anda (peraturan masuk) atau untuk mengizinkan lalu lintas dari instans Anda untukmencapai semua alamat IP (peraturan keluar). Opsi ini secara otomatis menambahkan blokCIDR 0.0.0.0/0 IPv4.

Jika grup keamanan Anda berada dalam sebuah VPC yang diizinkan untuk IPv6, opsi ini secaraotomatis menambahkan aturan untuk blok CIDR ::/0 IPv6.

Untuk aturan masuk, hal ini dapat diterima untuk waktu singkat di lingkungan pengujian, tetapitidak aman untuk lingkungan produksi. Dalam produksi, lakukan otorisasi hanya untuk alamat IPatau rentang alamat tertentu untuk mengakses instans Anda.

• Pilih My IP untuk mengizinkan lalu lintas hanya dari (aturan masuk) atua ke (aturan keluar)alamat IPv4 publik komputer lokal Anda.

c. (Opsional) Untuk Deskripsi, sebutkan deskripsi singkat untuk aturan.6. Pilih Simpan aturan.

Untuk menambahkan aturan ke grup keamanan menggunakan baris perintah

• authorize-security-group-ingress dan authorize-security-group-egress (AWS CLI)• Grant-EC2SecurityGroupIngress dan Grant-EC2SecurityGroupEgress (AWS Tools for Windows

PowerShell)

Memperbarui aturan grup keamananKetika Anda memperbarui aturan, maka aturan yang diperbarui secara otomatis diterapkan terhadapinstans yang terkait dengan grup keamanannya.

Untuk informasi tentang izin yang diperlukan untuk mengelola aturan grup keamanan, lihat Mengelolaaturan grup keamanan (p. 172).

187



https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html


Untuk memperbarui aturan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Memilih grup keamanan.4. Pilih Tindakan, Edit aturan masuk atau Tindakan, Edit aturan keluar.5. Perbarui aturan seperti yang diperlukan.6. Pilih Simpan aturan.

Untuk memperbarui deskripsi aturan grup keamanan menggunakan baris perintah

• modify-security-group-rules, update-security-group-rule-descriptions-ingress, dan update-security-group-rule-descriptions-egress (AWS CLI)

• Update-EC2SecurityGroupRuleIngressDescription dan Update-EC2SecurityGroupRuleEgressDescription(AWS Tools for Windows PowerShell)

Menandai aturan grup keamananTambahkan tag ke sumber daya Anda untuk membantu mengatur dan mengidentifikasi sumber dayatersebut, misalnya berdasarkan tujuan, pemilik, atau lingkungan. Anda dapat menambahkan tag keaturan grup keamanan. Kunci tag harus unik untuk masing-masing aturan grup keamanan. Jika Andamenambahkan tag dengan kunci yang sudah terkait dengan grup target, maka nilai tag tersebut akandiperbarui.

Untuk menandai aturan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Memilih grup keamanan.4. Pada Aturan masuk atau Aturan keluar, pilih kotak centang untuk aturan dan kemudian pilih Kelola tag.5. Halaman Manage tags menampilkan tag yang ditetapkan ke aturan tersebut. Untuk menambahkan tag,

pilih Tambahkan tag dan masukkan kunci dan nilai tag. Untuk menghapus tag, pilih Hapus di sampingtag yang ingin Anda hapus.

6. Pilih Simpan Perubahan.

Untuk menandai aturan menggunakan baris perintah


Menghapus aturan grup keamananSaat Anda menghapus sebuah aturan dari sebuah grup keamanan, perubahan secara otomatis diterapkanpada setiap instans yang terkait dengan grup keamanan.

Untuk menghapus grup keamanan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.

188


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleIngressDescription.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Update-EC2SecurityGroupRuleEgressDescription.html





Amazon Virtual Private Cloud Panduan PenggunaMengelola grup keamanan VPC secara

terpusat menggunakan AWS Firewall Manager

3. Memilih grup keamanan.4. Pilih Tindakan, lalu pilih Edit aturan masuk untuk menghapus aturan masuk atau Edit aturan keluar

untuk menghapus aturan keluar.5. Pilih tombol Hapus di sebelah aturan yang ingin Anda hapus.6. Pilih Simpan aturan.

Untuk menghapus grup keamanan menggunakan baris perintah

• revoke-security-group-ingress dan revoke-security-group-egress(AWS CLI)• Revoke-EC2SecurityGroupIngress dan Revoke-EC2SecurityGroupEgress (AWS Tools for Windows

PowerShell)

Mengubah grup keamanan untuk instansSetelah Anda meluncurkan instans ke VPC, Anda dapat mengubah grup keamanan yang terkait denganinstans ketika instans tersebut berada dalam keadaan running atau stopped. Untuk informasiselengkapnya, lihat Mengubah grup keamanan instans dalam Panduan Pengguna Amazon EC2 untukInstans Linux.

Menghapus grup keamananAnda dapat menghapus grup keamanan hanya jika tidak terkait dengan instans mana pun (baik berjalanatau berhenti). Anda dapat mengubah grup keamanan yang terkait dengan instans yang berjalan atauberhenti; untuk informasi selengkapnya, lihat Mengubah grup keamanan untuk instans (p. 189)). Andatidak dapat menghapus grup keamanan default.

Jika menggunakan konsol tersebut, Anda dapat menghapus lebih dari satu grup keamanan sekaligus. Jikamenggunakan baris perintah atau API, Anda hanya dapat menghapus satu grup keamanan dalam satuwaktu.

Untuk menghapus grup keamanan menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Pilih satu atau beberapa grup keamanan lalu pilih Tindakan, Hapus Grup Keamanan.4. Ketika diminta konfirmasi, masukkan delete lalu pilih Hapus.

Untuk menghapus grup keamanan menggunakan baris perintah

• delete-security-group (AWS CLI)• Remove-EC2SecurityGroup (AWS Tools for Windows PowerShell)

Mengelola grup keamanan VPC secara terpusatmenggunakan AWS Firewall ManagerAWS Firewall Manager menyederhanakan tugas administrasi dan pemeliharaan grup keamanan VPC dibeberapa akun dan sumber daya. Dengan Firewall Manager, Anda dapat mengkonfigurasi dan meng-audit grup keamanan untuk organisasi Anda dari satu akun administrator pusat. Firewall Manager secaraotomatis menerapkan aturan dan perlindungan di seluruh akun dan sumber daya, bahkan saat Anda

189

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html

Amazon Virtual Private Cloud Panduan PenggunaACL jaringan

menambahkan sumber daya baru. Firewall Manager sangat berguna ketika Anda ingin melindungi seluruhorganisasi Anda, atau jika Anda sering menambahkan sumber daya baru yang ingin Anda lindungi dariakun administrator pusat.

Anda dapat menggunakan Firewall Manager untuk mengelola grup keamanan secara terpusat dengan caraberikut:

• Mengkonfigurasi grup keamanan dasar umum di seluruh organisasi: Anda dapat menggunakankebijakan grup keamanan umum untuk menyediakan pengelompokan grup keamanan untuk akun dansumber daya di seluruh organisasi Anda. Anda menentukan di mana dan bagaimana menerapkankebijakan di organisasi Anda.

• Mengaudit grup keamanan yang ada di organisasi Anda: Anda dapat menggunakan kebijakan grupkeamanan audit untuk memeriksa aturan yang ada yang digunakan dalam grup keamanan organisasiAnda. Anda dapat menjangkau kebijakan untuk meng-audit semua akun, akun tertentu, atau sumberdaya yang ditandai dalam organisasi Anda. Firewall Manager secara otomatis mendeteksi akun dansumber daya baru dan mengauditnya. Anda dapat membuat aturan audit untuk menetapkan pengamanyang berupa aturan grup keamanan untuk pemberian izin atau pelarangan dalam organisasi Anda, danuntuk memeriksa grup keamanan yang tidak digunakan atau tumpang tindih.

• Mendapatkan laporan tentang sumber daya yang tidak sesuai dan memperbaikinya: Anda bisamendapatkan laporan dan peringatan untuk sumber daya yang tidak sesuai untuk data awal Anda danmeng-audit kebijakan. Anda juga dapat mengatur alur kerja perbaikan otomatis untuk memulihkansumber daya yang tidak sesuai yang terdeteksi oleh Firewall Manager.

Untuk mempelajari selengkapnya tentang penggunaan Firewall Manager untuk mengelola grup keamananAnda, lihat topik berikut di Panduan Developer AWS WAF:

• AWS Firewall Manager prasyarat• Memulai dengan Kebijakan grup keamanan Amazon VPC AWS Firewall Manager• Bagaimana kebijakan grup keamanan bekerja di AWS Firewall Manager• Kasus penggunaan kebijakan grup keamanan

ACL jaringanDaftar kontrol akses (ACL) jaringan adalah lapisan keamanan opsional untuk VPC Anda yang bertindaksebagai firewall untuk mengontrol lalu lintas masuk dan keluar dari satu atau lebih subnet. Anda bolehmengatur ACL jaringan dengan aturan yang mirip dengan grup keamanan Anda untuk menambahkanlapisan keamanan tambahan untuk VPC Anda. Untuk informasi lebih lanjut tentang perbedaan antara grupkeamanan dan ACL jaringan, lihat Membandingkan grup keamanan dan ACL jaringan (p. 157).

Daftar Isi• Dasar-dasar ACL jaringan (p. 191)• Aturan ACL Jaringan (p. 191)• ACL jaringan default (p. 192)• ACL Jaringan kustom (p. 193)• ACL jaringan kustom dan layanan AWS lainnya (p. 201)• Ephemeral port (p. 201)• Path MTU Discovery (p. 201)• Bekerja dengan ACL jaringan (p. 202)• Contoh: Kontrol akses ke instans dalam subnet (p. 206)

190

https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html

https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-security-group.html

https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html

https://docs.aws.amazon.com/waf/latest/developerguide/security-group-policies.html#security-group-policies-use-cases

Amazon Virtual Private Cloud Panduan PenggunaDasar-dasar ACL jaringan

• Aturan yang disarankan untuk skenario wizard VPC (p. 208)

Dasar-dasar ACL jaringanBerikut ini adalah hal-hal dasar yang perlu Anda ketahui tentang ACL jaringan:

• VPC Anda secara otomatis dilengkapi dengan ACL jaringan default yang dapat diubah. Secara default,mengizinkan semua lalu lintas IPv4 masuk dan keluar dan, jika mengizinkan, lalu lintas IPv6.

• Anda dapat membuat ACL jaringan kustom dan menghubungkannya ke sebuah subnet. Secara default,setiap ACL jaringan kustom menolak semua lalu lintas masuk dan keluar sampai Anda menambahkanaturan.

• Setiap subnet di VPC Anda harus dihubungkan dengan sebuah ACL jaringan. Jika Anda tidak benar-benar menghubungkan subnet dengan ACL jaringan, subnet secara otomatis dihubungkan ke ACLjaringan default.

• Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, subnet hanya dapatdihubungkan ke satu ACL jaringan saja dalam satu waktu. Ketika Anda menghubungkan ACL jaringandengan sebuah subnet, hubungan sebelumnya akan dihapus.

• ACL jaringan berisi daftar aturan yang diberi nomor. Kami mengevaluasi aturan secara berurutan, dimulaidari aturan bernomor terendah, untuk menentukan apakah lalu lintas diperbolehkan masuk atau keluardari subnet apapun yang terhubung dengan ACL jaringan. Nomor tertinggi yang dapat Anda gunakanuntuk aturan adalah 32766. Kami menyarankan Anda mulai dengan membuat aturan secara bertahap(misalnya, kenaikan per 10 atau 100) sehingga Anda dapat memasukkan aturan baru jika selanjutnyadiperlukan.

• Suatu ACL jaringan memiliki aturan masuk dan keluar terpisah, dan setiap aturan dapat mengizinkanatau menolak lalu lintas.

• ACL jaringan bersifat stateless, yang artinya respon untuk mengizinkan lalu lintas masuk tunduk padaaturan untuk lalu lintas keluar (dan sebaliknya).

Ada kuota (batasan) untuk jumlah ACL jaringan per VPC, dan jumlah aturan per ACL jaringan. Untukinformasi lebih lanjut, lihat Kuota Amazon VPC (p. 341).

Aturan ACL JaringanAnda dapat menambahkan atau menghapus aturan dari ACL jaringan default, atau membuat ACL jaringantambahan untuk VPC Anda. Ketika Anda menambahkan atau menghapus aturan dari ACL jaringan,perubahan secara otomatis diterapkan ke subnet yang terhubung dengannya.

Berikut ini adalah bagian-bagian dari aturan ACL jaringan:

• Nomor aturan. Aturan dievaluasi mulai dari aturan bernomor terendah. Setelah aturan cocok dengan lalulintas, aturan tersebut langsung diterapkan terlepas dari apakah ada aturan bernomor lebih tinggi yangmungkin bertentangan dengan itu.

• Jenis. Jenis lalu lintas; misalnya, SSH. Anda juga dapat menentukan semua lalu lintas atau rentangkustom.

• Protokol. Anda dapat menetapkan protokol manapun yang memiliki nomor protokol standar. Untukinformasi selengkapnya, lihat Nomor Protokol. Jika Anda menetapkan ICMP sebagai protokol, Andadapat menetapkan satu atau semua jenis dan kode ICMP.

• Rentang port. Listening port atau rentang port untuk lalu lintas. Misalnya, 80 untuk lalu lintas HTTP.• Sumber. [Aturan masuk saja] Sumber lalu lintas (rentang CIDR).• Tujuan. [Aturan keluar saja] Tujuan untuk lalu lintas (rentang CIDR).• Izinkan/Tolak. Apakah mengizinkan atau menolak lalu lintas yang ditentukan.

191

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

Amazon Virtual Private Cloud Panduan PenggunaACL jaringan default

Jika Anda menambahkan aturan menggunakan alat baris perintah atau API Amazon EC2, rentang CIDRsecara otomatis diubah ke bentuk kanonisnya. Misalnya, jika Anda menetapkan 100.68.0.18/18 untukrentang CIDR, kami membuat aturan dengan rentang CIDR 100.68.0.0/18.

ACL jaringan defaultACL jaringan default dikonfigurasi untuk mengizinkan semua lalu lintas mengalir masuk dan keluar darisubnet yang terhubung dengannya. Setiap ACL jaringan juga mencakup aturan yang memiliki nomoraturan bertanda bintang. Aturan ini memastikan bahwa jika sebuah paket tidak cocok dengan aturanbernomor lainnya, maka paket ditolak. Anda tidak dapat mengubah atau menghapus aturan ini.

Berikut ini adalah contoh ACL jaringan default untuk VPC yang hanya mendukung IPv4.

Masuk

Aturan # Jenis Protokol Rentang port Sumber Izinkan/Tolak

100 All IPv4 traffic Semua Semua 0.0.0.0/0 IZINKAN

* All IPv4 traffic Semua Semua 0.0.0.0/0 TOLAK

Keluar

Aturan # Jenis Protokol Rentang port Tujuan Izinkan/Tolak


* All IPv4 traffic Semua Semua 0.0.0.0/0 TOLAK

Jika Anda membuat VPC dengan blok CIDR IPv6 atau jika Anda mengaitkan blok CIDR IPv6 dengan VPCyang ada, kami secara otomatis menambahkan aturan yang mengizinkan semua lalu lintas IPv6 mengalirmasuk dan keluar dari subnet Anda. Kami juga menambahkan aturan yang memiliki nomor aturan bertandabintang yang memastikan bahwa paket ditolak jika tidak cocok dengan aturan bernomor lainnya. Anda tidakdapat mengubah atau menghapus aturan ini. Berikut ini adalah contoh ACL jaringan default untuk VPCyang mendukung IPv4 dan IPv6.

Note

Jika Anda telah mengubah aturan masuk ACL jaringan default Anda, kami tidak akan secaraotomatis menambahkan aturan izinkan untuk lalu lintas IPv6 masuk ketika Anda mengaitkan blokIPv6 dengan VPC Anda. Demikian pula, jika Anda telah mengubah aturan keluar, kami tidak akansecara otomatis menambahkan aturan izinkan untuk lalu lintas IPv6 keluar.

Masuk



101 Semua lalulintas IPv6

Semua Semua ::/0 IZINKAN

* All traffic Semua Semua 0.0.0.0/0 TOLAK

* Semua lalulintas IPv6

Semua Semua ::/0 TOLAK

Keluar

192

Amazon Virtual Private Cloud Panduan PenggunaACL Jaringan kustom


100 All traffic Semua Semua 0.0.0.0/0 IZINKAN

101 Semua lalulintas IPv6

Semua Semua ::/0 IZINKAN

* All traffic Semua Semua 0.0.0.0/0 TOLAK

* Semua lalulintas IPv6

Semua Semua ::/0 TOLAK

ACL Jaringan kustomBerikut ini adalah contoh ACL jaringan kustom untuk VPC yang hanya mendukung IPv4. Ini termasukaturan yang mengizinkan lalu lintas HTTP dan HTTPS di (aturan masuk 100 dan 110). Ada aturan keluaryang sesuai yang mengizinkan respon terhadap lalu lintas masuk tersebut (aturan keluar 140, yangmencakup ephermeral port 32768-65535). Untuk informasi lebih lanjut tentang cara memilih rentang portephemeral yang sesuai, lihat Ephemeral port (p. 201).

ACL jaringan juga mencakup aturan masuk yang mengizinkan lalu lintas SSH dan RDP ke subnet. Aturankeluar 120 mengizinkan respon meninggalkan subnet.

ACL jaringan memiliki aturan keluar (100 dan 110) yang mengizinkan lalu lintas HTTP dan HTTPS keluardari subnet. Ada aturan keluar yang sesuai yang mengizinkan respon terhadap lalu lintas keluar tersebut(aturan keluar 140, yang mencakup ephermeral port 32768-65535).

Note

Setiap ACL jaringan mencakup aturan default yang nomor aturannya bertanda bintang. Aturanini memastikan bahwa jika sebuah paket tidak cocok dengan aturan lainnya, maka paket ditolak.Anda tidak dapat mengubah atau menghapus aturan ini.

masuk

Aturan # Jenis Protokol Rentang port Sumber Izinkan/Tolak Komentar

100 HTTP TCP 80 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTP masukdari alamatIPv4 apapun.

110 HTTPS TCP 443 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTP masukdari alamatIPv4 apapun.

120 SSH TCP 22 192.0.2.0/24 IZINKAN Mengizinkanlalu lintasSSH masukdari rentangalamatIPv4 publikjaringan

193


rumah Anda(melaluigatewayinternet).

130 RDP TCP 3389 192.0.2.0/24 IZINKAN Mengizinkanlalu lintasRDP masukke serverweb darirentangalamatIPv4 publikjaringanrumah Anda(melaluigatewayinternet).

140 Custom TCP TCP 32768-65535 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasIPv4 kembalimasuk dariinternet(yaitu, untukpermintaanyang berasaldari subnet).

Rentangini hanyacontoh.Untukinformasilebih lanjuttentang caramemilihrentangephemeralport yangsesuai, lihatEphemeralport (p. 201).

* All traffic Semua Semua 0.0.0.0/0 TOLAK Menolaksemualalu lintasIPv4 masukyang belumditanganioleh aturansebelumnya(tidak dapatdiubah).

Keluar

Aturan # Jenis Protokol Rentang port Tujuan Izinkan/Tolak Komentar

194


100 HTTP TCP 80 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTP IPv4keluar darisubnet keinternet.

110 HTTPS TCP 443 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTPS IPv4keluar darisubnet keinternet.

120 SSH TCP 22 192.0.2.0/24 IZINKAN Mengizinkanlalu lintasSSH keluardari rentangalamatIPv4 publikjaringanrumah Anda(melaluigatewayinternet).

140 Custom TCP TCP 32768-65535 0.0.0.0/0 IZINKAN MengizinkanresponIPv4 keluaruntuk kliendi internet(misalnya,melayanihalamanweb untukorang-orang yangmengunjungiserver webdi subnet).


195


* All traffic Semua Semua 0.0.0.0/0 TOLAK Menolaksemualalu lintasIPv4 keluaryang belumditanganioleh aturansebelumnya(tidak dapatdiubah).

Ketika paket datang ke subnet, kami mengevaluasinya terhadap aturan masuk ACL yang dikaitkan dengansubnet tersebut (mulai dari bagian atas daftar aturan, terus ke bawah). Berikut adalah pelaksanaanevaluasi jika paket ditujukan untuk port HTTPS (443). Paket tidak cocok aturan pertama dievaluasi (aturan100). Ini tidak cocok dengan aturan kedua (110), yang mengizinkan paket ke subnet. Jika paket telahditujukan untuk port 139 (NetBIOS), itu tidak cocok salah satu aturan, dan aturan * akhirnya menolak paket.

Anda mungkin ingin menambahkan aturan Tolak dalam situasi di mana Anda sah perlu membuka berbagaiport, tetapi ada port tertentu dalam rentang tersebut yang ingin Anda tolak. Pastikan untuk menempatkanaturan Tolak sebelumnya dalam tabel daripada aturan yang mengizinkan berbagai lalu lintas port.

Anda menambahkan aturan Izinkan tergantung pada kasus penggunaan Anda. Misalnya, Anda dapatmenambahkan aturan yang mengizinkan TCP keluar dan akses UDP pada port 53 untuk resolusi DNS.Untuk setiap aturan yang Anda tambahkan, pastikan bahwa ada aturan masuk atau keluar sesuai yangmengizinkan lalu lintas respon.

Tabel berikut menunjukkan contoh ACL jaringan kustom yang sama untuk VPC yang memiliki blokCIDR IPv6 terkait. ACL jaringan ini mencakup aturan untuk semua lalu lintas HTTP dan HTTPS IPv6.Dalam hal ini, aturan baru dimasukkan di antara aturan yang ada untuk lalu lintas IPv4. Anda juga dapatmenambahkan aturan sebagai aturan nomor yang lebih tinggi setelah aturan IPv4. Lalu lintas IPv4 danIPv6 terpisah, dan karena itu tidak ada aturan untuk lalu lintas IPv4 berlaku untuk lalu lintas IPv6.

Masuk

Aturan # Jenis Protokol Rentang port Sumber Izinkan/Tolak Komentar

100 HTTP TCP 80 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTP masukdari alamatIPv4 apapun.

105 HTTP TCP 80 ::/0 IZINKAN Mengizinkanlalu lintasHTTP masukdari alamatIPv6 apapun.

110 HTTPS TCP 443 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTP masukdari alamatIPv4 apapun.

196


115 HTTPS TCP 443 ::/0 IZINKAN MengizinkanaksesHTTPSmasuk darialamat IPv6apa pun.

120 SSH TCP 22 192.0.2.0/24 IZINKAN Mengizinkanlalu lintasSSH masukdari rentangalamatIPv4 publikjaringanrumah Anda(melaluigatewayinternet).

130 RDP TCP 3389 192.0.2.0/24 IZINKAN Mengizinkanlalu lintasRDP masukke serverweb darirentangalamatIPv4 publikjaringanrumah Anda(melaluigatewayinternet).

140 Custom TCP TCP 32768-65535 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasIPv4 kembalimasuk dariinternet(yaitu, untukpermintaanyang berasaldari subnet).


197


145 Custom TCP TCP 32768-65535 ::/0 ALLOW Mengizinkanlalu lintasIPv6 kembalimasuk dariinternet(yaitu, untukpermintaanyang berasaldari subnet).


* All traffic Semua Semua 0.0.0.0/0 TOLAK Menolaksemualalu lintasIPv4 masukyang belumditanganioleh aturansebelumnya(tidak dapatdiubah).

* Semua lalulintas

Semua Semua ::/0 TOLAK Menolaksemualalu lintasIPv6 masukyang belumditanganioleh aturansebelumnya(tidak dapatdiubah).

Keluar

Aturan # Jenis Protokol Rentang port Tujuan Izinkan/Tolak Komentar

100 HTTP TCP 80 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTP IPv4keluar darisubnet keinternet.

198


105 HTTP TCP 80 ::/0 IZINKAN Mengizinkanlalu lintasHTTP IPv6keluar darisubnet keinternet.

110 HTTPS TCP 443 0.0.0.0/0 IZINKAN Mengizinkanlalu lintasHTTPS IPv4keluar darisubnet keinternet.

115 HTTPS TCP 443 ::/0 IZINKAN Mengizinkanlalu lintasHTTPS IPv6keluar darisubnet keinternet.

140 Custom TCP TCP 32768-65535 0.0.0.0/0 IZINKAN MengizinkanresponIPv4 keluaruntuk kliendi internet(misalnya,melayanihalamanweb untukorang-orang yangmengunjungiserver webdi subnet).


199


145 TCP Kustom TCP 32768-65535 ::/0 IZINKAN MengizinkanresponIPv6 keluaruntuk kliendi internet(misalnya,melayanihalamanweb untukorang-orang yangmengunjungiserver webdi subnet).


* All traffic Semua Semua 0.0.0.0/0 TOLAK Menolaksemua lalulintas IPv4keluar belumditanganioleh aturansebelumnya(tidak dapatdiubah).

* Semua lalulintas

Semua Semua ::/0 TOLAK Menolaksemualalu lintasIPv6 keluaryang belumditanganioleh aturansebelumnya(tidak dapatdiubah).

Untuk contoh lainnya, lihat Aturan yang disarankan untuk skenario wizard VPC (p. 208).

200

Amazon Virtual Private Cloud Panduan PenggunaACL jaringan kustom dan layanan AWS lainnya

ACL jaringan kustom dan layanan AWS lainnyaJika Anda membuat ACL jaringan kustom, harap diketahui bagaimana hal itu mungkin mempengaruhisumber daya yang Anda buat menggunakan layanan AWS.

Dengan Elastic Load Balancing, jika subnet untuk instans backend Anda memiliki ACL jaringan di manaAnda telah menambahkan aturan Tolak untuk semua lalu lintas dengan sumber 0.0.0.0/0 atau CIDRsubnet, penyeimbang beban Anda tidak dapat melakukan pemeriksaan kondisi pada instans. Untukinformasi lebih lanjut tentang aturan ACL jaringan yang disarankan untuk penyeimbang beban dan instansbackend Anda, lihat ACL rangkaian untuk penyeimbang beban dalam VPC di Panduan Pengguna untukClassic Load Balancer.

Ephemeral portContoh ACL jaringan di bagian sebelumnya menggunakan rentang ephemeral port 32768-65535. Namun,Anda mungkin ingin menggunakan rentang yang berbeda untuk ACL jaringan Anda tergantung pada jenisklien yang Anda gunakan atau yang berkomunikasi dengan Anda.

Klien yang menginisiasi permintaan memilih rentang ephemeral port. Rentang bervariasi tergantung padasistem operasi klien.

• Banyak kernel Linux (termasuk kernel Amazon Linux) menggunakan port 32768-61000.• Permintaan yang berasal dari Elastic Load Balancing menggunakan port 1024-65535.• Sistem operasi Windows melalui Windows Server 2003 menggunakan port 1025-5000.• Windows Server 2008 dan versi yang lebih baru menggunakan port 49152-65535.• Gateway NAT menggunakan port 1024-65535.• Fungsi AWS Lambda menggunakan port 1024-65535.

Sebagai contoh, jika permintaan datang ke server web di VPC Anda dari klien Windows 10 di internet,ACL jaringan Anda harus memiliki aturan keluar untuk mengaktifkan lalu lintas yang ditujukan untuk port49152-65535.

Jika instans dalam VPC klien menginisiasi permintaan, ACL jaringan Anda harus memiliki aturan masukuntuk mengaktifkan lalu lintas yang ditujukan untuk ephemeral port khusus untuk jenis instans ini (AmazonLinux, Windows Server 2008, dan sebagainya).

Dalam prakteknya, untuk mencakup berbagai jenis klien yang mungkin menginisiasi lalu lintas untuk keinstans yang menghadap publik di VPC Anda, Anda dapat membuka ephemeral port 1024-65535. Namun,Anda juga dapat menambahkan aturan ke ACL untuk menolak lalu lintas pada setiap port yang berbahayadalam rentang tersebut. Pastikan bahwa Anda menempatkan aturan Tolak sebelumnya dalam tabeldaripada aturan Izinkan yang membuka berbagai macam ephemeral port.

Path MTU DiscoveryPath MTU Discovery digunakan untuk menentukan jalur MTU antara dua perangkat. Jalur MTU adalahukuran paket maksimum yang didukung pada jalur antara host asal dan host penerima.

Untuk IPv4, jika suatu host mengirimkan paket yang lebih besar daripada MTU host penerima atau yanglebih besar daripada MTU perangkat di sepanjang jalur, host atau perangkat penerima menjatuhkan paket,lalu mengembalikan pesan ICMP berikut: Destination Unreachable: Fragmentation Neededand Don't Fragment was Set (Tipe 3, Kode 4). Ini menginstruksikan host transmisi untuk membagimuatan menjadi beberapa paket yang lebih kecil, dan kemudian mentrasmisikannya kembali.

Protokol IPv6 tidak mendukung fragmentasi dalam jaringan. Jika suatu host mengirimkan paket yang lebihbesar daripada MTU host penerima atau yang lebih besar daripada MTU perangkat di sepanjang jalur, host

201

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-nacl

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan ACL jaringan

atau perangkat penerima menjatuhkan paket, lalu mengembalikan pesan ICMP berikut: ICMPv6 PacketToo Big (PTB) (Tipe 2). Ini menginstruksikan host transmisi untuk membagi muatan menjadi beberapapaket yang lebih kecil, dan kemudian mentrasmisikannya kembali.

Jika unit transmisi maksimum (MTU) antar host di subnet Anda berbeda, atau instans Anda berkomunikasidengan rekan-rekan melalui internet, Anda harus menambahkan aturan ACL jaringan berikut, baik masukmaupun keluar. Hal ini memastikan bahwa Path MTU Discovery dapat berfungsi dengan benar danmencegah kehilangan paket. Pilih Aturan ICMP Kustom untuk jenis tersebut dan Tujuan yang Tidak DapatDihubungi, fragmentasi yang diperlukan, dan bendera DF yang ditetapkan untuk rentang port tersebut (tipe3, kode 4). Jika Anda menggunakan traceroute, tambahkan juga aturan berikut: pilih Aturan ICMP Kustomuntuk jenis ini dan Waktu Terlampaui, Transit kedaluwarsa TTL untuk rentang port ini (tipe 11, kode 0).Untuk informasi selengkapnya, lihat Maximum Transmission Unit (MTU) Jaringan untuk Instans EC2 diPanduan Pengguna Amazon EC2 untuk Instans Linux.

Bekerja dengan ACL jaringanTugas-tugas berikut menunjukkan kepada Anda tentang cara bekerja dengan ACL jaringan menggunakankonsol Amazon VPC.

Tugas• Menentukan pengaitan ACL jaringan (p. 202)• Membuat ACL jaringan (p. 203)• Menambah dan menghapus aturan (p. 203)• Mengaitkan subnet dengan ACL jaringan (p. 204)• Melepaskan ACL jaringan dari subnet (p. 204)• Mengubah ACL jaringan subnet (p. 204)• Menghapus ACL jaringan (p. 205)• gambaran umum API dan perintah (p. 205)

Menentukan pengaitan ACL jaringanAnda dapat menggunakan konsol Amazon VPC untuk menentukan ACL jaringan yang terkait dengansubnet. ACL jaringan dapat dikaitkan dengan lebih dari satu subnet, sehingga Anda juga dapatmenentukan subnet yang terkait dengan ACL jaringan.

Untuk menentukan ACL jaringan mana yang dikaitkan dengan subnet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet, lalu pilih subnet.

ACL jaringan yang terkait dengan subnet dicantumkan dalam tab ACL Jaringan, bersama denganaturan ACL jaringan.

Untuk menentukan subnet mana yang dikaitkan dengan ACL jaringan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih ACL Jaringan. Kolom Dikaitkan Dengan menunjukkan jumlah subnet terkait

untuk setiap ACL jaringan.3. Pilih ACL jaringan.4. Di panel rincian, pilih Pengaitan Subnet untuk menampilkan subnet yang terkait dengan ACL jaringan.

202

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html




Membuat ACL jaringanAnda dapat membuat ACL jaringan kustom untuk VPC Anda. Secara default, ACL jaringan yang Andabuat memblokir semua lalu lintas masuk dan keluar sampai Anda menambahkan aturan, dan tidak terkaitdengan subnet sampai Anda secara eksplisit mengaitkannya dengan satu subnet.

Untuk membuat ACL jaringan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih ACL Jaringan.3. Pilih Buat ACL Jaringan.4. Di kotak dialog Buat ACL Jaringan, Anda dapat memberi nama ACL jaringan Anda, dan memilih ID

VPC Anda dari daftar VPC. Kemudian, pilih Ya, Buat.

Menambah dan menghapus aturanKetika Anda menambahkan atau menghapus aturan dari ACL, subnet yang terkait dengan ACL tundukpada perubahan tersebut. Anda tidak harus mengakhiri dan meluncurkan kembali instans di subnet.Perubahan berlaku setelah beberapa saat.

Important

Berhati-hatilah jika Anda menambahkan dan menghapus aturan secara bersamaan. Aturan ACLjaringan menentukan jenis lalu lintas jaringan mana yang dapat masuk atau keluar dari VPC Anda.Jika Anda menghapus aturan masuk atau keluar dan kemudian menambahkan entri baru lebihdari yang diizinkan di Kuota Amazon VPC (p. 341), entri yang dipilih untuk dihapus akan dihapusdan entri baru tidak akan ditambahkan. Hal ini dapat menyebabkan masalah konektivitas yangtidak terduga dan secara tidak sengaja mencegah akses ke dan dari VPC Anda.

Jika Anda menggunakan API Amazon EC2 atau alat baris perintah, Anda tidak dapat mengubah aturan.Anda hanya dapat menambahkan dan menghapus aturan. Jika Anda menggunakan konsol Amazon VPC,Anda dapat mengubah entri untuk aturan yang ada. Konsol tersebut menghapus aturan yang ada danmenambahkan aturan baru untuk Anda. Jika Anda perlu mengubah urutan aturan di ACL, Anda harusmenambahkan aturan baru dengan nomor aturan baru, dan kemudian menghapus aturan semula.

Untuk menambahkan aturan ke ACL jaringan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih ACL Jaringan.3. Di panel rincian, pilih tab Aturan Masuk atau Aturan Keluar, tergantung pada jenis aturan yang Anda

perlu tambahkan, dan kemudian pilih Edit.4. Di Aturan #, masukkan nomor aturan (misalnya, 100). Nomor aturan tidak boleh yang sudah digunakan

dalam ACL jaringan. Kami memproses aturan secara berurutan, dimulai dengan angka terendah.

Kami sarankan Anda membiarkan adanya selisih lebar di antara nomor aturan (seperti 100, 200, 300),daripada menggunakan nomor berurutan (101, 102, 103). Hal ini memudahkan penambahan aturanbaru tanpa harus mengatur ulang nomor aturan yang ada.

5. Pilih aturan dari daftar Jenis. Misalnya, untuk menambahkan aturan untuk HTTP, pilih HTTP. Untukmenambahkan aturan untuk mengizinkan semua lalu lintas TCP, pilih Semua TCP. Untuk beberapaopsi ini (misalnya, HTTP), kami mengisikan port untuk Anda. Untuk menggunakan protokol yang tidakterdaftar, pilih Aturan Protokol Kustom.

6. (Opsional) Jika Anda membuat aturan protokol kustom, pilih nomor dan nama protokol dari daftarProtokol. Untuk informasi selengkapnya, lihat Daftar Nomor Protokol IANA.

203





7. (Opsional) Jika protokol yang Anda pilih memerlukan nomor port, masukkan nomor port atau rentangport yang dipisahkan oleh tanda hubung (misalnya, 49152-65535).

8. Di bidang Sumber atau Tujuan (tergantung pada apakah ini adalah aturan masuk atau keluar),masukkan rentang CIDR yang terhadapnya berlaku aturan tersebut.

9. Dari daftar Izinkan/Tolak, pilih IZINKAN untuk mengizinkan lalu lintas yang ditentukan atau TOLAKuntuk menolak lalu lintas yang ditentukan.

10. (Opsional) Untuk menambahkan aturan lain, pilih Tambahkan aturan lain, dan ulangi langkah 4 sampai9 sesuai kebutuhan.

11. Jika Anda sudah selesai, pilih Simpan.

Untuk menghapus aturan dari ACL jaringan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.3. Di panel rincian, pilih tab Aturan Masuk atau Aturan Keluar, kemudian pilih Edit. Pilih Hapus untuk

aturan yang ingin Anda hapus, kemudian pilih Simpan.

Mengaitkan subnet dengan ACL jaringanUntuk menerapkan aturan ACL jaringan untuk subnet tertentu, Anda harus mengaitkan subnet tersebutdengan ACL jaringan. Anda dapat menghubungkan ACL jaringan dengan beberapa subnet. Namun, suatusubnet dapat dikaitkan dengan hanya satu ACL jaringan. Setiap subnet yang tidak terkait dengan ACLtertentu dikaitkan dengan ACL jaringan default secara default.

Untuk mengaitkan subnet dengan ACL jaringan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.3. Di panel rincian, pada tab Pengaitan Subnet, pilih Edit. Pilih kotak centang Pengaitan untuk

mengaitkan subnet dengan ACL jaringan, dan kemudian pilih Simpan.

Melepaskan ACL jaringan dari subnetAnda dapat melepaskan ACL jaringan dari subnet. Ketika subnet telah dilepaskan dari ACL jaringankustom, maka subnet akan secara otomatis terkait dengan ACL jaringan default.

Untuk melepaskan subnet dari ACL jaringan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih ACL Jaringan, dan kemudian pilih ACL jaringan.3. Di panel rincian, pilih tab Pengaitan Subnet.4. Pilih Edit, kemudian batalkan pilihan kotak centang Pengaitan untuk subnet tersebut. Pilih Simpan.

Mengubah ACL jaringan subnetAnda dapat mengubah ACL jaringan yang terkait dengan suatu subnet. Misalnya, ketika Anda membuatsuatu subnet, awalnya subnet tersebut dikaitkan dengan ACL jaringan default. Anda mungkin inginmengaitkannya dengan ACL jaringan kustom yang telah Anda buat.

Setelah mengubah ACL jaringan subnet, Anda tidak harus mengakhiri dan meluncurkan kembali instans disubnet tersebut. Perubahan berlaku setelah beberapa saat.

204





Untuk mengubah pengaitan ACL jaringan subnet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet, lalu pilih subnet.3. Pilih tab ACL Jaringan, lalu pilih Edit.4. Dari daftar Ubah ke, pilih ACL jaringan yang akan dikaitkan dengan subnet tersebut, dan kemudian

pilih Simpan.

Menghapus ACL jaringanAnda dapat menghapus ACL jaringan hanya jika tidak ada subnet yang terkait dengannya. Anda tidakdapat menghapus ACL jaringan default.

Untuk menghapus ACL jaringan

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih ACL Jaringan.3. Pilih ACL jaringan, lalu pilih Hapus.4. Di kotak dialog konfirmasi, pilih Ya, Hapus.

gambaran umum API dan perintahAnda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untukinformasi selengkapnya tentang antarmuka baris perintah dan daftar API yang tersedia, lihat MengaksesAmazon VPC (p. 1).

Membuat ACL jaringan untuk VPC anda

• create-network-acl (AWS CLI)• New-EC2NetworkAcl (AWS Tools for Windows PowerShell)

Menjelaskan satu atau beberapa ACL jaringan Anda

• describe-network-acls (AWS CLI)• Get-EC2NetworkAcl (AWS Tools for Windows PowerShell)

Menambahkan aturan ke ACL jaringan

• create-network-acl-entry (AWS CLI)• New-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)

Menghapus aturan dari ACL jaringan

• delete-network-acl-entry (AWS CLI)• Remove-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)

Mengganti aturan yang ada di ACL jaringan

• mengganti-acl jaringan (AWS CLI)• Set-EC2NetworkAclEntry (AWS Tools for Windows PowerShell)

205



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkAcl.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAclEntry.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-entry.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclEntry.html

Amazon Virtual Private Cloud Panduan PenggunaContoh: Kontrol akses ke instans dalam subnet

Mengganti pengaitan ACL jaringan

• replace-network-acl-association (AWS CLI)• Set-EC2NetworkAclAssociation (AWS Tools for Windows PowerShell)

Menghapus ACL jaringan

• delete-network-acl (AWS CLI)• Remove-EC2NetworkAcl (AWS Tools for Windows PowerShell)

Contoh: Kontrol akses ke instans dalam subnetDalam contoh ini, instans di subnet Anda dapat berkomunikasi satu sama lain, dan dapat diakses darikomputer jarak jauh yang terpercaya. Komputer jarak jauh tersebut mungkin berupa komputer di jaringanlokal Anda atau instans di subnet atau VPC yang berbeda. Anda menggunakannya untuk terhubung keinstans Anda untuk melakukan tugas-tugas administratif. Aturan grup keamanan dan aturan ACL jaringanAnda mengizinkan akses dari alamat IP komputer jarak jauh Anda (172.31.1.2/32). Semua lalu lintaslain dari internet atau jaringan lain ditolak. Skenario ini memberi Anda fleksibilitas untuk mengubah grupkeamanan atau aturan grup keamanan untuk instans Anda, dan membuat ACL jaringan sebagai lapisanbackup untuk pertahanan.

Berikut ini adalah contoh grup keamanan yang terkait dengan instans. Grup keamanan bersifat stateful.Oleh karena itu Anda tidak memerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.

Aturan ke dalam

Jenis protokol Protokol Rentang port Sumber Komentar

Semua lalu lintas Semua Semua sg-1234567890abcdef0Semua instansyang terkaitdengan grupkeamananini dapatberkomunikasi satusama lain.

SSH TCP 22 172.31.1.2/32 Mengizinkan aksesSSH masuk dari

206

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-network-acl-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2NetworkAclAssociation.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-network-acl.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NetworkAcl.html

Amazon Virtual Private Cloud Panduan PenggunaContoh: Kontrol akses ke instans dalam subnet

komputer jarakjauh Anda.

Aturan ke luar

Jenis protokol Protokol Rentang port Tujuan Komentar

Semua lalu lintas Semua Semua sg-1234567890abcdef0Semua instansyang terkaitdengan grupkeamananini dapatberkomunikasi satusama lain.

Berikut ini adalah contoh ACL jaringan untuk mengaitkan dengan subnet untuk instans. Aturan ACLjaringan berlaku untuk semua instans di subnet. ACL jaringan bersifat stateless. Oleh karena itu, Andamemerlukan aturan yang mengizinkan respon terhadap lalu lintas masuk.

Aturan ke dalam


Komentar

100 SSH TCP 22 172.31.1.2/32 IZINKAN Mengizinkanlalu lintasmasuk darikomputerjarak jauh.

* Semua lalulintas

Semua Semua 0.0.0.0/0 TOLAK Menolaksemua lalulintas masuklainnya.

Aturan ke luar


Komentar

100 TCP Kustom TCP 1024-65535 172.31.1.2/32 IZINKAN Mengizinkanresponkeluar kekomputerjarak jauh.

* Semua lalulintas

Semua Semua 0.0.0.0/0 TOLAK Menolaksemua lalulintas keluarlainnya.

Jika Anda secara tidak sengaja membuat aturan grup keamanan Anda terlalu permisif, ACL jaringan dalamhal ini terus mengizinkan akses hanya dari alamat IP yang ditentukan. Sebagai contoh, grup keamananberikut berisi aturan yang mengizinkan akses SSH masuk dari alamat IP mana pun. Namun, jika Andamengaitkan grup keamanan ini dengan instans di subnet yang menggunakan ACL jaringan, hanya instanslain dalam subnet dan komputer jarak jauh Anda yang dapat mengakses instans ini, karena aturan ACLjaringan menolak lalu lintas masuk lain ke subnet tersebut.

207

Amazon Virtual Private Cloud Panduan PenggunaAturan yang disarankan untuk skenario wizard VPC

Aturan ke dalam

Jenis Protokol Rentang port Sumber Komentar

Semua lalu lintas Semua Semua sg-1234567890abcdef0Semua instansyang terkaitdengan grupkeamananini dapatberkomunikasisatu sama lain.

SSH TCP 22 0.0.0.0/0 Mengizinkan aksesSSH dari alamat IPmana pun.

Aturan ke luar

Jenis Protokol Rentang port Tujuan Komentar

Semua lalu lintas Semua Semua 0.0.0.0/0 Mengizinkansemua lalu lintaskeluar.

Aturan yang disarankan untuk skenario wizard VPCAnda dapat menggunakan wizard VPC di konsol Amazon VPC untuk menerapkan skenario umumuntuk Amazon VPC. Jika Anda menerapkan skenario ini seperti yang dijelaskan di dokumentasi, Andamenggunakan daftar kontrol akses (ACL) jaringan default, yang mengizinkan semua lalu lintas masuk dankeluar. Jika Anda membutuhkan lapisan keamanan tambahan, Anda dapat membuat ACL jaringan danmenambahkan aturan. Untuk informasi selengkapnya, lihat hal berikut:

• the section called “Aturan-aturan ACL jaringan yang disarankan untuk VPC dengan subnet publiktunggal” (p. 27)

• the section called “Aturan ACL jaringan yang disarankan untuk VPC dengan subnet publik dan privat(NAT)” (p. 41)

• the section called “Aturan ACL jaringan yang direkomendasikan untuk sebuah VPC dengan subnet publikdan subnet privat dan akses AWS Site-to-Site VPN” (p. 63)

• the section called “Aturan ACL jaringan yang disarankan untuk VPC dengan subnet privat saja dan aksesAWS Site-to-Site VPN” (p. 78)

Praktik terbaik keamanan untuk VPC AndaPraktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karenapraktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap sebagai pertimbanganyang membantu dan bukan sebagai resep.

Berikut ini adalah praktik terbaik umum:

• Gunakan beberapa deployment Availability Zone sehingga Anda memiliki ketersediaan yang tinggi.• Gunakan grup keamanan dan ACL jaringan. Untuk informasi selengkapnya, lihat Grup Keamanan untuk

VPC Anda (p. 179) dan ACL jaringan (p. 190).• Gunakan kebijakan IAM untuk mengendalikan akses.

208

Amazon Virtual Private Cloud Panduan PenggunaSumber daya tambahan

• Gunakan Amazon CloudWatch untuk memantau komponen VPC dan koneksi VPN Anda.• Gunakan log alur untuk menangkap informasi tentang lalu lintas IP ke dan dari antarmuka jaringan di

VPC Anda. Untuk informasi lebih lanjut, lihat Log Alur VPC (p. 307).

Sumber daya tambahan• Mengelola akses ke sumber daya dan API AWS menggunakan federasi identitas, pengguna IAM, dan

IAM role. Menetapkan kebijakan dan prosedur pengelolaan kredensial untuk membuat, mendistribusikan,merotasi, dan mencabut kredensial akses AWS. Untuk informasi selengkapnya, lihat Praktik terbaik IAMdalam Panduan Pengguna IAM.

• Untuk jawaban atas pertanyaan yang sering diajukan untuk keamanan VPC, lihat FAQ Amazon VPC.

209

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

http://aws.amazon.com/vpc/faqs/

Amazon Virtual Private Cloud Panduan PenggunaGateway internet

Komponen jaringan VPCAnda dapat menggunakan komponen-komponen berikut untuk mengonfigurasi jaringan di VPC Anda.

Komponen• Gateway internet (p. 210)• Gateway internet khusus jalan keluar (p. 216)• Gateway operator (p. 220)• Perangkat NAT untuk VPC Anda (p. 225)• Sekumpulan opsi DHCP untuk VPC Anda (p. 254)• Support DNS untuk VPC Anda (p. 259)• Daftar prefiks (p. 264)

Gateway internetGateway internet diskalakan secara horizontal, berlebihan, dan merupakan komponen VPC yang sangattersedia yang mengizinkan komunikasi antara VPC Anda dan internet.

Gateway internet melayani dua tujuan: untuk memberikan target di tabel rute VPC Anda untuk lalu lintasinternet-routable, dan untuk melakukan terjemahan alamat jaringan (NAT) untuk instans-instans yang telahmendapat alamat-alamat IPv4 publik. Untuk informasi lebih lanjut, lihat Aktifkan akses internet (p. 210).

Gateway internet men-support lalu lintas IPv4 dan IPv6. Gateway internet tidak menimbulkan risikoketersediaan atau kendala bandwidth pada lalu lintas jaringan Anda. Tidak ada biaya tambahan untukmemiliki gateway internet di akun Anda.

Aktifkan akses internetUntuk mengaktifkan akses ke atau dari internet untuk instans-instans di subnet di VPC, Anda harusmelakukan hal berikut.

• Buat sebuah grup keamanan dan lampirkan ke VPC Anda.• Tambahkan rute ke tabel rute subnet Anda yang mengarahkan lalu lintas internet-bound ke gateway

internet.• Pastikan bahwa instans-instans di subnet Anda memiliki alamat IP yang unik secara global (alamat IPv4

publik, alamat IP Elastis, atau alamat IPv6).• Pastikan daftar kontrol akses jaringan dan aturan grup keamanan Anda mengizinkan lalu lintas yang

relevan untuk mengalir ke dan dari instans Anda.

Subnet publik dan pribadi

Jika subnet dikaitkan dengan tabel rute yang memiliki rute ke gateway internet, hal ini dikenal sebagaisubnet publik. Jika subnet dikaitkan dengan tabel rute yang tidak memiliki rute ke gateway internet, itudikenal sebagai subnet pribadi.

210

Amazon Virtual Private Cloud Panduan PenggunaAktifkan akses internet

Di tabel rute subnet publik Anda, Anda dapat menentukan rute untuk gateway internet ke semua tujuanyang tidak secara eksplisit dikenal oleh tabel rute (0.0.0.0/0 untuk IPv4 atau ::/0 untuk IPv6). Sebagaialternatif, Anda dapat membatasi rute di kisaran alamat IP yang lebih sempit; misalnya, alamat IPv4 publikdari endpoint publik perusahaan Anda di luar AWS, atau alamat IP Elastis dari instans Amazon EC2 lainnyadi luar VPC Anda.

Alamat IP dan NAT

Untuk mengaktifkan komunikasi melalui internet untuk IPv4, instans Anda harus memiliki alamat IPv4publik atau sebuah alamat IP Elastis yang terkait dengan alamat IPv4 pribadi pada instans Anda. InstansAnda hanya mengenal ruang alamat IP pribadi (internal) yang terdefinisi di dalam VPC dan subnet.Gateway internet secara logis menyediakan NAT satu-satu atas nama instans Anda, sehingga ketika lalulintas meninggalkan subnet VPC Anda dan menuju internet, kolom alamat balasan diatur ke alamat IPv4publik atau alamat IP Elastis dari instans Anda, dan bukan alamat IP pribadi. Sebaliknya, lalu lintas yangditujukan untuk alamat IPv4 publik atau alamat IP Elastis dari instans Anda yang memiliki alamat tujuannyaditranslasikan ke dalam instans alamat IPv4 pribadi sebelum lalu lintas dikirim ke VPC.

Untuk mengaktifkan komunikasi melalui internet untuk IPv6, VPC dan subnet Anda harus memiliki blokCIDR IPv6 terkait, dan instans Anda harus mendapat alamat IPv6 dari kisaran subnet. Alamat IPv6 secaraglobal bersifat unik, dan karena itu secara default bersifat publik.

Dalam diagram berikut, Subnet 1 di VPC adalah subnet publik. Subnet tersebut dikaitkan dengan tabelrute kustom yang mengarahkan semua lalu lintas IPv4 internet-bound ke sebuah gateway internet. Instanstersebut memiliki alamat IP Elastis, yang mengaktifkan komunikasi dengan internet.

Untuk memberikan instans-instans Anda akses internet tanpa memberikan alamat IP publik, Anda dapatmenggunakan perangkat NAT sebagai gantinya. Perangkat NAT mengaktifkan instans di subnet pribadi

211

Amazon Virtual Private Cloud Panduan PenggunaTambahkan sebuah gateway internet ke VPC Anda

untuk terhubung ke internet, tetapi mencegah host di internet menginisiasi koneksi ke instans. Untukinformasi lebih lanjut, lihat Perangkat NAT untuk VPC Anda (p. 225).

Akses Internet untuk VPC default dan nondefault

Tabel berikut memberikan gambaran umum tentang apakah VPC Anda secara otomatis dilengkapi dengankomponen yang diperlukan untuk akses internet melalui IPv4 atau IPv6.

Komponen VPC Default VPC Nondefault

gateway internet Ya Ya, jika Anda membuat VPCmenggunakan opsi pertamaatau kedua di wizard VPC. Jikatidak, Anda harus membuat danmelampirkan gateway internetsecara manual.

Tabel rute dengan rute kegateway internet untuk lalu lintasIPv4 (0.0.0.0/0)

Ya Ya, jika anda membuat VPCmenggunakan opsi pertamaatau kedua di wizard VPC.Jika tidak, Anda harus secaramanual membuat tabel rute danmenambahkan rute.

Tabel rute dengan rute kegateway internet untuk lalu lintasIPv6 (:: /0)

Tidak Ya, jika anda membuat VPCmenggunakan opsi pertamaatau kedua di wizard VPC, danjika anda menentukan pilihanuntuk mengaitkan blok CIDRIPv6 dengan VPC tersebut.Jika tidak, Anda harus secaramanual membuat tabel rute danmenambahkan rute.

Alamat IPv4 publik secaraotomatis diberikan ke instansyang diluncurkan ke dalamsubnet

Ya (subnet default) Tidak ada (subnet nondefault)

Alamat IPv6 secara otomatisdiberikan ke instans yangdiluncurkan ke dalam subnet

Tidak (subnet default) Tidak (subnet nondefault)

Untuk informasi selengkapnya tentang VPC default, lihat VPC default dan subnet default (p. 147). Untukinformasi selengkapnya tentang penggunaan wizard VPC untuk membuat VPC dengan gateway internet,lihat VPC dengan sebuah subnet publik tunggal (p. 20) atau VPC dengan subnet publik dan privat(NAT) (p. 32).

Untuk informasi selengkapnya tentang penetapan alamat IP di VPC Anda, dan mengendalikan cara instansmendapat alamat IPv4 atau IPv6, lihat Pembuatan alamat IP di VPC (p. 115).

Ketika Anda menambahkan subnet baru ke VPC Anda, Anda harus mengatur perutean dan keamananyang Anda inginkan untuk subnet tersebut.

Tambahkan sebuah gateway internet ke VPC AndaBerikut ini penjelasan cara membuat subnet publik secara manual dan melampirkan gateway internet keVPC Anda untuk men-support akses internet.

212


Tugas• Membuat sebuah subnet (p. 213)• Membuat dan melampirkan gateway internet (p. 213)• Buat tabel rute kustom (p. 214)• Membuat grup keamanan untuk akses internet (p. 214)• Tugaskan alamat IP Elastis IP ke sebuah instans (p. 215)• Lepaskan gateway internet dari VPC (p. 215)• Menghapus gateway internet (p. 216)• Ikhtisar API dan perintah (p. 216)

Membuat sebuah subnetUntuk menambahkan subnet ke VPC Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet, Buat subnet.3. Tentukan rincian subnet yang diperlukan:.

• Tag nama: Secara opsional memberikan nama untuk subnet Anda. Dengan melakukan hal tersebutakan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

• VPC: Pilih VPC yang dibuat subnet-nya.• Availability Zone: Secara opsional pilih Availability Zone atau Zona Lokal tempat subnet Anda akan

berdiam, atau biarkan saja default Tidak Ada Preferensi untuk membiarkan AWS memilih zonaketersediaan untuk Anda.

Untuk informasi lebih lanjut tentang Wilayah yang mendukung Local Zones, lihat Wilayah yangTersedia di Panduan Pengguna Amazon EC2 untuk Instans Linux.

• Blok CIDR IPv4: Tentukan blok CIDR IPv4 untuk subnet Anda, misalnya, 10.0.1.0/24. Untukinformasi lebih lanjut, lihat Penetapan ukuran VPC dan subnet untuk IPv4 (p. 101).

• Blok CIDR IPv6: (Opsional) Jika Anda telah mengaitkan blok CIDR IPv6 dengan VPC Anda, pilihTentukan CIDR IPv6 kustom. Tentukan nilai pasangan heksadesimal untuk subnet, atau biarkan nilaiyang sudah default.

4. Pilih Create.

Untuk informasi selengkapnya terkait penandaan subnet, lihat VPC dan subnet (p. 98).

Membuat dan melampirkan gateway internetSetelah Anda membuat sebuah internet gateway, lampirkan ke VPC Anda.

Untuk membuat sebuah internet gateway dan melampirkannya ke VPC Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway Internet, lalu pilih Buat gateway internet.3. Secara opsional namai gateway internet Anda.4. Secara opsional tambahkan atau hapus sebuah tag.

[Tambahkan sebuah tag] Pilih Tambah tag dan lakukan hal berikut:

• Untuk Kunci, masukkan nama kunci.

213






• Untuk Nilai, masukkan nilai kunci.

[Hapus tag] Pilih Hapus di sebelah kanan Kunci dan Nilai tag.5. Pilih Buat gateway internet.6. Pilih gateway internet yang baru Anda buat, dan lalu pilih Tindakan, Lampirkan ke VPC.7. Pilih VPC Anda dari daftar, dan kemudian pilih Lampirkan gateway internet.

Buat tabel rute kustomSaat Anda membuat subnet, kami secara otomatis mengaitkannya dengan tabel rute utama untuk VPC.Secara default, tabel rute utama tidak berisikan rute ke gateway internet. Prosedur berikut ini adalah untukmembuat tabel rute kustom dengan rute yang mengirimkan lalu lintas yang ditujukan keluar VPC menujugateway internet, dan kemudian mengaitkannya dengan subnet Anda.

Untuk membuat tabel rute kustom

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute, lalu pilih Buat tabel rute.3. Di kotak dialog Buat tabel rute, secara opsional namai tabel rute Anda, kemudian pilih VPC Anda, dan

kemudian pilih Buat tabel rute.4. Pilih tabel rute kustom yang baru saja Anda buat. Panel rincian menampilkan tab untuk bekerja dengan

rute, keterkaitan, dan propagasi rute.5. Pada tab Rute, pilih Sunting rute, Tambahkan rute, dan tambahkan rute berikut sebagaimana yang

diperlukan. Setelah selesai, pilih Simpan perubahan.

• Untuk lalu lintas IPv4, tentukan 0.0.0.0/0 di kotak Tujuan, dan pilih ID gateway internet di daftarTarget.

• Untuk lalu lintas IPv6, tentukan ::/0 di kotak Tujuan, dan pilih ID gateway internet di daftar Target.6. Pada tab Keterkaitan subnet, pilih Sunting keterkaitan subnet, pilih kotak centang untuk subnet, dan

kemudian pilih Simpan keterkaitan.

Untuk informasi lebih lanjut, lihat Tabel rute untuk VPC Anda (p. 281).

Membuat grup keamanan untuk akses internetSecara default, grup keamanan VPC mengizinkan semua lalu lintas outbound. Anda dapat menciptakansebuah grup keamanan baru dan menambahkan aturan yang mengizinkan lalu lintas inbound dari internet.Anda kemudian dapat mengaitkan grup keamanan dengan instans di subnet publik.

Untuk menciptakan sebuah grup keamanan dan mengaitkannya dengan instans Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan, and then pilih Buat Grup Keamanan.3. Di kotak dialog Buat Grup Keamanan, tentukan nama untuk grup keamanan dan deskripsi. Pilih ID

VPC Anda dari daftar VPC, dan kemudian pilih Ya, Buat.4. Pilih grup keamanan. Panel detail menampilkan rincian grup keamanan, plus tab untuk bekerja dengan

aturan inbound dan aturan outbound.5. Pada tab Aturan Inbound, pilih Sunting. Pilih Tambahkan Aturan, dan lengkapi informasi yang

diperlukan. Sebagai contoh, pilih HTTP atau HTTPS dari daftar Jenis, dan masukkan Sumber sebagai0.0.0.0/0 untuk lalu lintas IPv4, atau ::/0 untuk lalu lintas IPv6. Pilih Simpan ketika Anda selesai.

214




6. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.7. Di panel navigasi, pilih Instans.8. Pilih instans, pilih Tindakan, kemudian Jaringan, dan kemudian pilih Ubah Grup Keamanan.9. Di kotak dialog Ubah Grup Keamanan, kosongkan kotak centang untuk grup keamanan yang saat ini

dipilih, dan pilih grup keamanan yang baru. Pilih Tetapkan Grup Keamanan.

Untuk informasi lebih lanjut, lihat Grup Keamanan untuk VPC Anda (p. 179).

Tugaskan alamat IP Elastis IP ke sebuah instansSetelah Anda meluncurkan sebuah instans ke dalam subnet, Anda harus menetapkan alamat IP Elastis jikaAnda ingin instans dapat dijangkau dari internet melalui IPv4.

Note

Jika Anda menetapkan alamat IPv4 publik ke instans Anda selama peluncuran, maka instansAnda dapat dijangkau dari internet, dan Anda tidak perlu menetapkan alamat IP Elastis. Untukinformasi selengkapnya tentang penetapan alamat IP untuk instans Anda, lihat Pembuatan alamatIP di VPC (p. 115).

Untuk mengalokasikan alamat IP Elastis dan menugaskannya ke sebuah instans menggunakankonsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih IP Elastis.3. Pilih Alokasikan alamat baru.4. Pilih Alokasikan.

Note

Jika akun Anda mensupport EC2-Classic, pilih terlebih dahulu VPC.5. Pilih alamat IP Elastis IP dan pilih Tindakan, Kaitkan halaman.6. Pilih Instans atau Antarmuka jaringan, dan kemudian pilih salah satu instans atau ID antarmuka

jaringan. Pilih alamat IP pribadi yang dengannya terkait alamat IP Elastis, dan kemudian pilih Kaitkan.

Untuk informasi lebih lanjut, lihat Alamat IP elastis (p. 275).

Lepaskan gateway internet dari VPCJika Anda tidak lagi membutuhkan akses internet untuk instans yang Anda luncurkan ke dalam VPC non-default, Anda dapat melepas gateway internet dari VPC. Anda tidak dapat melepas gateway internet jikaVPC memiliki sumber daya dengan alamat IP publik terkait atau alamat IP Elastis.

Untuk melepaskan gateway internet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih IP elastis dan pilih alamat IP Elastis.3. Pilih Tindakan, Pisahkan Alamat. Pilih Pisahkan alamat.4. Di panel navigasi, pilih Gateway Internet.5. Pilih gateway internet dan pilih Tindakan, Lepaskan dari VPC.6. Di kotak dialog Lepaskan dari VPC, pilih Lepaskan gateway internet.

215




Amazon Virtual Private Cloud Panduan PenggunaGateway internet khusus jalan keluar

Menghapus gateway internetJika Anda tidak lagi memerlukan gateway internet, Anda dapat menghapusnya. Anda tidak dapatmenghapus gateway internet jika masih terpasang ke VPC.

Untuk menghapus gateway internet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway Internet.3. Pilih gateway internet dan pilih Tindakan, Hapus gateway internet.4. Di kotak dialog Hapus gateway internet, masukkan delete, dan pilih Hapus gateway internet.

Ikhtisar API dan perintahAnda dapat melakukan tugas yang dideskripsikan di halaman ini menggunakan baris perintah atau API.Untuk informasi selengkapnya tentang antarmuka baris perintah dan daftar tindakan API yang tersedia,lihat Mengakses Amazon VPC (p. 1).

Membuat gateway internet

• create-internet-gateway (AWS CLI)• New-EC2InternetGateway (AWS Tools for Windows PowerShell)

Pasangkan gateway internet ke VPC

• attach-internet-gateway (AWS CLI)• Add-EC2InternetGateway (AWS Tools for Windows PowerShell)

Deskripsikan gateway internet

• describe-internet-gateways (AWS CLI)• Get-EC2InternetGateway (AWS Tools for Windows PowerShell)

Lepaskan gateway internet dari VPC

• detach-internet-gateway (AWS CLI)• Dismount-EC2InternetGateway (AWS Tools for Windows PowerShell)

Menghapus gateway internet

• delete-internet-gateway (AWS CLI)• Remove-EC2InternetGateway (AWS Tools for Windows PowerShell)

Gateway internet khusus jalan keluarSebuah gateway internet egress-only adalah komponen VPC yang terskala secara horizontal, redundan,dan sangat tersedia yang memungkinkan komunikasi outbound melalui IPv6 pada instans di VPC Anda keinternet, dan mencegah internet memulai koneksi IPv6 dengan instans Anda.

216


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2InternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2InternetGateway.html

Amazon Virtual Private Cloud Panduan PenggunaDasar-dasar gateway internet egress-only

Note

Gateway internet egress-only adalah untuk digunakan bersama lalu lintas IPv6 saja. Untukmengaktifkan komunikasi internet outbound-only melalui IPv4, gunakan gateway NAT sebagaigantinya. Untuk informasi lebih lanjut, lihat Gateway NAT (p. 226).

Daftar Isi• Dasar-dasar gateway internet egress-only (p. 217)• Bekerja dengan gateway internet egress-only (p. 218)• Gambaran umum API dan CLI (p. 220)

Dasar-dasar gateway internet egress-onlyInstans di subnet publik Anda dapat terhubung ke internet melalui gateway internet jika memiliki alamatIPv4 atau alamat IPv6 publik. Demikian pula, sumber daya di internet dapat memulai koneksi ke instansAnda menggunakan alamat IPv4 publik atau alamat IPv6; misalnya, ketika Anda terhubung ke instans Andamenggunakan komputer lokal Anda.

Alamat IPv6 bersifat unik secara global, dan oleh karenanya bersifat publik secara default. Jika Anda ingininstans Anda dapat mengakses internet, tetapi Anda ingin mencegah sumber daya di internet memulaikomunikasi dengan instans Anda, Anda dapat menggunakan gateway internet yang egres-only. Untukmelakukannya, buat gateway internet egress-only di VPC Anda, dan kemudian tambahkan rute ke tabelrute Anda yang mengarah ke semua lalu lintas IPv6 (::/0) atau kisaran alamat IPv6 tertentu ke gatewayinternet egress-only. Lalu lintas IPv6 di subnet yang terkait dengan tabel rute diarahkan ke gateway internetegress-only.

Sebuah gateway internet egress-only memiliki stateful: meneruskan lalu lintas dari instans di subnet keinternet atau layanan AWS lainnya,dan kemudian mengirimkan respons kembali ke instans.

Gateway internet egress-only memiliki karakteristik sebagai berikut:

• Anda tidak dapat mengaitkan grup keamanan dengan gateway internet egress-only. Anda dapatmenggunakan grup keamanan untuk instans Anda di subnet pribadi untuk mengontrol lalu lintas ke dandari instans-instans tersebut.

• Anda dapat menggunakan ACL jaringan untuk mengontrol lalu lintas ke dan dari subnet yang managateway internet egress-only mengarahkan lalu lintas.

Pada diagram berikut ini, VPC memiliki blok CIDR IPv6, dan subnet di VPC yang memiliki blok CIDR IPv6.Tabel rute kustom dikaitkan dengan Subnet 1 dan mengarahkan semua lalu lintas IPv6 internet-bound(::/0) ke gateway internet egress-only di VPC.

217

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan gateway internet egress-only

Bekerja dengan gateway internet egress-onlyTugas-tugas berikut menjelaskan cara membuat gateway internet egress-only (outbound) untuk subnetpribadi Anda, dan mengkonfigurasi perutean untuk subnet.

Tugas• Buat gateway internet egress-only (p. 218)• Lihat gateway internet egress-only Anda (p. 219)• Membuat tabel rute kustom (p. 219)• Hapus gateway internet egress-only (p. 219)

Buat gateway internet egress-onlyAnda dapat membuat gateway internet egress-only untuk VPC Anda menggunakan konsol Amazon VPC.

Untuk membuat gateway internet egress-only

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway Internet Egress Only.3. Pilih Buat Gateway Internet Egress Only.4. (Opsional) Tambahkan atau hapus tag.

218


Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan gateway internet egress-only

[Menambahkan tag] Pilih Tambah tag baru dan lakukan hal berikut:

• Untuk Kunci, masukkan nama kunci.• Untuk Nilai, masukkan nilai kunci.

[Hapus tag] Pilih Hapus di sebelah kanan Kunci dan Nilai tag.5. Pilih VPC tempat untuk membuat gateway internet egress-only.6. Pilih Buat.

Lihat gateway internet egress-only AndaAnda dapat melihat informasi tentang gateway internet egress-only Anda di konsol Amazon VPC.

Untuk melihat informasi tentang gateway internet egress-only

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway Internet Egress Only.3. Pilih gateway internet egress-only untuk melihat informasinya di panel detail.

Membuat tabel rute kustomUntuk mengirimkan lalu lintas yang ditujukan di luar VPC untuk gateway internet egress-only, Anda harusmembuat tabel rute kustom, menambahkan rute yang mengirimkan lalu lintas ke gateway, dan kemudianmengaitkannya dengan subnet Anda.

Untuk membuat tabel rute kustom dan menambahkan rute ke gateway internet egress-only

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute, Buat tabel.3. Di kotak dialog Buat tabel rute, secara opsional namai tabel rute Anda, kemudian pilih VPC Anda dan

pilih Buat tabel rute.4. Pilih tabel rute kustom yang baru saja Anda buat. Panel rincian menampilkan tab untuk bekerja dengan

rute, asosiasi, dan propagasi rute.5. Pada tab Rute, pilih Edit rute, tentukan ::/0 di kotak Tujuan, pilih ID gateway internet egress-only di

daftar Target, dan kemudian pilih Simpan perubahan.6. Pada tab Keterkaitan subnet, pilih Sunting keterkaitan subnet, lalu pilih kotak centang untuk subnet.

Pilih Simpan.

Atau, Anda dapat menambahkan rute ke tabel rute yang ada yang terkait dengan subnet Anda. Pilih tabelrute yang ada, dan ikuti langkah 5 dan 6 di atas untuk menambahkan rute untuk gateway internet egress-only.

Untuk informasi selengkapnya tentang tabel rute, lihat Tabel rute untuk VPC Anda (p. 281).

Hapus gateway internet egress-onlyJika Anda tidak lagi memerlukan gateway internet egress-only, Anda dapat menghapusnya. Setiaprute dalam tabel rute yang mengarah ke gateway internet egress-only yang terhapus tetap berstatusblackhole hingga Anda menghapus atau memperbarui rute secara manual.

219



Amazon Virtual Private Cloud Panduan PenggunaGambaran umum API dan CLI

Untuk menghapus gateway internet egress-only

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih gateway Internet Egress Only, dan pilih gateway internet egress-only.3. Pilih Hapus.4. Pilih Hapus Gateway Internet Egress-Only di kotak dialog konfirmasi.

Gambaran umum API dan CLIAnda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untukinformasi selengkapnya tentang antarmuka baris perintah dan daftar tindakan API yang tersedia, lihatMengakses Amazon VPC (p. 1).

Buat gateway internet egress-only

• create-egress-only-internet-gateway (AWS CLI)• New-EC2EgressOnlyInternetGateway (AWS Tools for Windows PowerShell)

Jelaskan gateway internet egress-only

• describe-egress-only-internet-gateways (AWS CLI)• Get-EC2EgressOnlyInternetGatewayList (AWS Tools for Windows PowerShell)

Hapus gateway internet egress-only

• delete-egress-only-internet-gateway (AWS CLI)• Remove-EC2EgressOnlyInternetGateway (AWS Tools for Windows PowerShell)

Gateway operatorGateway operator memiliki dua tujuan. Hal ini memungkinkan lalu lintas inbound dari jaringan operatordi lokasi tertentu, dan memungkinkan lalu lintas outbound ke jaringan operator dan internet. Tidak adakonfigurasi koneksi inbound dari internet ke Zona Wavelength melalui gateway operator.

Gateway operator men-support lalu lintas IPv4.

Gateway operator hanya tersedia untuk VPC yang berisikan subnet di Zona Wavelength. Gateway operatormenyediakan konektivitas antara Zona Wavelength dan operator telekomunikasi, serta perangkat padajaringan operator telekomunikasi. Gateway operator menjalankan NAT pada intans Wavelength alamat IPke alamat IP Operator dari kumpulan alamat IP yang ditetapkan untuk grup border jaringan. Fungsi dariNAT gateway operator sama halnya dengan cara gateway internet berfungsi di sebuah Wilayah.

Mengaktifkan akses ke jaringan operatortelekomunikasiUntuk mengaktifkan akses ke atau dari jaringan operator telekomunikasi untuk instans di subnetWavelength, Anda harus melakukan hal berikut:

• Buat sebuah VPC.

220


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2EgressOnlyInternetGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-egress-only-internet-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2EgressOnlyInternetGatewayList.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-egress-only-internet-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2EgressOnlyInternetGateway.html

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan gateway operator

• Buat sebuah gateway operator dan pasang gateway operator ke VPC Anda. Ketika Anda membuatgateway operator, Anda secara opsional dapat memilih subnet mana yang mengarah ke gatewayoperator. Ketika Anda memilih opsi ini, kami secara otomatis membuat sumber daya yang berhubungandengan gateway operator, seperti tabel rute dan ACL jaringan. Jika Anda tidak memilih opsi ini, Andaharus melakukan tugas berikut:• Pilih subnet yang mengarahkan lalu lintas ke gateway operator.• Pastikan bahwa tabel rute subnet Anda memiliki rute yang mengarahkan lalu lintas ke gateway

operator.• Pastikan bahwa instans di subnet Anda memiliki alamat IP Operator yang unik secara global.• Pastikan daftar kontrol akses jaringan Anda dan aturan grup keamanan Anda mengizinkan lalu lintas

yang relevan mengalir ke dan dari instans Anda.

Bekerja dengan gateway operatorBagian-bagian berikutnya menjelaskan langkah-langkah secara manual membuat gateway operator untukVPC Anda untuk men-support lalu lintas inbound dari jaringan operator (misalnya, ponsel), dan untuk men-support lalu lintas outbound ke jaringan operator dan internet.

Tugas• Buat VPC (p. 221)• Membuat gateway operator (p. 222)• Buat grup keamanan untuk mengakses jaringan operator telekomunikasi (p. 223)• Alokasikan dan kaitkan alamat IP operator dengan instans di subnet Zona Wavelength (p. 223)• Lihat rincian gateway operator (p. 224)• Kelola tag gateway operator (p. 224)• Hapus gateway operator (p. 225)

Buat VPCAnda dapat membuat VPC Wavelength kosong sebagai berikut.

Limitation

Anda dapat menentukan kisaran alamat IPv4 yang dapat dirutekan publik. Namun, kami tidak men-supportakses langsung ke internet dari blok CIDR yang dapat dirutekan publik di VPC. Instans Windows tidakdapat melakukan booting dengan benar jika diluncurkan ke VPC yang memiliki kisaran alamat IP dari224.0.0.0 ke 255.255.255.255 (Kisaran alamat IP Kelas D dan Kelas E).

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda, Buat VPC.3. Lakukan hal berikut dan kemudian pilih Buat.

• Tag nama: Secara opsional menamai VPC Anda. Dengan melakukan hal tersebut akan menciptakantag dengan kunci Name dan nilai yang Anda tentukan.

• Blok CIDR IPv4: Tentukan blok CIDR IPv4 untuk VPC. Kami menyarankan Anda menentukan blokCIDR dari kisaran alamat IP pribadi (yang dirutekan tidak secara publik) sebagaimana ditentukan diRFC 1918; misalnya, 10.0.0.0/16, atau 192.168.0.0/16.

Untuk membuat VPC menggunakan AWS CLI

Gunakan perintah create-vpc .

221



https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc.html


Membuat gateway operatorSetelah Anda membuat VPC, buat gateway operator dan kemudian pilih subnet yang mengarahkan lalulintas ke gateway operator.

Jika Anda belum memilih Zona Wavelength, Amazon Virtual Private Cloud Console mendesak Anda untukmemilih. Untuk informasi lebih lanjut, lihat the section called “Kelola Zona” (p. 225).

Ketika Anda memilih untuk secara otomatis merutekan lalu lintas dari subnet ke gateway operator, kamimembuat sumber daya berikut:

• Gateway operator• Sebuah subnet. Anda dapat secara opsional menetapkan semua tag gateway operator yang tidak

memiliki nilai Kunci atas Name ke subnet.• ACL jaringan dengan sumber daya berikut ini:

• Sebuah subnet dikaitkan dengan subnet di Zone Wavelength• Inbound dan outbound default berlaku untuk semua lalu lintas Anda.

• Sebuah tabel rute dengan sumber daya berikut:• Rute untuk semua lalu lintas lokal• Sebuah rute yang mengarahkan semua lalu lintas non-lokal ke gateway operator• Keterkaitan dengan subnet

Untuk membuat gateway operator

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway operator, lalu pilih Buat gateway operator.3. Opsional: Untuk Nama, masukkan nama untuk gateway operator.4. Untuk VPC, pilih VPC.5. Pilih Rutekan lalu lintas subnet ke gateway operator, dan pada Subnet ke rute Lakukan hal berikut.

a. Pada Subnet yang ada di Zona Wavelength, pilih kotak untuk masing-masing subnet untukmengarah ke gateway operator.

b. Untuk membuat subnet pada Zona Wavelength, pilih Tambahkan subnet baru, tentukan informasiberikut, kemudian pilih Tambahkan subnet baru:

• Tag nama: Secara opsional berikan nama untuk subnet Anda. Dengan melakukan hal tersebutakan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

• VPC: Pilih VPC.• Availability Zone: Pilih Zona Wavelength.• Blok CIDR IPv4: Tentukan blok CIDR IPv4 untuk subnet Anda, misalnya, 10.0.1.0/24.• Untuk menerapkan tag gateway operator ke subnet, pilih Terapkan tag yang sama dari gateway

operator ini.6. (Opsional) Untuk menambahkan tag ke gateway operator, pilih Tambahkan tag, dan kemudian lakukan

hal berikut:• Untuk Kunci, masukkan nama kunci.• Untuk Nilai, masukkan nilai kunci.

7. Pilih Buat gateway operator.

Untuk membuat gateway operator menggunakan AWS CLI

1. Gunakan perintah create-carrier-gateway.

222


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-carrier-gateway.html


2. Tambahkan tabel rute VPC dengan sumber daya berikut:

• Rute untuk semua lalu lintas VPC lokal• Sebuah rute yang mengarahkan semua lalu lintas non-lokal ke gateway operator• Keterkaitan dengan subnet di Zona Wavelength

Untuk informasi lebih lanjut, lihat the section called “Perutean ke gateway operator ZonaWavelength” (p. 290).

Buat grup keamanan untuk mengakses jaringan operatortelekomunikasiSecara default, grup keamanan VPC mengizinkan semua lalu lintas outbound. Anda dapat membuatgrup keamanan yang baru dan menambahkan aturan yang mengizinkan lalu lintas inbound dari operatortelekomunikasi tersebut. Kemudian, Anda kaitkan grup keamanan dengan instans di subnet.

Untuk membuat grup keamanan yang baru dan mengaitkannya dengan instans Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan, dan lalu pilih Buat Grup Keamanan.3. Untuk membuat grup keamanan, pilih Buat grup keamanan, tentukan informasi berikut, dan kemudian

pilih buat:

• Nama grup keamanan: Masukkan nama untuk subnet.• Deskripsi: Masukkan deskripsi grup keamanan.• VPC: Pilih VPC.

4. Pilih grup keamanan. Panel detail menampilkan rincian untuk grup keamanan, plus tab untuk bekerjadengan aturan inbound dan aturan outbound.

5. Pada tab Aturan Inbound, pilih Sunting. Pilih Tambahkan Aturan, dan lengkapi informasi yangdiperlukan. Sebagai contoh, pilih daftar HTTP atau HTTPS dari Jenis, dan masukkan Sumber sebagai0.0.0.0/0 untuk lalu lintas IPv4, atau ::/0 untuk lalu lintas IPv6. Pilih Simpan.

6. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.7. Di panel navigasi, pilih Instans.8. Pilih instans, pilih Tindakan, Jaringan, dan kemudian pilih Ubah Grup Keamanan.9. Kosongkan kotak centang untuk grup keamanan yang terpilih saat ini, kemudian pilih yang baru. Pilih

Tetapkan Grup Keamanan.

Untuk membuat grup keamanan menggunakan AWS CLI

Gunakan perintah create-security-group.

Alokasikan dan kaitkan alamat IP operator dengan instans disubnet Zona WavelengthJika Anda menggunakan konsol Amazon EC2 untuk meluncurkan instans, atau Anda tidak menggunakanopsi associate-carrier-ip-address di AWS CLI, maka Anda harus mengalokasikan alamat IPOperator dan menetapkannya ke instans:

Untuk mengalokasikan dan mengaitkan sebuah alamat IP Operator menggunakan AWS CLI

1. Gunakan perintah allocate-address seperti berikut.

223



https://docs.aws.amazon.com/cli/latest/reference/ec2/dcreate-security-group.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/allocate-address.html


aws ec2 allocate-address --region us-east-1 --domain vpc --network-border-group us-east-1-wl1-bos-wlz-1

Berikut ini adalah contoh output:

{ "AllocationId": "eipalloc-05807b62acEXAMPLE", "PublicIpv4Pool": "amazon", "NetworkBorderGroup": "us-east-1-wl1-bos-wlz-1", "Domain": "vpc", "CarrierIp": "155.146.10.111"

}

2. Gunakan perintah associate-address untuk mengaitkan alamat IP Operator dengan instans EC2sebagai berikut.

aws ec2 associate-address --allocation-id eipalloc-05807b62acEXAMPLE --network-interface-id eni-1a2b3c4d

Berikut ini adalah contoh output:

{ "AssociationId": "eipassoc-02463d08ceEXAMPLE",}

Lihat rincian gateway operatorAnda dapat melihat informasi tentang gateway operator Anda, termasuk status dan tag.

Untuk melihat rincian gateway operator

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway Operator.3. Pilih gateway operator dan pilih Tindakan, Lihat Detail.

Untuk melihat rincian gateway operator menggunakan AWS CLI

Gunakan perintah describe-carrier-gateways.

Kelola tag gateway operatorTag membantu Anda mengidentifikasi gateway operator Anda. Anda dapat menambahkan ataumenghapus tag.

Untuk mengelola tag gateway operator

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway Operator.3. Pilih gateway operator dan pilih Tindakan, Kelola tag.4. Untuk menambahkan tag, pilih Tambah tanda dan lakukan hal berikut:

224

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-address.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-carrier-gateways.html


Amazon Virtual Private Cloud Panduan PenggunaKelola Zona


5. Untuk menghapus tag, pilih Hapus di sebelah kanan Kunci dan Nilai tag.6. Pilih Simpan.

Untuk mengelola tag gateway operator menggunakan AWS CLI

• Untuk menambah tag, gunakan perintah create-tag.• Untuk menghapus tag, gunakan perintah delete-tags.

Hapus gateway operatorJika Anda tidak lagi memerlukan gateway operator, Anda dapat menghapusnya.

Important

Jika Anda tidak menghapus rute yang memiliki gateway operator sebagai Target, rute tersebutadalah rute blackhole.

Hapus gateway operator

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway Operator.3. Pilih gateway operator dan pilih Tindakan, Hapus gateway operator.4. Di kotak dialog Hapus gateway operator, masukkan Hapus, lalu pilih Hapus.

Untuk menghapus gateway operator menggunakan AWS CLI

Gunakan perintah delete-carrier-gateway.

Kelola ZonaSebelum Anda menentukan Zona Wavelength untuk sumber daya atau layanan, Anda harus memilih ZonaWavelength.

Anda harus meminta akses sebelum bisa memilih untuk menggunakan Zona Wavelength. Untuk informasilebih lanjut, lihat AWS Wavelength.

Perangkat NAT untuk VPC AndaAnda dapat menggunakan perangkat NAT untuk mengizinkan instans di subnet privat tersambung keinternet, VPC lain, atau jaringan on-premise. Instans ini dapat berkomunikasi dengan layanan di luar VPC,tetapi tidak dapat menerima permintaan koneksi yang tidak diminta.

Perangkat NAT menggantikan alamat IPv4 sumber instans dengan alamat perangkat NAT. Saat mengirimlalu lintas respons ke instans, perangkat NAT menerjemahkan alamat kembali ke alamat IPv4 sumber asal.

Anda dapat menggunakan perangkat NAT terkelola yang ditawarkan oleh AWS, disebut gateway NAT,atau Anda dapat membuat perangkat NAT Anda sendiri pada instans EC2, yang disebut Instans NAT. Kami

225

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tag.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-carrier-gateway.html

https://pages.awscloud.com/wavelength-signup-form.html

Amazon Virtual Private Cloud Panduan PenggunaGateway NAT

menyarankan Anda menggunakan gateway NAT karena gateway NAT memberikan tingkat ketersediaandan bandwidth yang lebih baik dan mudah bagi Anda untuk mengelolanya.

Considerations

• Perangkat NAT tidak didukung untuk lalu lintas IPv6—gunakan gateway internet hanya keluar. Untukinformasi lebih lanjut, lihat Gateway internet khusus jalan keluar (p. 216).

• Kami menggunakan istilah NAT dalam dokumentasi ini untuk mengikuti praktek IT umum, meskipunperan sebenarnya dari perangkat NAT adalah terjemahan alamat dan terjemahan alamat port (PAT).

Contents

• Gateway NAT (p. 226)• Instans NAT (p. 245)• Bandingkan perangkat NAT (p. 252)

Gateway NATGateway NAT adalah layanan Network Address Translation (NAT). Anda dapat menggunakan gatewayNAT sehingga instans di subnet privat dapat terhubung ke layanan di luar VPC Anda tetapi layananeksternal tidak dapat memulai koneksi dengan instans-instans tersebut.

Gateway NAT menggantikan alamat IPv4 sumber dari instans dengan alamat IP privat gateway NAT. Saatmengirim lalu lintas respons ke instans, perangkat NAT menerjemahkan alamat kembali ke alamat IPv4sumber asal.

Ketika Anda membuat gateway NAT, Anda menentukan salah satu dari jenis konektivitas berikut:

• Publik — (Default) Instans dalam subnet privat dapat terhubung ke internet melalui gateway NAT publik,tetapi tidak dapat menerima koneksi masuk yang tidak diminta dari internet. Anda membuat gatewayNAT publik di subnet publik dan harus mengaitkan alamat IP elastis dengan gateway NAT pada saatdibuat. Anda merutekan lalu lintas dari gateway NAT ke gateway internet untuk VPC. Atau, Anda dapatmenggunakan gateway NAT publik untuk terhubung ke VPC lain atau jaringan on-premise Anda. Dalamhal ini, Anda merutekan lalu lintas dari gateway NAT melalui transit gateway atau virtual private gateway.

• Privat — Instans dalam subnet privat dapat terhubung ke VPC lain atau jaringan on-premise Andamelalui gateway NAT privat. Anda dapat merutekan lalu lintas dari gateway NAT melalui transit gatewayatau virtual private gateway. Anda tidak dapat mengaitkan alamat IP elastis dengan gateway NATprivat. Anda dapat melampirkan gateway internet ke VPC dengan gateway NAT privat, tetapi jika Andamerutekan lalu lintas dari gateway NAT privat ke gateway internet, gateway internet akan menjatuhkanlalu lintas.

Pricing

Ketika Anda menyediakan gateway NAT, Anda akan dikenakan biaya untuk setiap jam gateway NAT Andatersedia dan setiap Gigabyte data yang diproses. Untuk informasi lebih lanjut, lihat Harga Amazon VPC.

Daftar Isi• Dasar gateway NAT (p. 227)• Mengontrol penggunaan gateway NAT (p. 228)• Bekerja dengan gateway NAT (p. 228)• Skenario gateway NAT (p. 229)• Migrasi dari instans NAT (p. 232)

226

http://aws.amazon.com/vpc/pricing/


• Gambaran umum API dan CLI (p. 233)• Memantau gateway NAT menggunakan Amazon CloudWatch (p. 233)• Memecahkan masalah gateway NAT (p. 238)

Dasar gateway NATSetiap gateway NAT dibuat di Availability Zone tertentu dan diimplementasikan dengan redundansi di zonatersebut. Ada kuota jumlah gateway NAT yang dapat Anda buat di setiap Availability Zone. Untuk informasilebih lanjut, lihat Kuota Amazon VPC (p. 341).

Jika Anda memiliki sumber daya di beberapa Availability Zone dan mereka berbagi satu gateway NAT,dan jika Availability Zone gateway NAT down, sumber daya di Availability Zone lainnya kehilanganakses internet. Untuk membuat arsitektur yang tidak tergantung Availability Zone, buat gateway NAT disetiap Availability Zone dan konfigurasi perutean Anda untuk memastikan bahwa sumber daya tersebutmenggunakan gateway NAT di Availability Zone yang sama.

Karakteristik dan aturan berikut berlaku untuk gateway NAT:

• Gateway NAT support protokol berikut: TCP, UDP, dan ICMP.• Perangkat NAT tidak support untuk lalu lintas IPv6—gunakan gateway internet hanya keluar (hanya

egress). Untuk informasi lebih lanjut, lihat Gateway internet khusus jalan keluar (p. 216).• Gateway NAT support bandwidth 5 Gbps dan kenaikan otomatis hingga 45 Gbps. Jika Anda

membutuhkan lebih banyak bandwidth, Anda dapat membagi sumber daya Anda menjadi beberapasubnet dan membuat gateway NAT di setiap subnet.

• Gateway NAT dapat support hingga 55.000 koneksi sekaligus untuk setiap tujuan yang unik. Batasanini juga berlaku jika Anda membuat sekitar 900 koneksi per detik ke satu tujuan (sekitar 55.000 koneksiper menit). Jika alamat IP tujuan, port tujuan, atau protokol (TCP/UDP/ICMP) berubah, Anda dapatmembuat tambahan 55.000 koneksi. Untuk lebih dari 55.000 koneksi, ada kemungkinan peningkatankesalahan koneksi karena kesalahan alokasi port. Kesalahan ini dapat dipantau dengan melihat metrikCloudWatch ErrorPortAllocation untuk gateway NAT Anda. Untuk informasi lebih lanjut, lihatMemantau gateway NAT menggunakan Amazon CloudWatch (p. 233).

• Anda dapat mengaitkan persis satu alamat IP Elastis dengan gateway NAT publik. Anda tidak dapatmemisahkan alamat IP Elastis dari gateway NAT setelah dibuat. Untuk menggunakan alamat IP Elastisyang berbeda untuk gateway NAT Anda, Anda harus membuat gateway NAT baru dengan alamat yangdiperlukan, memperbarui tabel rute Anda, dan kemudian menghapus gateway NAT yang ada jika itu tidaklagi diperlukan.

• Gateway NAT privat menerima alamat IP privat yang tersedia dari subnet tempat alamat tersebutdikonfigurasi. Anda tidak dapat melepaskan alamat IP privat ini dan Anda tidak dapat mengaitkan alamatIP privat tambahan.

• Anda tidak dapat mengaitkan grup keamanan dengan gateway NAT. Anda dapat mengaitkan grupkeamanan ke instans Anda untuk mengontrol lalu lintas masuk dan keluar.

• Anda dapat menggunakan ACL jaringan untuk mengontrol lalu lintas ke dan dari subnet untuk gatewayNAT Anda. Gateway NAT menggunakan port 1024–65535. Untuk informasi lebih lanjut, lihat ACLjaringan (p. 190).

• Sebuah gateway NAT menerima antarmuka jaringan yang secara otomatis ditetapkan alamat IPprivat dari rentang alamat IP subnet. Anda dapat melihat antarmuka jaringan untuk gateway NATmenggunakan konsol Amazon EC2. Untuk informasi selengkapnya, lihat Menampilkan detail tentangantarmuka jaringan. Anda tidak dapat mengubah atribut antarmuka jaringan ini.

• Gateway NAT tidak dapat diakses melalui koneksi ClassicLink yang terkait dengan VPC Anda.• Anda tidak dapat merutekan lalu lintas ke gateway NAT melalui koneksi peering VPC, koneksi Site-to-

Site VPN, atau AWS Direct Connect. Gateway NAT tidak dapat digunakan oleh sumber daya di sisi laindari koneksi ini.

227

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#view_eni_details

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#view_eni_details


Mengontrol penggunaan gateway NATSecara default, pengguna IAM tidak memiliki izin untuk bekerja dengan gateway NAT. Anda dapatmembuat kebijakan pengguna IAM yang memberikan izin kepada pengguna untuk membuat,mendeskripsikan, dan menghapus gateway NAT. Untuk informasi lebih lanjut, lihat Identity and accessmanagement untuk Amazon VPC (p. 160).

Bekerja dengan gateway NATAnda dapat menggunakan konsol Amazon VPC untuk membuat dan mengelola gateway NAT Anda. Andajuga dapat menggunakan wizard Amazon VPC untuk membuat VPC dengan subnet publik, subnet privat,dan gateway NAT. Untuk informasi lebih lanjut, lihat VPC dengan subnet publik dan privat (NAT) (p. 32).

Tugas• Buat gateway NAT (p. 228)• Menandai gateway NAT (p. 228)• Menghapus gateway NAT (p. 229)

Buat gateway NAT

Untuk membuat gateway NAT, masukkan nama opsional, subnet, dan jenis konektivitas opsional. Dengangateway NAT publik, Anda harus menentukan alamat IP elastis yang tersedia. Sebuah gateway NAT privatmenerima alamat IP privat utama yang dipilih secara acak dari subnet-nya. Anda tidak dapat melepaskanalamat IP privat primer atau menambahkan alamat IP privat sekunder.

Untuk membuat gateway NAT

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway NAT.3. Pilih Buat Gateway NAT dan lakukan hal berikut:

a. (Opsioonal) Tentukan nama untuk gateway NAT. Tindakan ini akan mebuat tag di mana kuncinyaadalah Name dan nilainya adalah nama yang Anda tentukan.

b. Pilih subnet untuk menciptakan gateway NAT.c. Untuk Jenis konektivitas, pilih Privat untuk membuat gateway NAT privat atau publik (default)

untuk membuat gateway NAT publik.d. (Gateway NAT Publik saja) Untuk ID alokasi IP Elastis, pilih alamat IP Elastis untuk dikaitkan

dengan gateway NAT.e. (Opsional) Untuk setiap tag, pilih Tambahkan tag baru dan masukkan nama dan nilai kunci.f. Pilih Buat Gateway NAT.

4. Status awal gateway NAT adalah Pending. Setelah perubahan status Available, gateway NAT siapdigunakan. Menambahkan rute ke gateway NAT ke tabel rute untuk subnet privat dan menambahkanrute ke tabel rute untuk gateway NAT.

Jika status gateway NAT berubah menjadi Failed, ada kesalahan selama pembuatan. Untukinformasi lebih lanjut, lihat Pembuatan gateway NAT gagal (p. 239).

Menandai gateway NAT

Anda dapat menandai gateway NAT Anda untuk membantu mengidentifikasi atau mengkategorikannyasesuai dengan kebutuhan organisasi Anda. Untuk informasi tentang cara bekerja dengan tag, lihatMenandai sumber daya Amazon EC2 Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

228


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html


Tag alokasi biaya didukung untuk gateway NAT. Oleh karena itu, Anda juga dapat menggunakan tag untukmengatur AWS Anda untuk merefleksikan struktur biaya Anda sendiri. Untuk informasi selengkapnya, lihatMenggunakan tag alokasi biaya dalam Panduan Pengguna AWS Billing and Cost Management. Untukinformasi selengkapnya tentang pengaturan laporan alokasi biaya dengan tag, lihat Laporan alokasi biayabulanan di Tentang AWS Penagihan Akun.

Menghapus gateway NAT

Jika Anda tidak lagi memerlukan gateway NAT, Anda dapat menghapusnya. Setelah Anda menghapusgateway NAT, entri tetap terlihat di konsol Amazon VPC selama sekitar satu jam, setelah itu otomatisdihapus. Anda tidak dapat menghapus entri ini sendiri.

Menghapus gateway NAT akan memisahkan alamat IP Elastis-nya, tetapi tidak melepaskan alamat dariakun Anda. Jika Anda menghapus gateway NAT, rute gateway NAT tetap dalam keadaan blackholesampai Anda menghapus atau memperbarui rute.

Untuk menghapus gateway NAT

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Gateway NAT.3. Pilih tombol radio untuk gateway NAT, lalu pilih Tindakan, Hapus gateway NAT.4. Ketika diminta konfirmasi, masukkan delete lalu pilih Hapus.5. Jika Anda tidak lagi memerlukan alamat IP Elastis yang terkait dengan gateway NAT publik, kami

sarankan Anda melepaskannya. Untuk informasi lebih lanjut, lihat Melepas alamat IP Elastis (p. 279).

Skenario gateway NATBerikut ini adalah contoh kasus penggunaan untuk gateway NAT publik dan privat.

Skenario• Skenario: Mengakses internet dari subnet privat (p. 229)• Skenario: Mengizinkan akses ke jaringan Anda dari alamat IP yang diizinkan (p. 232)

Skenario: Mengakses internet dari subnet privat

Anda dapat menggunakan gateway NAT publik untuk mengaktifkan instans di subnet privat untuk mengirimlalu lintas keluar ke internet, tetapi internet tidak dapat membuat koneksi ke instans.

Diagram berikut menggambarkan arsitektur kasus penggunaan ini. Subnet publik di Availability Zone Aberisi gateway NAT. Subnet privat di Availability Zone B berisi instans. Router mengirimkan internet lalulintas terikat dari instans di subnet privat untuk gateway NAT. gateway NAT mengirimkan lalu lintas kegateway internet, menggunakan alamat IP elastis untuk gateway NAT sebagai alamat IP sumber.

229

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html



Berikut ini adalah tabel rute yang terkait dengan subnet publik di Availability Zone A. Entri pertama adalahentri default untuk perutean lokal di VPC; mengizinkan instans di VPC untuk berkomunikasi satu sama lain.Entri kedua mengirimkan semua lalu lintas subnet lainnya ke gateway internet; ini mengizinkan gatewayNAT untuk mengakses internet.

Tujuan Target

10.0.0.0/16 lokal

0.0.0.0/0 gateway internet

Berikut ini adalah tabel rute yang terkait dengan subnet privat di Availability Zone B. Entri pertama adalahentri default untuk perutean lokal di VPC; mengizinkan instans di VPC untuk berkomunikasi satu sama lain.Entri kedua mengirimkan semua lalu lintas subnet lainnya, seperti lalu lintas internet terikat, ke gatewayNAT.

Tujuan Target

10.0.0.0/16 lokal


Uji gateway NAT publik

Setelah Anda membuat gateway NAT dan memperbarui tabel rute, Anda dapat mengirimkan ping alamatjarak jauh di internet dari sebuah instans di subnet privat untuk menguji apakah perangkat tersebut dapattersambung ke internet. Untuk contoh cara melakukannya, lihat Menguji koneksi internet (p. 231).

Jika Anda dapat terhubung ke internet, Anda juga dapat menguji apakah lalu lintas internet dirutekanmelalui gateway NAT:

230


• Melacak rute lalu lintas dari sebuah instans di subnet privat Anda. Untuk melakukannya, jalankanperintah traceroute dari instans Linux di subnet privat Anda. Dalam output, Anda harus melihat alamatIP privat gateway NAT di salah satu hop (biasanya hop pertama).

• Gunakan situs web atau alat pihak ke tiga yang menampilkan alamat IP sumber saat Anda tersambungdari instans di subnet privat Anda. Alamat IP sumber harus menjadi alamat IP elastis gateway NAT.

Jika percobaan ini gagal, lihat Memecahkan masalah gateway NAT (p. 238).

Menguji koneksi internet

Contoh berikut menunjukkan cara untuk menguji apakah sebuah instans di subnet privat dapat terhubungke internet.

1. Luncurkan sebuah instans di subnet publik Anda (gunakan ini sebagai host bastion). Untuk informasilebih lanjut, lihat Luncurkan sebuah instans di subnet Anda (p. 112). Pada lauch wizard, pastikan bahwaAnda memilih Amazon Linux AMI, dan menetapkan alamat IP publik untuk instans Anda. Pastikanbahwa aturan grup keamanan Anda mengizinkan lalu lintas SSH masuk dari rentang alamat IP untukjaringan on-premise Anda, dan lalu lintas SSH keluar ke rentang alamat IP dari subnet privat Anda(Anda juga dapat menggunakan 0.0.0.0/0 untuk lalu lintas SSH masuk dan keluar untuk tes ini).

2. Luncurkan sebuah instans di subnet privat Anda. Dalam launch wizard, pastikan bahwa Anda memilihAmazon Linux AMI. Jangan menetapkan alamat IP publik ke instans Anda. Pastikan bahwa aturan grupkeamanan Anda mengizinkan lalu lintas SSH masuk dari alamat IP privat instans Anda yang diluncurkandi subnet publik, dan semua lalu lintas ICMP keluar. Anda harus memilih pasangan kunci yang samayang Anda gunakan untuk meluncurkan instans Anda di subnet publik.

3. Mengkonfigurasi SSH agent forwarding pada komputer lokal Anda, dan terhubung ke host bastion Andadi subnet publik. Untuk informasi selengkapnya, lihat Untuk mengkonfigurasi SSH agent forwardinguntuk Linux atau macOS (p. 231) atau Untuk mengkonfigurasi SSH forwarding untuk Windows(PuTTY) (p. 231).

4. Dari host bastion Anda, terhubung ke instans Anda di subnet privat, dan kemudian menguji koneksiinternet dari instans Anda di subnet privat. Untuk informasi lebih lanjut, lihat Untuk menguji koneksiinternet (p. 232).

Untuk mengkonfigurasi SSH agent forwarding untuk Linux atau macOS

1. Dari mesin lokal Anda, tambahkan kunci privat Anda ke agen autentikasi.

Untuk Linux, gunakan perintah berikut.

ssh-add -c mykeypair.pem

Untuk macOS, gunakan perintah berikut.

ssh-add -K mykeypair.pem

2. Connect ke instans Anda di subnet publik menggunakan pilihan -A untuk mengaktifkan SSH agentforwarding, dan menggunakan alamat publik instans, seperti yang ditunjukkan dalam contoh berikut.

ssh -A [email protected]

Untuk mengkonfigurasi SSH forwarding untuk Windows (PuTTY)

1. Unduh dan instal Pageant dari halaman pengunduhan PuTTY, jika belum diinstal.

231

http://www.chiark.greenend.org.uk/~sgtatham/putty/


2. Ubah kunci privat Anda ke format .ppk. Untuk informasi selengkapnya, lihat Mengubah kunci privatAnda menggunakan PuTTYgen dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

3. Mulai Pageant, klik kanan ikon Pageant pada taskbar (mungkin tersembunyi), dan pilih Tambah Kunci.Pilih file .ppk yang Anda buat, masukkan frasa sandi jika perlu, dan pilih Buka.

4. Mulai sesi PuTTY dan hubungkan ke instans Anda di subnet publik menggunakan alamat IP publiknya.Untuk informasi selengkapnya, lihat Menghubungkan ke instans Linux Anda. Di Kategori Autentikasi,pastikan bahwa Anda memilih pilihan Izinkan agent forwarding, dan biarkan kotak File kunci privatuntuk autentikasi tetap kosong.

Untuk menguji koneksi internet

1. Dari instans Anda di subnet publik, hubungkan ke instans Anda di subnet privat Anda denganmenggunakan alamat IP privat seperti yang ditunjukkan dalam instans berikut.

ssh [email protected]

2. Dari instans pribadi Anda, uji bahwa Anda dapat terhubung ke internet dengan menjalankan perintahping untuk situs web yang memiliki ICMP diaktifkan.

ping ietf.org

PING ietf.org (4.31.198.44) 56(84) bytes of data.64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms...

Tekan Ctrl+C pada keyboard Anda untuk membatalkan perintah ping. Jika perintah ping gagal, lihatInstans tidak dapat mengakses internet (p. 241).

3. (Opsioonal) Jika Anda tidak lagi memerlukan instans Anda, hentikan. Untuk informasi lebih lanjut, lihatAkhiri Instans Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Skenario: Mengizinkan akses ke jaringan Anda dari alamat IP yang diizinkan

Alih-alih menetapkan alamat IP terpisah untuk setiap instans dari rentang alamat IP yang diizinkan untukmengakses jaringan on-premise Anda, Anda dapat membuat subnet di VPC Anda dengan rentang alamatIP yang diizinkan, membuat gateway NAT privat di subnet, dan merutekan lalu lintas dari VPC Anda yangditujukan untuk Anda jaringan on-premis Anda melalui gateway NAT.

Migrasi dari instans NATJika Anda sudah menggunakan instans NAT, Anda dapat menggantinya dengan gateway NAT. Untukmelakukannya, Anda dapat membuat gateway NAT di subnet yang sama sebagai instans NAT Anda, dankemudian mengganti rute yang ada di tabel rute Anda yang menunjuk ke instans NAT dengan rute yangmenunjuk ke gateway NAT. Untuk menggunakan alamat IP elastis yang sama untuk gateway NAT yangsaat ini Anda gunakan untuk instans NAT Anda, Anda harus terlebih dahulu juga memisahkan alamatIP elastis dari instans NAT Anda dan kemudian mengaitkannya dengan gateway NAT Anda ketika Andamembuat gateway.

Jika Anda mengubah perutean Anda dari instans NAT untuk gateway NAT, atau jika Anda memisahkanalamat IP Elastis dari instans NAT Anda, koneksi saat ini dijatuhkan dan harus kembali disambungkankembali. Pastikan bahwa Anda tidak memiliki tugas-tugas penting (atau tugas-tugas lain yang beroperasimelalui instans NAT) yang berjalan.

232

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-private-key


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html#putty-ssh



Gambaran umum API dan CLIAnda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untukinformasi selengkapnya tentang antarmuka baris perintah dan daftar operasi API yang tersedia, lihatMengakses Amazon VPC (p. 1).

Buat gateway NAT

• create-nat-gateway (AWS CLI)• New-EC2NATgateway (AWS Tools for Windows PowerShell)• CreateNatGateway (API Kueri Amazon EC2)

Menjelaskan gateway NAT

• menjelaskan-nat-gateway (AWS CLI)• Get-EC2NatGateway (AWS Tools for Windows PowerShell)• DescribeNatGateways (API Kueri Amazon EC2)

Menandai gateway NAT

• create-tags (AWS CLI)• New-EC2Tag (AWS Tools for Windows PowerShell)• Buat Tag (API Kueri Amazon EC2)

Menghapus gateway NAT

• delete-nat-gateway (AWS CLI)• Remove-EC2NatGateway (AWS Tools for Windows PowerShell)• DeleteNatGateway (API Kueri Amazon EC2)

Memantau gateway NAT menggunakan Amazon CloudWatchAnda dapat memantau gateway NAT Anda menggunakan CloudWatch, yang mengumpulkan informasi darigateway NAT Anda dan membuat metrik yang dapat dibaca dan hampir secara waktu nyata. Anda dapatmenggunakan informasi ini untuk memantau dan memecahkan masalah gateway NAT Anda. Data metrikgateway NAT disediakan pada interval 1 menit, dan statistik dicatat untuk jangka waktu 15 bulan.

Untuk informasi selengkapnya tentang Amazon CloudWatch, lihat Panduan Pengguna AmazonCloudWatch. Untuk informasi selengkapnya tentang harga, lihat harga Amazon CloudWatch.

Metrik dan dimensi gateway NAT

Metrik berikut tersedia untuk gateway NAT Anda.

Metrik Deskripsi

ActiveConnectionCount Jumlah total koneksi TCP aktif bersamaan melaluigateway NAT.

Nilai nol menunjukkan bahwa tidak ada koneksiaktif melalui gateway NAT.

233

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateNatGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNatGateways.html



https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteNatGateway.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

http://aws.amazon.com/cloudwatch/pricing


Metrik DeskripsiUnit: Jumlah

Statistik: Statistik yang paling berguna adalah Max.

BytesInFromDestination Jumlah byte yang diterima oleh gateway NAT daritujuan.

Jika nilai untuk BytesOutToSource kurang darinilai untuk BytesInFromDestination, mungkinterjadi kehilangan data selama pemrosesangateway NAT, atau lalu lintas yang secara aktifdiblokir oleh gateway NAT.

Unit: Byte

Statistik: Statistik yang paling berguna adalah Sum.

BytesInFromSource Jumlah byte yang diterima oleh gateway NAT dariklien di VPC Anda.

Jika nilai untuk BytesOutToDestination kurangdari nilai untuk BytesInFromSource, mungkinterjadi kehilangan data selama pemrosesangateway NAT.

Unit: Byte


BytesOutToDestination Jumlah byte yang dikirim melalui gateway NAT ketujuan.

Nilai yang lebih besar dari nol menunjukkan bahwaada lalu lintas pergi ke internet dari klien yangberada di belakang gateway NAT. Jika nilai untukBytesOutToDestination kurang dari nilai untukBytesInFromSource, mungkin terjadi kehilangandata selama pemrosesan gateway NAT.

Unit: Byte


BytesOutToSource Jumlah byte yang dikirim melalui gateway NATuntuk klien di VPC Anda.

Nilai yang lebih besar dari nol menunjukkan bahwaada lalu lintas yang datang dari internet ke klienyang berada di belakang gateway NAT. Jika nilaiuntuk BytesOutToSource kurang dari nilai untukBytesInFromDestination, mungkin terjadikehilangan data selama pemrosesan gatewayNAT, atau lalu lintas yang secara aktif diblokir olehgateway NAT.

Unit: Byte


234


Metrik Deskripsi

ConnectionAttemptCount Jumlah upaya koneksi yang dilakukan melaluigateway NAT.

Jika nilai untuk ConnectionEstablishedCountkurang dari nilai untukConnectionAttemptCount, ini menunjukkanbahwa klien di belakang gateway NAT berusahauntuk membangun koneksi baru yang untuknyatidak ada respon.

Unit: Jumlah


ConnectionEstablishedCount Jumlah koneksi yang dibuat melalui gateway NAT.

Jika nilai untuk ConnectionEstablishedCountkurang dari nilai untukConnectionAttemptCount, ini menunjukkanbahwa klien di belakang gateway NAT berusahauntuk membangun koneksi baru yang untuknyatidak ada respon.

Unit: Jumlah


ErrorPortAllocation Berapa kali gateway NAT tidak dapatmengalokasikan port sumber.

Nilai yang lebih besar dari nol menunjukkan bahwaterlalu banyak koneksi bersamaan terbuka melaluigateway NAT.

Unit: Jumlah


IdleTimeoutCount Jumlah koneksi yang beralih dari status aktif kestatus siaga. Transisi koneksi aktif ke siaga jika itutidak ditutup dengan baik dan tidak ada aktivitasselama 350 detik terakhir.

Nilai yang lebih besar dari nol menunjukkanbahwa ada koneksi yang telah dipindahkan kestatus siaga. Jika nilai untuk IdleTimeoutCountmeningkat, mungkin menunjukkan bahwa kliendi belakang gateway NAT kembali menggunakankembali koneksi yang sudah lama.

Unit: Jumlah


235


Metrik Deskripsi

PacketsDropCount Jumlah paket yang dijatuhkan oleh gateway NAT.

Nilai yang lebih besar dari nol dapat menunjukkanmasalah sementara yang sedang berlangsungdengan gateway NAT. Jika nilai ini tinggi, lihatservice health dashboard AWS.

Unit: Jumlah


PacketsInFromDestination Jumlah paket yang diterima oleh gateway NAT daritujuan.

Jika nilai untuk PacketsOutToSource kurangdari nilai untuk PacketsInFromDestination,mungkin terjadi kehilangan data selamapemrosesan gateway NAT, atau lalu lintas yangsecara aktif diblokir oleh gateway NAT.

Unit: Jumlah


PacketsInFromSource Jumlah paket yang diterima oleh gateway NAT dariklien di VPC Anda.

Jika nilai untuk PacketsOutToDestinationkurang dari nilai untuk PacketsInFromSource,mungkin terjadi kehilangan data selamapemrosesan gateway NAT.

Unit: Jumlah


PacketsOutToDestination Jumlah paket yang dikirim melalui gateway NAT ketujuan.

Nilai yang lebih besar dari nol menunjukkan bahwaada lalu lintas pergi ke internet dari klien yangberada di belakang gateway NAT. Jika nilai untukPacketsOutToDestination kurang dari nilaiuntuk PacketsInFromSource, mungkin terjadikehilangan data selama pemrosesan gatewayNAT.

Unit: Jumlah


236

http://status.aws.amazon.com/


Metrik Deskripsi

PacketsOutToSource Jumlah paket yang dikirim melalui gateway NATuntuk klien di VPC Anda.

Nilai yang lebih besar dari nol menunjukkan bahwaada lalu lintas yang datang dari internet ke klienyang berada di belakang gateway NAT. Jika nilaiuntuk PacketsOutToSource kurang dari nilaiuntuk PacketsInFromDestination, mungkinterjadi kehilangan data selama pemrosesangateway NAT, atau lalu lintas yang secara aktifdiblokir oleh gateway NAT.

Unit: Jumlah


Untuk mem-filter data metrik, gunakan dimensi berikut.

Dimensi Deskripsi

NatGatewayId Filter data metrik berdasarkan ID gateway NAT.

Lihat metrik gateway NAT CloudWatchMetrik gateway NAT dikirim ke CloudWatch dengan interval 1 menit. Anda dapat melihat metrik gatewayNAT Anda sebagai berikut.

Untuk melihat metrik dengan menggunakan konsol CloudWatch

Metrik dikelompokkan terlebih dahulu berdasarkan namespace layanan, kemudian berdasarkan berbagaikombinasi dimensi dalam setiap namespace.

1. Buka konsol CloudWatch di https://console.aws.amazon.com/cloudwatch/.2. Di panel navigasi, pilih Metrik.3. Di bawah Semua metrik, pilih namespace metrik gateway NAT.4. Untuk melihat metrik, pilih dimensi metrik.

Untuk melihat metrik menggunakan AWS CLI

Pada prompt perintah, gunakan perintah berikut untuk mencantumkan metrik yang tersedia untuk layanangateway NAT.

aws cloudwatch list-metrics --namespace "AWS/NATGateway"

Buat alarm CloudWatch untuk memantau gateway NATAnda dapat membuat alarm CloudWatch yang mengirimkan pesan ke Amazon SNS ketika statusalarm berubah. Alarm mengawasi satu metrik selama suatu periode waktu yang Anda tentukan. Alarmmengirimkan pemberitahuan ke topik Amazon SNS berdasarkan nilai metrik relatif terhadap ambang batastertentu selama beberapa periode waktu.

Misalnya, Anda dapat membuat alarm yang memantau jumlah lalu lintas yang masuk atau meninggalkangateway NAT. Alarm berikut memonitor jumlah lalu lintas keluar dari klien di VPC Anda melalui gateway

237

https://console.aws.amazon.com/cloudwatch/


NAT ke internet. Ini mengirimkan pemberitahuan ketika jumlah byte mencapai ambang batas 5.000.000selama periode 15 menit.

Untuk membuat alarm untuk lalu lintas keluar melalui gateway NAT

1. Buka konsol CloudWatch di https://console.aws.amazon.com/cloudwatch/.2. Di panel navigasi, pilih Alarm, Buat Alarm.3. Pilih NAT Gateway.4. Pilih gateway NAT dan metrik BytesOutToDestination dan pilih Selanjutnya.5. Konfigurasikan alarm seperti berikut, lalu pilih Buat Alarm setelah Anda selesai:

• Di bawah Ambang Batas Alarm, masukkan nama dan deskripsi untuk alarm Anda. Untuk Kapansaja, pilih >= dan masukkan 5000000. Masukkan 1 untuk periode berturut-turut.

• Di bawah Tindakan, pilih daftar pemberitahuan yang ada atau pilih Daftar baru untuk membuat daftarbaru.

• Di bawah Pratinjau alarm, pilih jangka waktu 15 menit dan tentukan statistik Jumlah.

Anda dapat membuat alarm yang memantau metrik ErrorPortAllocation dan mengirimkanpemberitahuan bila nilai lebih besar dari nol (0) untuk tiga periode 5 menit berturut-turut.

Membuat alarm untuk memantau kesalahan alokasi port

1. Buka konsol CloudWatch di https://console.aws.amazon.com/cloudwatch/.2. Di panel navigasi, pilih Alarm, Buat Alarm.3. Pilih Gateway NAT.4. Pilih gateway NAT dan metrik ErrorPortAllocation dan pilih Selanjutnya.5. Konfigurasikan alarm seperti berikut, lalu pilih Buat Alarm setelah Anda selesai:

• Di bawah Ambang Batas Alarm, masukkan nama dan deskripsi untuk alarm Anda. Untuk Kapansaja, pilih > dan ketik 0. Masukkan 3 untuk periode berturut-turut.

• Di bawah Tindakan, pilih daftar pemberitahuan yang ada atau pilih Daftar baru untuk membuat daftarbaru.

• Di bawah Pratinjau alarm, pilih jangka waktu 5 menit dan tentukan statistik Maksimum.

Untuk informasi selengkapnya tentang membuat alarm, lihat Membuat Alarm Amazon CloudWatch dalamPanduan Pengguna Amazon CloudWatch.

Memecahkan masalah gateway NATTopik berikut membantu Anda memecahkan masalah umum yang mungkin Anda temui saat membuat ataumenggunakan gateway NAT.

Masalah• Pembuatan gateway NAT gagal (p. 239)• Kuota gateway NAT (p. 240)• Kuota alamat IP Elastis (p. 240)• Availability Zone tidak didukung (p. 241)• gateway NAT tidak lagi terlihat (p. 241)• gateway NAT tidak menanggapi perintah ping (p. 241)• Instans tidak dapat mengakses internet (p. 241)• Koneksi TCP ke tujuan gagal (p. 242)• Output Traceroute tidak menampilkan alamat IP privat gateway NAT (p. 243)

238



https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html


• Koneksi internet terputus setelah 350 detik (p. 244)• Koneksi IPsec tidak dapat dibuat (p. 244)• Tidak dapat memulai lebih banyak koneksi (p. 244)

Pembuatan gateway NAT gagalProblem

Anda membuat gateway NAT dan berubah ke status Failed.Note

Gateway NAT yang gagal dihapus secara otomatis, biasanya sekitar satu jam.

Cause

Terjadi kesalahan saat gateway NAT dibuat. Pesan status kembali memberikan alasan untuk kesalahan.

Solution

Untuk melihat pesan kesalahan, buka konsol Amazon VPC, dan kemudian pilih Gateway NAT. Pilih tombolradio untuk gateway NAT Anda, dan kemudian temukan Pesan status pada tab Detail.

Tabel berikut mencantumkan kemungkinan penyebab kegagalan seperti yang ditunjukkan dalam konsolAmazon VPC. Setelah menerapkan salah satu langkah perbaikan yang ditunjukkan, Anda dapat mencobamembuat gateway NAT lagi.

Kesalahan ditampilkan Penyebab Solusi

Subnet memiliki alamat gratisyang tidak mencukupi untukmembuat gateway NAT ini

Subnet yang Anda tentukantidak memiliki alamat IPprivat gratis. Gateway NATmemerlukan antarmuka jaringandengan alamat IP privat yangdialokasikan dari rentang subnetini.

Periksa berapa banyak alamatIP yang tersedia di subnet Andadengan membuka halamanSubnet di konsol Amazon VPC.Anda dapat melihat IP yangtersedia di panel detail untuksubnet Anda. Untuk membuatalamat IP gratis di subnetAnda, Anda dapat menghapusantarmuka jaringan yang tidakterpakai, atau mengakhiri instansyang tidak Anda butuhkan.

Jaringan vpc-xxxxxxxx tidakmemiliki gateway internetterpasang

Gateway NAT harus dibuatdalam VPC dengan gatewayinternet.

Buat dan lampirkan gatewayinternet ke VPC Anda. Untukinformasi lebih lanjut, lihatMembuat dan melampirkangateway internet (p. 213).

Alamat IP Elastis eipalloc-xxxxxxxx tidak dapat dikaitkandengan gateway NAT ini

Alamat IP elastis yang Andatentukan tidak ada atau tidakdapat ditemukan.

Periksa ID alokasi alamat IPElastis untuk memastikan bahwaAnda memasukkan denganbenar. Pastikan bahwa Andatelah menentukan alamat IPElastis yang ada di WilayahAWS yang sama di mana Andamembuat gateway NAT.

Alamat IP Elastis eipalloc-xxxxxxxx siap diasosiasikan

Alamat IP Elastis yang Andatentukan sudah dikaitkan dengan

Periksa sumber daya manayang terkait dengan alamat

239


Kesalahan ditampilkan Penyebab Solusisumber daya lain, dan tidakdapat dikaitkan dengan gatewayNAT.

IP Elastis. Pergi ke halamanIP elastis di konsol AmazonVPC, dan tampilkan nilai-nilai yang ditentukan untukID instans atau ID antarmukajaringan. Jika Anda tidakmemerlukan alamat IP Elastisuntuk sumber daya tersebut,Anda dapat memisahkannya.Atau, alokasikan alamat IPElastis baru ke akun Anda.Untuk informasi lebih lanjut,lihat Bekerja dengan alamat IPElastis (p. 276).

Antarmuka jaringan eni-xxxxxxxx,yang dibuat dan digunakansecara internal oleh gatewayNAT ini dalam keadaan tidakvalid. Harap coba lagi.

Ada masalah saat membuatatau menggunakan antarmukajaringan untuk gateway NAT.

Anda tidak dapat mengatasikesalahan ini. Coba buatgateway NAT lagi.

Kuota gateway NATKetika Anda mencoba untuk membuat gateway NAT, Anda akan menerima pesan kesalahan berikut.

Performing this operation would exceed the limit of 5 NAT gateways

Cause

Anda telah mencapai kuota untuk jumlah gateway NAT untuk Availability Zone tersebut.

Solution

Jika Anda telah mencapai kuota gateway NAT ini untuk akun Anda, Anda dapat melakukan salah satu halberikut:

• Meminta peningkatan Gateway NAT per kuota Availability Zone menggunakan konsol Service Quotas.• Periksa status gateway NAT Anda. Status dari Pending, Available, atau Deleting dihitung dari

kuota Anda. Jika Anda baru saja menghapus gateway NAT, tunggu beberapa menit hingga statusberjalan dari Deleting ke Deleted. Kemudian coba buat gateway NAT baru.

• Jika Anda tidak memerlukan gateway NAT di Availability Zone tertentu, coba buat gateway NAT diAvailability Zone yang belum mencapai kuota.

Untuk informasi lebih lanjut, lihat Kuota Amazon VPC (p. 341).

Kuota alamat IP ElastisProblem

Ketika Anda mencoba untuk mengalokasikan alamat IP elastis untuk gateway NAT publik Anda, Andamendapatkan galat berikut.

The maximum number of addresses has been reached.

240

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-FE5A380F


Cause

Anda telah mencapai kuota untuk jumlah alamat IP Elastis untuk akun Anda untuk Wilayah tersebut.

Solution

Jika Anda telah mencapai kuota alamat IP Elastis, Anda dapat memisahkan alamat IP Elastis dari sumberdaya lain. Atau, Anda dapat meminta penambahan kuota IP Elastis menggunakan konsol Service Quotas.

Availability Zone tidak didukungProblem

Ketika Anda mencoba untuk membuat gateway NAT, Anda akan menerima pesan kesalahan berikut.NotAvailableInZone.

Cause

Anda mungkin mencoba untuk membuat gateway NAT di Availability Zone terbatas - zona di manakemampuan kita untuk memperluas dibatasi.

Solution

Kami tidak dapat mendukung gateway NAT di Availability Zone ini. Anda dapat membuat gateway NATdi Availability Zone yang berbeda dan menggunakannya untuk subnet privat di zona dibatasi. Anda jugadapat memindahkan sumber daya Anda ke Availability Zone yang tidak terbatas sehingga sumber dayadan gateway NAT Anda berada di zona yang sama.

gateway NAT tidak lagi terlihatProblem

Anda membuat gateway NAT tapi tidak lagi terlihat di konsol Amazon VPC.

Cause

Mungkin ada kesalahan selama pembuatan gateway NAT Anda, dan pembuatan gagal. Sebuah gatewayNAT dengan status Failed terlihat di konsol Amazon VPC selama sekitar satu jam). Setelah satu jam,secara otomatis dihapus.

Solution

Tinjau informasi di Pembuatan gateway NAT gagal (p. 239), dan coba buat gateway NAT baru.

gateway NAT tidak menanggapi perintah pingProblem

Ketika Anda mencoba untuk mengirim ping ke alamat IP Elastis gateway NAT atau alamat IP privatdari internet (misalnya, dari komputer rumah Anda) atau dari sebuah instans di VPC Anda, Anda tidakmendapatkan respons.

Cause

Sebuah gateway NAT hanya melewati lalu lintas dari sebuah instans dalam sebuah subnet privat keinternet.

Solution

Untuk menguji apakah gateway NAT Anda berfungsi, lihat Uji gateway NAT publik (p. 230).

Instans tidak dapat mengakses internetProblem

241

https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-0263D0A3


Anda membuat gateway NAT publik dan mengikuti langkah-langkah untuk mengujinya, tetapi perintahping gagal, atau instans Anda di subnet privat tidak dapat mengakses internet.

Causes

Penyebab dari masalah ini mungkin salah satu dari yang berikut:

• Gateway NAT tidak siap untuk melayani lalu lintas.• Tabel rute Anda tidak dikonfigurasi dengan benar.• Grup keamanan atau ACL jaringan memblokir lalu lintas masuk atau keluar.• Anda menggunakan protokol yang tidak didukung.

Solution

Perhatikan informasi berikut:

• Periksa bahwa gateway NAT dalam keadaan Available. Di konsol Amazon VPC, buka halamangateway NAT dan tampilkan informasi status di panel detail. Jika gateway NAT dalam keadaan gagal,mungkin ada kesalahan saat dibuat. Untuk informasi lebih lanjut, lihat Pembuatan gateway NATgagal (p. 239).

• Periksa apakah Anda telah mengonfigurasi tabel rute dengan benar:• Gateway NAT harus berada di subnet publik dengan tabel rute yang merutekan lalu lintas internet ke

gateway internet.• Instans Anda harus dalam subnet privat dengan tabel rute yang merutekan lalu lintas internet ke

gateway NAT.• Periksa bahwa tidak ada entri tabel rute lain yang merutekan semua atau sebagian lalu lintas internet

ke perangkat lain, bukan gateway NAT.• Pastikan bahwa aturan grup keamanan untuk instans pribadi Anda mengizinkan lalu lintas internet

keluar. Agar perintah ping bekerja, aturan juga harus mengizinkan lalu lintas ICMP keluar.

Gateway NAT itu sendiri mengizinkan semua lalu lintas keluar dan lalu lintas yang diterima dalammenanggapi permintaan keluar (oleh karena itu bersifat stateful).

• Pastikan bahwa ACL jaringan yang terkait dengan subnet privat dan subnet publik tidak memiliki aturanyang memblokir lalu lintas internet masuk atau keluar. Agar perintah ping bekerja, aturan juga harusmengizinkan lalu lintas ICMP masuk dan keluar.

Anda dapat mengaktifkan log alur untuk membantu Anda mendiagnosis koneksi yang terputus karenaACL jaringan atau aturan grup keamanan. Untuk informasi lebih lanjut, lihat Log Alur VPC (p. 307).

• Jika Anda menggunakan perintah ping, pastikan bahwa Anda mengirim ping ke host yang mengaktifkanICMP. Jika ICMP tidak diaktifkan, Anda tidak akan menerima balasan paket. Untuk menguji ini, kirimkanperintah ping yang sama dari terminal baris perintah pada komputer Anda sendiri.

• Periksa apakah instans Anda dapat mengirimkan ping ke sumber daya lain, misalnya, instans lain disubnet privat (dengan asumsi bahwa aturan grup keamanan mengizinkan ini).

• Pastikan bahwa koneksi Anda menggunakan protokol TCP, UDP, atau ICMP saja.

Koneksi TCP ke tujuan gagalProblem

Beberapa koneksi TCP Anda dari instans di subnet privat untuk tujuan tertentu melalui gateway NATberhasil, tetapi beberapa gagal atau waktu habis.

Causes

Penyebab dari masalah ini mungkin salah satu dari yang berikut:

242


• Titik akhir tujuan merespons dengan paket TCP terfragmentasi. gateway NAT tidak support fragmentasiIP untuk TCP atau ICMP. Untuk informasi lebih lanjut, lihat Bandingkan gateway NAT dan instansNAT (p. 252).

• Opsi tcp_tw_recycle diaktifkan pada server jarak jauh, yang diketahui menyebabkan masalah ketikaada beberapa koneksi dari belakang perangkat NAT.

Solutions

Verifikasi apakah titik akhir yang Anda coba koneksikan merespons dengan paket TCP terfragmentasidengan melakukan hal berikut:

1. Gunakan instans di subnet publik dengan alamat IP publik untuk memicu respons yang cukup besaruntuk menyebabkan fragmentasi dari titik akhir tertentu.

2. Gunakan utilitas tcpdump untuk memverifikasi bahwa titik akhir mengirim paket terfragmentasi.Important

Anda harus menggunakan instans di subnet publik untuk melakukan pemeriksaan ini. Andatidak dapat menggunakan instans dari mana koneksi asal gagal, atau instans di subnet privat dibelakang gateway NAT atau instans NAT.

Alat diagnostik yang mengirim atau menerima paket ICMP besar akan melaporkan kehilangan paket.Misalnya, perintah ping -s 10000 example.com tidak bekerja di belakang gateway NAT.

3. Jika titik akhir mengirimkan paket TCP terfragmentasi, Anda dapat menggunakan instans NAT bukannyagateway NAT.

Jika Anda memiliki akses ke server jarak jauh, Anda dapat memverifikasi apakah opsi tcp_tw_recyclediaktifkan dengan melakukan hal berikut:

1. Dari server, jalankan perintah berikut.

cat /proc/sys/net/ipv4/tcp_tw_recycle

Jika outputnya 1, maka opsi tcp_tw_recycle diaktifkan.2. Jika tcp_tw_recycle diaktifkan, kami sarankan menonaktifkannya. Jika Anda perlu menggunakan

kembali koneksi, tcp_tw_reuse adalah opsi yang lebih aman.

Jika Anda tidak memiliki akses ke server jarak jauh, Anda dapat melakukan pengujian denganmenonaktifkan sementara opsi tcp_timestamps pada instans di subnet privat. Kemudian koneksikanke server jarak jauh lagi. Jika koneksi berhasil, penyebab kegagalan sebelumnya mungkin terjadi karenatcp_tw_recycle diaktifkan pada server jarak jauh. Jika dimungkinkan, hubungi pemilik server jarak jauhuntuk memverifikasi apakah opsi ini diaktifkan dan memintanya untuk dinonaktifkan.

Output Traceroute tidak menampilkan alamat IP privat gateway NATProblem

Instans Anda dapat mengakses internet, tetapi ketika Anda melakukan perintah traceroute, output tidakmenampilkan alamat IP privat gateway NAT.

Cause

Instans Anda mengakses internet menggunakan gateway yang berbeda, seperti gateway internet.

Solution

Dalam tabel rute subnet di mana instans Anda berada, periksa informasi berikut:

243


• Pastikan bahwa ada rute yang mengirimkan lalu lintas internet ke gateway NAT.• Pastikan tidak ada rute yang lebih spesifik yang mengirim lalu lintas internet ke perangkat lain, seperti

virtual private gateway atau gateway internet.

Koneksi internet terputus setelah 350 detikProblem

Instans Anda dapat mengakses internet, namun koneksi akan terputus setelah 350 detik.

Cause

Jika koneksi yang menggunakan gateway NAT siaga selama 350 detik atau lebih, waktu koneksi akanhabis.

Ketika waktu koneksi habis, gateway NAT mengembalikan paket RST untuk sumber daya di belakanggateway NAT yang mencoba untuk melanjutkan koneksi (tidak mengirim paket FIN).

Solution

Untuk mencegah koneksi terhenti, Anda dapat memulai lebih banyak lalu lintas melalui koneksi tersebut.Atau, Anda dapat mengaktifkan TCP keepalive pada instans dengan nilai kurang dari 350 detik.

Koneksi IPsec tidak dapat dibuatProblem

Anda tidak dapat membuat koneksi IPsec ke tujuan.

Cause

Gateway NAT saat ini tidak support protokol IPsec.

Solution

Anda dapat menggunakan NAT-Traversal (NAT-T) untuk merangkum lalu lintas IPsec di UDP, yangmerupakan protokol yang di-support untuk gateway NAT. Pastikan bahwa Anda menguji konfigurasi NAT-Tdan IPsec untuk memverifikasi bahwa lalu lintas IPsec Anda tidak terputus.

Tidak dapat memulai lebih banyak koneksiProblem

Anda memiliki koneksi yang ada ke tujuan melalui gateway NAT, tetapi tidak dapat membuat lebih banyakkoneksi.

Cause

Anda mungkin telah mencapai batas untuk koneksi simultan untuk gateway NAT tunggal. Untuk informasilebih lanjut, lihat Dasar gateway NAT (p. 227). Jika instans Anda di subnet privat membuat sejumlahbesar koneksi, Anda mungkin mencapai batas ini.

Solution

Lakukan salah satu dari berikut ini:

• Buat gateway NAT per Availability Zone dan sebarkan klien Anda di seluruh zona tersebut.• Buat gateway NAT tambahan di subnet publik dan pisahkan klien Anda menjadi beberapa subnet privat,

masing-masing dengan rute ke gateway NAT yang berbeda.• Batasi jumlah koneksi ke tujuan yang dapat dibuat klien Anda.

244

Amazon Virtual Private Cloud Panduan PenggunaInstans NAT

• Gunakan metrik IdleTimeoutCount (p. 233) di CloudWatch untuk memantau peningkatan koneksisiaga. Tutup koneksi siaga untuk melepaskan kapasitas.

Instans NATImportant

NAT AMI dibangun di Amazon Linux AMI versi terakhir, 2018.03, yang mencapai akhir supportstandar pada 31 Desember 2020. Untuk informasi selengkapnya, lihat postingan blog berikut:Akhir masa pakai AMI Amazon Linux. Fitur ini hanya akan menerima pembaruan keamanan kritis(tidak akan ada update reguler).Jika Anda menggunakan NAT AMI yang sudah ada, AWS menyarankan Anda bermigrasi kegateway NAT atau membuat NAT AMI Anda sendiri di Amazon Linux 2 sesegera mungkin. Untukinformasi tentang cara memigrasi instans Anda, lihat the section called “Migrasi dari instansNAT” (p. 232).

Anda dapat membuat sendiri network address translation AMI dan menjalankannya pada instans EC2sebagai instans NAT di subnet publik di VPC Anda untuk mengaktifkan instans di subnet privat untukmemulai lalu lintas IPv4 keluar ke internet atau layanan AWS lainnya, tetapi mencegah instans menerimalalu lintas masuk yang diinisiasi oleh seseorang di internet.

Untuk informasi lebih lanjut tentang subnet publik dan privat, lihat Perutean subnet (p. 106). Untukinformasi lebih lanjut tentang NAT, lihat Perangkat NAT untuk VPC Anda (p. 225).

NAT tidak support lalu lintas IPv6—gunakan gateway internet hanya keluar. Untuk informasi lebih lanjut,lihat Gateway internet khusus jalan keluar (p. 216).

Kuota instans NAT Anda tergantung pada kuota instans Anda untuk Wilayah. Untuk informasiselengkapnya, lihat FAQ EC2.

Note

Anda juga dapat menggunakan gateway NAT, yang merupakan layanan NAT terkelola yangmenyediakan ketersediaan yang lebih baik, bandwidth yang lebih tinggi, dan membutuhkan sedikitusaha administratif. Untuk kasus penggunaan umum, kami sarankan Anda menggunakan gatewayNAT daripada instans NAT. Untuk informasi selengkapnya, lihat Gateway NAT (p. 226) danBandingkan gateway NAT dan instans NAT (p. 252).

Daftar Isi• Dasar-dasar instans NAT (p. 245)• AMI instans NAT (p. 246)• Mengatur instans NAT (p. 247)• Buat grup keamanan NATSG (p. 248)• Nonaktifkan pemberiksaan sumber/tujuan (p. 249)• Mengubah tabel rute utama (p. 250)• Menguji konfigurasi instans NAT (p. 250)

Dasar-dasar instans NATGambar berikut mengilustrasikan dasar-dasar NAT. Tabel rute utama dikaitkan dengan subnet privatdan mengirimkan lalu lintas dari instans di subnet privat untuk instans NAT di subnet publik. Instans NATkemudian mengirim lalu lintas ke gateway internet untuk VPC. Lalu lintas dikaitkan dengan alamat IPElastis instans NAT. Instans NAT menentukan nomor port yang tinggi untuk respon; jika respon datangkembali, instans NAT mengirimkannya ke sebuah instans di subnet privat berdasarkan nomor port untukrespon.

245

http://aws.amazon.com/blogs/aws/update-on-amazon-linux-ami-end-of-life/

http://aws.amazon.com/ec2/faqs/#EC2_On-Demand_Instance_limits


Lalu lintas Internet dari instans di subnet privat diarahkan ke instans NAT, yang kemudian berkomunikasidengan internet. Oleh karena itu, instans NAT harus memiliki akses internet. Instans NAT harus dalamsubnet publik (subnet yang memiliki tabel rute dengan rute ke gateway internet), dan harus memiliki alamatIP publik atau alamat IP Elastis.

AMI instans NATMeskipun Amazon menyediakan Amazon Linux AMI yang dikonfigurasi untuk berjalan sebagai instansNAT, AMI tersebut dibangun di Amazon Linux versi terakhir, 2018.03 yang mencapai akhir dukunganstandar pada 31 Desember 2020 dan hanya akan menerima pembaruan keamanan kritis (tidak akan adaupdate reguler). Jika Anda menggunakan NAT AMI yang sudah ada (AMI ini meliputi string amzn-ami-vpc-nat dalam namanya), AWS menyarankan Anda bermigrasi ke gateway NAT atau membuat NAT AMIAnda sendiri di Amazon Linux 2 sesegera mungkin.

Buatlah NAT AMI Anda sendiriAnda dapat memulai dengan Amazon AMI yang ada dan membuat kustomisasi yang tepat untuk membuatAMI Anda sendiri untuk dijalankan sebagai instans NAT. Anda dapat menggunakan AMI ini ketika Andamembutuhkannya untuk meluncurkan instans NAT. Kami menyarankan Anda menggunakan Amazon

246


Linux 2 AMI terbaru untuk membangun NAT AMI Anda sendiri. Untuk informasi selengkapnya tentang caramembuat AMi, lihat Membuat AMI yang didukung Amazon EBS di Panduan Pengguna Amazon EC2 untukInstans Linux.

Memperbarui instans NAT yang adaJika Anda sudah menggunakan NAT AMI, kami sarankan Anda bermigrasi ke Gateway NAT atau membuatNAT AMI Anda sendiri di Amazon Linux 2.

Mengatur instans NATSebelum Anda mulai, buat AMI yang dikonfigurasi untuk dijalankan sebagai instans NAT. Untuk informasilebih lanjut, lihat the section called “Buatlah NAT AMI Anda sendiri” (p. 246). AMI ini ditampilkan dalampanel navigasi Amazon Elastic Compute Cloud Console, di bawah Gambar saat Anda mem-filter ke Dimilikioleh saya.

Untuk mengatur VPC dan instans NAT menggunakan konsol tersebut, ikuti langkah berikut:

1. Buat VPC dengan dua subnet.

a. Buat VPC (lihat Buat VPC (p. 108))b. Buat dua subnet (lihat Membuat sebuah subnet (p. 213))c. Lampirkan gateway internet ke VPC (lihat Membuat dan melampirkan gateway internet (p. 213))d. Buat tabel rute kustom yang mengirimkan lalu lintas yang ditakdirkan di luar VPC ke gateway

internet, dan kemudian kaitkan dengan satu subnet, menjadikannya subnet publik (lihat Buat tabelrute kustom (p. 214))

2. Buat grup keamanan NATSG (lihat Buat grup keamanan NATSG (p. 248)). Anda akan menentukangrup keamanan ini saat meluncurkan instans NAT.

3. Luncurkan instans ke subnet publik Anda dari AMI yang telah dikonfigurasi untuk dijalankan sebagaiinstans NAT.

a. Buka konsol Amazon EC2.b. Di dasbor, pilih tombol Luncurkan Instans, dan selesaikan wizard sebagai berikut:

i. Di halaman Pilih Amazon Machine Image (AMI), atur filter ke Dimiliki oleh saya, lalu pilih AMIAnda.

ii. Di halaman Pilih Tipe Instans, pilih tipe instans, kemudian pilih Berikutnya: KonfigurasikanDetail Instans.

iii. Di halaman Konfigurasi Detail Instans, pilih VPC yang Anda buat dari daftar Jaringan, danpilih subnet publik Anda dari daftar Subnet.

iv. (Opsional) Pilih kotak centang IP Publik untuk meminta bahwa instans NAT Anda menerimaalamat IP publik. Jika Anda memilih untuk tidak menetapkan alamat IP publik sekarang,Anda dapat mengalokasikan alamat IP Elastis dan menetapkannya ke instans Anda setelahdiluncurkan. Untuk informasi lebih lanjut tentang menetapkan IP publik saat peluncuran,lihat Menetapkan alamat IPv4 publik selama peluncuran instans (p. 120). Pilih Berikutnya:Tambahkan Penyimpanan.

v. Anda dapat memilih untuk menambahkan penyimpanan ke instans Anda, dan pada halamanberikutnya, Anda dapat menambahkan tag. Pilih Berikutnya: Konfigurasikan Grup Keamanansetelah Anda selesai.

vi. Di halaman Konfigurasikan Grup Keamanan, pilih opsi Pilih grup keamanan yang sudah ada,dan pilih grup keamanan NATSG yang Anda buat. Pilih Tinjau dan Luncurkan.

vii. Tinjau pengaturan yang telah Anda pilih. Buat perubahan yang Anda butuhkan, lalu pilihLuncurkan untuk memilih pasangan kunci dan meluncurkan instans Anda.

4. Nonaktifkan atribut SrcDestCheck untuk instans NAT (lihat Nonaktifkan pemberiksaan sumber/tujuan (p. 249))

247

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html


5. Jika Anda tidak menetapkan alamat IP publik ke instans NAT Anda selama peluncuran (langkah 3),Anda perlu mengaitkan alamat IP Elastis dengannya.

a. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.b. Di panel navigasi, pilih IP Elastis, lalu pilih Alokasikan alamat baru.c. Pilih Alokasikan.d. Pilih alamat IP Elastis dari daftar, dan kemudian pilih Tindakan, Kaitkan alamat.e. Pilih sumber daya antarmuka jaringan, lalu pilih antarmuka jaringan untuk instans NAT. Pilih

alamat untuk mengaitkan IP Elastis dari daftar IP privat, dan kemudian pilih Kaitkan.6. Perbarui tabel rute utama untuk mengirim lalu lintas ke instans NAT. Untuk informasi lebih lanjut, lihat

Mengubah tabel rute utama (p. 250).

:Luncurkan instans NAT menggunakan baris perintahUntuk meluncurkan instans NAT ke subnet Anda, gunakan salah satu perintah berikut. Untuk informasilebih lanjut, lihat Mengakses Amazon VPC (p. 1). Anda dapat menggunakan ID AMI dari AMI yangdikonfigurasi untuk dijalankan sebagai instans NAT. Untuk informasi selengkapnya tentang cara membuatAMI di Amazon Linux 2, lihat Membuat AMI yang didukung Amazon EBS di Panduan Pengguna AmazonEC2 untuk Instans Linux.

• run-instans (AWS CLI)• New-EC2instans (AWS Tools for Windows PowerShell)

Buat grup keamanan NATSGTentukan grup keamanan NATSG seperti yang dijelaskan dalam tabel berikut agar instans NAT Andadapat menerima lalu lintas masuk internet dari instans di subnet privat, serta lalu lintas SSH dari jaringanAnda. Instans NAT juga dapat mengirim lalu lintas ke internet, yang membuat instans di subnet privat bisamendapatkan pembaruan perangkat lunak.

NATSG: aturan yang disarankan

Inbound

Sumber Protokol Baris Port Komentar

10.0.1.0/24 TCP 80 Izinkan lalu lintas HTTPmasuk dari server disubnet privat

10.0.1.0/24 TCP 443 Izinkan lalu lintasHTTPS masuk dariserver di subnet privat

Rentang alamat IPpublik jaringan rumahAnda

TCP 22 Izinkan akses masukSSH ke instans NATdari jaringan rumahAnda (melalui gatewayinternet)

Outbound

Tujuan Protokol Baris Port Komentar

0.0.0.0/0 TCP 80 Izinkan akses HTTPkeluar ke internet

248


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html




0.0.0.0/0 TCP 443 Izinkan akses HTTPSkeluar ke internet

Buat grup keamanan NATSG

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan, lalu pilih Buat Grup Keamanan.3. Di kotak dialog Buat Grup Keamanan, tentukan NATSG sebagai nama untuk grup keamanan, dan

berikan deskripsi yang baru. Pilih ID VPC Anda dari menu VPC dan pilih Ya, Buat.4. Pilih grup keamanan NATSG yang baru saja Anda buat. Panel detail menampilkan detail untuk grup

keamanan, dan tab untuk menggunakan aturan masuk dan keluarnya.5. Tambahkan aturan untuk lalu lintas masuk menggunakan tab Aturan Masuk sebagai berikut:

a. Pilih Sunting.b. Pilih Tambahkan aturan lain, dan pilih HTTP dari daftar Tipe. Di bidang Sumber, tentukan rentang

alamat IP subnet privat Anda.c. Pilih Tambahkan aturan lain, dan pilih HTTPS dari daftar Tipe. Di bidang Sumber, tentukan

rentang alamat IP subnet privat Anda.d. Pilih Tambahkan aturan lain, dan pilih SSH dari daftar Tipe. Di bidang Sumber, tentukan rentang

alamat IP publik jaringan Anda.e. Pilih Simpan.

6. Menambahkan aturan untuk lalu lintas keluar menggunakan tab Aturan keluar sebagai berikut:

a. Pilih Sunting.b. Pilih Tambahkan aturan lain, dan pilih HTTP dari daftar Tipe. Di bidang Tujuan, tentukan

0.0.0.0/0

c. Pilih Tambahkan aturan lain, dan pilih HTTPS dari daftar Tipe. Di bidang Tujuan, tentukan0.0.0.0/0

d. Pilih Simpan.

Untuk informasi lebih lanjut, lihat Grup Keamanan untuk VPC Anda (p. 179).

Nonaktifkan pemberiksaan sumber/tujuanSetiap instans EC2 melakukan pemeriksaan sumber/tujuan secara default. Ini berarti bahwa instans harusmenjadi sumber atau tujuan dari setiap lalu lintas yang dikirim atau diterima. Namun, instans NAT harusdapat mengirim dan menerima lalu lintas ketika sumber atau tujuan bukan dirinya sendiri. Oleh karena itu,Anda harus menonaktifkan pemeriksaan sumber / tujuan pada instans NAT.

Anda dapat menonaktifkan atribut SrcDestCheck untuk instans NAT yang berjalan atau berhentimenggunakan konsol atau baris perintah.

Untuk menonaktifkan pemeriksaan sumber/tujuan menggunakan konsol tersebut

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Instans.3. Pilih instans NAT, pilih Tindakan, Jaringan, Ubah pemeriksaan sumber/tujuan.4. Verifikasi bahwa pemeriksaan sumber/tujuan dihentikan. Jika tidak, pilih Hentikan.5. Pilih Simpan.6. Jika instans NAT memiliki antarmuka jaringan sekunder, pilih dari Antarmuka jaringan pada tab

Jaringan. Pilih ID antarmuka untuk membuka halaman antarmuka jaringan. Pilih Tindakan, Ubahpemeriksaan sumber/tujuan, hapus Aktifkan, dan pilih Simpan.

249




Untuk menonaktifkan pemeriksaan sumber/tujuan menggunakan baris perintah

Anda dapat menggunakan salah satu dari perintah berikut. Untuk informasi lebih lanjut, lihat MengaksesAmazon VPC (p. 1).

• modify-instance-attribute (AWS CLI)• Edit-EC2InstanceAttribute (AWS Tools for Windows PowerShell)

Mengubah tabel rute utamaSubnet privat di VPC Anda tidak terkait dengan tabel rute kustom, oleh karena itu menggunakan tabel ruteutama. Secara default, tabel rute utama mengizinkan instans di VPC Anda untuk berkomunikasi satu samalain. Anda harus menambahkan rute yang mengirimkan semua lalu lintas subnet lainnya ke instans NAT.

Untuk memperbarui tabel rute utama

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute.3. Pilih tabel rute utama untuk VPC Anda (Kolom Utama menampilkan Ya). Panel detail menampilkan tab

untuk bekerja dengan rute, pengaitan, dan propagasi rute.4. Pada tab Rute, pilih Edit rute, tentukan 0.0.0.0/0 di kotak Tujuan, pilih ID instans dari instans NAT

dari daftar Target, dan kemudian pilih Simpan perubahan.5. Pada tab Pengaitan subnet, pilih Edit pengaitan subnet, dan kemudian pilih kotak centang untuk

subnet privat. Pilih Simpan pengaitan.

Untuk informasi lebih lanjut, lihat Tabel rute untuk VPC Anda (p. 281).

Menguji konfigurasi instans NATSetelah Anda meluncurkan instans NAT dan menyelesaikan langkah-langkah konfigurasi di atas,Anda dapat melakukan tes untuk memeriksa apakah sebuah instans di subnet privat Anda dapatmengakses internet melalui instans NAT dengan menggunakan instans NAT sebagai server bastion. Untukmelakukannya, perbarui aturan grup keamanan instans NAT Anda untuk mengizinkan lalu lintas ICMPmasuk dan keluar dan mengizinkan lalu lintas SSH keluar, meluncurkan sebuah instans ke subnet privatAnda, mengkonfigurasi SSH agent forwarding untuk mengakses instans di subnet privat Anda, terhubungke instans Anda, dan kemudian menguji konektivitas internet.

Untuk memperbarui grup keamanan instans NAT

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Grup Keamanan.3. Pilih kotak centang untuk grup keamanan yang terkait dengan instans NAT Anda.4. Pilih Edit aturan masuk pada tab Aturan masuk.5. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Tipe. Pilih Kustom untuk Sumber dan

masukkan rentang alamat IP dari subnet privat Anda (misalnya,10.0.1.0/24). Pilih Simpan aturan.6. Pilih Edit aturan keluar pada tab Aturan keluar.7. Pilih Tambahkan aturan. Pilih SSH untuk Tipe. Pilih Khusus untuk Tujuan dan masukkan rentang

alamat IP dari subnet privat Anda (misalnya, 10.0.1.0/24).8. Pilih Tambahkan aturan. Pilih Semua ICMP - IPv4 untuk Tipe. Pilih Kustom untuk Tujuan dan

masukkan 0.0.0.0/0. Pilih Simpan aturan.

250

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html




Untuk meluncurkan sebuah instans ke subnet privat Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Instans.3. Luncurkan sebuah instans ke subnet privat Anda. Untuk informasi lebih lanjut, lihat Luncurkan sebuah

instans di subnet Anda (p. 112). Pastikan bahwa Anda mengkonfigurasi opsi berikut di launch wizard,dan kemudian pilih Luncurkan:

• Pada halaman Pilih Amazon Machine Image (AMI), pilih Amazon Linux AMI dari kategori QuickStart.

• Pada halaman Konfigurasi Detail Instans, pilih subnet privat Anda dari daftar Subnet, dan jangantetapkan alamat IP publik untuk instans Anda.

• Pada halaman Konfigurasi Grup Keamanan, pastikan bahwa grup keamanan Anda mencakupaturan masuk yang mengizinkan akses SSH dari instans NAT alamat IP privat Anda, atau darirentang alamat IP subnet publik Anda, dan memastikan bahwa Anda memiliki aturan keluar yangmengizinkan lalu lintas ICMP keluar.

• Di kotak dialog Pilih pasangan kunci yang sudah ada atau buat pasangan kunci baru, pilih pasangankunci yang sama dengan yang Anda gunakan untuk meluncurkan instans NAT.

Untuk mengkonfigurasi SSH agent forwarding untuk Linux atau OS X

1. Dari mesin lokal Anda, tambahkan kunci privat Anda ke agen autentikasi.

Untuk Linux, gunakan perintah berikut:

ssh-add -c mykeypair.pem

Untuk OS X, gunakan perintah berikut:

ssh-add -K mykeypair.pem

2. Connect ke instans NAT Anda menggunakan -A untuk mengaktifkan SSH agent forwarding, misalnya:

ssh -A [email protected]

Untuk mengkonfigurasi SSH forwarding untuk Windows (PuTTY)

1. Unduh dan instal Pageant dari halaman pengunduhan PuTTY, jika belum diinstal.2. Untuk mengonversi kunci privat Anda ke format .ppk. Untuk informasi selengkapnya, lihat Mengonversi

kunci privat Anda menggunakan PuTTYgen.3. Mulai Pageant, klik kanan ikon Pageant pada taskbar (mungkin tersembunyi), dan pilih Tambah Kunci.

Pilih file .ppk yang Anda buat, masukkan frasa sandi jika perlu, dan pilih Buka.4. Mulai sesi PuTTY untuk terhubung ke instans NAT Anda. Di Kategori Autentikasi, pastikan bahwa

Anda memilih pilihan Izinkan agent forwarding, dan biarkan bidang File kunci privat untuk autentikasitetap kosong.

Untuk menguji koneksi internet

1. Uji bahwa instans NAT Anda dapat berkomunikasi dengan internet dengan menjalankan perintah pinguntuk situs web dengan ICMP yang diaktifkan; misalnya:

251


http://www.chiark.greenend.org.uk/~sgtatham/putty/



Amazon Virtual Private Cloud Panduan PenggunaBandingkan perangkat NAT

ping ietf.org


Tekan Ctrl+C pada keyboard Anda untuk membatalkan perintah ping.2. Dari instans NAT Anda, hubungkan ke instans Anda di subnet privat Anda dengan menggunakan

alamat IP privat, misalnya:

ssh [email protected]

3. Dari instans pribadi Anda, uji bahwa Anda dapat terhubung ke internet dengan menjalankan perintahping:

ping ietf.org


Tekan Ctrl+C pada keyboard Anda untuk membatalkan perintah ping.

Jika perintah ping gagal, periksa informasi berikut:

• Periksa bahwa aturan grup keamanan instans NAT mengizinkan lalu lintas ICMP masuk dari subnetprivat Anda. Jika tidak, instans NAT Anda tidak dapat menerima perintah ping dari instans pribadiAnda.

• Periksa apakah Anda telah mengonfigurasi tabel rute dengan benar. Untuk informasi lebih lanjut,lihat Mengubah tabel rute utama (p. 250).

• Pastikan bahwa Anda telah menonaktifkan pemeriksaan sumber/tujuan untuk instans NAT Anda.Untuk informasi lebih lanjut, lihat Nonaktifkan pemberiksaan sumber/tujuan (p. 249).

• Pastikan bahwa Anda mengirimkan ping ke situs web dengan ICMP yang diaktifkan. Jika tidak, Andatidak akan menerima paket balasan. Untuk menguji ini, kirimkan perintah ping yang sama dariterminal baris perintah pada komputer Anda sendiri.

4. (Opsional) Hentikan instans pribadi Anda jika Anda tidak lagi membutuhkannya. Untuk informasi lebihlanjut, lihat Akhiri Instans Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Bandingkan gateway NAT dan instans NATBerikut ini adalah rangkuman tingkat tinggi tentang perbedaan antara gateway NAT dan instans NAT. Kamimenyarankan Anda menggunakan gateway NAT karena gateway NAT memberikan tingkat ketersediaandan bandwidth yang lebih baik dan mudah bagi Anda untuk mengelolanya.

Atribut Gateway NAT Instans NAT

KetersediaanHampir selalu tersedia. Gateway NAT disetiap Availability Zone diimplementasikandengan redundansi. Buat gateway NAT di

Gunakan skrip untuk mengelola failoverantara instans.

252


Amazon Virtual Private Cloud Panduan PenggunaBandingkan perangkat NAT

Atribut Gateway NAT Instans NATsetiap Availability Zone untuk memastikanarsitektur yang tidak tergantung zona.

Bandwidth Skala sehingga 45 Gbps. Tergantung pada bandwidth dari tipeinstans.

PemeliharaanDikelola oleh AWS. Anda tidak perlumelakukan perawatan apa pun.

Dikelola oleh Anda, misalnya, denganmenginstal pembaruan perangkat lunakatau patch sistem operasi pada instans.

Kinerja Software dioptimalkan untuk menangani lalulintas NAT.

AMI generik yang dikonfigurasi untukmelakukan NAT.

Biaya Dibebankan tergantung pada jumlahgateway NAT yang Anda gunakan, durasipenggunaan, dan jumlah data yang Andakirim melalui gateway NAT.

Dibebankan tergantung pada jumlahinstans NAT yang Anda gunakan, durasipenggunaan, dan tipe dan ukuran instans.

Tipe danukuran

Penawaran seragam; Anda tidak perlumenentukan tipe atau ukurannya.

Pilih tipe dan ukuran instans yang sesuai,sesuai dengan beban kerja yang Andaperkirakan.

Alamat IPpublik

Pilih alamat IP Elastis untuk dikaitkan dengangateway NAT publik saat pembuatan.

Gunakan alamat IP Elastis atau alamat IPpublik dengan instans NAT. Anda dapatmengubah alamat IP publik kapan sajadengan mengaitkan alamat IP Elastis barudengan instans.

Alamat IPprivat

Secara otomatis dipilih dari rentang alamatIP subnet saat Anda ketika Anda membuatgateway.

Tetapkan alamat IP privat tertentu darirentang alamat IP subnet saat Andameluncurkan instans.

Grupkeamanan

Anda tidak dapat mengaitkan grup keamanandengan gateway NAT. Anda dapatmengaitkannya dengan sumber daya dibelakang gateway NAT untuk mengontrol lalulintas masuk dan keluar.

Kaitkan instans NAT Anda dan sumberdaya di belakang instans NAT Anda gunamengontrol lalu lintas masuk dan keluar.

ACLJaringan

Anda dapat menggunakan ACL jaringan untukmengontrol lalu lintas ke dan dari subnettempat gateway NAT Anda berada.

Menggunakan ACL jaringan untukmengontrol lalu lintas ke dan dari subnettempat instans NAT Anda berada.

Log alur Gunakan log alur untuk menangkap lalulintas.

Gunakan log alur untuk menangkap lalulintas.

Penerusanport

Tidak didukung. Secara manual menyesuaikan konfigurasiuntuk mendukung penerusan port.

Serverbastion

Tidak didukung. Gunakan sebagai server bastion.

Metrik lalulintas

Lihat metrik CloudWatch untuk gatewayNAT (p. 233).

Melihat metrik CloudWatch untuk instanstersebut.

253

Amazon Virtual Private Cloud Panduan PenggunaSekumpulan opsi DHCP

Atribut Gateway NAT Instans NAT

Perilakuwaktuhabis

Ketika waktu koneksi habis, gateway NATmengembalikan paket RST ke sumber daya dibelakang gateway NAT yang mencoba untukmelanjutkan koneksi (tidak mengirim paketFIN).

Ketika waktu koneksi habis, instans NATmengirimkan paket FIN untuk sumber dayadi belakang instans NAT untuk menutupkoneksi.

FragmentasiIP

Mendukung penerusan paket terfragmentasiIP untuk protokol UDP.

Tidak mendukung fragmentasi untuk protokolTCP dan ICMP. Paket terfragmentasi untukprotokol ini akan turun.

Mendukung perakitan kembali paketterfragmentasi IP untuk protokol UDP, TCP,dan ICMP.

Sekumpulan opsi DHCP untuk VPC AndaProtokol Konfigurasi Host Dinamis (DHCP) memberikan standar untuk meneruskan informasi konfigurasikepada host di jaringan TCP/IP. Kolom options pesan DHCP mengandung parameter konfigurasi,termasuk nama domain, server nama domain, dan netbios-node-type.

Ketika Anda membuat VPC, kami secara otomatis membuat sekumpulan opsi DHCP dan mengaitkan opsi-opsi tersebut dengan VPC. Anda dapat mengonfigurasi pilihan DHCP Anda sendiri yang ditetapkan untukVPC Anda.

Daftar Isi• Gambaran umum kumpulan opsi DHCP (p. 254)• Server Amazon DNS (p. 255)• Ubah opsi DHCP (p. 256)• Bekerja dengan kumpulan opsi DHCP (p. 256)• API dan gambaran umum perintah (p. 259)

Gambaran umum kumpulan opsi DHCPSecara default, semua instans di VPC nondefault menerima nama host yang tidak dapat dipecahkan yangAWS tetapkan (misalnya, ip-10-0-0-202). Anda dapat menetapkan nama domain Anda sendiri untuk instansAnda, dan menggunakan hingga empat server DNS Anda sendiri. Untuk melakukannya, Anda harusmembuat satu set kustom opsi DHCP untuk digunakan dengan VPC.

Berikut ini adalah opsi-opsi yang disupport untuk sekumpulan opsi DHCP, dan nilai yang disediakan dalamsekumpulan opsi DHCP default untuk VPC Anda. Anda dapat menentukan hanya opsi-opsi yang Andabutuhkan saja di kumpulan opsi DHCP Anda. Untuk informasi selengkapnya tentang opsi-opsi tersebut,lihat RFC 2132.

domain-nama-server

Alamat-alamat IP berisikan hingga empat server nama domain, atau AmazonProvidedDNS (p. 255).Untuk menentukan lebih dari satu server nama domain, pisahkan dengan koma. Meskipun Anda dapatmenentukan hingga empat server nama domain, beberapa sistem operasi mungkin memberlakukanbatas jumlah server yang lebih sedikit.

Untuk menggunakan opsi ini, atur ke salah satu AmazonProvidedDNS atau server nama domainkustom. Menggunakan keduanya dapat menghasilkan perilaku tak terduga.

254


Amazon Virtual Private Cloud Panduan PenggunaServer Amazon DNS

Set opsi DHCP default: AmazonProvidedDNSdomain-name

Nama domain kustom untuk instans Anda. Jika Anda tidak menggunakan AmazonProvidedDNS,server nama domain kustom Anda harus resolve nama host sebagaimana mestinya. Jika Andamenggunakan zona host pribadi Amazon Route 53, Anda dapat menggunakan AmazonProvidedDNS.Untuk informasi lebih lanjut, lihat Support DNS untuk VPC Anda (p. 259).

Beberapa sistem operasi Linux menerima beberapa nama domain yang dipisahkan oleh spasi. Namun,sistem operasi Linux lainnya dan Windows memperlakukan nilai sebagai sebuah domain tunggal, yangmenghasilkan perilaku tak terduga. Jika kumpulan pilihan DHCP Anda dikaitkan dengan VPC yangberisikan instans yang tidak semuanya menjalankan sistem operasi yang sama, tentukan hanya satunama domain.

Kumpulan opsi DHCP default: Untuk us-east-1, nilainya adalah ec2.internal.Untuk Kawasan lain, nilainya adalah wilayah.kumputasi.internal (misalnya, ap-northeast-1.compute.internal). Untuk menggunakan nilai default, atur domain-name-servers menjadi AmazonProvidedDNS.

ntp-servers

Alamat IP hingga empat server Protokol Waktu Jaringan (NTP). Untuk informasi selengkapnya,lihat bagian 8.3 RFC 2132. Anda dapat menentukan Layanan Sinkronisasi Waktu Amazon di169.254.169.123. Untuk informasi selengkapnya, lihat Pengaturan waktu pada Panduan PenggunaAmazon EC2 untuk Instans Linux.

Kumpulan opsi DHCP default: Tidak adanetbios-nama-servers

Alamat IP hingga empat server nama NetBIOS.

Kumpulan opsi DHCP default: Tidak adanetbios-node-type

Jenis simpul NetBIOS (1, 2, 4, atau 8). Kami merekomendasikan Anda menentukan 2 (point-to-point,atau P-node). Penyiaran dan multicast saat ini tidak di-support. Untuk informasi lebih lanjut tentangjenis simpul ini, lihat bagian 8.7 RFC 2132 dan bagian 10 dari RFC1001.

Kumpulan opsi DHCP default: Tidak ada

Server Amazon DNSKumpulan opsi DHCP default untuk VPC Anda mencakup dua opsi: domain-name-servers=AmazonProvidedDNS, dan domain-name= domain-name-for-your-region.AmazonProvidedDNS adalah server Amazon Route 53 Resolver, dan opsi ini mengaktifkan DNS untukinstans-instans yang perlu berkomunikasi melalui gateway internet VPC. String AmazonProvidedDNSmemetakan ke sebuah server DNS yang berjalan pada alamat IP yang disimpan di dasar kisaran jaringanIPv4 VPC, ditambah dua. Sebagai contoh, Server DNS pada jaringan 10.0.0.0/16 terletak di 10.0.0.2. UntukVPC dengan beberapa blok CIDR IPv4, alamat IP server DNS terletak di blok CIDR utama. Server DNStidak berdiam di satu subnet atau di Availability Zone tertentu di VPC.

Ketika Anda meluncurkan sebuah instans ke sebuah VPC, kami memberikan instans dengan nama hostDNS pribadi, dan nama host DNS publik jika instans menerima alamat IPv4 publik. Jika domain-name-servers dalam opsi DHCP Anda diatur menjadi AmazonProvidedDNS, nama host DNS publik berubahmenjadi ec2-public-ipv4-address.compute-1.amazonaws.com untuk Wilayah us-east-1, danec2-public-ipv4-address.region.compute.amazonaws.com untuk Wilayah Lainnya. Nama

255


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html



Amazon Virtual Private Cloud Panduan PenggunaUbah opsi DHCP

host pribadi berbentuk ip-private-ipv4-address.ec2.internal untuk Wilayah us-east-1, danip-private-ipv4-address.region.compute.internal untuk Wilayah lainnya. Untuk mengubahnama host DNS kustom, Anda harus mengatur domain-name-servers untuk server DNS kustom.

Server DNS Amazon di VPC Anda digunakan untuk resolve nama domain DNS yang Anda tentukan dizona host pribadi di Route 53. Untuk informasi selengkapnya tentang zona yang di-host pribadi, lihatBekerja dengan Zona Host Pribadi di Panduan Developer Amazon Route 53.

Aturan dan pertimbanganSaat menggunakan server DNS Amazon, aturan dan pertimbangan berikut berlaku.

• Anda tidak dapat mem-filter lalu lintas ke atau dari server DNS Amazon menggunakan ACL jaringan ataugrup keamanan.

• Layanan yang menggunakan kerangka Hadoop, seperti Amazon EMR, memerlukan instans untukresolve nama domain mereka sendiri yang sudah sepenuhnya memenuhi syarat (FQDN). Dalam kasustersebut, resolusi DNS dapat gagal jika opsi domain-name-servers diatur ke nilai kustom. Untukmemastikan resolusi DNS yang tepat, pertimbangkan untuk menambahkan forwarder bersyarat padaserver DNS Anda untuk meneruskan kueri untuk domain region-name.compute.internal untukserver DNS Amazon. Untuk informasi selengkapnya, lihat Pengaturan sebuah VPC untuk host klaster diPanduan Pengelolaan Amazon EMR.

• Anda dapat menggunakan alamat IP server DNS Amazon 169.254.169.253, meskipun beberapa servertidak mengizinkan penggunaan tersebut. Windows Server 2008, misalnya, melarang penggunaan serverDNS yang terletak di kisaran jaringan 169.254.x.x.

• Amazon Route 53 Resolver hanya mendukung kueri DNS rekursif.

Ubah opsi DHCPSetelah Anda membuat sekumpulan opsi DHCP, Anda tidak dapat mengubahnya. Jika Anda ingin VPCAnda menggunakan sekumpulan opsi DHCP yang berbeda, Anda harus membuatnya dan kemudianmengaitkannya dengan VPC Anda. Atau, Anda dapat menentukan bahwa VPC Anda harus menggunakanopsi DHCP.

Anda dapat memiliki beberapa kumpulan opsi DHCP, tetapi Anda hanya dapat mengaitkan satu kumpulanopsi DHCP dengan VPC pada suatu waktu. Jika Anda menghapus VPC, kumpulan opsi DHCP yang terkaitdengan VPC menjadi tidak terkait dari VPC.

Setelah Anda mengaitkan sekumpulan opsi baru DHCP dengan sebuah VPC, setiap instans yang ada dansemua instans yang baru yang Anda luncurkan di VPC menggunakan opsi-opsi baru. Anda tidak perlumemulai ulang atau meluncurkan ulang instans Anda. Instans-instans secara otomatis berubah dalambeberapa jam, tergantung pada seberapa sering mereka memperbarui sewa DHCP mereka. Jika Andalebih suka, Anda dapat secara eksplisit memperbarui sewa menggunakan sistem operasi pada instans.

Bekerja dengan kumpulan opsi DHCPBagian ini menunjukkan cara untuk bekerja dengan kumpulan opsi DHCP.

Tugas• Buat satu set pilihan DHCP (p. 257)• Ubah kumpulan opsi DHCP yang VPC gunakan (p. 257)• Ubah VPC untuk tidak menggunakan opsi DHCP (p. 258)• Memodifikasi tag dari sekumpulan opsi DHCP (p. 258)

256

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-host-job-flows.html

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan kumpulan opsi DHCP

• Menghapus sekumpulan opsi DHCP (p. 258)

Buat satu set pilihan DHCPAnda dapat membuat tambahan kumpulan opsi DHCP sebanyak yang Anda mau. Namun, Anda hanyadapat mengaitkan satu VPC dengan satu set opsi DHCP dalam satu waktu. Setelah Anda membuatsekumpulan opsi DHCP, Anda harus mengonfigurasi VPC Anda untuk menggunakannya. Untuk informasilebih lanjut, lihat Ubah kumpulan opsi DHCP yang VPC gunakan (p. 257).

Untuk membuat sekumpulan opsi DHCP

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Kumpulan Opsi DHCP.3. Pilih Buat sekumpulan opsi DHCP.4. Untuk Pengaturan tag, secara opsional masukkan nama untuk kumpulan opsi DHCP. Ini menciptakan

tag Nama untuk kumpulan opsi DHCP.5. Untuk opsi DHCP, berikan parameter konfigurasi yang Anda butuhkan.

Important

Jika VPC Anda memiliki gateway internet, pastikan untuk menentukan server DNS Andasendiri atau server DNS Amazon (AmazonProvidedDNS) untuk nilai Server nama domain.Jika tidak, instans-instans yang perlu berkomunikasi dengan internet tidak akan memilikiakses ke DNS.

6. Untuk Tag, secara opsional tambahkan atau hapus tag.

• [Tambahkan tag] Pilih Tambahkan tag baru dan masukkan nama kunci dan nilai kunci.• [Hapus tag] Pilih Hapus di samping tag.

7. Pilih Buat kumpulan opsi DHCP.8. Buatlah catatan ID dari kumpulan opsi DHCP yang baru (dopt-xxxxxxxx). Anda akan membutuhkan ID

ini untuk mengaitkan sekumpulan opsi yang baru dengan VPC Anda.

Sekarang setelah Anda membuat sekumpulan opsi DHCP, Anda harus mengaitkannya dengan VPC Andaagar opsi-opsi Anda berlaku. Anda dapat membuat beberapa kumpulan opsi DHCP, tetapi Anda hanyadapat mengaitkan satu kumpulan opsi DHCP saja dengan VPC Anda pada satu waktu.

Ubah kumpulan opsi DHCP yang VPC gunakanAnda dapat mengubah kumpulan opsi DHCP yang VPC Anda gunakan. Setelah Anda mengaitkansekumpulan opsi DHCP yang baru dengan VPC tersebut, setiap instans yang ada dan semua instansyang baru yang Anda luncurkan di VPC tersebut akan menggunakan sekumpulan opsi yang baru. Andatidak perlu memulai ulang atau meluncurkan ulang instans-instans Anda. Instans-instans secara otomatisberubah dalam beberapa jam, tergantung pada seberapa sering mereka memperbarui sewa DHCPmereka. Jika Anda lebih suka, Anda dapat secara eksplisit memperbarui sewa menggunakan sistemoperasi pada instans.

Jika Anda tidak ingin VPC Anda menggunakan opsi DHCP, lihat Ubah VPC untuk tidak menggunakan opsiDHCP (p. 258).

Note

Prosedur berikut mengasumsikan bahwa Anda telah membuat sekumpulan opsi DHCP. Jika tidak,buat kumpulan opsi seperti yang dijelaskan di bagian sebelumnya.

257


Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan kumpulan opsi DHCP

Untuk mengubah kumpulan opsi DHCP yang dikaitkan dengan sebuah VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Pilih kotak centang untuk VPC, dan kemudian pilih Tindakan, Sunting kumpulan opsi DHCP.4. Untuk kumpulan opsi DHCP, pilih kumpulan opsi DHCP.5. Pilih Simpan perubahan.

Ubah VPC untuk tidak menggunakan opsi DHCPAnda dapat mengatur VPC Anda sehingga VPC tidak menggunakan sekumpulan opsi DHCP. Anda tidakperlu memulai ulang atau meluncurkan instans-instans Anda. Instans-instans secara otomatis berubahdalam beberapa jam, tergantung pada seberapa sering mereka memperbarui sewa DHCP mereka. JikaAnda lebih suka, Anda dapat secara eksplisit memperbarui sewa menggunakan sistem operasi padainstans.

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda.3. Pilih kotak centang untuk VPC, dan kemudian pilih Tindakan, Sunting kumpulan opsi DHCP.4. Untuk kumpulan opsi DHCP, pilih Tidak ada kumpulan opsi DHCP.5. Pilih Simpan perubahan.

Memodifikasi tag dari sekumpulan opsi DHCPAnda dapat menggunakan tag untuk dengan mudah mengidentifikasi kumpulan opsi Anda.

Untuk memodifikasi tag dari sekumpulan opsi DHCP

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih kumpulan opsi DHCP.3. Pilih tombol radio untuk kumpulan opsi DHCP, dan kemudian pilih Tindakan, Kelola tag.4. Untuk Tag, tambahkan atau hapus tag sesuai kebutuhan.

• [Tambahkan tag] Pilih Tambahkan tag baru dan masukkan nama kunci dan nilai kunci.• [Hapus tag] Pilih Hapus di sebelah tag.

5. Pilih Simpan.

Menghapus sekumpulan opsi DHCPKetika Anda tidak lagi memerlukan kumpulan opsi DHCP, gunakan prosedur berikut untuk menghapusnya.Pastikan bahwa Anda mengubah VPC yang menggunakan kumpulan opsi ini menjadi kumpulan opsi lain,atau tidak ada kumpulan opsi, Untuk informasi selengkapnya, lihat the section called “Ubah kumpulan opsiDHCP yang VPC gunakan” (p. 257) dan the section called “Ubah VPC untuk tidak menggunakan opsiDHCP” (p. 258) .

Untuk menghapus sekumpulan opsi DHCP

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Kumpulan Opsi DHCP.

258





Amazon Virtual Private Cloud Panduan PenggunaAPI dan gambaran umum perintah

3. Pilih tombol radio untuk kumpulan opsi DHCP, dan kemudian pilih Tindakan, Hapus kumpulan opsiDHCP.

4. Ketika diminta konfirmasi, masukkan hapus, dan kemudian pilih Hapus kumpulan opsi DHCP.

API dan gambaran umum perintahAnda dapat melaksanakan tugas yang dijelaskan dalam topik ini menggunakan baris perintah atau API.Untuk informasi selengkapnya tentang antarmuka baris perintah dan daftar API yang tersedia, lihatMengakses Amazon VPC (p. 1).

Buat satu kumpulan opsi DHCP untuk VPC anda

• create-dhcp-options (AWS CLI)• New-EC2DhcpOption (AWS Tools for Windows PowerShell)

Kaitkan sekumpulan opsi DHCP dengan VPC tertentu, atau tidak ada pilihan DHCP

• associate-dhcp-options (AWS CLI)• Register-EC2DhcpOption (AWS Tools for Windows PowerShell)

Jelaskan satu atau lebih kumpulan opsi DHCP

• describe-dhcp-options (AWS CLI)• Get-EC2DhcpOption (AWS Tools for Windows PowerShell)

Hapus sekumpulan opsi DHCP

• delete-dhcp-options (AWS CLI)• Remove-EC2DhcpOption (AWS Tools for Windows PowerShell)

Support DNS untuk VPC AndaSistem Nama Domain(DNS) adalah standar dimana nama yang digunakan di internet diganti menjadialamat IP yang sesuai. Nama host DNS adalah nama yang secara unik dan tepat untuk komputer; yangterdiri dari nama host dan nama domain. Server DNS mengubah nama host DNS menjadi alamat IP yangsesuai.

Alamat IPv4 publik mengaktifkan komunikasi melalui internet, sementara alamat IPv4 pribadi mengaktifkankomunikasi dalam jaringan instans (baik EC2-Classic atau VPC). Untuk informasi lebih lanjut, lihatPembuatan alamat IP di VPC (p. 115).

Kami menyediakan server DNS (Amazon Route 53 Resolver (p. 255)) untuk VPC Anda. Untukmenggunakan server DNS Anda sendiri, buatlah sekumpulan opsi DHCP untuk VPC Anda. Untuk informasilebih lanjut, lihat Sekumpulan opsi DHCP untuk VPC Anda (p. 254).

Daftar Isi• Nama host DNS (p. 260)• Atribut DNS di VPC Anda (p. 260)• Kuota DNS (p. 261)

259

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2DhcpOption.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-dhcp-options.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2DhcpOption.html

Amazon Virtual Private Cloud Panduan PenggunaNama host DNS

• Lihat nama host DNS untuk instans EC2 Anda (p. 262)• Melihat dan memperbarui atribut DNS untuk VPC Anda (p. 262)• Zona host pribadi (p. 263)

Nama host DNSKami menyediakan untuk instans Anda di VPC nama host DNS pribadi dan publik yang sesuai denganalamat IPv4 pribadi dan IPV4 publik untuk instans Anda. Kami tidak menyediakan nama host DNS untukalamat IPv6.

Nama host DNS Pribadi

Nama host DNS pribadi (internal) berubah menjadi alamat IPv4 pribadi pada instans. Nama host DNSpribadi berubah menjadi ip-private-ipv4-address.ec2.internal untuk Wilayah us-east-1, danip-private-ipv4-address.region.compute.internal untuk Wilayah lain (dimana private-ipv4-address adalah alamat IP reverse lookup). Anda dapat menggunakan nama host DNS pribadiuntuk komunikasi antar instans di jaringan yang sama, tetapi kami tidak dapat mengubah nama host DNSdi luar jaringan tempat instans berada.

Ketika Anda meluncurkan sebuah instance ke VPC, instans selalu menerima nama host DNS pribadi.

Nama host DNS Publik

Nama host DNS publik (eksternal) berubah menjadi ec2-public-ipv4-address.compute-1.amazonaws.com untuk Wilayah us-east-1, dan ec2-public-ipv4-address.region.compute.amazonaws.com untuk Wilayah Lainnya. Server DNS Amazon mengubahnama host DNS publik menjadi alamat IPv4 publik pada instans di luar jaringan instans, dan di alamat IPv4pribadi instans dari dalam jaringan instans. Untuk informasi selengkapnya, lihat Alamat IPv4 publik dannama host DNS eksternal di Panduan Pengguna Amazon EC2 untuk Instans Linux.

Ketika Anda meluncurkan sebuah instans ke VPC, instans menerima nama host DNS publik jika memilikialamat IPv4 publik, dan jika atribut nama host DNS dan support DNS untuk VPC Anda diatur ke true.Untuk informasi lebih lanjut, lihat Atribut DNS di VPC Anda (p. 260).

Atribut DNS di VPC AndaVPC Anda memiliki atribut yang menentukan apakah instans-instans yang diluncurkan di VPC menerimanama host DNS publik yang sesuai dengan alamat IP publik mereka, dan apakah resolusi DNS melaluiserver DNS Amazon di-support untuk VPC.

Atribut Deskripsi

enableDnsHostnames Menunjukkan apakah instans-instans denganalamat IP publik mendapatkan nama host DNSpublik yang sesuai.

Jika atribut ini adalah true, instans-instans di VPCmendapatkan nama host DNS publik, tetapi hanyajika atribut enableDnsSupport juga diatur ketrue.

enableDnsSupport Mengindikasikan apakah resolusi DNS disupport.

Jika atribut ini false, server Amazon Route 53Resolver yang mengubah nama host DNS publikmenjadi alamat IP tidak diaktifkan.

260



Amazon Virtual Private Cloud Panduan PenggunaKuota DNS

Atribut DeskripsiJika atribut ini true, kueri ke Amazon akanberhasil asalkan server DNS berada di alamatIP 169.254.169.253, atau alamat IP yang sudahdisimpan di dasar kisaran jaringan VPC IPv4 plusdua. Untuk informasi lebih lanjut, lihat ServerAmazon DNS (p. 255).

Aturan berikut berlaku:

• Jika kedua atribut diatur ke true, hal berikut ini terjadi:• Instans-instans dengan alamat IP publik menerima nama host DNS publik yang sesuai.• Server Amazon Route 53 Resolver dapat mengubah nama host DNS pribadi yang disediakan Amazon.

• Jika salah satu atau kedua atribut diatur ke false, hal berikut ini terjadi:• Instans-instans dengan sebuah alamat IP publik tidak menerima nama host DNS publik yang sesuai.• Amazon Route 53 Resolver tidak dapat mengubah nama host DNS pribadi yang disediakan Amazon.• Instans-instans menerima nama host DNS pribadi kustom jika ada nama domain kustom di kumpulan

opsi DHCP (p. 254). Jika Anda tidak menggunakan server Amazon Route 53 Resolver, server namadomain kustom Anda harus mengganti nama host yang sesuai.

• Jika Anda menggunakan nama domain DNS kustom yang terdefinisikan dalam zona yang di-hostingpribadi di Amazon Route 53, atau menggunakan DNS pribadi dengan antarmuka VPC endpoint (AWSPrivateLink), Anda harus mengatur enableDnsHostnames dan atribut enableDnsSupport menjaditrue.

• Amazon Route 53 Resolver dapat mengubah nama host DNS pribadi menjadi alamat IPv4 pribadi untuksemua ruang alamat, termasuk ke tempat kisaran alamat IPv4 VPC Anda yang berada di luar rentangalamat IPv4 pribadi yang ditentukan oleh RFC 1918. Namun, jika Anda membuat VPC Anda sebelumOktober 2016, Amazon Route 53 Resolver tidak akan mengubah nama host DNS pribadi jika kisaranalamat IPv4 VPC Anda jatuh di luar kisaran ini. Untuk mengaktifkan support untuk ini, hubungi AWSSupport.

Secara default, kedua atribut diatur ke true di VPC default atau VPC yang dibuat oleh wizard VPC.Secara default, hanya atribut enableDnsSupport yang diatur ke true di VPC yang dibuat dengancara lain. Untuk memeriksa apakah VPC Anda diaktifkan untuk atribut ini, lihat Melihat dan memperbaruiatribut DNS untuk VPC Anda (p. 262). Jika Anda mengaktifkan nama host DNS dan support DNS diVPC yang sebelumnya tidak mensupportnya, instans yang sudah Anda luncurkan ke dalam VPC tersebutmendapatkan nama host DNS publik jika memiliki alamat IPv4 publik atau alamat IP Elastis.

Kuota DNSSetiap instans EC2 membatasi jumlah paket yang dapat dikirim ke Amazon Route 53 Resolver (khususnyaalamat yang .2, seperti 10.0.0.2, dan 169.254.169.253) hingga maksimal 1024 paket per detik perantarmuka jaringan. Kuota ini tidak dapat dinaikkan jumlahnya. Jumlah kueri DNS per detik disupportoleh Amazon Route 53 Resolver berbeda-beda menurut jenis kueri, ukuran respon, dan protokol yangdigunakan. Untuk informasi lebih lanjut dan rekomendasi untuk arsitektur DNS yang dapat diskalakan, lihatwhitepaper Solusi DNS Cloud Hibrida untuk Amazon VPC.

Jika kuota Anda penuh, Amazon Route 53 Resolver menolak lalu lintas. Beberapa penyebab penuhnyakuota mungkin masalah throttling DNS, atau kueri metadata instans yang menggunakan antarmukajaringan Amazon Route 53 Resolver. Untuk informasi tentang cara memecahkan masalah throttling DNSVPC, lihat Bagaimana saya dapat menentukan apakah kueri DNS saya ke Amazon dengan adanya serverDNS gagal disebabkan throttling DNS VOC. Untuk petunjuk mengenai perolehan metadata instans, lihatPeroleh metadata instans di Panduan Pengguna Amazon EC2 untuk Instans Linux.

261


http://aws.amazon.com/contact-us/

http://aws.amazon.com/contact-us/

https://d1.awsstatic.com/whitepapers/hybrid-cloud-dns-options-for-vpc.pdf

http://aws.amazon.com/premiumsupport/knowledge-center/vpc-find-cause-of-failed-dns-queries/

http://aws.amazon.com/premiumsupport/knowledge-center/vpc-find-cause-of-failed-dns-queries/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html

Amazon Virtual Private Cloud Panduan PenggunaLihat nama host DNS untuk instans EC2 Anda

Lihat nama host DNS untuk instans EC2 AndaAnda dapat melihat nama host DNS untuk sebuah instans yang berjalan atau antarmuka jaringanmenggunakan konsol Amazon EC2 atau baris perintah.

Kolom DNS Publik (IPv4) dan DNS Pribadi tersedia ketika opsi DNS diaktifkan untuk VPC yang terkaitdengan instans. Untuk informasi lebih lanjut, lihat the section called “Atribut DNS di VPC Anda” (p. 260).

InstanceUntuk melihat nama host DNS untuk sebuah instans menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Instans.3. Pilih Instans Anda dari daftar.4. Di panel rincian, DNS Publik (IPv4) dan DNS Pribadi menampilkan nama host DNS, jika ada.

Untuk melihat nama host DNS untuk sebuah instans menggunakan baris perintah

Anda dapat menggunakan salah satu dari perintah-perintah berikut ini. Untuk informasi selengkapnyatentang antarmuka baris perintah ini, lihat Mengakses Amazon VPC (p. 1).

• describe-instances (AWS CLI)• Get-EC2Instance (AWS Tools for Windows PowerShell)

Antarmuka jaringanUntuk melihat nama host DNS pribadi untuk antarmuka jaringan menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Antarmuka Jaringan.3. Pilih antarmuka jaringan dari daftar.4. Di panel rincian, kolom DNS Pribadi (IPv4) menampilkan nama host DNS pribadi.

Untuk melihat nama host DNS untuk antarmuka jaringan menggunakan baris perintah

Anda dapat menggunakan salah satu dari perintah berikut. Untuk informasi selengkapnya tentangantarmuka baris perintah ini, lihat Mengakses Amazon VPC (p. 1).

• describe-network-interfaces (AWS CLI)• Get-EC2NetworkInterface (AWS Tools for Windows PowerShell)

Melihat dan memperbarui atribut DNS untuk VPCAndaAnda dapat melihat dan memperbarui atribut support DNS untuk VPC Anda menggunakan konsol AmazonVPC.

Untuk menjelaskan dan memperbarui support DNS untuk VPC menggunakan konsol


262



https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-interfaces.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NetworkInterface.html


Amazon Virtual Private Cloud Panduan PenggunaZona host pribadi

2. Di panel navigasi, pilih VPC Anda.3. Pilih VPC dari daftar VPC.4. Tinjau informasi di tab Deskripsi. Dalam contoh ini, kedua pengaturan diaktifkan.

5. Untuk memperbarui pengaturan ini, pilih Tindakan dan Sunting Resolusi DNS atau Sunting NamaHost DNS. Dalam kotak dialog yang terbuka, pilih atau hapus kotak centang untuk mengaktifkan ataumenonaktifkan fitur, dan kemudian pilih Menyimpan perubahan.

Untuk mendeskripsikan support DNS untuk VPC menggunakan baris perintah

Anda dapat menggunakan salah satu dari perintah berikut. Untuk informasi selengkapnya tentangantarmuka baris perintah ini, lihat Mengakses Amazon VPC (p. 1).

• describe-vpc-attribute (AWS CLI)• Get-EC2VpcAttribute (AWS Tools for Windows PowerShell)

Untuk memperbarui support DNS untuk VPC menggunakan baris perintah

Anda dapat menggunakan salah satu dari perintah-perintah berikut. Untuk informasi selengkapnya tentangantarmuka baris perintah ini, lihat Mengakses Amazon VPC (p. 1).

• modify-vpc-attribute (AWS CLI)• Edit-EC2VpcAattribute (AWS Tools for Windows PowerShell)

Zona host pribadiUntuk mengakses sumber daya di VPC Anda menggunakan nama domain DNS kustom, sepertiexample.com, alih-alih menggunakan alamat IPv4 pribadi atau nama host DNS pribadi asalkanAWS, Anda dapat membuat zona yang di-hosting pribadi di Route 53. Zona host pribadi adalah wadahyang menyimpan informasi tentang bagaimana Anda ingin mengarahkan lalu lintas untuk domain dansubdomainnya dalam satu atau lebih VPC tanpa mengekspos sumber daya Anda ke internet. Andakemudian dapat membuat kumpulan catatan sumber daya Route 53, yang menentukan bagaimana Route53 menanggapi kueri untuk domain dan subdomain Anda. Misalnya, jika Anda ingin browser memintaexample.com diarahkan ke server web di VPC Anda, Anda akan membuat catatan A di zona host pribadiAnda dan menentukan alamat IP atas server web tersebut. Untuk informasi selengkapnya tentangmembuat sebuah zona yang di-hosting privat, lihat Bekerja dengan Zona yang di-hosting privat di PanduanDeveloper Amazon Route 53.

Untuk mengakses sumber daya menggunakan nama domain DNS kustom, Anda harus terhubung kesebuah instans dalam VPC Anda. Dari instans Anda, Anda dapat menguji bahwa sumber daya Andadi zona host pribadi Anda dapat diakses dari nama DNS kustom dengan menggunakan perintah ping;sebagai contoh, ping mywebserver.example.com. (Anda harus memastikan bahwa aturan grupkeamanan instans Anda mengizinkan lalu lintas inbound ICMP untuk perintah ping untuk bekerja.)

Anda dapat mengakses zona yang di-hosting pribadi dari instans EC2-Classic yang terkait dengan VPCAnda menggunakan ClassicLink, asalkan VPC Anda diaktifkan untuk support DNS ClassicLink. Untukinformasi lebih lanjut, lihat Mengaktifkan support DNS ClassicLink di Panduan Pengguna Amazon EC2untuk Instans Linux. Jika tidak, zona yang di-hosting pribadi tidak men-support hubungan transitif di luarVPC; misalnya, Anda tidak dapat mengakses sumber daya Anda menggunakan nama DNS pribadi kustommereka dari ujung lain koneksi VPN. Untuk informasi selengkapnya, lihat Batasan-batasan ClassicLink diPanduan Pengguna Amazon EC2 untuk Instans Linux.

263

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2VpcAttribute.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-attribute.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcAttribute.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-enable-dns-support

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-limitations

Amazon Virtual Private Cloud Panduan PenggunaDaftar prefiks

Important

Jika Anda menggunakan nama domain DNS kustom yang didefinisikan dalam zona yang di-hosting pribadi di Amazon Route 53, enableDnsHostnames dan enableDnsSupport atributharus diatur ke true.

Daftar prefiksSebuah daftar prefiks adalah satu set dari satu atau lebih blok CIDR. Anda dapat menggunakandaftar prefiks untuk memudahkan pengkonfigurasian dan pemeliharaan grup keamanan dan tabelrute Anda. Anda dapat membuat daftar prefiks dari alamat penyuratan IP yang sering Anda gunakan,dan menyebutkannya mereka sebagai satu set dalam aturan dan rute grup keamanan bukannyamenyebutkannya secara individual. Sebagai contoh, Anda dapat mengkonsolidasikan aturan grupkeamanan dengan blok CIDR yang berbeda tetapi port dan protokol yang sama ke aturan tunggal yangmenggunakan daftar prefiks. Jika Anda menskalakan jaringan Anda dan harus mengizinkan lalu lintas dariblok CIDR lain, Anda dapat memperbarui daftar prefiks yang relevan dan semua grup keamanan yangmenggunakan daftar prefiks harus diperbarui.

Ada dua tipe daftar prefiks:

• Daftar prefiks yang dikelola konsumen — Serangkaian rentang alamat IP yang Anda tentukan dankelola. Anda dapat membagikan daftar prefiks Anda dengan akun AWS lainnya, sehingga akun-akun laintersebut dapat menyebutkan daftar prefiks di sumber daya mereka sendiri.

• daftar prefiks yang dikelola AWS — Serangkaian rentang alamat IP untuk layanan AWS. Anda tidakdapat membuat, memodifikasi, berbagi, atau menghapus daftar prefiks yang dikelola AWS.

Daftar Isi• Konsep dan aturan daftar prefiks (p. 264)• Bekerja dengan daftar prefiks yang dikelola konsumen (p. 265)• Identity and access management untuk daftar prefiks (p. 269)• Bekerja dengan daftar prefiks bersama (p. 269)

Konsep dan aturan daftar prefiksSebuah daftar prefiks terdiri dari entri. Setiap entri terdiri dari suatu blok CIDR dan, secara opsional,deskripsi untuk blok CIDR tersebut.

Daftar prefiks yang dikelola konsumen

Aturan berikut berlaku untuk daftar prefiks yang dikelola konsumen:

• Daftar prefiks mendukung satu jenis pengalamatan IP saja (IPv4 atau IPv6). Anda tidak dapatmenggabungkan blok CIDR IPv4 dan IPv6 dalam satu daftar prefiks.

• Ketika Anda membuat daftar prefiks, Anda harus menentukan jumlah maksimum entri yang dapatdidukung oleh daftar prefiks tersebut. Setelahnya Anda tidak dapat mengubah jumlah maksimum entri.

• Anda dapat mengubah daftar prefiks dengan menambah atau menghapus entri, atau dengan mengubahnamanya.

• Ketika Anda menyebutkan daftar prefiks di suatu sumber daya, jumlah maksimum entri untuk daftarprefiks tersebut dihitung berdasarkan kuota untuk jumlah entri untuk sumber daya tersebut. Sebagaicontoh, jika Anda membuat daftar prefiks dengan maksimum 20 entri dan Anda sebutkan daftar prefikstersebut dalam aturan grup keamanan, ini dianggap sebagai 20 aturan grup keamanan.

264

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan daftar prefiks yang dikelola konsumen

• Ketika Anda menyebutkan daftar prefiks dalam tabel rute, maka aturan rute prioritas akan berlaku. Untukinformasi lebih lanjut, lihat Prioritas rute untuk daftar prefiks (p. 288).

• Daftar prefiks hanya berlaku untuk Wilayah tempat Anda membuatnya.• Ada kuota yang terkait dengan daftar prefiks. Untuk informasi lebih lanjut, lihat Daftar prefiks yang

dikelola konsumen (p. 342).

Daftar prefiks yang dikelola AWS

Aturan berikut berlaku untuk daftar prefiks yang dikelola AWS:

• Anda tidak dapat membuat, memodifikasi, membagikan, atau menghapus daftar prefiks yang dikelolaAWS.

• Saat Anda menyebutkan daftar prefiks yang dikelola AWS dalam suatu sumber daya, maka itu dihitungsebagai aturan atau entri tunggal untuk sumber daya tersebut.

• Anda tidak dapat melihat nomor versi daftar prefiks yang dikelola AWS.

Versi daftar prefiks

Sebuah daftar prefiks dapat memiliki beberapa versi. Setiap kali Anda menambahkan atau menghapusentri untuk suatu daftar prefiks, kami membuat versi baru dari daftar prefiks tersebut. Sumber daya yangmenyebutkan prefiks selalu menggunakan versi (terbaru) saat ini. Anda dapat memulihkan entri dari daftarprefiks versi sebelumnya ke versi baru.

Bekerja dengan daftar prefiks yang dikelola konsumenTopik berikut menjelaskan cara membuat dan mengelola daftar prefiks yang dikelola konsumen.

Tugas• Membuat daftar prefiks (p. 265)• Lihat daftar prefiks (p. 266)• Melihat entri untuk daftar prefiks (p. 266)• Melihat asosiasi (referensi) untuk daftar prefiks Anda (p. 266)• Mengubah daftar prefiks (menambah dan menghapus entri) (p. 267)• Memulihkan versi sebelumnya dari daftar prefiks (p. 267)• Menghapus daftar prefiks (p. 267)• Sebutkan daftar prefiks di sumber daya AWS Anda (p. 268)

Membuat daftar prefiksKetika Anda membuat daftar prefiks baru, Anda harus menentukan jumlah maksimum entri yang dapatdidukung oleh daftar prefiks tersebut. Pastikan bahwa Anda menentukan jumlah maksimum entri yangmemenuhi kebutuhan Anda, karena selanjutnya Anda tidak dapat mengubah jumlah ini.

Limitation

Anda tidak dapat menambahkan suatu daftar prefiks ke aturan grup keamanan jika jumlah aturan ditambahentri maks untuk daftar prefiks melebihi kuota aturan per grup keamanan untuk akun Anda.

Untuk membuat daftar prefiks menggunakan konsol


265



2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Pilih Buat daftar prefiks.4. Untuk Nama daftar prefiks, masukkan nama untuk daftar prefiks.5. Untuk Entri maksimum, masukkan jumlah maksimum entri untuk daftar prefiks.6. Untuk Keluarga alamat, pilih apakah daftar prefiks mendukung entri IPv4 atau IPv6.7. Untuk Entri daftar prefiks, pilih Tambahkan entri baru, dan masukkan blok CIDR dan deskripsi untuk

entri tersebut. Ulangi langkah ini untuk setiap entri.8. (Opsional) Untuk Tag, tambahkan tag ke daftar prefiks untuk membantu Anda untuk

mengidentifikasinya nanti.9. Pilih Buat daftar prefiks.

Untuk membuat daftar prefiks menggunakan AWS CLI

Gunakan perintah create-managed-prefix-list.

Lihat daftar prefiksAnda dapat melihat daftar prefiks, daftar prefiks yang dibagikan dengan Anda, dan daftar prefiks yangdikelola AWS menggunakan konsol Amazon VPC atau AWS CLI.

Untuk melihat daftar prefiks menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Kolom ID pemilik menunjukkan ID akun AWS dari pemilik daftar prefiks. Untuk daftar prefiks yang

dikelola AWS, ID pemilik adalah AWS.

Untuk melihat daftar prefiks menggunakan AWS CLI

Gunakan perintah describe-managed-prefix-lists.

Melihat entri untuk daftar prefiksAnda dapat melihat entri untuk daftar prefiks menggunakan konsol Amazon VPC atau konsol AWS CLI.

Untuk melihat entri untuk daftar prefiks menggunakan konsol ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Pilih daftar prefiks.4. Di panel bawah, pilih Entri untuk melihat entri untuk daftar prefiks.

Untuk melihat entri untuk daftar prefiks menggunakan AWS CLI

Gunakan perintah get-managed-prefix-list-entries.

Melihat asosiasi (referensi) untuk daftar prefiks AndaAnda dapat melihat ID dan pemilik sumber daya yang terkait dengan daftar prefiks Anda. Sumber dayayang terkait adalah sumber daya yang menyebutkan daftar prefiks Anda dalam entri atau aturan mereka.

Anda tidak dapat melihat sumber daya terkait untuk daftar prefiks yang dikelola AWS.

266

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-managed-prefix-list.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-entries.html


Untuk melihat asosiasi daftar prefiks menggunakan konsol ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Pilih daftar prefiks.4. Di panel bawah, pilih Asosiasi untuk melihat sumber daya yang menyebutkan daftar prefiks.

Untuk melihat asosiasi daftar prefiks menggunakan AWS CLI

Gunakan perintah get-managed-prefix-list-associations.

Mengubah daftar prefiks (menambah dan menghapus entri)Anda dapat mengubah nama daftar prefiks Anda, dan Anda dapat menambahkan atau menghapus entri.

Anda tidak dapat mengubah daftar prefiks yang dikelola AWS.

Untuk mengubah daftar prefiks menggunakan konsol ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Pilih daftar prefiks, dan pilih Tindakan, Ubah daftar prefiks.4. Untuk Nama daftar prefiks, masukkan nama baru untuk daftar prefiks.5. Untuk Entri daftar prefiks, pilih Hapus untuk menghapus entri yang ada. Untuk menambahkan entri

baru, pilih Tambahkan entri baru dan masukkan blok CIDR dan deskripsi untuk entri tersebut.6. Pilih Simpan daftar prefiks.

Untuk mengubah daftar prefiks menggunakan AWS CLI

Gunakan perintah modify-managed-prefix-list.

Memulihkan versi sebelumnya dari daftar prefiksAnda dapat memulihkan entri dari versi sebelumnya dari daftar prefiks Anda ke versi baru.

Untuk memulihkan versi sebelumnya dari daftar prefiks menggunakan konsol ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Pilih daftar prefiks, dan pilih Tindakan, Pulihkan daftar prefiks.4. Di daftar drop-down, pilih versi daftar prefiks.5. Pilih Pulihkan daftar prefiks.

Untuk memulihkan versi sebelumnya dari daftar prefiks menggunakan AWS CLI

Gunakan perintah restore-managed-prefix-list-version.

Menghapus daftar prefiksUntuk menghapus daftar prefiks, Anda harus terlebih dulu menghapus referensi untuk itu dalam sumberdaya Anda (seperti dalam tabel rute Anda). Jika Anda telah membagikan daftar prefiks menggunakanAWS RAM, setiap referensi dalam sumber daya yang dimiliki konsumen harus dihapus terlebih dahulu.Untuk melihat referensi ke daftar prefiks Anda, lihat Melihat asosiasi (referensi) untuk daftar prefiksAnda (p. 266).

267


https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-managed-prefix-list.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/restore-managed-prefix-list-version.html


Anda tidak dapat menghapus daftar prefiks yang dikelola AWS.

Untuk menghapus prefiks menggunakan konsol ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Pilih daftar prefiks, dan pilih Tindakan, Hapus daftar prefiks.4. Di kotak dialog konfirmasi, masukkan delete, dan Hapus..

Untuk menghapus daftar prefiks menggunakan AWS CLI

Gunakan perintah delete-managed-prefix-list.

Sebutkan daftar prefiks di sumber daya AWS AndaAnda dapat menyebutkan daftar prefiks di sumber daya AWS berikut.

Sumber daya• Grup keamanan VPC (p. 268)• Tabel rute subnet (p. 268)• Tabel rute transit gateway (p. 269)

Grup keamanan VPC

Anda dapat menentukan daftar prefiks sebagai sumber untuk aturan ke dalam, atau sebagai tujuan untukaturan keluar. Untuk informasi selengkapnya tentang grup keamanan, lihat Grup Keamanan untuk VPCAnda (p. 179).

Untuk menyebutkan daftar prefiks dalam aturan grup keamanan menggunakan konsol ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Grup Keamanan.3. Pilih grup keamanan yang akan diperbarui.4. Pilih Tindakan, Mengedit aturan ke dalam atau Tindakan, Mengedit aturan keluar.5. Pilih Tambahkan aturan. Untuk Jenis, pilih jenis lalu lintas. Untuk Sumber (aturan ke dalam) atau

Tujuan (aturan keluar), pilih ID dari daftar prefiks.6. Pilih Simpan aturan.

Untuk menyebutkan daftar prefiks dalam aturan grup keamanan menggunakan AWS CLI

Gunakan perintah authorize-security-group-ingress dan authorize-security-group-egress. Untuk parameter--ip-permissions, tentukan ID dari daftar prefiks menggunakan PrefixListIds.

Tabel rute subnet

Anda dapat menentukan daftar prefiks sebagai tujuan untuk entri tabel rute. Anda tidak dapat menyebutkandaftar prefiks dalam tabel rute gateway. Untuk informasi lebih lanjut tentang tabel rute, lihat Tabel ruteuntuk VPC Anda (p. 281).

Untuk menyebutkan daftar prefiks dalam tabel rute menggunakan konsol ini

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel rute, dan kemudian pilih tabel rute.

268


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-managed-prefix-list.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html


Amazon Virtual Private Cloud Panduan PenggunaIdentity and access management untuk daftar prefiks

3. Pilih Tindakan, Edit rute.4. Untuk menambahkan rute, pilih Tambahkan rute.5. Untuk Tujuan masukkan ID dari daftar prefiks.6. Untuk Target, pilih target.7. Pilih Simpan perubahan.

Untuk menyebutkan daftar prefiks dalam tabel rute menggunakan AWS CLI

Gunakan perintah create-route (AWS CLI). Gunakan parameter --destination-prefix-list-iduntuk menentukan ID dari daftar prefiks.

Tabel rute transit gatewayAnda dapat menentukan daftar prefiks sebagai tujuan untuk rute. Untuk informasi selengkapnya, lihatReferensi daftar prefiks di Transit Gateway Amazon VPC.

Identity and access management untuk daftar prefiksSecara default, pengguna IAM tidak memiliki izin untuk membuat, melihat, mengubah, atau menghapusdaftar prefiks. Anda dapat membuat kebijakan IAM yang memungkinkan pengguna untuk bekerja dengandaftar prefiks.

Untuk melihat daftar tindakan Amazon VPC dan sumber daya dan kunci syarat yang dapat Anda gunakandi kebijakan IAM, lihat Tindakan, Sumber Daya, dan Kunci Syarat untuk Amazon EC2 di PanduanPengguna IAM.

Contoh kebijakan berikut memungkinkan pengguna untuk melihat dan bekerja hanya dengan daftar prefikspl-123456abcde123456. Pengguna tidak dapat membuat atau menghapus daftar prefiks.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeManagedPrefixLists", "ec2:ModifyManagedPrefixList", "ec2:GetManagedPrefixListEntries", "ec2:RestoreManagedPrefixListVersion", "ec2:GetManagedPrefixListAssociations" ], "Resource": "arn:aws:ec2:region:account:prefix-list/pl-123456abcde123456" } ]}

Untuk informasi selengkapnya tentang bekerja dengan IAM di Amazon VPC, lihat Identity and accessmanagement untuk Amazon VPC (p. 160).

Bekerja dengan daftar prefiks bersamaDaftar prefiks yang dikelola konsumen diintegrasikan dengan AWS Resource Access Manager (AWSRAM). Dengan AWS RAM, Anda dapat membagikan sumber daya yang Anda miliki di AWS denganmembuat berbagi sumber daya. Tindakan ini menentukan sumber daya yang akan dibagikan, dankonsumen yang akan menerima pembagian tersebut. Konsumen dapat berupa akun AWS individu, atauunit organisasi atau seluruh organisasi di AWS Organizations.

Untuk informasi selengkapnya tentang AWS RAM, lihat Panduan Pengguna AWS RAM.

269

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-prefix-lists.html


https://docs.aws.amazon.com/ram/latest/userguide/

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan daftar prefiks bersama

Pemilik daftar prefiks dapat membagikan daftar prefiks dengan berikut ini:

• Akun AWS tertentu di dalam atau di luar organisasinya di AWS Organizations• Sebuah unit organisasi di dalam organisasi di AWS Organizations• Seluruh organisasi di AWS Organizations

Konsumen yang menerima pembagian daftar prefiks dapat melihat daftar prefiks dan entrinya, dan merekadapat menyebutkan daftar prefiks di sumber daya AWS mereka.

Daftar Isi• Prasyarat untuk membagikan daftar prefiks (p. 270)• Bagikan daftar prefiks (p. 270)• Mengidentifikasi daftar prefiks bersama (p. 271)• Mengidentifikasi referensi ke daftar prefiks bersama (p. 271)• Membatalkan pembagian daftar prefiks bersama (p. 271)• Izin daftar prefiks bersama (p. 272)• Penagihan dan pengukuran (p. 272)• Quotas (p. 272)

Prasyarat untuk membagikan daftar prefiks• Untuk membagikan daftar prefiks, Anda harus memilikinya di akun AWS Anda. Anda tidak dapat

membagikan daftar prefiks yang telah dibagikan dengan Anda. Anda tidak dapat membagikan daftarprefiks yang dikelola AWS.

• Untuk membagikan daftar prefiks dengan organisasi atau unit organisasi Anda di AWS Organizations,Anda harus mengaktifkan pembagian dengan AWS Organizations. Untuk informasi lebih lanjut, lihat Aktifkan pembagian dengan AWS Organizations dalam Panduan Pengguna AWS RAM .

Bagikan daftar prefiksUntuk membagikan daftar prefiks, Anda harus menambahkannya ke pembagian sumber daya. Jika Andatidak memiliki pembagian sumber daya, Anda harus terlebih dahulu membuatnya dengan menggunakanKonsol AWS RAM.

Jika Anda merupakan bagian dari sebuah organisasi di AWS Organizations, dan pembagian di organisasiAnda diaktifkan, maka konsumen di organisasi Anda secara otomatis diberikan akses ke daftar prefiksbersama. Jika tidak, konsumen menerima undangan untuk mengikuti pembagian sumber daya dandiberikan akses ke daftar prefiks bersama setelah menerima undangan tersebut.

Anda dapat membuat pembagian sumber daya dan membagikan daftar prefiks yang Anda milikimenggunakan konsol AWS RAM, atau AWS CLI.

Untuk membuat pembagian sumber daya dan membagikan daftar prefiks menggunakan konsol AWS RAM

Ikuti langkah-langkah di Buat pembagian sumber daya di Panduan Pengguna AWS RAM. Untuk Pilih jenissumber daya, pilih Daftar Prefiks, lalu pilih kotak centang untuk daftar prefiks Anda.

Untuk menambahkan daftar prefiks untuk pembagian sumber daya yang ada menggunakan konsol AWSRAM

Untuk menambahkan prefiks terkelola yang Anda miliki ke pembagian sumber daya yang ada, ikutilangkah-langkah dalam Memperbarui pembagian sumber daya di Panduan Pengguna AWS RAM. UntukMemilih jenis sumber daya pilih Daftar Prefiks, lalu pilih kotak centang untuk daftar prefiks Anda.

270



https://console.aws.amazon.com/ram


https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update


Untuk membagikan daftar prefiks yang Anda miliki menggunakan AWS CLI

Gunakan perintah berikut untuk membuat dan memperbarui pembagian sumber daya:

• create-resource-share• associate-resource-share• create-resource-share

Mengidentifikasi daftar prefiks bersamaPemilik dan konsumen dapat mengidentifikasi daftar prefiks bersama menggunakan konsol Amazon VPCdan AWS CLI.

Untuk mengidentifikasi daftar prefiks bersama menggunakan konsol Amazon VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Halaman menampilkan daftar prefiks yang Anda miliki dan daftar prefiks yang dibagikan dengan Anda.

Kolom ID pemilik menunjukkan ID akun AWS dari pemilik daftar prefiks.4. Untuk melihat informasi pembagian sumber daya untuk daftar prefiks, pilih daftar prefiks dan pilih

Pembagian di panel bawah.

Untuk mengidentifikasi daftar prefiks bersama menggunakan AWS CLI

Gunakan perintah describe-managed-prefix-lists. Perintah ini mengembalikan daftar prefiks yang Andamiliki dan daftar prefiks yang dibagikan dengan Anda. OwnerId menunjukkan ID akun AWS dari pemilikdaftar prefiks.

Mengidentifikasi referensi ke daftar prefiks bersamaPemilik dapat mengidentifikasi sumber daya milik konsumen yang menyebutkan daftar prefiks bersamadengan menggunakan konsol Amazon VPC dan AWS CLI.

Untuk mengidentifikasi referensi ke daftar prefiks bersama menggunakan konsol Amazon VPC

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Daftar Prefiks yang Dikelola.3. Pilih daftar prefiks dan pilih Asosiasi di panel bawah.4. ID sumber daya yang menyebutkan daftar prefiks tercantum dalam kolom ID Sumber Daya. Pemilik

sumber daya tercantum dalam kolom Pemilik sumber daya.

Untuk mengidentifikasi referensi ke daftar prefiks bersama menggunakan AWS CLI

Gunakan perintah get-managed-prefix-list-associations.

Membatalkan pembagian daftar prefiks bersamaKetika Anda membatalkan pembagian daftar prefiks, konsumen tidak dapat lagi melihat daftar prefiksatau entri di akun mereka, dan mereka tidak dapat menyebutkan daftar prefiks di sumber daya mereka.Jika daftar prefiks sudah direferensikan dalam sumber daya konsumen, referensi tersebut terus berfungsiseperti biasa, dan Anda dapat melanjutkan melihat referensi tersebut (p. 271). Jika Anda memperbaruidaftar prefiks ke versi baru, referensi akan menggunakan versi terbaru tersebut.

271

https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html

https://docs.aws.amazon.com/cli/latest/reference/ram/update-resource-share.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-managed-prefix-lists.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/get-managed-prefix-list-associations.html


Untuk membatalkan pembagian daftar prefiks bersama yang Anda miliki, Anda harus menghapusnya dariberbagi sumber daya. Anda melakukannya dengan menggunakan konsol AWS RAM, atau AWS CLI.

Untuk membatalkan pembagian daftar prefiks bersama yang Anda miliki menggunakan konsol AWS RAM

Lihat Memperbarui Pembagian Sumber Daya di Panduan Pengguna.AWS RAM

Untuk membatalkan pembagian daftar prefiks bersama yang Anda miliki menggunakan AWS CLI

Gunakan perintah disassociate-resource-share .

Izin daftar prefiks bersamaIzin untuk pemilik

Pemilik bertanggung jawab untuk mengelola daftar prefiks bersama dan entrinnya. Pemilik dapat melihat IDsumber daya AWS yang mereferensikan daftar prefiks. Namun, tidak dapat menambah atau menghapusreferensi ke daftar prefiks di sumber daya AWS yang dimiliki oleh konsumen.

Pemilik tidak dapat menghapus daftar prefiks jika daftar prefiks tersebut direferensikan dalam sumber dayayang dimiliki oleh konsumen.

Izin untuk konsumen

Konsumen dapat melihat entri dalam daftar prefiks bersama, dan mereka dapat mereferensikan daftarprefiks bersama di sumber daya AWS. Namun, konsumen tidak dapat mengubah, memulihkan, ataumenghapus daftar prefiks bersama.

Penagihan dan pengukuranTidak ada biaya tambahan untuk membagikan daftar prefiks.

QuotasUntuk informasi lebih lanjut tentang kuota (batas) terkait dengan AWS RAM, lihat Kuota layanan diPanduan Pengguna AWS RAM.

272

https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update

https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html

https://docs.aws.amazon.com/ram/latest/userguide/what-is.html#what-is-limits

Amazon Virtual Private Cloud Panduan PenggunaAntarmuka jaringan

Komponen jaringan Amazon EC2Anda dapat menggunakan komponen jaringan Amazon EC2 berikut untuk mengonfigurasi jaringan di VPCAnda.

Komponen• Antarmuka jaringan elastis (p. 273)• Reservasi CIDR subnet (p. 274)• Alamat IP elastis (p. 275)• ClassicLink (p. 279)

Antarmuka jaringan elastisSuatu antarmuka jaringan elastis (yang disebut sebagai antarmuka jaringan dalam dokumentasi ini) adalahkomponen jaringan logis dalam VPC yang mewakili kartu jaringan virtual. Ini dapat mencakup atributberikut:

• Alamat IPv4 privat primer• Alamat IPv4 privat sekunder• Satu alamat IP Elastis per alamat IPv4 privat• Satu alamat IPv4 publik, yang dapat ditetapkan secara otomatis ke antarmuka jaringan untuk eth0 ketika

Anda meluncurkan sebuah instans• Satu atau beberapa alamat IPv6• Satu atau lebih grup keamanan• Alamat MAC• Penanda pemeriksaan sumber/tujuan• Deskripsi

Anda dapat membuat antarmuka jaringan, melampirkannya ke sebuah instans, melepaskannya darisebuah instans, dan melampirkannya ke instans lain. Atribut antarmuka jaringan mengikutinya saatdilampirkan atau dilepaskan dari sebuah instans dan dilampirkan kembali ke instans lain. Saat Andamemindahkan antarmuka jaringan dari satu instans ke instans lainnya, lalu lintas jaringan dialihkan keinstans baru.

Setiap instans di VPC Anda memiliki antarmuka jaringan default (antarmuka jaringan primer) yaitumenetapkan alamat IPv4 privat dari rentang alamat IPv4 VPC Anda. Anda tidak dapat melepaskanantarmuka jaringan primer dari sebuah instans. Anda dapat membuat dan melampirkan antarmuka jaringantambahan untuk setiap instans di VPC Anda. Jumlah antarmuka jaringan yang dapat Anda lampirkanbervariasi tergantung tipe instans. Untuk informasi selengkapnya, lihat Alamat IP per antarmuka jaringanper tipe instans dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Melampirkan beberapa antarmuka jaringan ke sebuah instans berguna ketika Anda ingin:

• Membuat jaringan manajemen.

273



Amazon Virtual Private Cloud Panduan PenggunaReservasi CIDR subnet

• Menggunakan peralatan jaringan dan keamanan di VPC Anda.• Membuat instans dual-homed dengan beban kerja / peran pada subnet yang berbeda.• Membuat solusi anggaran rendah dan ketersediaan tinggi.

Untuk informasi selengkapnya terkait antarmuka jaringan elastis, dan instruksi bekerja dengannyamenggunakan konsol Amazon EC2, lihat Antarmuka jaringan elastis dalam Panduan Pengguna AmazonEC2 untuk Instans Linux.

Reservasi CIDR subnet

Fitur reservasi CIDR subnet tersedia sebagai rilis pratinjau dan dapat berubah.

Suatu reservasi CIDR subnet adalah berbagai alamat IPv4 atau IPv6 di subnet. Ketika Anda membuatreservasi, Anda menentukan bagaimana Anda akan menggunakan rentang yang disimpan. Pilihan berikuttersedia:

• Prefiks — Anda dapat menetapkan alamat IP ke antarmuka jaringan yang terkait dengan instans.Untuk informasi selengkapnya, lihat Menetapkan prefiks untuk antarmuka jaringan Amazon EC2 dalamPanduan Pengguna Amazon EC2 untuk Instans Linux.

• Eksplisit — AWS tidak menggunakan alamat IP. Anda secara manual menetapkan alamat IP untuksumber daya yang berada di subnet Anda.

Aturan berikut berlaku untuk reservasi CIDR subnet:

• Anda dapat menyimpan beberapa rentang CIDR per subnet. Jenis reservasi untuk setiap rentang bisamenjadi tipe yang sama (misalnya prefiks), atau berbeda (misalnya, prefiks dan eksplisit).

• Ketika Anda menyimpan beberapa rentang CIDR dalam VPC yang sama, rentang CIDR tersebut tidakdapat tumpang tindih.

• Ketika Anda menyimpan lebih dari satu rentang di subnet untuk Delegasi Prefiks, dan Delegasi Prefiksdikonfigurasi untuk penugasan otomatis, kami secara acak memilih alamat IP untuk menetapkan keantarmuka jaringan.

• Jika Anda menghapus reservasi, alamat IP yang ditetapkan ke sumber daya tidak berubah. Hanyaalamat IP yang tidak digunakan yang disediakan.

Bekerja dengan reservasi CIDR subnetAnda dapat menggunakan AWS CLI untuk membuat dan mengelola reservasi CIDR subnet.

Tugas• Membuat reservasi CIDR subnet (p. 274)• Tampilkan reservasi CIDR subnet (p. 275)• Menghapus reservasi CIDR subnet (p. 275)

Membuat reservasi CIDR subnetAnda dapat menggunakan create-subnet-cidr-reservation untuk membuat reservasi CIDR subnet.

274


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-prefix-eni.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-subnet-cidr-reservation.html

Amazon Virtual Private Cloud Panduan PenggunaAlamat IP elastis

aws ec2 create-subnet-cidr-reservation --subnet-id subnet-03c51e2eEXAMPLE --reservation-type prefix --cidr 2600:1f13:925:d240:3a1b::/80


{ "SubnetCidrReservation": { "SubnetCidrReservationId": "scr-044f977c4eEXAMPLE", "SubnetId": "subnet-03c51e2ef5EXAMPLE", "Cidr": "2600:1f13:925:d240:3a1b::/80", "ReservationType": "prefix", "OwnerId": "123456789012" }}

Tampilkan reservasi CIDR subnetAnda dapat menggunakan get-subnet-cidr-reservations untuk melihat detail reservasi CIDR subnet.

aws ec2 get-subnet-cidr-reservations --subnet-id subnet-05eef9fb78EXAMPLE

Menghapus reservasi CIDR subnetAnda dapat menggunakan create-subnet-cidr-reservation untuk menghapus reservasi CIDR subnet.

aws ec2 delete-subnet-cidr-reservation --subnet-cidr-reservation-id scr-044f977c4eEXAMPLE

Alamat IP elastisAlamat IP elastis adalah sebuah alamat IPv4 yang bersifat publik, statis, didesain untuk komputasi clouddinamis. Anda dapat mengaitkan alamat IP Elastis dengan instans atau antarmuka jaringan apa saja diVPC manapun di akun Anda. Dengan alamat IP Elastis, Anda dapat menutupi kegagalan suatu instansdengan meremajakan secara cepat alamat ke instans lain di VPC Anda.

Konsep dan aturan alamat IP ElastisUntuk menggunakan alamat IP Elastis, pertama-tama alokasikan alamat IP Elastis untuk digunakan di akunAnda. Kemudian, Anda dapat mengaitkannya dengan sebuah instans atau antarmuka jaringan di VPCAnda. Alamat IP Elastis Anda akan tetap dialokasikan ke akun AWS Anda sampai Anda secara eksplisitmelepasnya.

Alamat IP Elastis adalah properti antarmuka jaringan. Anda dapat mengaitkan sebuah alamat IPElastis dengan suatu instans dengan memperbarui antarmuka jaringan yang dilampirkan ke instanstersebut. Keuntungan dari mengaitkan alamat IP Elastis dengan antarmuka jaringan alih-alih langsungmengaitkannya dengan instans adalah bahwa Anda dapat memindahkan semua atribut antarmuka jaringandari satu instans ke instans lain dalam satu langkah saja. Untuk informasi selengkapnya, lihat Antarmukajaringan elastis dalam Panduan Pengguna Amazon EC2 untuk Instans Linux.

Aturan-aturan berikut berlaku:

• Sebuah alamat IP Elastis dapat dikaitkan dengan sebuah instans atau antarmuka jaringan.

275

https://docs.aws.amazon.com/cli/latest/reference/ec2/get-subnet-cidr-reservations.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-subnet-cidr-reservation.html



Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan alamat IP Elastis

• Anda dapat memindahkan alamat IP Elastis dari satu instans atau antarmuka jaringan ke instans lainnya.• Jika Anda mengaitkan sebuah alamat IP Elastis dengan antarmuka jaringan eth0 dari instans Anda,

alamat IPv4 publik saat ini (jika ada) akan dilepas ke kumpulan alamat IP publik EC2-VPC. Jika Andamemisahkan alamat IP Elastis, antarmuka jaringan eth0 secara otomatis mendapat alamat IPv4 publikyang baru dalam beberapa menit. Ini tidak berlaku jika Anda sudah melampirkan antarmuka jaringankedua ke instans Anda.

• Untuk memastikan penggunaan alamat IP Elastis secara efisien, kami mengenakan sedikit biaya per jamjika alamat-alamat IP Elastis tersecut tidak dikaitkan dengan sebuah instans yang sedang berjalan, ataujika dikaitkan dengan sebuah instans yang sudah terhenti atau sebuah antarmuka jaringan yang tidakterlampir. Saat instans Anda berjalan, Anda tidak dikenakan biaya untuk sebuah alamat IP Elastis yangterkait dengan instans tersebut, tetapi Anda dikenakan biaya untuk setiap alamat IP Elastis tambahanyang dikaitkan dengan instans tersebut. Untuk informasi selengkapnya, lihat Penetapan Harga AmazonEC2.

• Anda dibatasi hingga lima alamat IP Elastis. Untuk membantu menyimpannya, Anda dapatmenggunakan perangkat NAT. Untuk informasi lebih lanjut, lihat Perangkat NAT untuk VPCAnda (p. 225).

• Alamat IP Elastis untuk IPv6 tidak di-support.• Anda dapat memberi tag alamat IP Elastis yang dialokasikan untuk digunakan di VPC, namun, tag

alokasi biaya tidak di-support. Jika Anda memulihkan alamat IP Elastis, tag tidak ikut terpulihkan.• Anda dapat mengakses alamat IP Elastis dari internet ketika grup keamanan dan ACL jaringan

mengizinkan lalu lintas dari alamat IP sumber. Lalu lintas balasan dari dalam VPC kembali ke internetakan memerlukan gateway internet. Untuk informasi selengkapnya, lihat the section called “Grupkeamanan” (p. 179) dan the section called “ACL jaringan” (p. 190).

• Anda dapat menggunakan salah satu opsi berikut untuk alamat IP Elastis:• Biarkan Amazon menyediakan alamat IP Elastis. Saat Anda memilih opsi ini, Anda dapat mengaitkan

alamat-alamat IP Elastis dengan grup border jaringan. Ini adalah lokasi tempat kita mengiklankan blokCIDR. Mengatur grup border jaringan membatasi blok CIDR ke grup ini.

• Gunakan alamat-alamat IP Anda sendiri. Untuk informasi tentang menyediakan alamat IP Andasendiri, lihat Sediakan alamat IP Anda sendiri (BYOIP) di Panduan Pengguna Amazon EC2 untukInstans Linux.

Ada perbedaan antara alamat IP Elastis IP yang Anda gunakan di VPC dan alamat IP Elastis yang Andagunakan di EC2-Classic. Untuk informasi selengkapnya, lihat Perbedaan EC2-Classic dan VPC di PanduanPengguna Amazon EC2 untuk Instans Linux. Anda dapat memindahkan alamat IP Elastis yang telah Andaalokasikan untuk digunakan di platform EC2-Classic ke platform VPC. Untuk informasi selengkapnya, lihatPindahkan alamat IP Elastis dari EC2-Classic.

Alamat IP Elastis bersifat regional. Untuk informasi selengkapnya tentang penggunaan Global Acceleratoruntuk menyediakan alamat IP global, lihat Penggunaan alamat IP statis global alih-alih alamat IP statisregional di AWS Global Accelerator Panduan Developer.

Bekerja dengan alamat IP ElastisBagian berikut ini menjelaskan bagaimana Anda bekerja dengan alamat IP Elastis.

Tugas• Alokasikan sebuah alamat IP Elastis (p. 277)• Kaitkan sebuah alamat IP Elastis (p. 277)• Lihat alamat IP Elastis Anda (p. 278)• Tag sebuah alamat IP Elastis (p. 278)• Pisahkan alamat IP Elastis (p. 278)• Melepas alamat IP Elastis (p. 279)

276

http://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses

http://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#differences-ec2-classic-vpc

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-classic-platform.html#migrating-eip

https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html

https://docs.aws.amazon.com/global-accelerator/latest/dg/about-accelerators.eip-accelerator.html


• Memulihkan alamat IP Elastis (p. 279)

Alokasikan sebuah alamat IP ElastisSebelum Anda menggunakan IP Elastic, Anda harus mengalokasikan satu IP Elastis untuk digunakan diVPC Anda.

Untuk mengalokasikan sebuah alamat IP Elastis menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di jendela navigasi, pilih IP Elastis.3. Pilih Alokasikan alamat IP Elastis.4. Untuk Kumpulan alamat IPv4 publik, pilih salah satu dari berikut ini:

• Kumpulan alamat IP Amazon—Jika Anda menginginkan sebuah alamat IPv4 dialokasikan darikumpulan alamat IP Amazon.

• Kumpulan alamat IPv4 publik saya—Jika Anda ingin mengalokasikan alamat IPv4 dari kumpulanalamat IP yang telah Anda bawa ke akun AWS Anda. Opsi ini dinonaktifkan jika Anda tidak memilikikumpulan alamat IP.

• Kumpulan alamat IPv4 yang dimiliki pelanggan—Jika Anda ingin mengalokasikan sebuah alamatIPv4 dari kumpulan alamat yang dibuat dari jaringan on-premise Anda untuk digunakan dengansebuah Outpost. Opsi ini dinonaktifkan jika Anda tidak memiliki Outpost.

5. (Opsional) Menambahkan atau menghapus tag.

[Menambahkan tag] Pilih Tambah tag baru dan lakukan hal berikut:

• Untuk Kunci, masukkan nama kunci.• Untuk Nilai masukkan nilai kunci.

[Menghapus tag] Pilih Hapus di sebelah kanan tag Kunci dan Nilai.6. Pilih Alokasi.

Note

Jika akun Anda mensupport EC2-Classic, pilih terlebih dahulu VPC.

Untuk mengalokasikan alamat IP Elastis dengan menggunakan baris perintah

• allocate-address (AWS CLI)• New-EC2Address (AWS Tools for Windows PowerShell)

Kaitkan sebuah alamat IP ElastisAnda dapat mengaitkan alamat IP Elastis dengan instans atau antarmuka jaringan yang sedang berjalan diVPC Anda.

Setelah Anda mengaitkan alamat IP Elastis dengan instans Anda, instans tersebut menerima nama hostDNS publik jika nama host DNS diaktifkan. Untuk informasi lebih lanjut, lihat Support DNS untuk VPCAnda (p. 259).

Untuk mengaitkan sebuah alamat IP Elastis dengan sebuah instans atau antarmuka jaringan


277



https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Address.html



2. Di jendela navigasi, pilih IP Elastis.3. Pilih alamat IP Elastis yang dialokasikan untuk digunakan dengan VPC (kolom Cakupan memiliki nilai

vpc), lalu pilih Tindakan, Alamat IP Elastis.4. Pilih Instans atau Antarmuka jaringan, dan kemudian pilih instans atau ID antarmuka jaringan. Pilih

alamat IP pribadi yang untuk dikaitkan dengan alamat IP Elastis. Pilih Kaitkan.

Untuk mengaitkan sebuah alamat IP Elastis dengan sebuah instans atau antarmuka jaringanmenggunakan baris perintah

• associate-address (AWS CLI)• Register-EC2Address (AWS Tools for Windows PowerShell)

Lihat alamat IP Elastis AndaAnda dapat melihat alamat IP Elastis yang dialokasikan ke akun Anda.

Untuk melihat alamat IP Elastis Anda

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di jendela navigasi, pilih IP Elastis.3. Untuk mem-filter daftar yang ditampilkan, mulailah mengetik bagian dari alamat IP elastis atau salah

satu dari atributnya di kotak pencarian.

Untuk melihat alamat IP Elastis Anda menggunakan baris perintah

• describe-addresses (AWS CLI)• Get-EC2Address (AWS Tools for Windows PowerShell)

Tag sebuah alamat IP ElastisAnda dapat menerapkan tag ke alamat IP Elastis Anda untuk membantu Anda mengidentifikasi ataumengkategorikannya sesuai dengan kebutuhan organisasi Anda.

Untuk memberi tag sebuah alamat IP Elastis menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di jendela navigasi, pilih IP Elastic.3. Pilih alamat IP Elastis dan pilih Tag.4. Pilih Kelola tag, masukkan kunci tag dan nilai sesuai yang diminta, dan pilih Simpan.

Untuk memberi tag alamat IP Elastis menggunakan baris perintah


Pisahkan alamat IP ElastisUntuk mengubah sumber daya yang terkait dengan alamat IP elastis, Anda harus terlebih dahulumemisahkan alamat IP elastis dari sumber daya yang terkait saat ini.

278

https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Address.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-addresses.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Address.html




Amazon Virtual Private Cloud Panduan PenggunaClassicLink

Untuk memisahkan alamat IP Elastis

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di jendela navigasi, pilih IP Elastis.3. Pilih alamat IP Elastis, dan lalu pilih Tindakan, Pisahkan alamat IP Elastis.4. Saat diminta, pilih Pisahkan.

Untuk memisahkan alamat IP Elastis menggunakan baris perintah

• disassociate-address (AWS CLI)• Unregister-EC2Address (AWS Tools for Windows PowerShell)

Melepas alamat IP ElastisJika Anda tidak lagi memerlukan alamat IP Elastis, kami menyarankan Anda melepaskannya. Andadikenakan biaya untuk alamat IP Elastis yang dialokasikan untuk digunakan dengan VPC namun tidakterkait dengan sebuah instans. Alamat IP Elastis tersebut tidak boleh terkait dengan sebuah instansataupun antarmuka jaringan.

Untuk melepaskan alamat IP Elastis

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di jendela navigasi, pilih IP Elastis.3. Pilih alamat IP Elastis, lalu pilih Tindakan, Melepas alamat IP Elastis.4. Saat diminta, pilih Lepas.

Untuk melepaskan alamat IP Elastis menggunakan baris perintah

• release-address (AWS CLI)• Remove-EC2Address (AWS Tools for Windows PowerShell)

Memulihkan alamat IP ElastisJika Anda melepas alamat IP Elastis Anda, Anda bisa memulihkannya. Anda tidak dapat memulihkanalamat IP Elastis jika sudah dialokasikan ke akun AWS lain, atau jika mengakibatkan batas jumlah alamatIP Elastis Anda terlampaui.

Anda dapat memulihkan alamat IP Elastis menggunakan Amazon EC2 API atau alat baris perintah.

Untuk memulihkan alamat IP Elastis menggunakan AWS CLI

Gunakan perintah allocate-address dan tentukan alamat IP menggunakan parameter --address.

aws ec2 allocate-address --domain vpc --address 203.0.113.3

ClassicLinkClassicLink mengizinkan Anda untuk menautkan instans EC2-Classic ke VPC di akun Anda, dalam Wilayahyang sama. Dengan demikian Anda dapat mengaitkan grup keamanan VPC dengan instans EC2-Classic,mengaktifkan komunikasi antara instans EC2-Classic Anda dan instans di VPC Anda menggunakan alamat

279


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2Address.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/release-address.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Address.html


Amazon Virtual Private Cloud Panduan PenggunaClassicLink

IPv4 pribadi. ClassicLink menghilangkan keperluan untuk menggunakan alamat IPv4 publik atau alamatIP Elastis untuk mengaktifkan komunikasi antar instans di platform-platform ini. Untuk informasi lebih lanjutmengenai alamat IPv4 pribadi dan publik, lihat Pembuatan alamat IP di VPC (p. 115).

ClassicLink tersedia untuk semua pengguna dengan akun yang mensupport platform EC2-Classic, dandapat digunakan dengan instans EC2-Classic manapun.

Tidak ada biaya tambahan untuk menggunakan ClassicLink. Biaya standar berlaku untuk pemindahan datadan penggunaan waktu instans.

Untuk informasi selengkapnya tentang ClassicLink dan cara menggunakannya, lihat topik berikut diPanduan Pengguna Amazon EC2:

• Dasar-dasar ClassicLink• Batasan-batasan ClassicLink• Bekerja dengan ClassicLink• Gambaran umum API ClassicLink dan CLI

280

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-basics

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-limitations

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#working-with-classiclink

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html#classiclink-api-cli

Amazon Virtual Private Cloud Panduan PenggunaKonsep tabel rute

Tabel rute untuk VPC AndaSebuah Tabel rute terdiri dari satu set peraturan, yang dinamakan Rute, yang digunakan untukmenentukan ke mana lalu lintas jaringan dari subnet atau gateway Anda diarahkan.

Daftar Isi• Konsep tabel rute (p. 281)• Cara tabel rute bekerja (p. 281)• Prioritas rute (p. 287)• Opsi perutean contoh (p. 289)• Bekerja dengan tabel rute (p. 298)

Konsep tabel ruteBerikut ini adalah konsep utama untuk tabel rute.

• Tabel rute utama—Tabel rute yang secara otomatis bawaan di VPC Anda. Tabel rute utamamengendalikan perutean untuk semua subnet yang tidak secara eksplisit dikaitkan dengan tabel rutelainnya.

• Tabel rute kustom—Tabel rute yang Anda buat untuk VPC Anda.• Pengaitan Edge—Sebuah tabel rute yang Anda gunakan untuk mengarahkan lalu lintas VPC inbound

menuju ke perangkat. Anda kaitkan tabel rute dengan gateway internet atau virtual private gateway, dantentukan antarmuka jaringan pada perangkat Anda sebagai target untuk lalu lintas VPC.

• Pengaitan tabel rute—Pengaitan antara tabel rute dan subnet, gateway internet, atau virtual privategateway.

• Tabel rute subnet—Sebuah tabel rute yang dikaitkan dengan sebuah subnet.• Tabel rute gateway—Tabel rute yang dikaitkan dengan sebuah gateway internet atau virtual private

gateway.• Tabel rute gateway lokal—Tabel rute yang dikaitkan dengan gateway lokal Outposts. Untuk informasi

tentang gateway lokal, lihat Gerbang lokal di Panduan Pengguna AWS Outposts.• Tujuan—Kisaran alamat IP di mana Anda menginginkan adanya lalu lintas untuk pergi (CIDR tujuan).

Misalnya, jaringan perusahaan eksternal dengan sebuah CIDR 172.16.0.0/12.• Propagasi—Propagasi rute mengizinkan virtual private gateway untuk secara otomatis menyebarkan

rute ke tabel rute. Ini berarti bahwa Anda tidak perlu secara manual memasukkan rute VPN ke tabel ruteAnda. Untuk informasi selengkapnya tentang opsi perutean VPN, lihat Opsi perutean Site-to-Site VPN diPanduan Pengguna Site-to-Site VPN.

• Target—Gateway, antarmuka jaringan, atau koneksi yang menjadi tempat untuk mengirim lalu lintastujuan; misalnya, gateway internet.

• Rute lokal—Rute default untuk komunikasi dalam VPC.

Misalnya opsi perutean, lihat the section called “Opsi perutean contoh” (p. 289).

Cara tabel rute bekerjaVPC Anda memiliki router implisit, dan Anda menggunakan tabel rute untuk mengendalikan ke mana lalulintas jaringan diarahkan. Setiap subnet di VPC Anda harus dikaitkan dengan sebuah tabel rute, yangmengendalikan perutean untuk subnet (rute tabel subnet). Anda dapat secara eksplisit mengaitkan subnet

281

https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html

Amazon Virtual Private Cloud Panduan PenggunaRoutes

dengan tabel rute khusus. Jika tidak, subnet secara implisit akan dikaitkan dengan tabel rute utama. Subnethanya dapat dikaitkan dengan satu tabel rute dalam satu waktu, tetapi Anda dapat mengaitkan beberapasubnet dengan tabel rute subnet yang sama.

Anda dapat secara opsional mengaitkan sebuah tabel rute dengan gateway internet atau virtual privategateway (tabel rute gateway). Hal ini memungkinkan Anda menentukan aturan perutean untuk lalulintas inbound yang memasuki VPC Anda melalui gateway. Untuk informasi lebih lanjut, lihat Tabel rutegateway (p. 286).

Terdapat kuota jumlah tabel rute yang dapat Anda buat per VPC. Juga terdapat kuota jumlah rute yangdapat Anda tambahkan per tabel rute. Untuk informasi lebih lanjut, lihat Kuota Amazon VPC (p. 341).

Daftar Isi• Routes (p. 282)• Tabel rute utama (p. 283)• Tabel rute kustom (p. 283)• Pengaitan tabel rute subnet (p. 284)• Tabel rute gateway (p. 286)

RoutesSetiap rute dalam sebuah tabel rute menentukan tujuan dan target. Misalnya, untuk mengaktifkan subnetAnda mengakses internet melalui gateway internet, tambahkan rute berikut ke tabel rute subnet Anda.

Tujuan Target

0.0.0.0/0 igw-12345678901234567

Tujuan untuk rute tersebut adalah 0.0.0.0/0, yang mewakili semua alamat IPv4. Targetnya adalahgateway internet yang melekat pada VPC Anda.

Blok CIDR untuk IPv4 dan IPv6 diperlakukan secara terpisah. Misalnya, rute dengan CIDR tujuan0.0.0.0/0 Tidak secara otomatis mencakup semua alamat IPv6. Anda harus membuat rute dengantujuan CIDR dari ::/0 untuk semua alamat IPv6.

Setiap tabel rute berisikan rute lokal untuk berkomunikasi di dalam VPC. Rute ini ditambahkan secaradefault untuk semua tabel rute. Jika VPC Anda memiliki lebih dari satu blok CIDR IPv4, tabel rute Andaakan berisikan rute lokal untuk setiap blok CIDR IPv4. Jika Anda telah mengaitkan sebuah blok CIDR IPv6dengan VPC Anda, tabel rute Anda berisikan rute lokal untuk blok CIDR IPv6. Anda tidak dapat mengubahatau menghapus rute-rute ini di tabel rute subnet atau di tabel rute utama.

Untuk informasi lebih lanjut tentang rute dan rute lokal di tabel rute gateway, lihat Tabel rutegateway (p. 286).

Jika tabel rute Anda memiliki beberapa rute, kami menggunakan rute paling spesifik yang bersesuaiandengan lalu lintas (prefiks terpanjang yang sesuai) untuk menentukan cara merutekan lalu lintas.

Pada contoh berikut, sebuah blok CIDR IPv6 dikaitkan dengan VPC Anda. Di tabel rute Anda:

• Lalu lintas IPv6 yang ditujukan untuk tetap berada di dalam VPC (2001:db8:1234:1a00::/56)dicakup oleh rute Local, dan diarahkan di dalam VPC.

• Lalu lintas IPv4 dan IPv6 diperlakukan secara terpisah; oleh karena itu, semua lalu lintas IPv6 (kecualiuntuk lalu lintas dalam VPC) diarahkan ke gateway internet egress-only.

• Terdapat rute untuk lalu lintas IPv4 172.31.0.0/16 yang mengarah ke koneksi peering.• Terdapat rute untuk semua lalu lintas IPv4 (0.0.0.0/0) yang mengarah ke gateway internet.

282

Amazon Virtual Private Cloud Panduan PenggunaTabel rute utama

• Terdapat rute untuk semua lalu lintas IPv6 (::/0) yang mengarah ke gateway internet egress-only.

Tujuan Target

10.0.0.0/16 Lokal

2001:db8:1234:1a00::/56 Lokal

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

::/0 eigw-aabbccddee1122334

Jika Anda sering mereferensikan set blok CIDR yang sama blok CIDR di seluruh sumber daya AWS Anda,Anda dapat membuat sebuah daftar prefiks yang dikelola pelanggan (p. 264) untuk mengelompokkanmereka bersama-sama. Anda kemudian dapat menentukan daftar prefiks sebagai tujuan dalam entri tabelrute Anda.

Tabel rute utamaKetika Anda membuat sebuah VPC, VPC secara otomatis memiliki tabel rute utama. Ketika subnet tidakmemiliki tabel perutean eksplisit yang dikaitkan dengannya, tabel rute utama adalah yang digunakansecara default. Pada halaman Tabel Rute di konsol Amazon VPC, Anda dapat melihat tabel rute utamauntuk VPC dengan mencari Ya di kolom Utama.

Secara default, ketika Anda membuat sebuah VPC nondefault, tabel rute utama hanya berisikan rute lokal.Ketika Anda menggunakan wizard VPC di konsol tersebut untuk membuat sebuah VPC nondefault dengangateway NAT atau virtual private gateway, wizard secara otomatis menambahkan rute ke tabel rute utamauntuk gateway-gateway tersebut.

Aturan berikut berlaku untuk tabel rute utama:

• Anda tidak dapat menghapus tabel rute utama.• Anda tidak dapat menetapkan tabel rute gateway sebagai tabel rute utama.• Anda dapat mengganti tabel rute utama dengan tabel rute subnet kustom.• Anda dapat menambahkan, menghapus, dan memodifikasi rute di tabel rute utama.• Anda tidak dapat membuat rute yang lebih spesifik daripada rute lokal.• Anda dapat secara eksplisit mengaitkan subnet dengan tabel rute utama, meskipun itu sudah terkait

secara implisit.

Anda mungkin ingin melakukan itu jika Anda mengubah tabel mana yang menjadi tabel rute utama.Ketika Anda mengubah tabel tertentu sebagai tabel rute utama, hal itu juga mengubah setelan defaultuntuk subnet baru tambahan, atau untuk setiap subnet yang tidak secara eksplisit dikaitkan dengan tabelrute lainnya. Untuk informasi lebih lanjut, lihat Ganti tabel rute utama (p. 303).

Tabel rute kustomSecara default, tabel rute kustom itu kosong dan Anda bisa menambahkan rute sebagaimana diperlukan.Ketika Anda menggunakan wizard VPC di konsol untuk membuat sebuah VPC dengan gateway internet,wizard tersebut menciptakan tabel rute kustom dan menambahkan rute ke gateway internet. Salah satucara untuk melindungi VPC Anda adalah dengan meninggalkan tabel rute utama dalam keadaan defaultbawaan. Kemudian, secara eksplisit kaitkan setiap subnet baru yang Anda buat dengan salah satu tabel

283

Amazon Virtual Private Cloud Panduan PenggunaPengaitan tabel rute subnet

rute kustom yang telah Anda buat. Hal ini memastikan Anda secara eksplisit mengendalikan bagaimanasetiap subnet mengarahkan lalu lintas.

Anda dapat menambahkan, menghapus, dan memodifikasi rute dalam tabel rute kustom. Anda dapatmenghapus tabel rute kustom hanya jika tidak memiliki pengaitan dengan apapun.

Pengaitan tabel rute subnetSetiap subnet di VPC Anda harus dikaitkan dengan tabel rute. Subnet dapat secara eksplisit dikaitkandengan tabel rute kustom, atau dikaitkan dengan tabel rute utama baik secara implisit ataupun eksplisit.Untuk informasi selengkapnya tentang melihat subnet dan pengaitan tabel rute, lihat Tentukan subnet danatau gateway manakah yang secara eksplisit dikaitkan dengan sebuah tabel (p. 299).

Subnet yang ada di VPC yang dikaitkan dengan Outposts dapat memiliki target tambahan jenis gatewaylokal. Ini adalah satu-satunya perbedaan perutean dari subnet non-Outposts.

Anda tidak dapat mengaitkan subnet dengan tabel rute jika salah satu dari berikut ini berlaku:

• Tabel rute berisikan rute yang ada yang lebih spesifik daripada rute lokal default.• Target rute lokal default telah diganti.

Contoh 1: pengaitan subnet implisit dan eksplisit

Diagram berikut menunjukkan perutean untuk VPC dengan gateway internet, virtual private gateway,subnet publik, dan subnet VPN saja. Tabel rute utama memiliki rute ke virtual private gateway. Sebuahtabel rute kustom secara eksplisit dikaitkan dengan subnet publik. Tabel rute kustom memiliki rute keinternet (0.0.0.0/0) melalui gateway internet.

Jika Anda membuat subnet baru di VPC ini, secara otomatis secara implisit subnet dikaitkan dengan tabelrute utama, yang mengarahkan lalu lintas ke virtual private gateway. Jika Anda mengatur konfigurasi

284

Amazon Virtual Private Cloud Panduan PenggunaPengaitan tabel rute subnet

terbalik (di mana tabel rute utama memiliki rute ke gateway internet, dan tabel rute kustom memiliki rute kevirtual private gateway), maka subnet baru secara otomatis memiliki rute ke gateway internet.

Contoh 2: Mengganti tabel rute utama

Anda mungkin ingin membuat perubahan ke tabel rute utama. Untuk menghindari gangguan pada lalulintas Anda, sebaiknya Anda terlebih dahulu menguji perubahan rute menggunakan tabel rute kustom.Setelah Anda puas dengan pengujian tersebut, Anda dapat mengganti tabel rute utama dengan tabelkustom yang baru.

Diagram berikut ini menunjukkan VPC dengan dua subnet yang secara implisit dikaitkan dengan tabel ruteutama (Tabel Rute A), dan tabel rute kustom (Tabel Rute B) yang tidak dikaitkan dengan subnet apapun.

Anda dapat membuat pengaitan eksplisit antara Subnet 2 dan Tabel Rute B.

Setelah Anda menguji Tabel Rute B, Anda dapat membuatnya menjadi tabel rute utama. Perhatikan bahwaSubnet 2 masih memiliki pengaitan eksplisit dengan Tabel Rute B, dan Subnet 1 memiliki pengaitan implisitdengan Tabel Rute B karena itu adalah tabel rute utama yang baru. Tabel rute A tidak lagi digunakan.

285

Amazon Virtual Private Cloud Panduan PenggunaTabel rute gateway

Jika Anda memutus keterkaitan Subnet 2 dari Tabel Rute B, masih terdapat pengaitan implisit antaraSubnet 2 dan Tabel Rute B. jika Anda tidak lagi membutuhkan Tabel Rute A, Anda dapat menghapusnya.

Tabel rute gatewayAnda dapat mengaitkan tabel rute dengan gateway internet atau virtual private gateway. Ketika tabel rutedikaitkan dengan gateway, itu direferensikan sebagai Tabel rute gateway. Anda dapat membuat tabelrute gateway untuk mengendalikan fine-grain atas jalur perutean lalu lintas yang memasuki VPC Anda.Misalnya, Anda dapat mencegat lalu lintas yang memasuki VPC Anda melalui gateway internet denganmengarahkan lalu lintas ke perangkat middlebox (seperti perangkat keamanan) di VPC Anda.

Sebuah tabel gateway rute men-support rute di mana target adalah local (rute lokal default), Titik AkhirPenyeimbang Beban Gateway, atau antarmuka jaringan elastis (antarmuka jaringan) di VPC Anda yangmelekat pada perangkat middlebox Anda. Ketika target adalah titik akhir Penyeimbang Beban Gatewayatau antarmuka jaringan, tujuan berikut diperbolehkan:

• Seluruh blok CIDR IPv4 atau IPv6 dari VPC Anda. Dalam kasus ini, Anda ganti target rute lokal default.• Seluruh blok CIDR IPv4 atau IPv6 dari subnet di VPC Anda. Ini adalah rute yang lebih spesifik dari rute

lokal default.

Jika Anda mengubah target rute lokal dalam sebuah tabel rute gerbang ke antarmuka jaringan di VPCAnda, Anda nanti dapat mengembalikannya ke target local default. Untuk informasi lebih lanjut, lihatMengganti atau memulihkan target untuk rute lokal (p. 304).

Dalam tabel rute gateway berikut, lalu lintas yang ditujukan untuk subnet dengan blok CIDR172.31.0.0/20 diarahkan ke antarmuka jaringan tertentu. Lalu lintas yang ditujukan untuk semua subnetlain di VPC menggunakan rute lokal.

Tujuan Target

172.31.0.0/16 Lokal

172.31.0.0/20 ing-id

Dalam tabel rute gateway berikut, target untuk rute lokal diganti dengan ID antarmuka jaringan. Lalu lintasyang ditujukan untuk semua subnet di dalam VPC diarahkan menuju antarmuka jaringan.

Tujuan Target

172.31.0.0/16 ing-id

286

https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/introduction.html


Amazon Virtual Private Cloud Panduan PenggunaPrioritas rute

Aturan dan pertimbanganAnda tidak dapat mengaitkan sebuah tabel rute dengan gateway jika salah satu dari berikut ini berlaku:

• Tabel rute berisikan rute-rute yang ada dengan target selain dari antarmuka jaringan, titik akhirPenyeimbang Beban Gateway, atau rute lokal default.

• Tabel rute berisikan rute yang ada untuk blok CIDR di luar kisaran di VPC Anda.• Rute propagasi diaktifkan untuk tabel rute.

Sebagai tambahan, aturan dan pertimbangan berikut berlaku:

• Anda tidak dapat menambahkan rute ke setiap blok CIDR di luar kisaran di VPC Anda, termasuk kisaranyang lebih besar dari masing-masing blok CIDR VPC.

• Anda hanya dapat menentukan local, titik akhir Penyeimbang Beban Gateway, atau antarmukajaringan sebagai target. Anda tidak dapat menentukan jenis target lainnya, termasuk alamat IP hostindividu.

• Anda tidak dapat mengarahkan lalu lintas dari virtual private gateway ke titik akhir Penyeimbang BebanGateway. Jika Anda mengaitkan tabel rute Anda dengan sebuah virtual private gateway dan Andamenambahkan sebuah rute dengan endpoint Penyeimbang Beban Gateway sebagai target, lalu lintasyang ditujukan untuk titik akhir ditiadakan.

• Anda tidak dapat menentukan daftar prefiks sebagai tujuan.• Anda tidak dapat menggunakan tabel rute gateway untuk mengendalikan atau mencegat lalu lintas di

luar VPC Anda, misalnya, lalu lintas melalui Transit Gateway yang terlampir. Anda dapat mencegat lalulintas yang memasuki VPC Anda dan mengarahkannya kembali ke target lain di VPC yang sama.

• Untuk memastikan lalu lintas mencapai perangkat middlebox Anda, antarmuka jaringan target harusdilampirkan ke instans yang sedang berjalan. Untuk lalu lintas yang mengalir melalui gateway internet,antarmuka jaringan target juga harus memiliki alamat IP publik.

• Saat mengkonfigurasi perangkat middlebox Anda, perhatikan Pertimbangan perangkat (p. 294).• Ketika Anda mengarahkan lalu lintas melalui perangkat middlebox, lalu lintas yang kembali dari subnet

tujuan harus diarahkan melalui perangkat yang sama. Perutean asimetris tidak di-support.

Sebagai contoh perutean untuk perangkat keamanan, lihat Perutean untuk perangkat middlebox (p. 294).

Prioritas ruteKami menggunakan rute yang paling spesifik di tabel rute Anda yang sesuai dengan lalu lintas untukmenentukan bagaimana mengarahkan lalu lintas (kesesuaian prefiks terpanjang).

Rute ke alamat IPv4 dan IPv6 atau blok CIDR tidak saling ketergantungan satu sama lain. Kamimenggunakan rute yang paling spesifik yang sesuai baik lalu lintas IPv4 atau lalu lintas IPv6 untukmenentukan bagaimana mengarahkan lalu lintas.

Sebagai contoh, tabel rute subnet berikut memiliki rute untuk lalu lintas internet IPv4 (0.0.0.0/0) yangmengarah ke gateway internet, dan rute untuk lalu lintas IPv4 172.31.0.0/16 yang mengarah ke koneksipeering (pcx-11223344556677889). Setiap lalu lintas dari subnet yang ditujukan untuk kisaran alamat IP172.31.0.0/16 menggunakan koneksi peering, karena rute ini lebih spesifik daripada rute untuk gatewayinternet. Setiap lalu lintas yang ditujukan untuk target di dalam VPC (10.0.0.0/16) tercakup oleh ruteLocal, dan oleh karenanya lalu lintas diarahkan di dalam VPC. Semua lalu lintas lainnya dari subnetmenggunakan gateway internet.

287

Amazon Virtual Private Cloud Panduan PenggunaPrioritas rute untuk daftar prefiks

Tujuan Target

10.0.0.0/16 Lokal

172.31.0.0/16 pcx-11223344556677889

0.0.0.0/0 igw-12345678901234567

Jika Anda telah melampirkan sebuah virtual private gateway ke VPC Anda dan mengaktifkan propagasirute pada tabel rute subnet Anda, rute yang mewakili koneksi Site-to-Site VPN Anda secara otomatismuncul sebagai rute yang disebarkan di tabel rute Anda. Jika rute yang disebarkan tumpang tindih denganrute statis dan kesesuaian prefiks terpanjang tidak dapat diterapkan, rute statis mengambil prioritas atasrute yang disebarkan. Untuk informasi selengkapnya, lihat Tabel rute dan prioritas rute VPN di PanduanPengguna AWS Site-to-Site VPN .

Dalam contoh ini, tabel rute Anda memiliki rute statis ke gateway internet (yang Anda tambahkansecara manual), dan rute yang disebarkan ke virtual private gateway. Kedua rute memiliki tujuan172.31.0.0/24. Dalam hal ini, semua lalu lintas yang ditujukan untuk 172.31.0.0/24 diarahkan kegateway internet - itu adalah rute statis dan oleh karenanya mengambil prioritas atas rute yang disebarkan.

Tujuan Target

10.0.0.0/16 Lokal

172.31.0.0/24 vgw-11223344556677889 (disebarkan)

172.31.0.0/24 igw-12345678901234567 (statis)

Aturan yang sama berlaku jika tabel rute Anda berisikan rute statis ke salah satu dari berikut ini:

• Gateway NAT• Antarmuka jaringan• ID Instans• VPC endpoint Gateway• Transit Gateway• Koneksi peering VPC• Titik akhir Penyeimbang Beban Gateway

Jika tujuan untuk rute statis dan tersebar adalah sama, rute statis akan mengambil prioritas.

Prioritas rute untuk daftar prefiksJika tabel rute Anda mereferensikan daftar prefiks, aturan berikut berlaku:

• Jika tabel rute Anda berisikan rute statis yang tumpang tindih dengan rute lain yang mereferensikandaftar prefiks, rute statis dengan blok CIDR tujuan akan mengambil prioritas.

• Jika tabel rute Anda berisikan rute yang tersebar yang tumpang tindih dengan rute yang mereferensikandaftar prefiks, rute yang mereferensikan daftar prefiks akan mengambil prioritas.

• Jika tabel rute Anda mereferensikan beberapa daftar prefiks yang memiliki blok-blok CIDR yang tumpangtindih ke target-target yang berbeda, kami secara acak memilih rute mana yang menjadi prioritas.Setelah itu, rute yang sama selalu menjadi prioritas.

288


Amazon Virtual Private Cloud Panduan PenggunaOpsi perutean contoh

• Jika blok CIDR dalam entri daftar awalan tidak valid untuk tabel rute, entri akan diabaikan. Sebagaicontoh, di tabel subnet rute, jika daftar prefiks berisikan entri dengan CIDR yang lebih spesifik daripadaCIDR VPC, entri tersebut diabaikan.

Opsi perutean contohTopik berikut menjelaskan perutean untuk gateway atau koneksi tertentu di VPC Anda.

Opsi• Perutean ke gateway internet (p. 289)• Perutean ke perangkat NAT (p. 289)• Perutean ke virtual private gateway (p. 290)• Perutean ke gateway lokal AWS Outposts (p. 290)• Perutean ke gateway operator Zona Wavelength (p. 290)• Perutean ke koneksi peering VPC (p. 291)• Perutean untuk ClassicLink (p. 292)• Perutean ke VPC endpoint gateway (p. 293)• Perutean ke gateway internet egress-only (p. 293)• Perutean untuk Transit Gateway (p. 293)• Perutean untuk perangkat middlebox (p. 294)• Perutean menggunakan daftar prefiks (p. 296)• Perutean ke titik akhir Penyeimbang Beban Gateway (p. 296)

Perutean ke gateway internetAnda dapat membuat sebuah subnet menjadi subnet publik dengan menambahkan sebuah rute di tabelrute subnet Anda ke gateway internet. Untuk melakukannya, buat dan lampirkan gateway internet untukVPC Anda, dan kemudian tambahkan rute dengan tujuan 0.0.0.0/0 untuk lalu lintas IPv4 atau lalu lintasIPv6 ::/0, dan target ID gateway internet (igw-xxxxxxxxxxxxxxxxx).

Tujuan Target

0.0.0.0/0 igw-id

::/0 igw-id

Untuk informasi lebih lanjut, lihat Gateway internet (p. 210).

Perutean ke perangkat NATUntuk mengaktifkan instans di subnet pribadi agar terhubung ke internet, Anda dapat membuat gatewayNAT atau meluncurkan instans NAT di subnet publik. Kemudian tambahkan rute untuk tabel rute subnetpribadi yang mengarahkan lalu lintas internet IPv4 (0.0.0.0/0) ke perangkat NAT.

Tujuan Target


289

Amazon Virtual Private Cloud Panduan PenggunaPerutean ke virtual private gateway

Anda juga dapat membuat rute yang lebih spesifik ke target lain untuk menghindari biaya pemrosesan datayang tidak perlu untuk menggunakan gateway NAT, atau untuk mengarahkan lalu lintas tertentu secarapribadi. Dalam contoh berikut, lalu lintas Amazon S3 (pl-xxxxxxxx; kisaran alamat IP tertentu untuk AmazonS3) diarahkan ke gateway VPC endpoint, dan lalu lintas 10.25.0.0/16 diarahkan ke koneksi peering VPC.Kisaran alamat IP pl-xxxxxxxx dan 10.25.0.0/16 lebih spesifik daripada 0.0.0.0/0. Ketika instans-instansmengirimkan lalu lintas ke Amazon S3 atau ke VPC rekan, lalu lintas dikirim ke VPC endpoint gateway ataukoneksi peering VPC. Semua lalu lintas lainnya dikirim ke gateway NAT.

Tujuan Target


pl-xxxxxxxx vpce-id

10.25.0.0/16 pcx-id

Untuk informasi selengkapnya, lihat Gateway NAT (p. 226) dan Instans NAT (p. 245). Perangkat NAT tidakdapat digunakan untuk lalu lintas IPv6.

Perutean ke virtual private gatewayAnda dapat menggunakan koneksi AWS Site-to-Site VPN untuk mengaktifkan instans di VPC Anda untukberkomunikasi dengan jaringan Anda sendiri. Untuk melakukannya, buat dan lampirkan virtual privategateway ke VPC Anda. Kemudian tambahkan rute di tabel rute subnet Anda dengan tujuan jaringan Andadan target virtual private gateway (vgw-xxxxxxxxxxxxxxxxx).

Tujuan Target

10.0.0.0/16 vgw-id

Anda kemudian dapat membuat dan mengonfigurasi koneksi Site-to-Site VPN. Untuk informasiselengkapnya, lihat Apa itu AWS Site-to-Site VPN? dan Tabel rute dan prioritas rute VPN di PanduanPengguna AWS Site-to-Site VPN.

Koneksi Site-to-Site VPN di virtual private gateway tidak men-support lalu lintas IPv6. Namun, kami men-support lalu lintas IPv6 diarahkan melalui virtual private gateway ke koneksi AWS Direct Connect. Untukinformasi selengkapnya, lihat Panduan Pengguna AWS Direct Connect.

Perutean ke gateway lokal AWS OutpostsSubnet yang ada di VPC yang dikaitkan dengan AWS Outposts dapat memiliki target tambahan jenisgateway lokal. Pertimbangkan kasus di mana Anda ingin memiliki lalu lintas rute gateway lokal denganalamat tujuan 192.168.10.0/24 ke jaringan pelanggan. Untuk melakukannya, tambahkan rute berikutdengan jaringan tujuan dan target gateway lokal (lgw-xxxx).

Tujuan Target

192.168.10.0/24 lgw-id

Perutean ke gateway operator Zona WavelengthSubnet yang berada di Zona Wavelength dapat memiliki target tambahan jenis gateway operator.Pertimbangkan kasus ketika Anda ingin memiliki lalu lintas rute gateway operator untuk mengarahkan

290




Amazon Virtual Private Cloud Panduan PenggunaPerutean ke koneksi peering VPC

semua lalu lintas non-VPC ke jaringan operator. Untuk melakukannya, buat dan lampirkan operatorgateway ke VPC Anda, dan kemudian tambahkan rute berikut:

Tujuan Target

0.0.0.0/0 cagw-id

::/0 cagw-id

Perutean ke koneksi peering VPCKoneksi peering VPC adalah koneksi jaringan antara dua VPC yang memungkinkan Anda mengarahkanlalu lintas di antara keduanya menggunakan alamat IPv4 pribadi. Instans-instans di VPC yang manapundapat berkomunikasi satu sama lain seolah-olah mereka berada di jaringan yang sama.

Untuk mengaktifkan perutean lalu lintas antar VPC dalam koneksi peering VPC, Anda harus menambahkanrute ke satu atau lebih tabel rute subnet yang mengarah ke koneksi peering VPC. Ini memungkinkan Andamengakses semua atau sebagian blok CIDR dari VPC yang lain dalam koneksi peering. Demikian pula,pemilik VPC yang lain harus menambahkan rute ke tabel rute subnet mereka untuk mengarahkan lalu lintaskembali ke VPC Anda.

Misalnya, Anda memiliki koneksi peering VPC (pcx-11223344556677889) di antara dua VPC, denganinformasi berikut:

• VPC A: Blok CIDR adalah 10.0.0.0/16• VPC B: Blok CIDR adalah 172.31.0.0/16

Untuk mengaktifkan lalu lintas antar VPC dan mengizinkan akses ke seluruh blok CIDR IPv4 dari VPCmanapun, tabel rute VPC A dikonfigurasi sebagai berikut.

Tujuan Target

10.0.0.0/16 Lokal

172.31.0.0/16 pcx-11223344556677889

Tabel rute VPC B dikonfigurasi sebagai berikut.

Tujuan Target

172.31.0.0/16 Lokal

10.0.0.0/16 pcx-11223344556677889

Koneksi peering VPC Anda juga dapat men-support komunikasi IPv6 antar instans di VPC, jika VPC daninstans diaktifkan untuk komunikasi IPv6. Untuk informasi lebih lanjut, lihat VPC dan subnet (p. 98). Untukmengaktifkan perutean lalu lintas IPv6 antar VPC, Anda harus menambahkan rute ke tabel rute Anda yangmengarah ke koneksi peering VPC untuk mengakses semua atau sebagian blok CIDR IPv6 dari VPCrekan.

Misalnya, menggunakan koneksi peering VPC yang sama (pcx-11223344556677889) di atas,asumsikan VPC-VPC tersebut memiliki informasi berikut:

291

Amazon Virtual Private Cloud Panduan PenggunaPerutean untuk ClassicLink

• VPC A: Blok CIDR IPv6 adalah 2001:db8:1234:1a00::/56• VPC B: Blok CIDR IPv6 adalah 2001:db8:5678:2b00::/56

Untuk mengaktifkan komunikasi IPv6 melalui koneksi peering VPC, tambahkan rute berikut ke tabel rutesubnet untuk VPC A.

Tujuan Target

10.0.0.0/16 Lokal

172.31.0.0/16 pcx-11223344556677889

2001:db8:5678:2b00::/56 pcx-11223344556677889

Tambahkan rute berikut ke tabel rute untuk VPC B.

Tujuan Target

172.31.0.0/16 Lokal

10.0.0.0/16 pcx-11223344556677889

2001:db8:1234:1a00::/56 pcx-11223344556677889

Untuk informasi selengkapnya tentang koneksi peering VPC, lihat Panduan Peering Amazon VPC.

Perutean untuk ClassicLinkClassicLink adalah fitur yang memungkinkan Anda menautkan instans EC2-Classic ke VPC, sehinggakomunikasi antar instans EC2-Classic dan instans-instans di VPC menggunakan alamat pribadi IPv4.Untuk informasi selengkapnya tentang ClassicLink, lihat ClassicLink (p. 279).

Bila Anda mengaktifkan VPC untuk ClassicLink, rute ditambahkan ke semua tabel rute subnet dengantujuan 10.0.0.0/8 dan target local. Hal ini memungkinkan komunikasi antar instans di VPC daninstans-instans EC2-Classic yang kemudian ditautkan ke VPC. Jika Anda menambahkan tabel rute yanglain ke VPC ClassicLink yang sudah diaktifkan, secara otomatis tabel rute menerima rute dengan tujuan10.0.0.0/8 dan target local. Jika Anda menonaktifkan ClassicLink untuk VPC, rute ini secara otomatisdihapus di semua tabel rute subnet.

Jika salah satu dari tabel rute subnet Anda memiliki rute yang ada untuk rentang alamat dalam CIDR10.0.0.0/8, Anda tidak dapat mengaktifkan VPC Anda untuk ClassicLink. Ini tidak termasuk rute lokaluntuk VPC dengan kisaran alamat IP 10.0.0.0/16 dan 10.1.0.0/16.

Jika Anda sudah mengaktifkan VPC untuk ClassicLink, Anda mungkin dapat menambahkan lebih banyakrute spesifik ke tabel rute Anda untuk kisaran alamat IP 10.0.0.0/8.

Jika Anda mengubah koneksi peering VPC untuk mengaktifkan komunikasi antara instans di VPC Andadan instans EC2-Classic yang tertaut ke VPC rekan, rute statis akan secara otomatis ditambahkan ke tabelrute Anda dengan tujuan 10.0.0.0/8 dan target local. Jika Anda mengubah koneksi mengintip VPCuntuk mengaktifkan komunikasi antara instans EC2-Classic lokal yang tertaut ke VPC Anda dan instansdi VPC rekan, Anda harus secara manual menambahkan sebuah rute ke tabel rute utama Anda dengantujuan dari blok CIDR VPC rekan, dan target dari koneksi peering VPC. Contoh EC2-Classic bergantungpada tabel rute utama untuk perutean ke VPC rekan. Untuk informasi selengkapnya, lihat Konfigurasidengan ClassicLink di Panduan Peering Amazon VPC.

292


https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations-classiclink.html


Amazon Virtual Private Cloud Panduan PenggunaPerutean ke VPC endpoint gateway

Perutean ke VPC endpoint gatewaySebuah VPC endpoint gateway memungkinkan Anda untuk membuat koneksi pribadi antara VPC Andadan layanan AWS lainnya. Ketika Anda membuat titik akhir gateway, Anda menentukan tabel rute subnet diVPC Anda yang digunakan oleh titik akhir gateway. Sebuah rute secara otomatis ditambahkan ke masing-masing tabel rute dengan tujuan yang menentukan ID layanan daftar prefiks (pl-xxxxxxxx), dan targetdengan ID titik akhir (vpce-xxxxxxxxxxxxxxxxx). Anda tidak dapat secara eksplisit menghapus ataumemodifikasi rute titik akhir, tetapi Anda dapat mengubah tabel rute yang digunakan oleh titik akhir.

Untuk informasi lebih lanjut tentang perutean untuk titik akhir, dan implikasi untuk rute ke layanan AWS,lihat Perutean untuk titik akhir gateway.

Perutean ke gateway internet egress-onlyAnda dapat membuat gateway internet egress-only untuk VPC Anda untuk mengaktifkan instans disubnet pribadi untuk mulai berkomunikasi outbound ke internet, tetapi mencegah internet untuk terhubungdengan instans. Gateway internet egress-only digunakan untuk lalu lintas IPv6 saja. Untuk mengonfigurasiperutean untuk gateway internet egress-only, tambahkan sebuah rute dalam tabel rute subnet pribadi yangmengarahkan lalu lintas internet IPv6 (::/0) ke gateway internet egress-only.

Tujuan Target

::/0 eigw-id

Untuk informasi lebih lanjut, lihat Gateway internet khusus jalan keluar (p. 216).

Perutean untuk Transit GatewayKetika Anda melampirkan sebuah VPC ke Transit Gateway, Anda perlu menambahkan rute ke tabel rutesubnet Anda agar lalu lintas dapat terarahkan melalui Transit Gateway.

Pertimbangkan skenario berikut di mana Anda memiliki tiga VPC yang dipasangkan ke Transit Gateway.Dalam skenario ini, semua lampiran dikaitkan dengan tabel rute transit gateway dan mempropagasi tabelrute transit gateway. Oleh karena itu, semua lampiran dapat mengarahkan paket satu sama lain, denganTransit Gateway yang berfungsi sebagai pusat IP 3 lapis sederhana.

Misalnya, Anda memiliki dua VPC, dengan informasi berikut:

• VPC A: 10.1.0.0/16, ID lampiran tgw-attach-11111111111111111• VPC B: 10.2.0.0/16, ID lampiran tgw-attach-22222222222222222

Untuk mengaktifkan lalu lintas antar VPC dan mengizinkan akses ke Transit Gateway, tabel rute VPC Adikonfigurasi sebagai berikut.

Tujuan Target

10.1.0.0/16 Lokal

10.0.0.0/8 tgw-id

Berikut ini adalah contoh entri tabel rute Transit Gateway untuk pelampiran VPC.

293

https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-routing

Amazon Virtual Private Cloud Panduan PenggunaPerutean untuk perangkat middlebox

Tujuan Target

10.1.0.0/16 tgw-attach-11111111111111111

10.2.0.0/16 tgw-attach-22222222222222222

Untuk informasi selengkapnya tabel rute Transit Gateway, lihat Perutean di Transit Gateway Amazon VPC.

Perutean untuk perangkat middleboxAnda dapat mencegat lalu lintas yang memasuki VPC Anda melalui gateway internet atau virtual privategateway dengan mengarahkannya ke perangkat middlebox di VPC Anda. Anda dapat mengonfigurasiperangkat menyesuaikan kebutuhan Anda. Misalnya, Anda dapat mengonfigurasi perangkat keamananyang menyaring semua lalu lintas, atau perangkat akselerasi WAN. Perangkat ini digunakan sebagaiinstans Amazon EC2 di subnet di VPC Anda, dan diwakili oleh antarmuka jaringan elastis (antarmukajaringan) di subnet Anda.

Untuk mengarahkan lalu lintas VPC inbound ke sebuah perangkat, Anda kaitkan sebuah tabel rute dengangateway internet atau virtual private gateway, dan tentukan antarmuka jaringan dari perangkat Andasebagai target untuk lalu lintas VPC. Untuk informasi lebih lanjut, lihat Tabel rute gateway (p. 286). Andajuga dapat mengarahkan lalu lintas outbound dari subnet Anda ke sebuah perangkat middlebox di subnetlain.

Note

Jika Anda telah mengaktifkan propagasi rute untuk tabel rute subnet tujuan, perhatikan prioritasrute. Kami memprioritaskan rute yang paling spesifik, dan jika rute cocok, kami memprioritaskanrute statis atas rute yang disebarkan. Tinjau rute Anda untuk memastikan lalu lintas diarahkandengan benar dan ada tidak ada konsekuensi yang tidak diinginkan jika Anda mengaktifkan ataumenonaktifkan propagasi rute (misalnya, propagasi rute diperlukan untuk koneksi AWS DirectConnect yang men-support frame jumbo).

Pertimbangan perangkatAnda dapat memilih perangkat pihak ketiga dari AWS Marketplace, atau Anda dapat mengonfigurasiperangkat Anda sendiri. Saat Anda membuat atau mengonfigurasi sebuah perangkat, perhatikan halberikut:

• Perangkat harus dikonfigurasi di subnet terpisah ke lalu lintas sumber atau tujuan.• Anda harus menonaktifkan pemeriksaan sumber/tujuan pada perangkat. Untuk informasi selengkapnya,

lihat Mengubah Pemeriksaan Sumber atau Tujuan di Panduan Pengguna Amazon EC2 untuk InstansLinux.

• Layanan chaining tidak di-support.• Anda tidak dapat mengarahkan lalu lintas antar host di subnet yang sama melalui sebuah perangkat.• Anda tidak dapat mengarahkan lalu lintas antar subnet melalui sebuah perangkat.• Alat tidak harus melakukan penerjemahan alamat jaringan (NAT).• Untuk mencegat lalu lintas IPv6, pastikan Anda mengkonfigurasi VPC, subnet, dan perangkat Anda

untuk IPv6. Untuk informasi lebih lanjut, lihat Bekerja dengan VPC dan subnet (p. 107). Gateway privatvirtual tidak men-support lalu lintas IPv6.

Konfigurasi perutean perangkatUntuk mengarahkan lalu lintas ke perangkat, buat tabel rute dan tambahkan rute yang mengarahkanlalu lintas yang dibuat untuk subnet menuju ke antarmuka jaringan alat. Rute ini lebih spesifik daripada

294

https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#tgw-routing-overview

http://aws.amazon.com/marketplace

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check

Amazon Virtual Private Cloud Panduan PenggunaPerutean untuk perangkat middlebox

rute lokal untuk tabel rute. Kaitkan tabel rute ini dengan gateway internet atau virtual private gatewayAnda. Tabel rute berikut mengarahkan lalu lintas IPv4 yang ditujukan untuk subnet ke antarmuka jaringanperangkat.

Tujuan Target

10.0.0.0/16 Lokal

10.0.1.0/24 ing-id

Sebagai gantinya, Anda dapat mengganti target untuk rute lokal dengan antarmuka jaringan perangkat.Anda mungkin melakukan ini untuk memastikan semua lalu lintas secara otomatis diarahkan ke perangkat,termasuk lalu lintas yang ditujukan untuk subnet yang Anda tambahkan ke VPC Anda di kemudian hari.

Tujuan Target

10.0.0.0/16 ing-id

Untuk mengarahkan lalu lintas dari subnet Anda ke perangkat di subnet lain, tambahkan rute ke tabel rutesubnet Anda yang mengarahkan lalu lintas ke antarmuka jaringan perangkat. Tujuan seharusnya tidaklebih spesifik dibandingkan tujuan untuk rute lokal. Misalnya, untuk lalu lintas yang ditujukan untuk internet,tentukan 0.0.0.0/0 (semua alamat IPv4) untuk tujuan tersebut.

Tujuan Target

10.0.0.0/16 Lokal

0.0.0.0/0 ing-id

Kemudian, pada tabel rute yang dikaitkan dengan subnet perangkat, tambahkan rute yang mengarahkanlalu lintas kembali ke gateway internet atau virtual private gateway.

Tujuan Target

10.0.0.0/16 Lokal

0.0.0.0/0 igw-id

Anda dapat menerapkan konfigurasi perutean yang sama untuk lalu lintas IPv6. Misalnya, pada tabel rutegateway Anda, Anda dapat mengganti target baik untuk rute lokal IPv4 maupun IPv6 dengan antarmukajaringan perangkat.

Tujuan Target

10.0.0.0/16 ing-id

2001:db8:1234:1a00::/56 ing-id

Dalam diagram berikut, perangkat firewall diinstal dan dikonfigurasi pada instans Amazon EC2 di subnetA di VPC Anda. Perangkat tersebut memeriksa semua lalu lintas yang memasuki dan meninggalkan

295

Amazon Virtual Private Cloud Panduan PenggunaPerutean menggunakan daftar prefiks

VPC melalui gateway internet. Tabel rute A dikaitkan dengan gateway internet. Lalu lintas yang ditujukanuntuk subnet B yang memasuki VPC melalui gateway internet diarahkan ke antarmuka jaringan perangkat(eni-11223344556677889). Semua lalu lintas yang meninggalkan subnet B juga diarahkan keantarmuka jaringan perangkat.

Contoh berikut memiliki setup yang sama seperti contoh sebelumnya, tetapi mencakup lalu lintas IPv6.Lalu lintas IPv6 yang ditujukan untuk subnet B yang memasuki VPC melalui gateway internet diarahkanke antarmuka jaringan perangkat (eni-11223344556677889). Semua lalu lintas (IPv4 dan IPv6) yangmeninggalkan subnet B juga diarahkan ke antarmuka jaringan perangkat.

Perutean menggunakan daftar prefiksJika Anda sering mereferensikan set blok CIDR yang sama di seluruh sumber daya AWS Anda, Andadapat membuat daftar prefiks yang dikelola pelanggan (p. 264) untuk mengelompokkan mereka bersama-sama. Anda kemudian dapat menentukan daftar prefiks sebagai tujuan dalam entri tabel rute Anda. Andakemudian dapat menambah atau menghapus entri di daftar prefiks tanpa perlu memperbarui tabel ruteAnda.

Misalnya, Anda memiliki Transit Gateway dengan beberapa lampiran VPC. VPC harus dapatberkomunikasi dengan dua lampiran VPC tertentu yang memiliki blok CIDR berikut:

• 10.0.0.0/16• 10.2.0.0/16

Anda buat daftar prefiks dengan kedua entri. Dalam tabel rute subnet Anda, Anda membuat rute danmenentukan daftar prefiks sebagai tujuan, dan Transit Gateway sebagai target.

Tujuan Target

172.31.0.0/16 Lokal

pl-123abc123abc123ab tgw-id

Jumlah entri maksimal untuk daftar prefiks sama dengan jumlah entri dalam tabel rute.

Perutean ke titik akhir Penyeimbang Beban GatewaySebuah Penyeimbang Beban Gateway memungkinkan Anda untuk mendistribusikan lalu lintas ke sebuaharmada perangkat virtual, seperti firewall. Anda dapat mengonfigurasi penyeimbang beban sebagailayanan dengan membuat konfigurasi layanan VPC endpoint. Anda kemudian membuat Titik akhirPenyeimbang Beban Gateway di VPC Anda untuk meng-connect VPC Anda ke layanan.

Untuk mengarahkan lalu lintas Anda ke Penyeimbang Beban Gateway (misalnya, untuk pemeriksaankeamanan), tentukan titik akhir Penyeimbang Beban Gateway sebagai target di tabel rute Anda.

Pada contoh berikut, armada perangkat keamanan dikonfigurasi di belakang Penyeimbang Beban Gatewaydi VPC keamanan. Layanan titik akhir dikonfigurasi untuk Penyeimbang Beban Gateway. Pemilik layananVPC konsumen menciptakan titik akhir Penyeimbang Beban Gateway di subnet 2 di VPC mereka (diwakilioleh antarmuka jaringan titik akhir). Semua lalu lintas yang masuk ke VPC melalui gateway internetpertama-tama diarahkan ke titik akhir Penyeimbang Beban Gateway untuk pemeriksaan di VPC keamanansebelum diarahkan ke subnet tujuan. Sama halnya, semua lalu lintas yang meninggalkan instans EC2 disubnet 1 akan diarahkan terlebih dahulu ke titik akhir Penyeimbang Beban Gateway untuk pemeriksaan diVPC keamanan sebelum diarahkan ke internet.

296

https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoint-services-gwlbe.html

https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway-load-balancer.html

https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway-load-balancer.html

Amazon Virtual Private Cloud Panduan PenggunaPerutean ke titik akhir Penyeimbang Beban Gateway

Anda mengkonfigurasi tabel rute berikut untuk VPC konsumen layanan.

Buat tabel rute gateway dan kaitkan dengan gateway internet. Tambahkan rute yang mengarahkan lalulintas yang ditujukan untuk subnet 1 ke titik akhir Penyeimbang Beban Gateway. Untuk menentukan titikakhir Penyeimbang Beban Gateway dalam tabel rute, gunakan ID pada VPC endpoint.

Tujuan Target

10.0.0.0/16 Lokal

10.0.1.0/24 vpc-endpoint-id

Untuk tabel rute untuk subnet 1, buat rute yang mengarahkan semua lalu lintas (0.0.0.0/0) ke titik akhirPenyeimbang Beban Gateway. Hal ini memastikan bahwa semua lalu lintas yang meninggalkan subnet(ditujukan ke internet) diarahkan terlebih dahulu ke titik akhir Penyeimbang Beban Gateway.

Tujuan Target

10.0.0.0/16 Lokal

0.0.0.0/0 titik akhir vpc

Untuk subnet 2, tabel rute mengarahkan lalu lintas yang kembali dari pemeriksaan ke tujuan akhirnya.Untuk lalu lintas yang berasal dari internet, rute lokal memastikan bahwa lalu lintas diarahkan ke tujuan di

297

Amazon Virtual Private Cloud Panduan PenggunaBekerja dengan tabel rute

subnet 1. Untuk lalu lintas yang berasal dari subnet 1, buatlah rute yang mengarahkan semua lalu lintas kegateway internet.

Tujuan Target

10.0.0.0/16 Lokal

0.0.0.0/0 igw-id

Untuk informasi selengkapnya tentang Penyeimbang Beban Gateway, lihat Penyeimbang Beban Gateway.

Bekerja dengan tabel ruteTugas-tugas berikut menunjukkan cara bekerja dengan tabel rute.

Note

Ketika Anda menggunakan wizard VPC di konsol untuk membuat VPC dengan gateway, wizardtersebut secara otomatis memperbarui tabel rute untuk menggunakan gateway. Jika Andamenggunakan alat baris perintah atau API untuk mengatur VPC Anda, Anda harus memperbaruitabel rute sendiri.

Tugas• Tentukan tabel rute untuk subnet (p. 298)• Tentukan subnet dan atau gateway manakah yang secara eksplisit dikaitkan dengan sebuah

tabel (p. 299)• Membuat tabel rute kustom (p. 299)• Tambahkan dan hapus rute dari tabel rute (p. 300)• Aktifkan atau nonaktifkan propagasi rute (p. 301)• Kaitkan subnet dengan tabel rute (p. 302)• Ubah tabel rute untuk subnet (p. 302)• Memutus pengaitan subnet dari tabel rute (p. 302)• Ganti tabel rute utama (p. 303)• Kaitkan gateway dengan tabel rute (p. 303)• Putuskan pengaitan gateway dari tabel rute (p. 304)• Mengganti atau memulihkan target untuk rute lokal (p. 304)• Hapus tabel rute (p. 305)

Tentukan tabel rute untuk subnetAnda dapat menentukan tabel rute mana yang dikaitkan dengan sebuah subnet dengan melihat rinciansubnet di konsol Amazon VPC.

Untuk menentukan tabel rute untuk subnet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet.3. Pilih tab Tabel rute untuk melihat ID tabel rute dan rute-rutenya. Jika itu adalah tabel rute utama,

konsol tersebut tidak akan memberitahukan apakah pengaitan yang ada adalah implisit atau eksplisit.

298



Amazon Virtual Private Cloud Panduan PenggunaTentukan subnet dan atau gateway manakah yang

secara eksplisit dikaitkan dengan sebuah tabel

Untuk menentukan apakah pengaitan tersebut ke tabel rute utama eksplisit, lihat Tentukan subnet danatau gateway manakah yang secara eksplisit dikaitkan dengan sebuah tabel (p. 299).

Tentukan subnet dan atau gateway manakah yangsecara eksplisit dikaitkan dengan sebuah tabelAnda dapat menentukan seberapa banyak dan manakah subnet atau gateway yang secara eksplisitdikaitkan dengan tabel rute.

Tabel rute utama dapat memiliki pengaitan subnet yang eksplisit dan implisit. Tabel rute kustom hanyamemiliki pengaitan yang eksplisit.

Subnet yang tidak dikaitkan secara eksplisit dengan tabel rute manapun memiliki pengaitan implisit dengantabel rute utama. Anda dapat secara eksplisit mengaitkan sebuah subnet dengan tabel rute utama. Sebagaicontoh apa alasan Anda mau mengaitkan itu, lihat Ganti tabel rute utama (p. 303).

Untuk menentukan subnet manakah yang secara eksplisit dikaitkan menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute.3. Lihat kolom Pengaitan subnet eksplisit untuk menentukan subnet yang dikaitkan secara eksplisit.4. Pilih tabel rute yang diperlukan.5. Pilih tab Pengaitan subnet di panel rincian. Subnet-subnet yang secara eksplisit dikaitkan dengan tabel

tercantum pada tab. Subnet manapun yang tidak dikaitkan dengan tabel rute apapun (dan yang secaraimplisit dikaitkan dengan tabel rute utama) juga tercantum.

Untuk menentukan gateway manakah yang secara eksplisit dikaitkan menggunakan konsoltersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute.3. Lihat kolom Pengaitan Edge untuk menentukan gateway yang dikaitkan.4. Pilih tabel rute yang diperlukan.5. Pilih tab Pengaitan Edge di panel rincian. Gateway yang dikaitkan dengan tabel rute telah tercantum.

Untuk menggambarkan satu atau lebih tabel rute dan melihat kemana pengaitannya denganmenggunakan baris perintah

• describe-route-tables (AWS CLI)• Get-EC2RouteTable (AWS Tools for Windows PowerShell)

Membuat tabel rute kustomAnda dapat membuat tabel rute kustom untuk VPC Anda menggunakan konsol Amazon VPC.

Untuk membuat tabel rute kustom menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute.

299



https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2RouteTable.html


Amazon Virtual Private Cloud Panduan PenggunaTambahkan dan hapus rute dari tabel rute

3. Pilih Buat tabel rute.4. (Opsional) Untuk Tag nama, masukkan nama untuk tabel rute Anda.5. Untuk VPC, pilih VPC Anda.6. (Opsional) Tambahkan atau hapus tag.

[Tambahkan tag] Pilih Tambah tag dan lakukan hal berikut:


[Hapus tag] Pilih tombol Hapus ("X") di sebelah kanan Kunci dan Nilai tag.7. Pilih Buat.

Untuk membuat tabel rute kustom menggunakan baris perintah

• create-route-table (AWS CLI)• New-EC2RouteTable (AWS Tools for Windows PowerShell)

Tambahkan dan hapus rute dari tabel ruteAnda dapat menambahkan, menghapus, dan memodifikasi rute dalam tabel rute Anda. Anda hanya dapatmemodifikasi rute yang telah Anda tambahkan.

Untuk informasi selengkapnya tentang bekerja dengan rute statis untuk koneksi Site-to-Site VPN, lihatMenyunting Rute Statis untuk Koneksi Site-to-Site VPN di Panduan Pengguna AWS Site-to-Site VPN.

Untuk mengubah atau menambahkan rute ke tabel rute menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel rute, dan pilih tabel rute.3. Pilih Tindakan, Sunting rute.4. Untuk menambahkan rute, pilih Tambah rute. Untuk Tujuan masukkan blok CIDR tujuan, alamat IP

tunggal, atau ID dari daftar prefiks.5. Untuk mengubah rute yang ada, untuk Tujuan, ganti blok CIDR tujuan atau alamat IP tunggal. Untuk

Target, pilih target.6. Pilih Simpan rute.

Untuk menambahkan sebuah rute ke tabel rute menggunakan baris perintah

• create-route (AWS CLI)• New-EC2Route (AWS Tools for Windows PowerShell)

Note

Jika Anda menambahkan rute menggunakan alat baris perintah atau API, blok CIDR tujuan secaraotomatis berubah ke bentuk kanonisnya. Misalnya, jika Anda menentukan 100.68.0.18/18untuk blok CIDR, kami membuat sebuah rute dengan blok CIDR tujuan 100.68.0.0/18.

Untuk mengganti rute yang ada di tabel rute menggunakan baris perintah

• replace-route (AWS CLI)

300

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2RouteTable.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html#vpn-edit-static-routes


https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html

Amazon Virtual Private Cloud Panduan PenggunaAktifkan atau nonaktifkan propagasi rute

• Set-EC2Route (AWS Tools for Windows PowerShell)

Untuk menghapus sebuah rute dari tabel rute menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel rute, dan pilih tabel rute.3. Pilih Tindakan, Sunting rute.4. Pilih tombol hapus (x) di sebelah kanan rute yang ingin Anda hapus.5. Pilih Simpan jika sudah selesai.

Untuk menghapus sebuah rute dari tabel rute menggunakan baris perintah

• delete-route (AWS CLI)• Remove-EC2Route (AWS Tools for Windows PowerShell)

Aktifkan atau nonaktifkan propagasi rutePropagasi rute mengizinkan virtual private gateway untuk secara otomatis menyebarkan rute ke tabel rute.Ini berarti bahwa Anda tidak perlu secara manual memasukkan rute VPN ke tabel rute Anda. Anda dapatmengaktifkan atau menonaktifkan propagasi rute.

Untuk menyelesaikan proses ini, Anda harus memiliki virtual private gateway.

Untuk informasi selengkapnya tentang opsi perutean VPN, lihat Opsi perutean Site-to-Site VPN di PanduanPengguna Site-to-Site VPN.

Untuk mengaktifkan propagasi rute menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel rute, dan kemudian pilih tabel rute.3. Pilih Tindakan, Sunting propagasi rute.4. Pilih Aktifkan kotak centang di samping virtual private gateway, dan kemudian pilih Simpan.

Untuk mengaktifkan propagasi rute menggunakan baris perintah

• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

Untuk menonaktifkan propagasi rute menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel rute, dan kemudian pilih tabel rute.3. Pilih Tindakan, Sunting propagasi rute.4. Hapus kotak centang Propagasi, dan kemudian pilih Simpan.

Untuk menonaktifkan propagasi rute menggunakan baris perintah

• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

301

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2Route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Route.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2VgwRoutePropagation.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-vgw-route-propagation.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2VgwRoutePropagation.html

Amazon Virtual Private Cloud Panduan PenggunaKaitkan subnet dengan tabel rute

Kaitkan subnet dengan tabel ruteAgar tabel rute mengarah ke subnet khusus, Anda harus mengaitkan tabel rute dengan subnet. Sebuahtabel rute dapat dikaitkan dengan beberapa subnet. Namun, subnet hanya dapat dikaitkan dengan satutabel rute pada satu waktu. Setiap subnet tidak secara eksplisit dikaitkan dengan tabel yang secara implisitdikaitkan dengan tabel rute utama secara default.

Untuk mengaitkan tabel rute dengan subnet menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel rute, dan kemudian pilih tabel rute.3. Pada tab Pengaitan subnet, pilih Sunting pengaitan subnet.4. Pilih kotak centang untuk subnet untuk mengaitkan dengan tabel rute, dan kemudian pilih Simpan

pengaitan.

Untuk mengaitkan subnet dengan tabel rute menggunakan baris perintah

• associate-route-table (AWS CLI)• Register-EC2RouteTable (AWS Tools for Windows PowerShell)

Ubah tabel rute untuk subnetAnda dapat mengubah pengaitan tabel rute untuk subnet.

Ketika Anda mengubah tabel rute, koneksi yang ada di subnet ditiadakan kecuali tabel rute yang baruberisikan rute untuk lalu lintas yang sama dengan target yang sama.

Untuk mengubah pengaitan tabel rute subnet menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Subnet, lalu pilih subnet.3. Di tab Tabel rute, pilih Sunting pengaitan tabel rute.4. Dari daftar ID Tabel Rute, pilih tabel rute baru yang berfungsi untuk mengaitkan subnet, dan kemudian

pilih Simpan.

Untuk mengubah tabel rute yang dikaitkan dengan subnet menggunakan baris perintah

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (AWS Tools for Windows PowerShell)

Memutus pengaitan subnet dari tabel ruteAnda dapat memutus pengaitan subnet dari tabel rute. Sebelum Anda mengaitkan subnet dengan tabelrute lain, subnet secara implisit terkait dengan tabel rute utama.

Untuk memutus pengaitan subnet dari tabel rute menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel rute, dan kemudian pilih tabel rute.3. Di tab Pengaitan subnet, pilih Sunting pengaitan subnet.4. Kosongkan kotak centang untuk subnet, dan kemudian pilih Simpan pengaitan.

302


https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html


Amazon Virtual Private Cloud Panduan PenggunaGanti tabel rute utama

Untuk memutuskan pengaitan subnet dari tabel rute menggunakan baris perintah

• disassociate-route-table (AWS CLI)• Unregister-EC2routeTable (AWS Tools for Windows PowerShell)

Ganti tabel rute utamaAnda dapat mengubah tabel rute mana yang menjadi tabel rute utama di VPC Anda.

Untuk mengganti tabel rute utama menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute.3. Pilih tabel rute subnet yang seharusnya menjadi tabel rute utama yang baru, dan kemudian pilih

Tindakan, Atur tabel rute utama.4. Di kotak dialog konfirmasi, pilih Oke.

Untuk mengganti tabel rute utama menggunakan baris perintah

• replace-route-table-association (AWS CLI)• Set-EC2RouteTableAssociation (AWS Tools for Windows PowerShell)

Prosedur berikut ini menjelaskan cara menghapus pengaitan eksplisit antara subnet dan tabel rute utama.Hasilnya adalah pengaitan implisit antara subnet dan tabel rute utama. Proses ini sama dengan memutuspengaitan subnet apapun dari setiap tabel rute.

Untuk menghapus pengaitan eksplisit dengan tabel rute utama

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute, dan kemudian pilih tabel rute.3. Di tab Subnet association, pilih Sunting pengaitan subnet.4. Pilih subnet, dan kemudian pilih Simpan.

Kaitkan gateway dengan tabel ruteAnda dapat mengaitkan gateway internet atau virtual private gateway dengan tabel rute. Untuk informasilebih lanjut, lihat Tabel rute gateway (p. 286).

Untuk mengaitkan gateway dengan tabel rute menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute, dan kemudian pilih tabel rute.3. Pilih Tindakan, Sunting Pengaitan Edge.4. Pilih gateway, dan kemudian pilih Simpan.

Untuk mengaitkan gateway dengan tabel rute menggunakan AWS CLI

Gunakan perintah associate-route-table. Contoh berikut mengaitkan gateway internetigw-11aa22bb33cc44dd1 dengan tabel rute rtb-01234567890123456.

303

https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route-table-association.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2RouteTableAssociation.html



https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-route-table.html

Amazon Virtual Private Cloud Panduan PenggunaPutuskan pengaitan gateway dari tabel rute

aws ec2 associate-route-table --route-table-id rtb-01234567890123456 --gateway-id igw-11aa22bb33cc44dd1

Putuskan pengaitan gateway dari tabel ruteAnda dapat memutus pengaitan gateway internet atau virtual private gateway dari tabel rute.

Untuk mengaitkan gateway dengan tabel rute menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute, dan kemudian pilih tabel rute.3. Pilih Tindakan, Sunting Pengaitan Edge.4. Pilih gateway yang ingin Anda putus pengaitannya.5. Pilih Simpan.

Untuk memutus pengaitan gateway dari tabel rute menggunakan baris perintah

• disassociate-route-table (AWS CLI)• Unregister-EC2RouteTable (AWS Tools for Windows PowerShell)

Mengganti atau memulihkan target untuk rute lokalAnda dapat mengubah target dari rute lokal default di Tabel rute gateway (p. 286) dan tentukanantarmuka jaringan atau instans di VPC yang sama sebagai target. Jika Anda mengganti target rute lokal,Anda kemudian dapat mengembalikannya ke target local default. Jika VPC Anda memiliki beberapa blokCIDR (p. 102), tabel rute Anda memiliki beberapa rute lokal—satu per blok CIDR. Anda dapat menggantiatau mengembalikan target dari masing-masing rute lokal sesuai kebutuhan.

Anda tidak dapat mengganti target untuk rute lokal dalam tabel rute subnet.

Untuk mengganti target untuk rute lokal menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute, dan kemudian pilih tabel rute.3. Pilih Tindakan, Sunting rute.4. Untuk Target, pilih Antarmuka Jaringan untuk menampilkan daftar antarmuka jaringan, dan memilih

antarmuka jaringan.

Atau, pilih Instans untuk menampilkan daftar instans, dan pilih instans.5. Pilih Simpan rute.

Untuk memulihkan target untuk rute lokal menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute, dan kemudian pilih tabel rute.3. Pilih Tindakan, Sunting rute.4. Untuk Target, pilih lokal.5. Pilih Simpan rute.

Untuk mengganti target untuk rute lokal menggunakan AWS CLI

304


https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2RouteTable.html



Amazon Virtual Private Cloud Panduan PenggunaHapus tabel rute

Gunakan perintah replace-route. Contoh berikut menggantikan target rute lokal denganeni-11223344556677889.

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --network-interface-id eni-11223344556677889

Untuk memulihkan target untuk rute lokal menggunakan AWS CLI

Contoh berikut memulihkan target lokal untuk tabel rute rtb-01234567890123456.

aws ec2 replace-route --route-table-id rtb-01234567890123456 --destination-cidr-block 10.0.0.0/16 --local-target

Hapus tabel ruteAnda dapat menghapus tabel rute hanya jika tidak ada subnet yang dikaitkan dengannya. Anda tidak dapatmenghapus tabel rute utama.

Untuk menghapus tabel rute menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih Tabel Rute.3. Pilih tabel rute, dan kemudian pilih Tindakan, Hapus Tabel Rute.4. Di kotak dialog konfirmasi, pilih Hapus Tabel Rute.

Untuk menghapus tabel rute menggunakan baris perintah

• delete-route-table (AWS CLI)• Remove-EC2RouteTable (AWS Tools for Windows PowerShell)

305

https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-route.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-route-table.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2RouteTable.html


Peering VPCSuatu koneksi peering VPC adalah koneksi jaringan antara dua VPC yang memungkinkan Anda merutekanlalu lintas di antara keduanya secara privat. Instans pada salah satu VPC dapat berkomunikasi denganyang lainnya seolah-olah keduanya ada di jaringan yang sama. Anda dapat membuat koneksi peeringVPC antara VPC Anda sendiri, dengan VPC di akun AWS lain, atau dengan VPC di Wilayah AWS yangberbeda.

AWS menggunakan infrastruktur yang ada dari suatu VPC untuk membuat koneksi peering VPC; yangbukan suatu gateway atau koneksi AWS Site-to-Site VPN, dan tidak bergantung pada bagian terpisah darihardware fisik. Tidak ada satu titik kegagalan untuk komunikasi atau kemacetan bandwidth.

Untuk informasi lebih lanjut tentang bekerja dengan koneksi peering VPC, dan contoh skenario di manaAnda dapat menggunakan koneksi peering VPC, lihat Panduan Peering Amazon VPC.

306


Amazon Virtual Private Cloud Panduan PenggunaDasar-dasar log alur

Log Alur VPCLog Alur VPC adlaah fitur yang membuat Anda dapat menangkap informasi tentang lalu lintas IP yang pergike dan dari antarmuka jaringan. Data log alur dapat diterbitkan ke Amazon CloudWatch Logs dan AmazonS3. Setelah Anda membuat log alur, Anda dapat mengambil dan melihat data-nya di tujuan yang dipilih.

Log alur dapat membantu Anda dengan sejumlah tugas, seperti:

• Mendiagnosis aturan grup keamanan yang terlalu ketat• Memantau lalu lintas yang mencapai instans Anda• Menentukan arah lalu lintas ke dan dari antarmuka jaringan

Data log alur dikumpulkan di luar jalur lalu lintas jaringan Anda, dan oleh karena itu tidak mempengaruhithroughput atau latensi jaringan. Anda dapat membuat atau menghapus log alur tanpa risiko dampakterhadap kinerja jaringan.

Daftar Isi• Dasar-dasar log alur (p. 307)• Catatan log alur (p. 309)• Contoh catatan log alur (p. 312)• Batasan log alur (p. 317)• Penentuan harga log alur (p. 318)• Penerbitan log alur ke CloudWatch Logs (p. 318)• Terbitkan log alur ke Amazon S3 (p. 322)• Bekerja dengan log alur (p. 327)• Log alur kueri menggunakan Amazon Athena (p. 331)• Mengatasi masalah Log Alur VPC (p. 334)

Dasar-dasar log alurAnda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan. Jika Anda membuat log aluruntuk subnet atau VPC, setiap antarmuka jaringan di subnet atau VPC dipantau.

Data log alur untuk antarmuka jaringan yang dipantau dicatat sebagai Catatan log alur, yang merupakanlog acara yang terdiri dari bidang yang menggambarkan aliran lalu lintas. Untuk informasi lebih lanjut, lihatCatatan log alur (p. 309).

Untuk membuat log alur, Anda menentukan:

• Sumber daya untuk membuat log alur• Jenis lalu lintas untuk menangkap (lalu lintas yang diterima, lalu lintas yang ditolak, atau semua lalu

lintas)• Tujuan publikasi data log alur Anda

Dalam contoh berikut, Anda membuat log alur (fl-aaa) yang menangkap lalu lintas diterima untukantarmuka jaringan untuk instans A1 dan menerbitkan catatan log alur ke bucket Amazon S3. Andamembuat log alur kedua yang menangkap semua lalu lintas untuk subnet B dan menerbitkan catatan log

307

Amazon Virtual Private Cloud Panduan PenggunaDasar-dasar log alur

alur ke Amazon CloudWatch Logs. Log alur (fl-bbb) menangkap lalu lintas untuk semua antarmukajaringan di subnet B. tidak ada log alur yang menangkap lalu lintas untuk antarmuka jaringan instans A2.

Setelah membuat log alur, perlu beberapa menit untuk mulai mengumpulkan dan menerbitkan data ketujuan yang dipilih. Log alur tidak menangkap pengaliran log waktu nyata untuk antarmuka jaringan Anda.Untuk informasi lebih lanjut, lihat Membuat log alur (p. 328).

Jika Anda meluncurkan lebih banyak instans ke subnet Anda setelah membuat log alur untuk subnetatau VPC, pengaliran log baru (untuk CloudWatch Logs) atau objek file berkas log (untuk Amazon S3)dibuat untuk setiap antarmuka jaringan baru. Hal ini terjadi segera setelah lalu lintas jaringan dicatat untukantarmuka jaringan.

Anda dapat membuat log alur untuk antarmuka jaringan yang dibuat oleh layanan AWS lainnya, seperti:

• Elastic Load Balancing• Amazon RDS• Amazon ElastiCache• Amazon Redshift• Amazon WorkSpaces• Gateway NAT• Transit gateway

Terlepas dari jenis antarmuka jaringan, Anda harus menggunakan konsol Amazon EC2 atau Amazon EC2API untuk membuat log alur untuk antarmuka jaringan.

Anda dapat memberikan tag ke log alur Anda. Setiap tanda terdiri dari sebuah kunci dan sebuah nilaiopsional, yang keduanya Anda tentukan. Tag dapat membantu Anda mengatur log alur, misalnyaberdasarkan tujuan atau pemilik.

Jika Anda tidak lagi membutuhkan log alur, Anda dapat menghapusnya. Menghapus log alurmenonaktifkan layanan log alur untuk sumber daya, dan tidak ada catatan log alur baru yang dibuat atauditerbitkan ke CloudWatch Logs atau Amazon S3. Menghapus log alur tidak menghapus catatan log aluryang ada atau pengaliran log (untuk CloudWatch Logs) atau objek file berkas log (untuk Amazon S3)untuk antarmuka jaringan. Untuk menghapus pengaliran log yang ada, gunakan konsol CloudWatch Logs.Untuk menghapus objek file berkas log yang ada, gunakan konsol Amazon S3. Setelah Anda menghapus

308

Amazon Virtual Private Cloud Panduan PenggunaCatatan log alur

log alur, perlu beberapa menit untuk menghentikan pengumpulan data. Untuk informasi lebih lanjut, lihatMenghapus log alur (p. 330).

Catatan log alurCatatan log alur mewakili aliran jaringan di VPC Anda. Secara default, setiap catatan menangkap aliran lalulintas jaringan internet protocol (IP) (ditandai dengan 5-tuple per antarmuka jaringan) yang terjadi dalaminterval agregasi, juga disebut sebagai window pengambilan.

Setiap catatan adalah string dengan bidang yang dipisahkan oleh spasi. Sebuah catatan termasuk nilai-nilai untuk komponen yang berbeda dari aliran IP, misalnya, sumber, tujuan, dan protokol.

Ketika Anda membuat log alur, Anda dapat menggunakan format default untuk catatan log alur, atau Andadapat menentukan format kustom.

Daftar Isi• Interval agregasi (p. 309)• Format default (p. 309)• Format kustom (p. 309)• Bidang yang tersedia (p. 310)

Interval agregasiInterval agregasi adalah periode waktu di mana aliran tertentu ditangkap dan dikumpulkan ke dalamcatatan log alur. Secara default, interval agregasi maksimum adalah 10 menit. Ketika Anda membuat logalur, Anda dapat menentukan interval agregasi maksimum 1 menit. Log alur dengan interval agregasimaksimum 1 menit menghasilkan volume catatan log alur yang lebih tinggi daripada log alur denganinterval agregasi maksimum 10 menit.

Ketika antarmuka jaringan terpasang ke instans berbasis Nitro, interval agregasi selalu 1 menit ataukurang, terlepas dari interval agregasi maksimum yang ditentukan.

Setelah data diambil dalam interval agregasi, dibutuhkan waktu tambahan untuk memproses danmenerbitkan data ke CloudWatch Logs atau Amazon S3. Layanan log alur biasanya mengirimkan logke CloudWatch Logs dalam waktu sekitar 5 menit dan ke Amazon S3 dalam waktu sekitar 10 menit.Namun, pengiriman log dilakukan berdasarkan upaya terbaik, dan log Anda mungkin tertunda di luar waktupengiriman khas.

Format defaultDengan format default, catatan log alur termasuk bidang versi 2, dalam urutan yang ditunjukkan dalamtabel bidang yang tersedia (p. 310). Anda tidak dapat menyesuaikan atau mengubah format default.Untuk menangkap bidang tambahan atau subset bidang yang berbeda, tentukan format kustom sebagaigantinya.

Format kustomDengan format kustom, Anda menentukan bidang yang disertakan dalam catatan log alur dan urutannya.Hal ini mengizinkan Anda untuk membuat log alur yang kustom untuk kebutuhan Anda dan untukmenghilangkan bidang yang tidak relevan. Menggunakan format kustom dapat mengurangi kebutuhanuntuk proses terpisah untuk mengekstrak informasi spesifik dari log alur yang diterbitkan. Anda dapatmenentukan berapa pun bidang log alur yang tersedia, tetapi Anda harus menentukan setidaknya satubidang log alur.

309

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances

Amazon Virtual Private Cloud Panduan PenggunaBidang yang tersedia

Bidang yang tersediaTabel berikut menjelaskan semua bidang yang tersedia untuk catatan log alur. Kolom Versi menunjukkanversi Log Alur VPC di mana bidang diperkenalkan. Format default mencakup 2 bidang semua versi, dalamurutan yang sama sebagaimana yang tercantum di tabel.

Jika suatu bidang tidak berlaku atau tidak dapat dihitung untuk catatan tertentu, catatan akan menampilkansimbol '-' untuk entri tersebut. Bidang metadata yang tidak datang langsung dari header paket merupakanperkiraan upaya terbaik, dan nilai-nilainya mungkin meleset atau tidak akurat.

Bidang Deskripsi Versi

version Versi Log Alur VPC. Jika Anda menggunakan format default, versinyaadalah 2. Jika Anda menggunakan format kustom, versinya adalahversi tertinggi di antara bidang yang ditentukan. Misalnya, jika Andamenentukan hanya bidang dari versi 2, maka versinya adalah 2. JikaAnda menentukan campuran bidang dari versi 2, 3, dan 4, makaversinya adalah 4.

2

account-id ID akun AWS pemilik antarmuka jaringan sumber yang lalu lintasnyadicatat. Jika antarmuka jaringan dibuat oleh layanan AWS, misalnya saatmembuat VPC endpoint atau Penyeimbang Beban Jaringan, catatandapat saja menampilkan unknown untuk bidang ini.

2

interface-id ID antarmuka jaringan yang lalu lintasnya dicatat. 2

srcaddr Alamat sumber untuk lalu lintas masuk, atau alamat IPv4 atau IPv6dari antarmuka jaringan untuk lalu lintas keluar pada antarmukajaringan. Alamat IPv4 antarmuka jaringan selalu merupakan alamat IPv4privatnya. Lihat juga pkt-srcaddr.

2

dstaddr Alamat tujuan untuk lalu lintas keluar, atau alamat IPv4 atau IPv6dari antarmuka jaringan untuk lalu lintas masuk pada antarmukajaringan. Alamat IPv4 antarmuka jaringan selalu merupakan alamat IPv4privatnya. Lihat juga pkt-dstaddr.

2

srcport Port sumber lalu lintas. 2

dstport Port tujuan lalu lintas. 2

protocol Nomor protokol IANA lalu lintas. Untuk informasi selengkapnya, lihat Nomor Protokol Internet yang Ditugaskan.

2

packets Jumlah paket yang ditransfer selama aliran. 2

bytes Jumlah byte yang ditransfer selama aliran. 2

start Waktu, dalam detik Unix, ketika paket pertama aliran diterimadalam interval agregasi. Ini mungkin sampai 60 detik setelah paketditransmisikan atau diterima pada antarmuka jaringan.

2

end Waktu, dalam detik Unix, ketika paket terakhir dari aliran diterimadalam interval agregasi. Ini mungkin sampai 60 detik setelah paketditransmisikan atau diterima pada antarmuka jaringan.

2

action Tindakan yang terkait dengan lalu lintas:

• ACCEPT — Lalu lintas yang dicatat diizinkan oleh grup keamanan danACL jaringan.

2

310



Amazon Virtual Private Cloud Panduan PenggunaBidang yang tersedia

Bidang Deskripsi Versi• REJECT — lalu lintas yang dicatat tidak diizinkan oleh grup keamanan

atau ACL jaringan.

log-status Status pencatatan log alur:

• OK — Data log secara normal ke tujuan yang dipilih.• NODATA — Tidak ada lalu lintas jaringan ke atau dari antarmuka

jaringan selama interval agregasi.• SKIPDATA — Beberapa catatan log alur dilewati selama interval

agregasi. Ini mungkin karena kendala kapasitas internal, ataukesalahan internal.

2

vpc-id ID VPC yang berisi antarmuka jaringan yang lalu lintasnya dicatat. 3

subnet-id ID subnet yang berisi antarmuka jaringan yang lalu lintasnya dicatat. 3

instance-id ID instans yang terkait dengan antarmuka jaringan yang lalu lintasnyadicatat, jika instans dimiliki oleh Anda. Mengembalikan simbol '-' untukAntarmuka jaringan yang dikelola peminta; sebagai contoh, antaramukauntuk NAT gateway.

3

tcp-flags Nilai bitmask untuk bendera TCP berikut:

• SYN — 2• SYN-ACK — 18• FIN — 1• RST — 4

ACK dilaporkan hanya ketika disertai dengan SYN.

Bendera TCP dapat OR-ed selama interval agregasi. Untuk koneksipendek, bendera mungkin diatur pada baris yang sama dalam catatanlog alur, misalnya, 19 untuk SYN-ACK dan FIN, dan 3 untuk SYN danFIN. Sebagai contoh, lihat Urutan bendera TCP (p. 314).

3

type Jenis lalu lintas. Nilai yang mungkin adalah: IPv4, IPv6, dan EFA. Untukinformasi selengkapnya tentang Elastic Fabric Adapter (EFA), lihatElastic Fabric Adapter.

3

pkt-srcaddr Alamat IP sumber tingkat paket (asli) lalu lintas. Gunakan bidang inidengan bidang srcaddr untuk membedakan antara alamat IP dari lapisanmenengah yang dilalui alairan lalu lintas, dan alamat IP sumber asal darilalu lintas. Misalnya, saat lalu lintas mengalir melalui antarmuka jaringanNAT gateway (p. 315), atau di mana alamat IP dari pod di AmazonEKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instansdi mana pod berjalan (untuk komunikasi dalam VPC).

3

pkt-dstaddr Alamat IP tujuan tingkat paket (asli) untuk lalu lintas. Gunakan bidang inidengan bidang dstaddr untuk membedakan antara alamat IP dari lapisanmenengah yang dilalui alairan lalu lintas, dan alamat IP tujuan akhir darilalu lintas. Misalnya, saat lalu lintas mengalir antaramuka jaringan untukNAT gateway (p. 315), atau di mana alamat IP dari pod di AmazonEKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instansdi mana pod berjalan (untuk komunikasi dalam VPC).

3

311

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html

Amazon Virtual Private Cloud Panduan PenggunaContoh catatan log alur

Bidang Deskripsi Versi

region Wilayah yang berisi antarmuka jaringan yang lalu lintasnya dicatat. 4

az-id ID dari Availability Zone yang berisi antarmuka jaringan yang lalulintasnya dicatat. Jika lalu lintas berasal dari sublokasi, catatan akanmenampilkan simbol '-' untuk bidang ini.

4

sublocation-type Jenis sublokasi yang dikembalikan dalam bidang sublocation-id. Nilaiyang mungkin adalah: wavelength | outpost | localzone. Jika lalu lintasbukan dari sublokasi, catatan menampilkan simbol '-' untuk bidang ini.

4

sublocation-id ID sublokasi yang berisi antarmuka jaringan yang lalu lintasnya dicatat.Jika lalu lintas bukan dari sublokasi, catatan menampilkan simbol '-'untuk bidang ini.

4

pkt-src-aws-service

Nama subset dari Rentang alamat IP untuk bidang pkt-srcaddr ,jikaalamat IP sumber adalah untuk layanan AWS. Nilai yang mungkinadalah: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT |API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR| CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EC2| EC2_INSTANCE_CONNECT | GLOBALACCELERATOR |KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS| S3 | WORKSPACES_GATEWAYS.

5

pkt-dst-aws-service

Nama subset dari rentang alamat IP untuk bidang pkt-dstaddr ,jikaalamat IP tujuan adalah untuk layanan AWS. Untuk daftar kemungkinannilai, lihat bidang pkt-src-aws-service.

5

flow-direction Arah aliran sehubungan dengan antarmuka di mana lalu lintas ditangkap.Kemungkinan nilai adalah: ingress | egress.

5

traffic-path Jalan yang dilalui lalu lintas egress untuk ke tujuan. Untuk menentukanapakah lalu lintas merupakan lalu lintas keluar, periksa bidang flow-direction. Kemungkinan nilainya adalah sebagai berikut. Jika tidak adanilai yang berlaku, bidang diatur ke -.

• 1 — Melalui sumber daya lain di VPC yang sama• 2 — Melalui gateway internet atau gateway VPC endpoint• 3 — Melalui virtual private gateway• 4 — Melalui koneksi peering VPC dalam wilayah• 5 — Melalui koneksi peering VPC antar wilayah• 6 — Melalui gateway lokal• 7 — Melalui VPC endpoint gateway (instans berbasis Nitro saja)• 8 — Melalui gateway internet (instans berbasis Nitro saja)

5

Contoh catatan log alurBerikut ini adalah contoh catatan log alur yang menangkap arus lalu lintas tertentu.

Untuk informasi selengkapnya tentang format pencatatan log alur, lihat Catatan log alur (p. 309). Untukinformasi tentang cara membuat log alur, lihat Bekerja dengan log alur (p. 327).

Daftar Isi• Lalu lintas yang diterima dan ditolak (p. 313)

312

http://aws.amazon.com/wavelength/

https://docs.aws.amazon.com/outposts/latest/userguide/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-local-zones

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

Amazon Virtual Private Cloud Panduan PenggunaLalu lintas yang diterima dan ditolak

• Tidak ada data dan catatan yang dilewati (p. 313)• Aturan grup keamanan dan ACL jaringan (p. 313)• Lalu lintas IPv6 (p. 314)• Urutan bendera TCP (p. 314)• Lalu lintas melalui gateway NAT (p. 315)• Lalu lintas melalui transit gateway (p. 316)• Nama layanan, jalur lalu lintas, dan arah aliran (p. 316)

Lalu lintas yang diterima dan ditolakBerikut ini adalah contoh catatan log alur default.

Dalam contoh ini, lalu lintas SSH (port tujuan 22, protokol TCP) ke antarmuka jaringaneni-1235b8ca123456789 di akun 123456789010 diizinkan.

2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK

Dalam contoh ini, lalu lintas RDP (port tujuan 3389, protokol TCP) untuk antarmuka jaringaneni-1235b8ca123456789 di akun 123456789010 ditolak.

2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK

Tidak ada data dan catatan yang dilewatiBerikut ini adalah contoh catatan log alur default.

Dalam contoh ini, tidak ada data yang dicatat selama interval agregasi.

2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA

Dalam contoh ini, catatan dilewati selama interval agregasi.

2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA

Aturan grup keamanan dan ACL jaringanJika Anda menggunakan log alur untuk mendiagnosis aturan grup keamanan yang terlalu ketat ataulonggar atau aturan ACL jaringan, perhatikan tingkat stateful sumber daya ini. Grup keamanan bersifatstateful - ini berarti bahwa respon untuk ke lalu lintas yang diizinkan juga diizinkan, bahkan jika aturandalam grup keamanan Anda tidak mengizinkannya. Sebaliknya, ACL jaringan bersifat stateless, olehkarena itu respon terhadap lalu lintas yang diizinkan tunduk pada aturan ACL jaringan.

Misalnya, Anda menggunakan perintah ping dari komputer rumah Anda (alamat IP adalah 203.0.113.12) keinstans Anda (alamat IP privat antarmuka jaringan adalah 172.31.16.139). Aturan masuk grup keamananmengizinkan lalu lintas ICMP tetapi aturan keluar tidak mengizinkan lalu lintas ICMP. Karena grupkeamanan bersifat stateful, ping respon dari instans Anda diizinkan. ACL jaringan Anda mengizinkan lalulintas ICMP masuk tetapi tidak mengizinkan lalu lintas ICMP keluar. Karena ACL jaringan bersifat stateless,ping respon dijatuhkan dan tidak mencapai komputer rumah Anda. Dalam log alur default, ini ditampilkansebagai dua catatan log alur:

313

Amazon Virtual Private Cloud Panduan PenggunaLalu lintas IPv6

• Catatan ACCEPT untuk ping asal yang diizinkan oleh ACL jaringan dan grup keamanan, dan oleh karenaitu diizinkan untuk mencapai instans Anda.

• Catatan REJECT untuk ping respon yang ditolak ACL jaringan.

2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK

2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK

Jika ACL jaringan Anda mengizinkan lalu lintas ICMP keluar, log alur menampilkan dua catatan ACCEPT(satu untuk ping asal dan satu untuk ping respon). Jika grup keamanan Anda menolak lalu lintas ICMPmasuk, log alur menampilkan catatan REJECT, karena lalu lintas tidak diizinkan untuk mencapai instansAnda.

Lalu lintas IPv6Berikut ini adalah contoh catatan log alur default. Dalam contoh, lalu lintas SSH (port 22) dari alamatIPv6 2001:db8:1234:a100:8d6e:3477:df66:f105 ke antarmuka jaringan eni-1235b8ca123456789 di akun123456789010 diizinkan.

2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK

Urutan bendera TCPBerikut ini adalah contoh log alur kustom yang menangkap bidang-bidang berikut dalam urutan berikut.

version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status

Bidang tcp-flags dapat membantu Anda mengidentifikasi arah lalu lintas, misalnya, server mana yangmemulai koneksi. Dalam catatan berikut (mulai pukul 7:47:55 sore dan berakhir pada 7:48:53 sore), duakoneksi dimulai oleh klien ke server yang berjalan pada port 5001. Dua bendera SYN (2) diterima olehserver dari klien dari port sumber yang berbeda pada klien (43416 dan 43418). Untuk setiap SYN, SYN-ACK dikirim dari server untuk klien (18) pada port yang sesuai.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK

Pada interval agregasi kedua, salah satu koneksi yang terbentuk selama aliran sebelumnya sekarangditutup. Klien mengirim bendera FIN (1) ke server untuk koneksi pada port 43418. Server mengirim FIN keklien pada port 43418.

314

Amazon Virtual Private Cloud Panduan PenggunaLalu lintas melalui gateway NAT

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK

Untuk koneksi singkat (misalnya, beberapa detik) yang dibuka dan ditutup dalam interval agregasi tunggal,bendera mungkin ditetapkan pada baris yang sama dalam catatan log alur untuk lalu lintas dalam arahyang sama. Pada contoh berikut, koneksi dibuat dan selesai dalam interval agregasi yang sama. Padabaris pertama, nilai bendera TCP adalah 3, yang menunjukkan bahwa ada pesan SYN dan FIN yangdikirim dari klien ke server. Pada baris kedua, nilai bendera TCP adalah 19, yang menunjukkan bahwa adapesan SYN-ACK dan FIN yang dikirim dari server ke klien.

3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK

Lalu lintas melalui gateway NATDalam contoh ini, sebuah instans di subnet privat mengakses internet melalui gateway NAT yang ada disubnet publik.

Log alur kustom berikut untuk antarmuka jaringan gateway NAT menangkap bidang-bidang berikut dalamurutan berikut.

instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr

Log alur menunjukkan aliran lalu lintas dari alamat IP instans (10.0.1.5) melalui antarmuka jaringangateway NAT ke host di internet (203.0.113.5). Antarmuka jaringan NAT gateway adalah antarmukajaringan yang dikelola peminta, oleh karena itu catatan log alur menampilkan simbol '-' untuk bidanginstance-id. Baris berikut menunjukkan lalu lintas dari instans sumber ke antarmuka jaringan gateway NAT.Nilai-nilai untuk bidang dstaddr dan pkt-dstaddr berbeda. Bidang dstaddr menampilkan alamat IP privatantarmuka jaringan gateway NAT, dan bidang pkt-dstaddr menampilkan alamat IP tujuan akhir dari host diinternet.

- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5

Dua baris berikutnya menunjukkan lalu lintas dari antarmuka jaringan gateway NAT ke host target diinternet, dan lalu lintas respon dari host ke antarmuka jaringan gateway NAT.

- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220

Baris berikut menunjukkan lalu lintas respon dari antarmuka jaringan NAT gateway ke instans sumber.Nilai-nilai untuk bidang srcaddr dan pkt-srcaddr berbeda. Bidang srcaddr menampilkan alamat IP privatantarmuka jaringan gateway NAT, dan bidang pkt-srcaddr menampilkan alamat IP host di internet.

- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5

315

Amazon Virtual Private Cloud Panduan PenggunaLalu lintas melalui transit gateway

Anda membuat log alur kustom lain menggunakan set bidang di atas. Anda membuat log alur untukantarmuka jaringan untuk instans di subnet privat. Dalam hal ini, bidang instance-id mengembalikan IDinstans yang terkait dengan antarmuka jaringan, dan tidak ada perbedaan antara bidang dstaddr danbidang pkt-dstaddr dan bidang srcaddr dan bidang pkt-srcaddr. Tidak seperti antaramuka jaringan untukgateway NAT, antaramuka jaringan ini bukan antaramuka jaringan perantara untuk lalu lintas.

i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the interneti-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance

Lalu lintas melalui transit gatewayDalam contoh ini, klien di VPC A terhubung ke server web di VPC B melalui transit gateway. Kliendan server berada di Availability Zone yang berbeda. Oleh karena itu, lalu lintas tiba di serverdi VPC B menggunakan eni-11111111111111111 dan meninggalkan VPC B menggunakaneni-22222222222222222.

Anda membuat log alur kustom untuk VPC B dengan format berikut.

version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status

Baris berikut dari catatan log alur menunjukkan aliran lalu lintas pada antarmuka jaringan untuk web server.Baris pertama adalah lalu lintas permintaan dari klien, dan baris terakhir adalah lalu lintas respon dariserver web.

3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK...3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

Baris berikut adalah lalu lintas permintaan di eni-11111111111111111, antarmuka jaringan yang dikelolapeminta untuk transit gateway di subnet subnet-11111111aaaaaaaaa. Oleh karena itu catatan log alurmenampilkan simbol '-' untuk bidang instance-id. Bidang srcaddr menampilkan alamat IP privat antarmukajaringan transit gateway, dan bidang pkt-srcaddr menampilkan alamat IP sumber klien di VPC A.

3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK

Baris berikut adalah lalu lintas respon pada eni-22222222222222222, antarmuka jaringan yang dikelolapeminta untuk transit gateway di subnet subnet-22222222bbbbbbbbb. Bidang dstaddr menampilkan alamatIP privat antarmuka jaringan transit gateway, dan bidang pkt-dstaddr menampilkan alamat IP klien di VPCA.

3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK

Nama layanan, jalur lalu lintas, dan arah aliranBerikut ini adalah contoh bidang untuk catatan log alur kustom.

316

Amazon Virtual Private Cloud Panduan PenggunaBatasan log alur

version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status

Dalam contoh berikut, versinya 5 karena catatan meliputi bidang versi 5. Instans EC2 memanggil layananAmazon S3. Log alur ditangkap pada antarmuka jaringan untuk instans. Catatan pertama memiliki arahaliran ingress dan catatan kedua memiliki arah aliran egress. Untuk catatan egress, traffic-path-nya 8,menunjukkan bahwa lalu lintas melewati gateway internet. Bidang traffic-path tidak didukung untuk lalulintas ingress. Saat pkt-srcaddr atau pkt-dstaddr adalah alamat IP publik, nama layanan ditampilkan.

5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK

Batasan log alurUntuk menggunakan log alur , Anda perlu memahami batasan-batasan berikut:

• Anda tidak dapat mengaktifkan log alur antarmuka jaringan yang berada di platform EC2-Classic. Initermasuk instans EC2-Classic yang telah ditautkan ke VPC melalui ClassicLink.

• Anda tidak dapat mengaktifkan log alur untuk VPC yang di-peering-kan dengan VPC Anda kecuali VPCpeer berada di akun Anda.

• Setelah Anda membuat log alur, Anda tidak dapat mengubah konfigurasi atau format catatan log alur.Misalnya, Anda tidak dapat mengaitkan IAM role yang berbeda dengan log alur, atau menambahkanatau menghapus bidang dalam catatan log alur. Sebaliknya, Anda dapat menghapus log alur danmembuat yang baru dengan konfigurasi yang diperlukan.

• Jika antarmuka jaringan Anda memiliki beberapa alamat IPv4 dan lalu lintas dikirim ke alamat IPv4 privatsekunder, log alur menampilkan alamat IPv4 privat utama di bidang dstaddr. Untuk menangkap alamatIP tujuan asal, buat log alur dengan bidang pkt-dstaddr.

• Jika lalu lintas dikirim ke antarmuka jaringan dan tujuan bukan salah satu alamat IP antarmuka jaringan,log alur menampilkan alamat IPv4 privat utama di bidang dstaddr. Untuk menangkap alamat IP tujuanasal, buat log alur dengan bidang pkt-dstaddr.

• Jika lalu lintas dikirim dari antarmuka jaringan dan sumber bukan salah satu alamat IP antarmukajaringan, log alur menampilkan alamat IPv4 privat utama di bidang srcaddr. Untuk menangkap alamatIP sumber asal, buat log alur dengan bidang pkt-srcaddr.

• Jika lalu lintas dikirim ke atau dikirim dari antarmuka jaringan, bidang srcaddr dan dstaddr di log alurselalu menampilkan alamat IPv4 privat utama, terlepas dari sumber paket atau tujuan. Untuk menangkapsumber paket atau tujuan, buat log alur dengan bidang pkt-srcaddr dan pkt-dstaddr.

• Saat antarmuka jaringan Anda terpasang ke Instans berbasis Nitro, interval agregasi selalu 1 menit ataukurang, terlepas dari interval agregasi maksimum yang ditentukan.

Log alur tidak menangkap semua lalu lintas IP. Jenis lalu lintas berikut tidak dicatat:

• Lalu lintas yang dihasilkan oleh instans ketika menghubungi server DNS Amazon. Jika Andamenggunakan server DNS Anda sendiri, maka semua lalu lintas ke server DNS tersebut dicatat.

• Lalu lintas yang dihasilkan oleh instans Windows untuk aktivasi lisensi Amazon Windows.• Lalu lintas ke dan dari 169.254.169.254 untuk metadata instans.• Lalu lintas ke dan dari 169.254.169.123 untuk layanan Amazon Time Sync.

317

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances

Amazon Virtual Private Cloud Panduan PenggunaPenentuan harga log alur

• Lalu lintas DHCP.• Lalu lintas ke alamat IP yang dipesan untuk router VPC default.• Lalu lintas antara antarmuka jaringan titik akhir dan antarmuka jaringan Penyeimbang Beban Jaringan.

Penentuan harga log alurBiaya penggunaan dan pengarsipan data untuk log penjual otomatis berlaku saat Anda menerbitkan logalur ke CloudWatch Logs atau ke Amazon S3. Untuk informasi dan contoh selengkapnya, lihat HargaAmazon CloudWatch.

Untuk melacak biaya dari penerbitan log alur ke bucket Amazon S3 Anda, Anda dapat menerapkan tagalokasi biaya untuk langganan log alur Anda. Untuk melacak biaya dari penerbitan log alur ke CloudWatchLogs, Anda dapat menerapkan tag alokasi biaya ke grup log CloudWatch Logs tujuan Anda. Setelah itu,laporan alokasi biaya AWS akan mencakup penggunaan dan biaya yang dikumpulkan berdasarkan tagini. Anda dapat menerapkan tag yang mewakili kategori bisnis (seperti pusat biaya, nama aplikasi, ataupemilik) untuk mengatur biaya Anda. Untuk informasi lebih lanjut, lihat Penggunaan Tag Alokasi Biayadalam Panduan Pengguna AWS Billing and Cost Management.

Penerbitan log alur ke CloudWatch LogsLog alur dapat menerbitkan data log alur langsung ke Amazon CloudWatch. Biaya penggunaan danpengarsipan data untuk log penjual otomatis berlaku saat Anda menerbitkan log alur ke CloudWatch Logs.Untuk informasi selengkapnya, lihat Harga Amazon CloudWatch.

Saat menerbitkan CloudWatch Logs, data log alur diterbitkan ke grup log, dan setiap antarmuka jaringanmemiliki pengaliran log unik di grup log. Pengaliran log berisi catatan log alur. Anda dapat membuatbeberapa log alur yang menerbitkan data ke grup log yang sama. Jika antarmuka jaringan yang sama hadirdalam satu atau lebih pengaliran log dalam grup log yang sama, maka akan memiliki satu pengaliran loggabungan. Jika Anda telah menetapkan bahwa satu log alur harus menangkap lalu lintas yang ditolak, danlog alur lainnya harus menangkap lalu lintas yang diterima, maka pengaliran log gabungan menangkapsemua lalu lintas.

Dalam CloudWatch Logs, bidang stempel waktu terkait dengan waktu mulai yang ditangkap dalamcatatan log alur. Bidang ingestionTime menunjukkan tanggal dan waktu saat catatan log alur diterima olehCloudWatch Logs. Stempel waktu ini lebih lambat dari waktu akhir yang ditangkap dalam catatan log alur.

Daftar Isi• IAM role untuk menerbitkan log alur ke CloudWatch Logs (p. 318)• Izin bagi pengguna IAM untuk meneruskan peran (p. 320)• Membuat log alur yang menerbitkan ke CloudWatch Logs (p. 320)• Catatan log alur proses di CloudWatch Logs (p. 321)

IAM role untuk menerbitkan log alur ke CloudWatchLogsIAM role yang terkait dengan log alur harus memiliki izin yang memadai untuk menerbitkan log alur ke gruplog tertentu di CloudWatch Logs. IAM role harus menjadi milik akun AWS.

Kebijakan IAM yang dilampirkan ke IAM role Anda harus menyertakan setidaknya izin berikut.

318



https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html


Amazon Virtual Private Cloud Panduan PenggunaIAM role untuk menerbitkan log alur ke CloudWatch Logs

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ]}

Juga memastikan bahwa peran Anda memiliki hubungan kepercayaan yang memungkinkan layanan logalur untuk menjalankan peran.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Anda dapat memperbarui peran yang ada atau menggunakan prosedur berikut untuk membuat peran baruuntuk digunakan dengan log alur.

Membuat peran log alurUntuk membuat IAM role untuk log alur

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.2. Dalam panel navigasi, pilih Roles, Create role.3. Untuk Pilih jenis entitas tepercaya, pilih Layanan AWS. Untuk Kasus penggunaan, pilih EC2. Pilih

Selanjutnya: Izin.4. Pada halaman Lampirkan kebijakan izin, pilih Berikutnya: Tag dan secara opsional tambahkan tag.

Pilih Selanjutnya: Tinjauan.5. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional. Pilih Buat peran.6. Pilih nama peran Anda. Untuk Izin, pilih Tambahkan kebijakan selaras, JSON.7. Salin kebijakan pertama dari IAM role untuk menerbitkan log alur ke CloudWatch Logs (p. 318) dan

tempel di window. Pilih Tinjau kebijakan.8. Masukkan nama untuk kebijakan Anda dan pilih Buat kebijakan.9. Pilih nama peran Anda. Untuk Hubungan kepercayaan, pilih Edit hubungan kepercayaan.

Dalam dokumen kebijakan yang ada, ubah layanan dari ec2.amazonaws.com ke vpc-flow-logs.amazonaws.com. Pilih Perbarui Kebijakan Kepercayaan.

10. Pada halaman Ringkasan, perhatikan ARN untuk peran Anda. Anda perlu ARN ini ketika Andamembuat log alur Anda.

319

https://console.aws.amazon.com/iam/

Amazon Virtual Private Cloud Panduan PenggunaIzin bagi pengguna IAM untuk meneruskan peran

Izin bagi pengguna IAM untuk meneruskan peranPengguna juga harus memiliki izin untuk menggunakan tindakan iam:PassRole untuk IAM role yangterkait dengan log alur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ]}

Membuat log alur yang menerbitkan ke CloudWatchLogsAnda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan. Jika Anda melakukanlangkah-langkah ini sebagai pengguna IAM, pastikan bahwa Anda memiliki izin untuk menggunakanTindakan iam:PassRole. Untuk informasi lebih lanjut, lihat Izin bagi pengguna IAM untuk meneruskanperan (p. 320).

Prerequisite

Membuat grup log tujuan. Buka Halaman grup log di konsol CloudWatch dan pilih Buat grup log. Masukkannama untuk grup log, lalu pilih Buat.

Untuk membuat log alur untuk antarmuka jaringan menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Antarmuka Jaringan.3. Pilih kotak centang untuk satu atau beberapa antarmuka jaringan dan pilih Tindakan, Buat log alur.4. Untuk Filter, tentukan jenis lalu lintas ke log. Pilih Semua ke log lalu lintas diterima dan ditolak, Tolak

ke log hanya lalu lintas yang ditolak, atau Terima ke log hanya lalu lintas yang diterima.5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dan

dikumpulkan ke dalam satu catatan log alur.6. Untuk Tujuan, pilih Kirim ke CloudWatch Logs.7. Untuk Grup log tujuan, pilih nama grup log tujuan yang Anda buat.8. Untuk IAM role, tentukan nama peran yang memiliki izin untuk menerbitkan log ke CloudWatch Logs.9. Untuk Format catatan log, pilih format untuk catatan log alur.

• Untuk menggunakan format default, pilih format default AWS.• Untuk menggunakan format kustom, pilih Format kustom dan kemudian pilih bidang dari Format log.• Untuk membuat log alur kustom yang mencakup bidang default, pilih format default AWS, salin

bidang di Format pratinjau, lalu pilih Format kustom dan tempel bidang di kotak teks.10. (Opsional) Pilih Tambahkan tag baru untuk menerapkan tag ke log alur.11. Pilih Buat log alur.

Untuk membuat log alur untuk VPC atau subnet menggunakan konsol


320

https://console.aws.amazon.com/cloudwatch/home#logsV2:log-groups



Amazon Virtual Private Cloud Panduan PenggunaCatatan log alur proses di CloudWatch Logs

2. Di panel navigasi, pilih VPC Anda atau pilih Subnet.3. Pilih kotak centang untuk satu atau beberapa VPC atau subnet, lalu pilih Tindakan, Buat log alur.4. Untuk Filter, tentukan jenis lalu lintas ke log. Pilih Semua ke log lalu lintas diterima dan ditolak, Tolak

ke log hanya lalu lintas yang ditolak, atau Terima ke log hanya lalu lintas yang diterima.5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dan

dikumpulkan ke dalam satu catatan log alur.6. Untuk Tujuan, pilih Kirim ke CloudWatch Logs.7. Untuk Grup log tujuan, pilih nama grup log tujuan yang Anda buat.8. Untuk IAM role, tentukan nama peran yang memiliki izin untuk menerbitkan log ke CloudWatch Logs.9. Untuk Format catatan log, pilih format untuk catatan log alur.

• Untuk menggunakan format default, pilih format default AWS.• Untuk menggunakan format kustom, pilih Format kustom dan kemudian pilih bidang dari Format log.• Untuk membuat log alur kustom yang mencakup bidang default, pilih format default AWS, salin

bidang di Format pratinjau, lalu pilih Format kustom dan tempel bidang di kotak teks.10. (Opsional) Pilih Tambahkan tanda baru untuk menerapkan tag ke log alur.11. Pilih Buat log alur.

Untuk membuat log alur menggunakan baris perintah

Gunakan salah satu perintah berikut.

• create-flow-logs (AWS CLI)• New-EC2FlowLogs (AWS Tools for Windows PowerShell)• CreateFlowLogs (Amazon EC2 kueri API)

Contoh AWS CLI berikut ini membuat log alur yang menangkap semua lalu lintas yang diterima untuksubnet subnet-1a2b3c4d. Log alur dikirim ke grup log di CloudWatch Logs yang disebut my-flow-logs, di akun 123456789101, menggunakan IAM role publishFlowLogs.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Catatan log alur proses di CloudWatch LogsAnda dapat bekerja dengan catatan log alur seperti yang Anda lakukan dengan log acara lainnya yangdikumpulkan oleh CloudWatch Logs. Untuk informasi selengkapnya tentang cara memantau data log danfilter metrik, lihat Mencari dan Mem-filter Data Log dalam Panduan Pengguna Amazon CloudWatch.

Contoh: Buat filter metrik dan alarm CloudWatch untuk log alurDalam contoh ini, Anda memiliki log alur untuk eni-1a2b3c4d. Anda ingin membuat alarm yangmemperingatkan Anda jika ada 10 percobaan penolakan atau lebih untuk terkoneksi ke instans Andamelalui TCP port 22 (SSH) dalam jangka waktu 1 jam. Pertama, Anda harus membuat filter metrik yangsesuai dengan pola lalu lintas yang untuknya harus membuat alarm. Setelah itu, Anda dapat membuatalarm untuk filter metrik.

Untuk membuat filter metrik untuk lalu lintas SSH yang ditolak dan membuat alarm untuk filter

1. Buka konsol CloudWatch di https://console.aws.amazon.com/cloudwatch/.

321

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateFlowLogs.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/MonitoringLogData.html


Amazon Virtual Private Cloud Panduan PenggunaTerbitkan ke Amazon S3

2. Di panel navigasi, pilih Log.3. Pilih nilai Metrik Filter yang terkait untuk grup log untuk log alur Anda, dan kemudian pilih Tambah

Filter Metrik.4. Untuk Pola Filter, masukkan perintah berikut.

[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

5. Untuk Pilih Data Log untuk Uji, pilih pengaliran log untuk antarmuka jaringan Anda. (Opsional) Untukmelihat baris data log yang cocok dengan pola filter, pilih Pola Uji. Saat Anda siap, pilih TetapkanMetrik.

6. Berikan namespace dan nama metrik, dan pastikan bahwa nilai metrik diatur ke 1. Setelah selesai,pilih Create Filter.

7. Di panel navigasi, pilih Alarm, Buat Alarm.8. Di bagian Metrik Khusus, pilih namespace untuk filter metrik yang Anda buat.

Diperlukan waktu beberapa menit hingga metrik baru ditampilkan di konsol.9. Pilih nama metrik yang Anda buat, lalu pilih Selanjutnya.10. Masukkan nama dan penjelasan untuk alarm. Untuk bidang adalah, pilih >= dan masukkan 10. Untuk

bidang untuk, biarkan pengaturan default 1 untuk periode berturut-turut.11. Untuk Periode pilih 1 Jam. Untuk Statistik pilih Jumlah. Statistik Sum memastikan bahwa Anda

menangkap jumlah total titik data untuk jangka waktu yang ditentukan.12. Di bagian Tindakan, Anda dapat memilih untuk mengirim pemberitahuan ke daftar yang ada. Atau,

Anda dapat membuat daftar baru dan memasukkan alamat email untuk menerima pemberitahuanketika alarm dipicu. Setelah selesai, pilih Buat Alarm.

Terbitkan log alur ke Amazon S3Arus log dapat menerbitkan data log alur ke Amazon S3. Biaya penggunaan dan pengarsipan data untuklog penjual otomatis berlaku saat Anda menerbitkan log alur ke Amazon S3. Untuk informasi selengkapnya,lihat Harga Amazon CloudWatch.

Untuk membuat bucket Amazon S3 untuk digunakan dengan log alur, lihat Buat bucket dalam PanduanMemulai Amazon Simple Storage Service.

Ketika menerbitkan ke Amazon S3, data log alur diterbitkan ke bucket Amazon S3 yang ada yang Andatentukan. Catatan log alur untuk semua antarmuka jaringan yang dipantau diterbitkan untuk serangkaianobjek file berkas log yang disimpan dalam bucket. Jika log alur menangkap data untuk VPC, log alurmenerbitkan catatan log alur untuk semua antarmuka jaringan di VPC yang dipilih.

Untuk informasi selengkapnya tentang pencatatan beberapa akun, lihat Pencatatan Pusat dalamPerpustakaan Solusi AWS.

Daftar Isi• Berkas log alur (p. 323)• Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3 (p. 323)• Izin bucket Amazon S3 untuk log alur (p. 324)• Kebijakan utama CMK yang diperlukan untuk digunakan dengan SSE-KMS (p. 325)• Izin file berkas log Amazon S3 (p. 325)• Membuat log alur yang menerbitkan ke Amazon S3 (p. 326)

322


https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html

http://aws.amazon.com/solutions/implementations/centralized-logging/

Amazon Virtual Private Cloud Panduan PenggunaBerkas log alur

• Catatan log alur proses di Amazon S3 (p. 327)

Berkas log alurLog alur mengumpulkan catatan log alur, mengkonsolidasikannya ke berkas log, dan kemudianmenerbitkan berkas log untuk bucket Amazon S3 dengan interval 5 menit. Setiap file berkas log berisicatatan log alur untuk lalu lintas IP yang dicatat dalam lima menit sebelumnya.

Ukuran file maksimum untuk berkas log adalah 75 MB. File berkas log mencapai batas ukuran file dalamperiode 5 menit, log alur berhenti menambahkan catatan log alur kepadanya. Kemudian menerbitkan logalur ke bucket Amazon S3, dan membuat file berkas log baru.

Berkas log disimpan ke bucket Amazon S3 tertentu menggunakan struktur folder yang ditentukan oleh ID,Wilayah, dan tanggal pembuatan log alur. Struktur folder bucket menggunakan format berikut.

bucket_ARN/optional_folder/AWSLogs/aws_account_id/vpcflowlogs/region/year/month/day/log_file_name.log.gz

Demikian pula, nama file berkas log ditentukan oleh ID, Wilayah, dan tanggal dan waktu pembuatan logalur oleh layanan log alur. Nama file menggunakan format berikut. Stempel waktu menggunakan formatYYYYMMDDTHHmmZ.

aws_account_id_vpcflowlogs_region_flow_log_id_timestamp_hash.log.gz

Sebagai contoh, berikut ini menunjukkan struktur folder dan nama file dari berkas log untuk log aluryang dibuat oleh akun AWS 123456789012, untuk sumber daya di Wilayah us-east-1, tanggal June20, 2018 pukul 16:20 UTC. Ini termasuk catatan log alur dengan waktu akhir antara 16:20:00 dan16:24:59.

arn:aws:s3:::my-flow-log-bucket/AWSLogs/123456789012/vpcflowlogs/us-east-1/2018/06/20/123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz

Dalam Amazon S3, bidang Terakhir diubah untuk berkas log alur menunjukkan tanggal dan waktu di manafile diunggah ke Amazon S3 bucket. Ini lebih lambat dari stempel waktu dalam nama file, dan berbedadengan jumlah waktu yang dibutuhkan untuk mengunggah file ke bucket Amazon S3.

Kebijakan IAM untuk prinsipal IAM yang menerbitkanlog alur ke Amazon S3IAM prinsipal di akun Anda, seperti pengguna IAM, harus memiliki izin yang memadai untuk menerbitkanlog alur ke bucket Amazon S3. Ini termasuk izin untuk bekerja dengan tindakan logs: spesifik untukmembuat dan menerbitkan log alur. Kebijakan IAM harus mencakup izin berikut.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*"

323

Amazon Virtual Private Cloud Panduan PenggunaIzin bucket Amazon S3 untuk log alur

} ]}

Izin bucket Amazon S3 untuk log alurObjek dan bucket Amazon S3 secara default bersifat privat. Hanya pemilik bucket yang bisa mengaksesbucket dan objek yang tersimpan di dalamnya. Namun, pemilik bucket dapat memberikan akses kepadasumber daya dan pengguna lain dengan menulis kebijakan akses.

Kebijakan bucket berikut memberikan izin log alur untuk menerbitkan kepadanya. Jika bucket sudahmemiliki kebijakan dengan izin berikut, kebijakan disimpan sebagaimana adanya. Kami merekomendasikanagar Anda memberikan izin ini ke prinsipal layanan pengiriman log bukan ARN akun AWS individu.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": ["s3:GetBucketAcl", "s3:ListBucket"], "Resource": "arn:aws:s3:::bucket_name" } ]}

Jika pengguna yang membuat log alur memiliki bucket, memiliki izin PutBucketPolicy untuk bucket,dan bucket tidak memiliki kebijakan dengan izin pengiriman log yang memadai, kami secara otomatismengaitkan kebijakan sebelumnya ke bucket tersebut. Kebijakan ini akan menggantikan kebijakan yangsebelumnya sudah melekat pada bucket.

Jika pengguna yang membuat log alur tidak memiliki bucket, atau tidak memiliki izin GetBucketPolicydan PutBucketPolicy untuk bucket, pembuatan log alur gagal. Dalam kasus ini, pemilik bucket harussecara manual menambahkan kebijakan di atas ke bucket dan menentukan ID akun AWS pembuat logalur. Untuk informasi lebih lanjut, lihat Bagaimana Cara Menghapus Kebijakan Bucket S3? dalam PanduanPengguna Konsol Amazon Simple Storage Service. Jika bucket menerima log alur dari beberapa akun,tambahkan elemen entri Resource ke pernyataan kebijakan AWSLogDeliveryWrite untuk setiapakun. Misalnya, kebijakan bucket berikut mengizinkan akun AWS 123123123123 dan 456456456456menerbitkan log alur ke folder bernama flow-logs dalam sebuah bucket bernama log-bucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/123123123123/*", "arn:aws:s3:::log-bucket/flow-logs/AWSLogs/456456456456/*"

324

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html

Amazon Virtual Private Cloud Panduan PenggunaKebijakan utama CMK yang diperlukan

untuk digunakan dengan SSE-KMS

], "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} }, { "Sid": "AWSLogDeliveryCheck", "Effect": "Allow", "Principal": {"Service": "delivery.logs.amazonaws.com"}, "Action": ["s3:GetBucketAcl", "s3:ListBucket"], "Resource": "arn:aws:s3:::log-bucket" } ]}

Kebijakan utama CMK yang diperlukan untukdigunakan dengan SSE-KMSAnda dapat melindungi data di bucket Amazon S3 Anda dengan mengaktifkan Server-Side Encryptiondengan Amazon S3-Managed Keys (SSE-S3) atau Server-Side Encryption dengan Customer Master Keys(CMK) yang Disimpan di (SSE-KM) AWS Key Management Service. Untuk informasi selengkapnya, lihatMelindungi data menggunakan enkripsi sisi server di Panduan Pengguna Amazon S3.

Dengan SSE-KMS, Anda dapat menggunakan CMK yang dikelola AWS atau CMK yang dikelolapelanggan. Dengan CMK yang dikelola AWS, Anda tidak dapat menggunakan pengiriman lintas akun. Logalur dikirim dari akun pengiriman log, sehingga Anda harus memberikan akses untuk pengiriman lintasakun. Untuk memberikan akses lintas akun ke bucket S3 Anda, gunakan CMK yang dikelola pelanggandan tentukan Amazon Resource Name (ARN) CMK yang dikelola pelanggan ketika Anda mengaktifkanenkripsi bucket. Untuk informasi selengkapnya, lihat Menentukan enkripsi sisi server dengan AWS KMS diPanduan Pengguna Amazon S3.

Ketika Anda menggunakan SSE-KMS dengan CMK yang dikelola pelanggan, Anda harus menambahkanhal berikut ke kebijakan utama untuk CMK Anda (bukan kebijakan bucket untuk bucket S3 Anda), sehinggaLog Alur VPC dapat menulis ke bucket S3 Anda.

{ "Sid": "Allow VPC Flow Logs to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*"}

Izin file berkas log Amazon S3Selain kebijakan bucket yang diperlukan, Amazon S3 menggunakan daftar kontrol akses (ACL) untukmengelola akses ke berkas log yang dibuat oleh log alur. Secara default, pemilik bucket memiliki izinFULL_CONTROL pada setiap file berkas log. Pemilik pengiriman log, jika berbeda dari pemilik bucket, tidakmemiliki izin. Akun pengiriman log memiliki izin READ dan WRITE. Untuk informasi selengkapnya, lihatGambaran Umum Daftar Kontrol Akses (ACL) dalam Panduan Developer Amazon Simple Storage Service.

325

https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html

https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

Amazon Virtual Private Cloud Panduan PenggunaMembuat log alur yang menerbitkan ke Amazon S3

Membuat log alur yang menerbitkan ke Amazon S3Setelah Anda membuat dan mengkonfigurasi bucket Amazon S3 Anda, Anda dapat membuat log aluruntuk VPC, subnet, atau antarmuka jaringan Anda.

Untuk membuat log alur untuk antarmuka jaringan menggunakan konsol

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Antarmuka Jaringan.3. Pilih satu atau beberapa antarmuka jaringan dan pilih Tindakan, Buat log alur.4. Untuk Filter, tentukan jenis data lalu lintas IP ke log. Pilih Semua ke lalu lintas log diterima dan ditolak,

Ditolak untuk mencatat hanya lalu lintas yang ditolak, atau Terima untuk mencatat hanya lalu lintasyang diterima.

5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum untuk penangkapan alur danpengumpulan ke dalam satu catatan log alur.

6. Untuk Tujuan, pilih Kirim ke bucket Amazon S3.7. Untuk ARN bucket S3, tentukan Amazon Resource Name (ARN) dari bucket Amazon S3 yang ada.

Anda dapat menyertakan subfolder dalam ARN bucket. Bucket tidak dapat menggunakan AWSLogssebagai nama subfolder, karena ini adalah istilah yang dicadangkan.

Misalnya, untuk menentukan subfolder bernama my-logs dalam sebuah bucket bernama my-bucket, gunakan ARN berikut:

arn:aws:s3:::my-bucket/my-logs/

Jika Anda memiliki bucket, kami secara otomatis membuat kebijakan sumber daya danmelampirkannya ke bucket. Untuk informasi lebih lanjut, lihat Izin bucket Amazon S3 untuk logalur (p. 324).

8. Untuk Format, tentukan format untuk catatan log alur.

• Untuk menggunakan format catatan log alur default, pilih format default AWS.• Untuk membuat format kustom, pilih Format kustom. Untuk Format log, pilih bidang untuk disertakan

dalam catatan log alur.

Tip

Untuk membuat log alur kustom yang mencakup bidang format default, pertama pilih formatdefault AWS, salin bidang di Pratinjau format, lalu pilih Format kustom dan tempel bidang dikotak teks.

9. (Opsional) Pilih Tambahkan Tag untuk menerapkan tag ke log alur.10. Pilih Buat.

Untuk membuat log alur untuk VPC atau subnet menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda atau Subnet.3. Pilih satu atau beberapa VPC atau subnet dan kemudian pilih Tindakan, Buat log alur.4. Untuk Filter, tentukan jenis data lalu lintas IP ke log. Pilih Semua ke lalu lintas log diterima dan ditolak,

Ditolak untuk mencatat hanya lalu lintas yang ditolak, atau Terima untuk mencatat hanya lalu lintasyang diterima.

5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dandikumpulkan ke dalam satu catatan log alur.

6. Untuk Tujuan, pilih Kirim ke bucket Amazon S3.

326



Amazon Virtual Private Cloud Panduan PenggunaCatatan log alur proses di Amazon S3

7. Untuk ARN bucket S3, tentukan Amazon Resource Name (ARN) dari bucket Amazon S3 yang ada.Anda dapat menyertakan subfolder dalam ARN bucket. Bucket tidak dapat menggunakan AWSLogssebagai nama subfolder, karena ini adalah istilah yang dicadangkan.

Misalnya, untuk menentukan subfolder bernama my-logs dalam sebuah bucket bernama my-bucket, gunakan ARN berikut:

arn:aws:s3:::my-bucket/my-logs/

Jika Anda memiliki bucket, kami secara otomatis membuat kebijakan sumber daya danmelampirkannya ke bucket. Untuk informasi lebih lanjut, lihat Izin bucket Amazon S3 untuk logalur (p. 324).

8. Untuk Format, tentukan format untuk catatan log alur.

• Untuk menggunakan format catatan log alur default, pilih format default AWS.• Untuk membuat format kustom, pilih Format kustom. Untuk Format log, pilih masing-masing bidang

untuk disertakan dalam catatan log alur.9. (Opsional) Pilih Tambahkan Tanda untuk menerapkan tag ke log alur.10. Pilih Buat.

Untuk membuat log alur yang menerbitkan ke Amazon S3 menggunakan alat baris perintah

Gunakan salah satu perintah berikut.


Contoh AWS CLI berikut ini membuat log alur yang menangkap semua lalu lintas untuk VPCvpc-00112233344556677 Dan mengirimkan log alur ke bucket Amazon S3 yang disebut flow-log-bucket. Parameter --log-format menentukan format kustom untuk catatan log alur.

aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Catatan log alur proses di Amazon S3Berkas log dikompresi. Jika Anda membuka berkas log menggunakan konsol Amazon S3, berkas log akandidekompresi dan catatan log alur ditampilkan. Jika Anda mengunduh berkas, Anda harus mendekompresimereka untuk melihat catatan log alur.

Anda juga dapat meminta catatan log alur dalam berkas log menggunakan Amazon Athena. AmazonAthena adalah layanan kueri interaktif yang memudahkan analisa data di Amazon S3 menggunakan SQLstandar. Untuk informasi lebih lanjut, lihat Meminta Log Alur Amazon VPC dalam Panduan PenggunaAmazon Athena.

Bekerja dengan log alurAnda dapat bekerja dengan log alur menggunakan Amazon EC2, Amazon VPC, CloudWatch, dan konsolAmazon S3.

327


https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLogs.html


https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html

Amazon Virtual Private Cloud Panduan PenggunaMengontrol penggunaan log alur

Tugas• Mengontrol penggunaan log alur (p. 328)• Membuat log alur (p. 328)• Melihat log alur (p. 328)• Menambahkan atau menghapus tag untuk log alur (p. 329)• Melihat catatan log alur (p. 329)• Cari catatan log alur (p. 330)• Menghapus log alur (p. 330)• Ringkasan API dan CLI (p. 331)

Mengontrol penggunaan log alurSecara default, pengguna IAM tidak memiliki izin untuk bekerja dengan log alur. Anda dapat membuatkebijakan pengguna IAM yang memberikan izin kepada pengguna untuk membuat, menjelaskan, danmenghapus log alur. Untuk informasi selengkapnya, lihat Pemberian Izin Pengguna IAM yang Diperlukanuntuk Sumber Daya Amazon EC2 dalam Referensi API Amazon EC2.

Berikut ini adalah contoh kebijakan yang memberikan izin penuh kepada pengguna untuk membuat,menjelaskan, dan menghapus log alur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ]}

Beberapa konfigurasi IAM role dan izin diperlukan, tergantung pada apakah Anda menerbitkannya keCloudWatch Logs atau Amazon S3. Untuk informasi selengkapnya, lihat Penerbitan log alur ke CloudWatchLogs (p. 318) dan Terbitkan log alur ke Amazon S3 (p. 322).

Membuat log alurAnda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan. Log alur dapat menerbitkandata ke CloudWatch Logs atau Amazon S3.

Untuk informasi selengkapnya, lihat Membuat log alur yang menerbitkan ke CloudWatch Logs (p. 320)dan Membuat log alur yang menerbitkan ke Amazon S3 (p. 326).

Melihat log alurAnda dapat melihat informasi tentang log alur Anda di konsol Amazon EC2 dan Amazon VPC denganmenampilkan tab Log Alur untuk sumber daya tertentu. Bila Anda memilih sumber daya, semua log aluruntuk sumber daya tersebut terdaftar. Informasi yang ditampilkan termasuk ID log alur, konfigurasi log alur,dan informasi tentang status log alur.

328

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html

Amazon Virtual Private Cloud Panduan PenggunaMenambahkan atau menghapus tag untuk log alur

Untuk melihat informasi tentang log alur untuk antarmuka jaringan Anda

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Antarmuka Jaringan.3. Pilih antarmuka jaringan, dan pilih Log Alur. Informasi tentang log alur ditampilkan pada tab. Kolom

Jenis tujuan menunjukkan tempat tujuan penerbitan log.

Melihat informasi tentang log alur untuk VPC Anda atau subnet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda atau Subnet.3. Pilih VPC Anda atau subnet, dan pilih Log Alur. Informasi tentang log alur ditampilkan pada tab.

Parameter kolom Jenis tujuan menunjukkan tujuan tempat penerbitan log alur.

Menambahkan atau menghapus tag untuk log alurAnda dapat menambahkan atau menghapus tag untuk log alur di konsol Amazon EC2 dan Amazon VPC.

Untuk menambah atau menghapus tag untuk log alur untuk antarmuka jaringan

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.2. Di panel navigasi, pilih Antarmuka Jaringan.3. Pilih antarmuka jaringan, dan pilih Log Alur.4. Pilih Kelola Tag untuk log alur yang diperlukan.5. Untuk menambahkan tag baru, pilih Buat Tag. Untuk menghapus sebuah tag, pilih tombol hapus (x).6. Pilih Simpan.

Untuk menambah atau menghapus tag untuk log alur untuk VPC atau subnet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda atau Subnet.3. Pilih VPC atau subnet Anda, dan pilih Log Alur.4. Pilih log alur, dan pilih Tindakan, Tambahkan/Edit Tag.5. Untuk menambahkan tag baru, pilih Buat Tag. Untuk menghapus sebuah tag, pilih tombol hapus (x).6. Pilih Simpan.

Melihat catatan log alurAnda dapat melihat catatan log alur menggunakan konsol CloudWatch Logs atau konsol Amazon S3,tergantung pada jenis tujuan yang dipilih. Mungkin diperlukan beberapa menit setelah Anda membuat logalur agar dapat terlihat di konsol.

Untuk melihat catatan log alur yang diterbitkan ke CloudWatch Logs

1. Buka konsol CloudWatch di https://console.aws.amazon.com/cloudwatch/.2. Di panel navigasi, pilih Log, dan pilih grup log yang berisi log alur Anda. Daftar pengaliran log untuk

setiap antarmuka jaringan ditampilkan.3. Pilih pengaliran log yang berisi ID antarmuka jaringan untuk melihat catatan log alur. Untuk informasi

lebih lanjut, lihat Catatan log alur (p. 309).

329






Amazon Virtual Private Cloud Panduan PenggunaCari catatan log alur

Untuk melihat catatan log alur yang diterbitkan ke Amazon S3

1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.2. Untuk Nama bucket, pilih bucket tempat tujuan penerbitan log alur.3. Untuk Nama, pilih kotak centang di samping file berkas log. Di halaman gambaran umum, pilih Unduh.

Cari catatan log alurAnda dapat mencari catatan log alur yang diterbitkan ke CloudWatch Logs menggunakan konsolCloudWatch Logs. Anda dapat menggunakan filter metrik untuk menyaring catatan log alur. Catatan logalur adalah ruang yang dibatasi.

Untuk mencari catatan log alur menggunakan konsol CloudWatch Logs

1. Buka konsol CloudWatch di https://console.aws.amazon.com/cloudwatch/.2. Di panel navigasi, pilih Grup log, dan pilih grup log yang berisi log alur Anda. Daftar pengaliran log

untuk setiap antarmuka jaringan ditampilkan.3. Pilih pengaliran log individu jika Anda tahu antarmuka jaringan yang Anda cari. Atau, pilih Cari Grup

Log untuk mencari seluruh grup log. Tindakan ini mungkin membutuhkan waktu lama jika ada banyakantarmuka jaringan di grup log Anda, atau tergantung pada rentang waktu yang Anda pilih.

4. Untuk Filter peristiwa, masukkan string berikut. Ini mengasumsikan bahwa catatan log alurmenggunakan format default (p. 309).

[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

5. Ubah filter sesuai kebutuhan dengan menentukan nilai untuk bidang. Contoh berikut adalah filterberdasarkan alamat IP sumber tertentu.

[version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus][version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

Contoh berikut adalah filter berdasarkan port tujuan, jumlah byte, dan apakah lalu lintas ditolak.

[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus][version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]

Menghapus log alurAnda dapat menghapus log alur menggunakan konsol Amazon EC2 dan Amazon VPC.

Prosedur ini menonaktifkan layanan log alur untuk sumber daya. Menghapus log alur tidak akan otomatismenghapus pengaliran log yang ada dari CloudWatch Logs dan berkas log dari Amazon S3. Data log aluryang ada harus dihapus menggunakan konsol layanan masing-masing. Selain itu, penghapusan log aluryang menerbitkan ke Amazon S3 tidak menghapus kebijakan bucket dan daftar kontrol akses (ACL) fileberkas log.

Untuk menghapus log alur untuk antarmuka jaringan

1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

330

https://console.aws.amazon.com/s3/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html



Amazon Virtual Private Cloud Panduan PenggunaRingkasan API dan CLI

2. Di panel navigasi, pilih Antarmuka Jaringan, lalu pilih antarmuka jaringan.3. Pilih Log Alur, dan kemudian pilih tombol hapus (tanda silang) untuk menghapus log alur.4. Di kotak dialog konfirmasi, pilih Ya, Hapus.

Untuk menghapus log alur untuk VPC atau subnet

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.2. Di panel navigasi, pilih VPC Anda atau Subnets, lalu pilih sumber daya.3. Pilih Log Alur, dan kemudian pilih tombol hapus (tanda silang) untuk menghapus log alur.4. Di kotak dialog konfirmasi, pilih Ya, Hapus.

Ringkasan API dan CLIAnda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untukinformasi selengkapnya tentang antarmuka baris perintah dan daftar API yang tersedia, lihat MengaksesAmazon VPC (p. 1).

Membuat log alur


Deskripsikan log alur

• describe-flow-logs (AWS CLI)• Get-EC2FlowLog (AWS Tools for Windows PowerShell)• DescribeFlowLogs (Amazon EC2 Kueri API)

Melihat catatan log alur Anda (log acara)

• get-log-events (AWS CLI)• Get-CWLLogEvent (AWS Tools for Windows PowerShell)• GetLogEvents (CloudWatch API)

Menghapus log alur

• delete-flow-logs (AWS CLI)• Remove-EC2FlowLog (AWS Tools for Windows PowerShell)• DeleteFlowLogs (Amazon EC2 Kueri API)

Log alur kueri menggunakan Amazon AthenaAmazon Athena adalah layanan kueri interaktif yang memungkinkan Anda menganalisis data di AmazonS3 seperti log alur Anda menggunakan SQL standar. Anda dapat menggunakan Athena dengan log alurVPC untuk dengan cepat mendapatkan wawasan yang dapat ditindaklanjuti terkait lalu lintas yang melaluiVPC Anda. Misalnya, Anda dapat mengidentifikasi sumber daya mana di virtual private cloud (VPC) yangmerupakan pembicara teratas atau mengidentifikasi alamat IP dengan koneksi TCP yang paling seringditolak.

331



https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html


https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeFlowLogs.html

https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html

https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteFlowLogs.html

Amazon Virtual Private Cloud Panduan PenggunaBuat templat CloudFormation menggunakan konsol

Anda dapat merampingkan dan mengotomatisasi integrasi log alur VPC Anda dengan Athena denganmembuat templat CloudFormation yang membuat sumber daya AWS yang dibutuhkan dan kueri yangditentukan sebelumnya yang dapat Anda jalankan untuk mendapatkan wawasan tentang lalu lintas yangmengalir melalui VPC Anda.

Templat CloudFormation membuat sumber daya berikut:

• Database Athena. Nama basis data adalah vpcflowlogsathenadatabase<flow-logs-subscription-id>.• Athena workgroup. Nama workgroup adalah <flow-log-subscription-id><partition-load-frequency><start-

date><end-date>workgroup• Sebuah tabel Athena dipartisi yang sesuai dengan catatan log alur Anda. Nama tabel adalah <flow-log-

subscription-id><partition-load-frequency><start-date><end-date>.• Satu set Athena bernama kueri. Untuk informasi lebih lanjut, lihat Kueri yang ditentukan

sebelumnya (p. 334).• Fungsi Lambda yang memuat partisi baru ke tabel pada jadwal yang ditentukan (harian, mingguan, atau

bulanan).• IAM role yang memberikan izin untuk menjalankan fungsi Lambda.

Requirements

• Anda harus memilih Wilayah yang mendukung AWS Lambda dan Amazon Athena.• Bucket Amazon S3 harus berada di Wilayah yang dipilih.

Pricing

Anda dikenai Biaya Amazon Athena standar untuk menjalankan kueri. Anda dikenai Biaya AWS Lambdastandar untuk fungsi Lambda yang memuat partisi baru pada jadwal berulang (ketika Anda menentukanfrekuensi beban partisi tetapi tidak menentukan tanggal mulai dan akhir.)

Tugas• Buat templat CloudFormation menggunakan konsol (p. 332)• Menghasilkan templat CloudFormation menggunakan AWS CLI (p. 333)• Menjalankan kueri yang sudah ditentukan sebelumnya (p. 333)

Buat templat CloudFormation menggunakan konsolSetelah log alur pertama dikirim ke bucket S3 Anda, Anda dapat mengintegrasikannya dengan Athenadengan membuat templat CloudFormation dan menggunakan templat untuk membuat tumpukan.

Untuk menghasilkan templat menggunakan konsol

1. Lakukan salah satu dari berikut ini:• Buka konsol Amazon VPC. Di panel navigasi, pilih VPC Anda dan kemudian pilih VPC Anda.• Buka konsol Amazon VPC. Di panel navigasi, pilih Subnet, lalu pilih subnet Anda.• Buka konsol Amazon EC2. Di panel navigasi, pilih Antarmuka Jaringan, lalu pilih antarmuka

jaringan Anda.2. Pada tab Log Alur, pilih log alur yang menerbitkan ke Amazon S3 dan kemudian pilih Tindakan,

Hasilkan Integrasi Athena.3. Tentukan frekuensi beban partisi. Jika Anda memilih Tidak ada, Anda harus menentukan tanggal mulai

dan akhir partisi, menggunakan tanggal yang ada di masa lalu. Jika Anda memilih Harian, Mingguan,atau Bulanan, tanggal mulai dan akhir partisi bersifat opsional. Jika Anda tidak menentukan tanggal

332

http://aws.amazon.com/athena/pricing

http://aws.amazon.com/lambda/pricing

Amazon Virtual Private Cloud Panduan PenggunaMenghasilkan templat CloudFormation

menggunakan AWS CLI

mulai dan akhir, templat CloudFormation akan membuat fungsi Lambda yang memuat partisi barupada jadwal berulang.

4. Pilih atau buat bucket S3 untuk templat yang dihasilkan, dan bucket S3 untuk hasil kueri.5. Pilih Hasilkan Integrasi Athena.6. (Opsional) Dalam pesan sukses, pilih tautan untuk menavigasi ke bucket yang Anda tentukan untuk

templat CloudFormation, dan sesuaikan templat.7. Dalam pesan sukses, pilih Membuat tumpukan CloudFormation untuk membuka wizard Buat

Tumpukan di konsol AWS CloudFormation. URL untuk templat CloudFormation yang dihasilkanditentukan di bagian Templat. Menyelesaikan wizard untuk membuat sumber daya yang ditentukandalam templat.

Menghasilkan templat CloudFormation menggunakanAWS CLISetelah log alur pertama dikirim ke bucket S3, Anda dapat membuat dan menggunakan templatCloudFormation untuk diintegrasikan dengan Athena.

Gunakan perintah get-flow-logs-integration-template berikut untuk menghasilkan templat CloudFormation.

aws ec2 get-flow-logs-integration-template --cli-input-json file://config.json

Berikut ini adalah contoh file config.json.

{ "FlowLogId": "fl-12345678901234567", "ConfigDeliveryS3DestinationArn": "arn:aws:s3:::my-flow-logs-athena-integration/templates/", "IntegrateServices": { "AthenaIntegrations": [ { "IntegrationResultS3DestinationArn": "arn:aws:s3:::my-flow-logs-analysis/athena-query-results/", "PartitionLoadFrequency": "monthly", "PartitionStartDate": "2021-01-01T00:00:00", "PartitionEndDate": "2021-12-31T00:00:00" } ] }}

Gunakan perintah create-stack berikut untuk membuat tumpukan menggunakan templat CloudFormationyang dihasilkan.

aws cloudformation create-stack --stack-name my-vpc-flow-logs --template-body file://my-cloudformation-template.json

Menjalankan kueri yang sudah ditentukan sebelumnyaTemplat CloudFormation yang dihasilkan menyediakan serangkaian kueri standar yang dapat Andajalankan untuk mendapatkan wawasan bermakna tentang lalu lintas di jaringan AWS Anda. Setelah Andamembuat tumpukan dan memverifikasi bahwa semua sumber daya dibuat dengan benar, Anda dapatmenjalankan salah satu kueri yang telah ditetapkan.

333

https://docs.aws.amazon.com/cli/latest/reference/ec2/get-flow-logs-integration-template.html

https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html


Untuk menjalankan kueri yang telah ditetapkan menggunakan konsol

1. Membuka konsol Athena. Di panel Workgroups, pilih grup kerja yang dibuat oleh templatCloudFormation.

2. Pilih salah satu dari Kueri yang ditentukan sebelumnya (p. 334), ubah parameter yang diperlukan,dan kemudian jalankan kueri.

3. Buka konsol Amazon S3. Arahkan ke bucket yang Anda tentukan untuk hasil kueri, dan lihat hasilkueri.

Kueri yang ditentukan sebelumnyaBerikut ini adalah Athena bernama kueri yang disediakan oleh templat CloudFormation yang dihasilkan:

• VpcFlowLogsAcceptedTraffic – Koneksi TCP yang diizinkan berdasarkan grup keamanan dan ACLjaringan.

• VpcFlowLogsAdminPortTraffic – Lalu lintas yang dicatat di port aplikasi web administratif.• VpcFlowLogsIPv4Traffic – Total byte lalu lintas IPv4 yang dicatat.• VpcFlowLogsIPv6Traffic – Total byte lalu lintas IPv6 yang dicatat.• VpcFlowLogsRejectedTCPTraffic – Koneksi TCP yang ditolak berdasarkan grup keamanan atau ACL

jaringan.• VpcFlowLogsRejectedTraffic – Lalu lintas yang ditolak berdasarkan grup keamanan atau ACL jaringan

Anda.• VpcFlowLogsSshRdpTraffic – Lalu lintas SSH dan RDP.• VpcFlowLogsTopTalkers – Alamat IP 50 dengan lalu lintas terbanyak dicatat.• VpcFlowLogsTopTalkersPacketLevel – Alamat IP tingkat paket 50 dengan lalu lintas terbanyak dicatat.• VPCFlowLogStopTalkinginstanss — ID dari 50 instans dengan lalu lintas terbanyak dicatat.• VpcFlowLogsTopTalkingSubnets – ID dari 50 subnet dengan lalu lintas terbanyak dicatat.• VpcFlowLogsTopTCPTraffic – Semua lalu lintas TCP yang dicatat untuk alamat IP sumber.• VpcFlowLogsTotalBytesTransferred – 50 pasang alamat IP sumber dan tujuan dengan byte terbanyak

dicatat.• VpcFlowLogsTotalBytesTransferredPacketLevel – 50 pasang alamat IP sumber dan tujuan tingkat paket

dengan byte terbanyak dicatat.• VpcFlowLogsTrafficFrmSrcAddr – Lalu lintas yang dicatat untuk alamat IP sumber tertentu.• VpcFlowLogsTrafficToDstAddr – Lalu lintas yang dicatat untuk alamat IP tujuan tertentu.

Mengatasi masalah Log Alur VPCBerikut ini adalah masalah yang mungkin Anda miliki saat bekerja dengan log alur.

Masalah• Catatan log alur tidak lengkap (p. 334)• Log alur aktif, tetapi tidak ada catatan log alur atau grup log (p. 335)• Galat 'LogDestinationNotFoundException' atau 'Access Denied for LogDestination' (p. 335)• Melebihi batas kebijakan bucket Amazon S3 (p. 336)

Catatan log alur tidak lengkapProblem

334

Amazon Virtual Private Cloud Panduan PenggunaLog alur aktif, tetapi tidak ada catatan log alur atau grup log

Catatan log alur Anda tidak lengkap, atau tidak lagi diterbitkan.

Cause

Mungkin ada masalah saat mengirim log alur ke grup log CloudWatch Logs.

Solution

Dalam konsol Amazon EC2 atau konsol Amazon VPC, pilih tab log alur untuk sumber daya yang relevan.Untuk informasi lebih lanjut, lihat Melihat log alur (p. 328). Tabel log alur menampilkan kesalahan dalamkolom Status. Atau, gunakan perintah describe-flow-logs, dan periksa nilai yang dikembalikan dalam bidangDeliverLogsErrorMessage. Salah satu kesalahan berikut mungkin ditampilkan:

• Rate limited: Kesalahan ini dapat terjadi jika throttling CloudWatch Logs telah diterapkan — ketikajumlah catatan log alur untuk antarmuka jaringan lebih tinggi daripada jumlah maksimum catatan yangdapat diterbitkan dalam jangka waktu tertentu. Kesalahan ini juga dapat terjadi jika Anda telah mencapaikuota untuk jumlah grup log CloudWatch Logs yang dapat Anda buat. Untuk informasi lebih lanjut, lihatCloudWatch Service Quotas di Panduan Pengguna Amazon CloudWatch.

• Access error: Kesalahan ini dapat terjadi karena salah satu alasan berikut:• IAM role untuk log alur Anda tidak memiliki izin yang memadai untuk menerbitkan catatan log alur ke

grup log CloudWatch• IAM role tidak memiliki hubungan kepercayaan dengan layanan log alur• Hubungan kepercayaan tidak menentukan layanan log alur sebagai prinsipal

Untuk informasi lebih lanjut, lihat IAM role untuk menerbitkan log alur ke CloudWatch Logs (p. 318).• Unknown error: Terjadi kesalahan internal dalam layanan log alur.

Log alur aktif, tetapi tidak ada catatan log alur ataugrup logProblem

Anda telah membuat log alur, dan konsol Amazon VPC atau Amazon EC2 menampilkan log alur sebagaiActive. Namun, Anda tidak dapat melihat pengaliran log apa pun di CloudWatch Logs atau berkas log dibucket Amazon S3.

Cause

Penyebabnya dapat saja salah satu dari yang berikut:

• Log alur masih dalam proses pembuatan. Dalam beberapa kasus, dibutuhkan sepuluh menit atau lebihuntuk membuat grup log dan menampilkan data setelah Anda membuat log alur.

• Belum ada lalu lintas yang dicatat untuk antarmuka jaringan Anda. Grup log di CloudWatch Logs hanyadibuat saat lalu lintas dicatat.

Solution

Tunggu beberapa menit untuk membuat grup log, atau mencatat lalu lintas.

Galat 'LogDestinationNotFoundException' atau'Access Denied for LogDestination'Problem

335

https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_limits.html

Amazon Virtual Private Cloud Panduan PenggunaMelebihi batas kebijakan bucket Amazon S3

Anda mendapatkan Access Denied for LogDestination atauLogDestinationNotFoundException ketika Anda mencoba untuk membuat log alur.

Cause

Anda mungkin mendapatkan galat ini saat membuat log alur yang menerbitkan data ke bucket Amazon S3.Galat ini menunjukkan bahwa bucket S3 tertentu tidak dapat ditemukan atau bahwa ada masalah dengankebijakan bucket.

Solution


• Pastikan bahwa Anda telah menentukan ARN untuk bucket S3 yang ada, dan bahwa ARN dalam formatyang benar.

• Jika Anda tidak memiliki bucket S3, verifikasi bahwa Kebijakan bucket (p. 324) memiliki izin yang cukupuntuk menerbitkan log ke bucket. Dalam kebijakan bucket, verifikasi ID akun dan nama bucket.

Melebihi batas kebijakan bucket Amazon S3Problem

Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur:LogDestinationPermissionIssueException.

Cause

Kebijakan bucket Amazon S3 dibatasi hingga ukuran 20 KB.

Setiap kali Anda membuat log alur yang menerbitkan ke Amazon S3 bucket, kita secara otomatismenambahkan ARN bucket tertentu, yang mencakup jalur folder, untuk unsur Resource dalam kebijakanbucket ini.

Membuat beberapa log alur yang menerbitkan ke bucket yang sama dapat menyebabkan Anda melebihibatas kebijakan bucket.

Solution


• Bersihkan kebijakan bucket dengan menghapus entri log alur yang tidak lagi diperlukan.• Memberikan izin untuk seluruh bucket dengan mengganti entri log alur individu dengan berikut ini.

arn:aws:s3:::bucket_name/*

Jika Anda memberikan izin untuk seluruh bucket, langganan log alur baru tidak menambahkan izin baruuntuk bucket kebijakan.

336


Koneksi VPNAnda dapat menghubungkan Amazon VPC Anda ke jaringan jarak jauh dan pengguna menggunakan opsikoneksi VPN berikut.

Opsi koneksi VPN Deskripsi

AWS Site-to-Site VPN Anda dapat membuat koneksi VPN IPsec antara VPC dan jaringan jarak jauhAnda. Pada sisi koneksi Site-to-Site VPN AWS, virtual private gateway atautransit gateway menyediakan dua titik akhir VPN (terowongan) untuk failoverotomatis. Anda mengkonfigurasi perangkat gateway pelanggan di sisi jarakjauh koneksi Site-to-Site VPN. Untuk informasi selengkapnya, lihat PanduanPenggunaAWS Site-to-Site VPN..

AWS Client VPN AWS Client VPN adalah layanan VPN yang berbasis klien terkelola yangmemungkinkan Anda mengakses sumber daya AWS dan sumber daya dijaringan on-premise Anda dengan aman. Dengan AWS Client VPN, Andamengkonfigurasi titik akhir yang dapat terhubung oleh pengguna Anda untukmembuat sesi TLS VPN yang aman. Hal ini memungkinkan klien untukmengakses sumber daya di AWS atau on-premise dari lokasi mana punmenggunakan klien VPN berbasis OpenVPN. Untuk informasi selengkapnya,lihat Panduan Administrator AWS Client VPN.

VPN CloudHub AWS Jika Anda memiliki lebih dari satu jaringan jarak jauh (misalnya, beberapakantor cabang), Anda dapat membuat beberapa koneksi AWS Site-to-SiteVPN melalui virtual private gateway Anda untuk memungkinkan komunikasiantar jaringan ini. Untuk informasi selengkapnya, lihat Menyediakankomunikasi antar situs yang aman menggunakan VPN CloudHub di PanduanPengguna AWS Site-to-Site VPN.

Peralatan VPNperangkat lunak pihak ketiga

Anda dapat membuat koneksi VPN ke jaringan jarak jauh Anda denganmenggunakan instans Amazon EC2 di VPC Anda yang menjalankanperalatan perangkat lunak VPN pihak ketiga. AWS tidak menyediakan ataumemelihara peralatan VPN perangkat lunak pihak ketiga; namun, Anda dapatmemilihnya dari berbagai produk yang disediakan oleh mitra dan komunitassumber terbuka. Temukan peralatan VPN perangkat lunak pihak ke tiga diAWS Marketplace.

Anda dapat juga menggunakan AWS Direct Connect untuk membuat koneksi privat khusus dari jaringanjarak jauh ke VPC Anda. Anda dapat menggabungkan koneksi ini dengan AWS Site-to-Site VPN untukmembuat sambungan terenkripsi IPsec. Untuk informasi lebih lanjut, lihat Apa itu AWS Direct Connect? diPanduan Pengguna AWS Direct Connect.

337



https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPN_CloudHub.html

http://aws.amazon.com/marketplace/search/results/ref=brs_navgno_search_box?searchTerms=vpn

https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html


AWS PrivateLink dan VPC endpointAWS PrivateLink menetapkan konektivitas privat antara virtual private cloud (VPC) dan layanan yangdihosting di AWS atau on-premise, tanpa mengekspos lalu lintas antara VPC Anda dan layanan ke internet.

Untuk menggunakan AWS PrivateLink, membuat VPC endpoint untuk layanan di VPC Anda. Andamembuat jenis VPC endpoint yang diperlukan oleh layanan yang didukung. Ini membuat antarmukajaringan elastis dalam subnet Anda dengan alamat IP privat yang berfungsi sebagai titik masuk untuklalu lintas ditujukan ke layanan yang didukung. Diagram berikut menunjukkan arsitektur dasar untukmenghubungkan VPC Anda dengan aman ke layanan AWS yang mendukung AWS PrivateLink.

Anda dapat membuat VPC endpoint Anda sendiri, yang didukung oleh AWS PrivateLink danmemungkinkan pelanggan AWS lainnya mengakses layanan Anda.

Untuk informasi lebih lanjut, lihat Panduan Pengguna untuk AWS PrivateLink.

338

https://docs.aws.amazon.com/vpc/latest/privatelink/


AWS Network FirewallAnda dapat mem-filter lalu lintas jaringan di perimeter VPC Anda menggunakan AWS Network Firewall.Network Firewall adalah stateful, dikelola, jaringan firewall dan deteksi intrusi dan layanan pencegahan.Untuk informasi selengkapnya, lihat Panduan Developer AWS Network Firewall.

Anda menerapkan Network Firewall dengan sumber daya AWS berikut.

Sumber daya NetworkFirewall

Deskripsi

firewall Firewall menghubungkan perilaku penyaringan lalu lintas jaringan kebijakanfirewall ke VPC yang ingin Anda lindungi. Konfigurasi firewall mencakupspesifikasi untuk Availability Zone dan subnet tempat endpoint firewallditempatkan. Hal ini juga mendefinisikan pengaturan tingkat tinggi sepertikonfigurasi pencatatan firewall dan penandaan pada sumber daya firewallAWS.

Untuk informasi selengkapnya, lihat Firewall di AWS Network Firewall.

Kebijakan Firewall Kebijakan firewall mendefinisikan perilaku pemantauan dan perlindunganuntuk firewall. Rincian perilaku didefinisikan dalam grup aturan yangAnda tambahkan ke kebijakan Anda, dan di beberapa pengaturan defaultkebijakan. Untuk menggunakan kebijakan firewall, Anda mengaitkannyadengan satu atau lebih firewall.

Untuk informasi selengkapnya, lihat Kebijakan firewall di AWS NetworkFirewall.

Grup aturan Grup aturan adalah seperangkat kriteria yang dapat digunakan kembali untukmemeriksa dan menangani lalu lintas jaringan. Anda menambahkan satuatau lebih grup aturan kebijakan firewall sebagai bagian dari konfigurasikebijakan Anda. Anda dapat menentukan grup aturan stateless untukmemeriksa setiap paket jaringan dalam isolasi. Grup aturan stateless serupadalam hal perilaku dan fungsinya untuk daftar kontrol akses (ACL) jaringanAmazon VPC. Anda juga dapat menentukan grup aturan stateful untukmemeriksa paket dalam konteks arus lalu lintas mereka. Grup aturan statefulserupa dalam hal perilaku dan manfaat untuk grup keamanan Amazon VPC.

Untuk informasi selengkapnya, lihat Grup aturan di AWS Network Firewall.

Anda juga dapat menggunakan AWS Firewall Manager untuk mengonfigurasi dan mengelola sumber dayaNetwork Firewall secara terpusat di seluruh akun dan aplikasi Anda di AWS Organizations. Anda dapatmengelola firewall untuk beberapa akun menggunakan satu akun di Firewall Manager. Untuk informasiselengkapnya, lihat AWS Firewall Manager dalam Panduan Developer AWS WAF, AWS Firewall Manager,dan AWS Shield Advanced.

339

https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewalls.html

https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewalls.html

https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html

https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html

https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html

https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html


Route 53 Resolver DNS FirewallDengan DNS Firewall, Anda menentukan aturan penyaringan nama domain di grup aturan yang Andakaitkan dengan VPC Anda. Anda dapat menentukan daftar nama domain untuk mengizinkan ataumemblokir, dan Anda dapat menyesuaikan respon untuk kueri DNS yang Anda blokir. Untuk informasiselengkapnya, lihat Dokumentasi Route 53 Resolver DNS Firewall.

Anda menerapkan DNS Firewall dengan sumber daya AWS berikut.

Sumber daya DNSFirewall

Deskripsi

Grup aturan DNSFirewall

Grup aturan DNS Firewall sekumpulan aturan DNS Firewall yang diberi namadan dapat digunakan kembali untuk menyaring kueri DNS. Anda mengisigrup aturan dengan aturan penyaringan, kemudian mengaitkan grup aturandengan satu atau lebih VPC dari Amazon VPC. Ketika Anda mengaitkangrup aturan dengan VPC, Anda mengaktifkan penyaringan DNS Firewalluntuk VPC. Kemudian, ketika Resolver menerima kueri DNS untuk VPC yangmemiliki grup aturan yang terkait dengannya, Resolver meneruskan kueritersebut ke DNS Firewall untuk disaring.

Setiap aturan dalam grup aturan menentukan satu daftar domain dantindakan yang akan dilakukan terhadap kueri DNS yang domainnyasesuai dengan spesifikasi domain dalam daftar. Anda dapat mengizinkan,memblokir, atau memperingatkan adanya kueri yang cocok. Anda juga dapatmenentukan respon kustom untuk kueri yang diblokir.

Untuk informasi lebih lanjut, lihat: Grup aturan dan aturan dalam Route 53Resolver DNS Firewall.

Daftar domain Daftar domain adalah seperangkat spesifikasi domain yang dapat digunakankembali yang Anda gunakan dalam aturan DNS Firewall, di dalam grupaturan.

Untuk informasi selengkapnya, lihat Daftar domain dalam Route 53 ResolverDNS Firewall.

Anda juga dapat menggunakan AWS Firewall Manager untuk mengonfigurasi dan mengelola sumber dayaDNS Firewall secara terpusat di seluruh akun dan organisasi Anda di AWS Organizations. Anda dapatmengelola firewall untuk beberapa akun menggunakan satu akun di Firewall Manager. Untuk informasiselengkapnya, lihat AWS Firewall Manager di Panduan Developer AWS WAF, AWS Firewall Manager, danAWS Shield Advanced.

340

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-domain-lists.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-domain-lists.html

https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html

Amazon Virtual Private Cloud Panduan PenggunaVPC dan subnet

Kuota Amazon VPCTabel berikut mencantumkan kuota, yang sebelumnya disebut sebagai batas, untuk sumber daya AmazonVPC per wilayah untuk akun AWS Anda. Kecuali disebutkan lain, Anda dapat meminta penambahan untukkuota ini. Untuk beberapa kuota ini, Anda dapat melihat kuota saat ini menggunakan halaman Batas konsolAmazon EC2.

Jika Anda meminta penambahan kuota yang berlaku per sumber daya, kami meningkatkan kuota untuksemua sumber daya di Wilayah.

VPC dan subnetNama Default Dapat

disesuaikanKomentar

VPC per Wilayah 5 Ya Penambahan kuota ini menambah kuotapada gateway internet per Wilayah denganjumlah yang sama.

Anda dapat meningkatkan batas inisehingga Anda dapat memiliki 100 VPC perWilayah.

Subnet per VPC 200 Ya

blok CIDR IPv4 per VPC 5 Ya

(hingga50)

Blok CIDR primer ini dan semua blok CIDRsekunder dihitung terhadap kuota ini.

blok CIDR IPv6 per VPC 1 Tidak

DNSSetiap instans EC2 membatasi jumlah paket yang dapat dikirim ke Amazon Route 53 Resolver (khususnyaalamat .2, seperti 10.0.0.2, dan 169.254.169.253) hingga maksimum 1024 paket per detik per antarmukajaringan. Kuota ini tidak dapat ditambah. Jumlah kueri DNS per detik yang didukung oleh Amazon Route 53Resolver bervariasi tergantung jenis kueri, ukuran respon, dan protokol yang digunakan. Untuk informasilebih lanjut dan rekomendasi untuk arsitektur DNS yang dapat diskalakan, lihat laporan resmi Solusi DNSCloud Hibrid untuk Amazon VPC.

Alamat IP elastis (IPv4)Nama Default Dapat

disesuaikanKomentar

Alamat IP Elastis per Wilayah 5 Ya Kuota ini berlaku untuk VPC akun AWSindividu dan VPC bersama.

341

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-F678F1CE

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-407747CB

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-83CA0A9D



https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-0263D0A3

Amazon Virtual Private Cloud Panduan PenggunaGateways

Gateways

Nama Default Dapatdisesuaikan

Komentar

Gateway internet hanya egressper Wilayah

5 Ya Untuk menambah kuota ini, tambah kuotapada VPC per Wilayah.

Anda dapat melampirkan hanya satugateway internet egress untuk satu VPCpada suatu waktu.

Gateway internet per Wilayah 5 Ya Untuk menambah kuota ini, tambah kuotapada VPC per Wilayah.

Anda dapat melampirkan hanya satugateway internet untuk satu VPC pada suatuwaktu.

NAT gateway per AvailabilityZone

5 Ya NAT gateway dihitung terhadap kuota Andadalam keadaan pending, active, ataudeleting.

Gateway operator per VPC 1 Tidak

Daftar prefiks yang dikelola konsumen

Nama Default Komentar

Daftar prefiks per Wilayah 100

Versi per daftar prefiks 1.000 Jika daftar prefiks memiliki 1.000 versi yangdisimpan dan Anda menambahkan versi baru,versi tertua akan dihapus agar versi baru dapatditambahkan.

Jumlah maksimum entri per daftarprefiks

1.000

Referensi ke daftar prefiks per jenissumber daya

5.000 Kuota ini berlaku per jenis sumber daya yang dapatmerujuk ke daftar prefiks. Misalnya, Anda dapatmemiliki 5.000 referensi ke daftar prefiks di semuagrup keamanan Anda ditambah 5.000 referensike daftar prefiks di semua tabel rute subnet Anda.Jika Anda membagikan daftar prefiks dengan akunAWS lain, referensi akun lain tersebut ke daftarprefiks Anda dihitung sebagai kuota ini.

342

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-45FE3B85

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-A4707A72

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-FE5A380F

Amazon Virtual Private Cloud Panduan PenggunaACL Jaringan

ACL JaringanNama Default Dapat

disesuaikanKomentar

ACL jaringan per VPC 200 Ya Anda dapat mengaitkan satu jaringan ACLuntuk satu atau lebih subnet di VPC.

Aturan per jaringan ACL 20 Ya Ini adalah kuota satu arah untuk satu ACLjaringan. Kuota ini diberlakukan secaraterpisah untuk aturan IPv4 dan aturan IPv6;misalnya, Anda dapat memiliki 20 aturaningress untuk lalu lintas IPv4 dan 20 aturaningrees untuk lalu lintas IPv6. Kuota inimencakup aturan blokir secara default(aturan nomor 32767 untuk IPv4 dan 32768untuk IPv6, atau tanda bintang * di konsolAmazon VPC).

Kuota ini dapat ditambah hingga maksimum40; namun, performa jaringan mungkinterpengaruh karena beban kerja yangmeningkat untuk memproses aturantambahan.

Antarmuka jaringanNama Default Dapat

disesuaikanKomentar

Antarmuka jaringan per instans Bervariasitergantungtipeinstans

Tidak Untuk informasi selengkapnya, lihatAntarmuka jaringan per tipe instans.

Antarmuka jaringan perWilayah

5.000 Ya Kuota ini berlaku untuk VPC akun AWSindividu dan VPC bersama.

Tabel ruteNama Default Dapat

disesuaikanKomentar

Tabel rute per VPC 200 Ya Tabel rute utama dihitung terhadap kuota ini.

Rute per tabel rute (rute yangtidak disebarkan)

50 Ya Anda dapat menambah kuota ini hinggamaksimum 1.000; namun, performa jaringanmungkin terkena dampaknya. Kuota inidiberlakukan secara terpisah untuk rute IPv4dan rute IPv6.

343

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-B4A6D682

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-2AEEBF1A


https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-DF5E4CA3

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-589F43AA

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-93826ACB

Amazon Virtual Private Cloud Panduan PenggunaGrup keamanan


Komentar

Jika Anda memiliki lebih dari 125 rute, kamisarankan Anda memberikan nomor halamanpanggilan untuk menggambarkan tabel ruteAnda untuk performa yang lebih baik.

Jika Anda merujuk daftar prefiks yangdikelola pelanggan dalam suatu rute, jumlahmaksimum entri untuk daftar prefiks tersebutsama dengan jumlah rute yang sama.

Rute yang diiklankan BGPper tabel rute (rute yangdisebarkan)

100 Tidak Jika Anda memerlukan prefiks tambahan,iklankan rute default.

Grup keamananNama Default Dapat

disesuaikanKomentar

Grup keamanan VPC perWilayah

2.500 Ya Kuota ini berlaku untuk VPC akun AWSindividu dan VPC bersama.

Jika Anda menambah kuota ini hingga lebihdari 5.000 grup keamanan di Wilayah, kamisarankan agar Anda melakukan pemberiannomor panggilan untuk menjelaskan grupkeamanan Anda agar memiliki performayang lebih baik.

Aturan masuk atau keluar pergrup keamanan

60 Ya Anda dapat memiliki 60 aturan masukdan 60 aturan keluar per grup keamanan(dengan total 120 aturan). Kuota inidiberlakukan secara terpisah untuk aturanIPv4 dan aturan IPv6; misalnya, suatu grupkeamanan dapat memiliki 60 aturan masukuntuk lalu lintas IPv4 dan 60 aturan keluaruntuk lalu lintas IPv6. Aturan yang merujuksuatu grup keamanan atau ID daftar prefiksyang dikelola AWS dihitung sebagai satuaturan untuk IPv4 dan satu aturan untukIPv6.

Perubahan kuota berlaku untuk aturanmasuk dan keluar. Kuota ini yang dikalikandengan kuota untuk grup keamanan perantarmuka jaringan tidak dapat lebih dari1.000. Misalnya, jika Anda menambah kuotaini menjadi 100, kami mengurangi kuotauntuk jumlah grup keamanan per antarmukajaringan menjadi 10.

Jika Anda merujuk daftar prefiks yangdikelola pelanggan dalam aturan grup

344

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-E79EC296

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-0EA8095F

Amazon Virtual Private Cloud Panduan PenggunaKoneksi peering VPC


Komentar

keamanan, jumlah maksimum entri untukdaftar prefiks sama dengan jumlah yangsama dengan aturan grup keamanan.

Grup keamanan per antarmukajaringan

5 Ya

(hingga16)

Kuota ini diberlakukan secara terpisah untukaturan IPv4 dan aturan IPv6. Kuota untukgrup keamanan per antarmuka jaringanyang dikali kuota untuk aturan per grupkeamanan tidak dapat lebih dari 1.000.Misalnya, jika Anda menambah kuota inimenjadi 10, kami mengurangi kuota untukjumlah aturan per grup keamanan menjadi100.

Koneksi peering VPC


Komentar

Koneksi peering VPC aktif perVPC

50 Ya

(hingga125)

Jika Anda menambah kuota ini, Anda harusmeningkatkan jumlah entri per tabel rutesesuai penambahan kuota.

Permintaan koneksi peeringVPC yang belum dipenuhi

25 Ya Ini adalah kuota untuk jumlah permintaankoneksi peering VPC yang belum dipenuhiyang telah Anda minta dari akun Anda.

Waktu kedaluwarsa untukpermintaan koneksi peeringVPC yang tidak diterima

1 minggu(168 jam)

Tidak

VPC endpoint


Komentar

Gateway VPC Endpoint perWilayah

20 Ya Anda tidak dapat memiliki lebih dari 255 titikakhir gateway per VPC.

Titik akhir antara muka danPenyeimbang Beban Gatewayper VPC

50 Ya Ini adalah kuota gabungan untuk jumlahmaksimum titik akhir antarmuka dan titikakhir Penyeimbang Beban Gateway di VPC.Untuk menambah kuota ini, hubungi AWSSupport.

Ukuran kebijakan VPCendpoint

20.480karakter

Tidak Kuota ini termasuk spasi putih.

345

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-2AFB9258

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-7E9ECCDB

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-DC9F7029

https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-1B52E74A

Amazon Virtual Private Cloud Panduan PenggunaPembagian VPC

Maximum transmission unit (MTU) berikut berlaku untuk lalu lintas yang melewati VPC endpoint.

• Maximum transmission unit (MTU) dari koneksi jaringan adalah ukuran, dalam byte, dari paket terbesaryang dapat diizinkan yang dapat dilewatkan melalui VPC endpoint. Semakin besar MTU, semakinbanyak data yang dapat dilewatkan dalam satu paket tunggal. VPC endpoint mendukung MTU 8500byte.

• Paket dengan ukuran lebih besar dari 8500 byte yang tiba di VPC endpoint akan dijatuhkan.• VPC endpoint tidak menghasilkan paket FRAG_NEEDEFICMP, sehingga Path MTU Discovery (PMTUD)

tidak didukung.• VPC endpoint memberlakukan penyepitan Maximum Segment Size (MSS) untuk semua paket. Untuk

informasi lebih lanjut, lihat RFC879.

Pembagian VPCSemua kuota VPC standar berlaku untuk VPC bersama.

Untuk menambah kuota ini, hubungi AWS Support. AWS menyarankan Anda untuk melakukan pemberiannomor halaman terhadap DescribeSecurityGroups Anda dan panggilan API DescribeSubnetssebelum meminta penambahan.


Komentar

Akun peserta per VPC 100 Ya Ini adalah jumlah akun peserta yangberbeda yang subnet dalam VPC-nya dapatdibagikan. Ini adalah kuota per VPC danberlaku di semua subnet yang dibagikandalam suatu VPC. Untuk menambah kuotaini, hubungi AWS Support.

Pemilik VPC dapat melihat antarmukajaringan dan grup keamanan yangdilekatkan pada sumber daya peserta.

Subnet yang dapat dibagikandengan suatu akun

100 Ya Ini adalah jumlah maksimum subnet yangdapat dibagikan dengan akun AWS.

Amazon EC2 API throttlingUntuk informasi selengkapnya tentang Amazon EC2 throttling, lihat Throttling Permintaan API dalamReferensi API Amazon EC2.

Sumber daya kuota tambahanUntuk informasi selengkapnya, lihat hal berikut:

• Kuota transit gateway di Gateway Transit Amazon VPC.• Kuota AWS Client VPN dalam Panduan Administrator AWS Client VPN• Kuota Site-to-Site VPN dalam Panduan Pengguna AWS Site-to-Site VPN• Kuota AWS Direct Connect dalam Panduan Pengguna AWS Direct Connect

346


https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-44499CD2

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-quotas.html

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/limits.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html


Riwayat dokumenTabel berikutnya menjelaskan perubahan di setiap rilis dari Panduan Pengguna Amazon VPC danPanduan Peering Amazon VPC.

update-history-change update-history-description update-history-date

ID sumber daya dan supportpemberian tag untuk aturan grupkeamanan (p. 347)

Anda dapat merujuk ke aturangrup keamanan dengan IDsumber daya. Anda dapatmenambahkan tag ke aturangrup keamanan Anda.

7 Juli 2021

Gateway NAT pribadi (p. 347) Anda dapat menggunakangateway NAT pribadi untukkomunikasi pribadi outbound-onlyantar VPC atau antara VPC danjaringan on-premise Anda.

10 Juni 2021

Endpoint antarmuka Amazon S3 Anda dapat membuat endpointantarmuka Amazon S3.

2 Februari 2021

Endpoint Gateway Load Balancer Anda dapat membuat endpointGateway Load Balancer diVPC Anda untuk mengarahkanlalu lintas ke layanan VPCendpoint yang Anda konfigurasimenggunakan Gateway LoadBalancer.

10 November 2020

Gateway operator Anda dapat membuat gatewayoperator untuk mengizinkanlalu lintas inbound dari jaringanoperator di lokasi tertentu, danuntuk mengizinkan lalu lintasoutbound ke jaringan operatordan internet.

6 Agustus 2020

Beri tag pada buat (p. 347) Anda dapat menambahkan tagketika Anda membuat koneksipeering VPC tabel rute.

20 Juli 2020

Beri tag pada buat (p. 347) Anda dapat menambahkan tagketika Anda membuat VPC, opsiDHCP, gateway internet, gatewayegress-only, ACL jaringan, dangrup keamanan.

30 Juni 2020

Daftar prefiks yang terkelola Anda dapat membuat danmengelola satu set blok CIDR didaftar prefiks.

29 Juni 2020

Peningkatan log alur Kolom log alur yang barutersedia, dan Anda dapatmenentukan format kustom untuklog alur yang dipublikasikan keCloudWatch Logs.

4 Mei 2020

347

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway-load-balancer.html

https://docs.aws.amazon.com/vpc/latest/userguide/Carrier_Gateway.html

https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html



Support pemberian tag untuk logalur

Anda dapat menambahkan tagke log alur Anda.

16 Maret 2020

Beri tag pada pembuatangerbang NAT

Anda dapat menambahkan tagsaat membuat gateway NAT.

9 Maret 2020

Kunci syarat untuk VPC endpointdan layanan endpoint

Anda dapat menggunakan kuncisyarat EC2 untuk mengontrolakses ke VPC endpoint danlayanan endpoint.

6 Maret 2020

Beri tag pada VPC endpointdan pembuatan layanan VPCendpoint

Anda dapat menambahkantag saat Anda membuat VPCendpoint atau layanan VPCendpoint.

5 Februari 2020

Interval agregasi maksimumuntuk log alur

Anda dapat menentukan jangkawaktu maksimum selama alurterjadi dan teragregasi ke dalamcatatan log alur.

4 Februari 2020

Konfigurasi grup perbatasanjaringan

Anda dapat mengkonfigurasigrup perbatasan jaringan untukVPC Anda dari Amazon VirtualPrivate Cloud Console.

22 Januari 2020

Nama DNS pribadi Anda dapat mengakses AWSPrivateLink berbasis layanansecara pribadi dari dalam VPCAnda menggunakan nama DNSPribadi.

6 Januari 2020

Tabel rute Gateway Anda dapat mengaitkan tabel rutedengan gateway dan rute masuklalu lintas VPC rute inbound keantarmuka jaringan tertentu diVPC Anda.

3 Desember 2019

Peningkatan log alur Anda dapat menentukan formatkustom untuk log alur Anda danmemilih bidang mana yang akandikembalikan dalam catatan logalur.

11 September 2019

Peering antar wilayah Resolusi nama host DNS di-support untuk koneksi peeringVPC antar wilayah di WilayahAsia Pacific (Hong Kong).

26 Agustus 2019

AWS Site-to-Site VPN AWS VPN yang terkelolasekarang dikenal sebagai AWSSite-to-Site VPN.

18 Desember 2018

Berbagi VPC Anda dapat berbagi subnetyang berada di VPC yangsama dengan beberapa akun diorganisasi AWS yang sama.

27 November 2018

348

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating



https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html



https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-aggregration-interval

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-aggregration-interval

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#vpc-associate-ipv6-cidr

https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#vpc-associate-ipv6-cidr

https://docs.aws.amazon.com/vpc/latest/userguide/verify-domains.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#gateway-route-table



https://docs.aws.amazon.com/vpn/latest/s2svpn/

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html


Peering antar wilayah Anda dapat membuat koneksipeering VPC antar VPC diberbagai Wilayah AWS.

29 November 2017

Layanan VPC endpoint Anda dapat membuat layananAWS PrivateLink Anda sendiridi VPC dan mengaktifkan akunAWS dan pengguna lainnyauntuk terhubung ke layanan Andamelalui antarmuka VPC endpoint.

28 Nopember 2017

Buat subnet default Anda dapat membuat sebuahsubnet default di sebuahAvailability Zone yang tidakmemiliki subnet.

9 November 2017

Endpoint VPC antarmuka untuklayanan AWS

Anda dapat membuat endpointantarmuka untuk secara pribaditerhubung ke beberapa layananAWS. Endpoint antarmukaadalah antarmuka jaringandengan alamat IP pribadi yangberfungsi sebagai titik masukuntuk lalu lintas ke layanan.

8 November 2017

Support pemberian tag untukgateway NAT

Anda dapat memberi tag padagateway NAT.

7 September 2017

Metrik Amazon CloudWatchuntuk gateway NAT

Anda dapat melihat metrikCloudWatch untuk gateway NATAnda.

7 September 2017

Deskripsi aturan grup keamanan Anda dapat menambahkandeskripsi ke aturan grupkeamanan.

31 Agustus 2017

Blok CIDR IPv4 Sekunder untukVPC

Anda dapat menambahkanbeberapa blok CIDR IPv4 untukVPC Anda.

29 Agustus 2017

VPC Endpoints untuk DynamoDB Anda dapat mengakses AmazonDynamoDB dari VPC Andamenggunakan VPC endpoint.

16 Agustus 2017

Memulihkan alamat IP Elastis Jika Anda merilis alamat IPElastis Anda, Anda dapatmemulihkannya.

11 Agustus 2017

Buat VPC default Anda dapat membuat VPCdefault baru jika Andamenghapus VPC default yangada.

27 Juli 2017

Support IPv6 Anda dapat mengaitkan sebuahblok CIDR IPv6 dengan VPCAnda dan menetapkan alamatIPv6 ke sumber daya di VPCAnda.

1 Desember 2016

349


https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#create-default-subnet

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-tagging

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-tagging

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-ddb.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html#create-default-vpc

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html


Support resolusi DNS untukkisaran alamat IP non-RFC1918 (p. 347)

Server DNS Amazon sekarangdapat mengubah nama host DNSpribadi ke alamat IP pribadi untuksemua ruang alamat.

24 Oktober 2016

Support resolusi DNS untukpeering VPC

Anda dapat mengaktifkan VPClokal untuk mengubah nama hostDNS publik menjadi alamat IPpribadi ketika di-kueri dari instansdi VPC rekan.

28 Juli 2016

Aturan grup keamanan yangkedaluwarsa

Anda dapat mengetahui jika grupkeamanan Anda sedang dirujukdalam aturan grup keamanandi VPC rekan, dan Andadapat mengetahui aturan grupkeamanan yang kedaluwarsa.

12 Mei 2016

Menggunakan ClassicLinkmelalui koneksi peering VPC

Anda dapat memodifikasikoneksi peering VPC Andauntuk mengaktifkan instansEC2-Classic yang terkait lokaluntuk berkomunikasi denganinstans-instans di VPC peer, atausebaliknya.

26 April 2016

Gateway NAT Anda dapat membuat gatewayNAT di subnet publik danmengaktifkan instans di subnetpribadi untuk memulai lalulintas outbound ke internet ataulayanan AWS lainnya.

17 Desember 2015

Log alur VPC Anda dapat membuat log aluruntuk menangkap informasitentang lalu lintas IP ke dan dariantarmuka jaringan di VPC Anda.

10 Juni 2015

VPC endpoint VPC endpoint memungkinkanAnda untuk membuat koneksipribadi antar VPC Anda danlayanan AWS lain tanpamemerlukan akses melaluiinternet, melalui koneksi VPN,melalui instans NAT, atau melaluiAWS Direct Connect.

11 Mei 2015

ClassicLink ClassicLink mengizinkanAnda menautkan instans EC2-Classic ke VPC di akun Anda.Anda dapat mengaitkan grupkeamanan VPC dengan instansEC2-Classic, mengaktifkankomunikasi antara instans EC2-Classic dan instans di VPC Andamenggunakan alamat IP pribadi.

7 Januari 2015

350

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#modify-peering-connections

https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html#modify-peering-connections





https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html



https://docs.aws.amazon.com/vpc/latest/userguide/vpc-classiclink.html


Gunakan zona yang di-hostingpribadi

Anda dapat mengakses sumberdaya di VPC Anda menggunakannama domain DNS kustom yangAnda tetapkan di zona hostpribadi di Route 53.

5 November 2014

Modifikasi atribut penetapanalamat IP publik subnet

Anda dapat mengubah atributpenetapan alamat IP publik darisubnet Anda untuk mengetahuiapakah instans yang diluncurkanke subnet tersebut harusmenerima alamat IP publik atautidak.

21 Juni 2014

Peering VPC Anda dapat membuat koneksipeering VPC antara dua VPC,yang mengizinkan instans disalah satu VPC berkomunikasisatu sama lain menggunakanalamat IP pribadi

24 Maret 2014

Menetapkan alamat IP publik Anda dapat menetapkan alamatIP publik ke sebuah instansselama peluncuran.

20 Agustus 2013

Mengaktifkan nama host DNSdan menonaktifkan resolusi DNS

Anda dapat memodifikasi VPCdefault dan menonaktifkanresolusi DNS dan mengaktifkannama host DNS.

11 Maret 2013

VPC Dimanapun (p. 347) Support tambahan untuk VPCdalam lima Wilayah AWS, VPCdi beberapa Availability Zones,beberapa VPC per akun AWS,dan beberapa koneksi VPN perVPC.

3 Agustus 2011

Instans Khusus (p. 347) Instans Khusus adalah instansAmazon EC2 yang diluncurkandalam VPC Anda yangmenjalankan perangkat kerasyang didedikasikan untuk satupelanggan.

27 Maret 2011

351

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#vpc-public-ip

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html

Amazon Virtual Private Cloud - Panduan Pengguna

Documents

Transcript of Amazon Virtual Private Cloud - Panduan Pengguna