Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Mencegah akses internet di tingkat akun dengan menggunakan kebijakan kontrol layanan *Sergiy Shevchenko, Sean O'Sullivan, dan Victor Mazeo Whitaker, Amazon Web Services* ## Ringkasan Organizations sering ingin membatasi akses internet untuk sumber daya akun yang harus tetap pribadi. Dalam akun ini, sumber daya di awan pribadi virtual (VPCs) tidak boleh mengakses internet dengan cara apa pun. Banyak organisasi memilih [arsitektur inspeksi terpusat](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/). Untuk lalu lintas timur-barat (VPC-to-VPC) dalam arsitektur inspeksi terpusat, Anda perlu memastikan bahwa akun spoke dan sumber dayanya tidak memiliki akses ke internet. Untuk lalu lintas utara-selatan (jalan keluar internet dan lokal), Anda ingin mengizinkan akses internet hanya melalui VPC inspeksi. Pola ini menggunakan [kebijakan kontrol layanan (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk membantu mencegah akses internet. Anda dapat menerapkan SCP ini di tingkat akun atau unit organisasi (OU). SCP membatasi konektivitas internet dengan mencegah hal-hal berikut: + Membuat atau melampirkan [gateway IPv4 atau IPv6 internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) yang memungkinkan akses internet langsung ke VPC + Membuat atau menerima koneksi [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) yang memungkinkan akses internet tidak langsung melalui VPC lain + Membuat atau memperbarui [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)konfigurasi yang memungkinkan akses internet langsung ke sumber daya VPC ## Prasyarat dan batasan **Prasyarat** + Satu atau beberapa Akun AWS dikelola sebagai organisasi di AWS Organizations. + [Semua fitur diaktifkan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) di AWS Organizations. + [SCPs diaktifkan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) dalam organisasi. + Izin untuk: + Akses akun manajemen organisasi. + Buat SCPs. Untuk informasi selengkapnya tentang izin minimum, lihat [Membuat SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#create-an-scp). + Lampirkan SCP ke akun target atau unit organisasi (OUs). Untuk informasi selengkapnya tentang izin minimum, lihat [Melampirkan dan melepaskan kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html). **Batasan** + SCPs tidak memengaruhi pengguna atau peran di akun manajemen. SCP tersebut hanya mempengaruhi akun anggota di organisasi Anda. + SCPs hanya mempengaruhi AWS Identity and Access Management (IAM) pengguna dan peran yang dikelola oleh akun yang merupakan bagian dari organisasi. Untuk informasi selengkapnya, lihat [efek SCP pada izin](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions). ## Alat **Layanan AWS** + [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Dalam pola ini, Anda menggunakan [kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di AWS Organizations. + [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) membantu Anda meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur yang dapat diskalakan. AWS ## Praktik terbaik Setelah membuat SCP ini di organisasi Anda, pastikan untuk sering memperbaruinya untuk mengatasi fitur baru Layanan AWS atau yang mungkin memengaruhi akses internet. ## Epik ### Buat dan lampirkan SCP | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Buat SCP. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrator AWS | | Lampirkan SCP. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrator AWS | ## Sumber daya terkait + [AWS Organizations dokumentasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) + [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) + [Arsitektur inspeksi terpusat dengan AWS Gateway Load Balancer AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) dan AWS (posting blog)