Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konektivitas jaringan untuk arsitektur multi-akun
<a name="network-connectivity"></a>

## Menghubungkan VPCs
<a name="connecting-vpcs"></a>

Banyak perusahaan menggunakan VPC peering di Amazon Virtual Private Cloud (Amazon VPC) untuk menghubungkan pengembangan dan produksi. VPCs Menggunakan koneksi peering VPC, Anda dapat merutekan lalu lintas antara dua VPCs dengan menggunakan alamat IP pribadi. Yang terhubung VPCs bisa berbeda Akun AWS dan berbeda Wilayah AWS. Untuk informasi selengkapnya, lihat [Apa itu peering VPC (dokumentasi](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) Amazon VPC). Seiring pertumbuhan perusahaan dan jumlah VPCs peningkatan, menjaga hubungan peering antara semua VPCs dapat menjadi beban pemeliharaan. Anda mungkin juga dibatasi oleh jumlah maksimum koneksi peering VPC per VPC. Untuk informasi selengkapnya, lihat [kuota koneksi peering VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering) (dokumentasi Amazon VPC).

Jika Anda memiliki beberapa lingkungan pengembangan, pengujian, dan pementasan yang meng-host data non-produksi di beberapa Akun AWS, Anda mungkin ingin menyediakan konektivitas jaringan di antara semua itu VPCs tetapi tidak mengizinkan akses apa pun ke lingkungan produksi. Anda dapat menggunakan [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)untuk menghubungkan beberapa VPCs di beberapa akun. Anda dapat memisahkan tabel rute untuk VPCs mencegah pengembangan berkomunikasi ke produksi VPCs melalui gateway transit, yang bertindak sebagai router terpusat. Untuk informasi selengkapnya, lihat [Router terpusat](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-centralized-router.html) (dokumentasi Transit Gateway).

Transit Gateway juga mendukung peering dengan gateway transit lainnya, termasuk yang berbeda atau. Akun AWS Wilayah AWS Karena Transit Gateway adalah layanan yang dikelola sepenuhnya dan sangat tersedia, Anda hanya perlu menyediakan satu gateway transit untuk setiap Wilayah.

Untuk informasi selengkapnya dan arsitektur jaringan yang mendetail, lihat [Membangun Infrastruktur AWS Jaringan Multi-VPC (Whitepaper) yang Dapat Diskalakan dan Aman](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html).AWS 

## Menghubungkan aplikasi
<a name="connecting-applications"></a>

Jika Anda perlu menjalin komunikasi antar aplikasi di lingkungan yang berbeda Akun AWS (seperti produksi), Anda dapat menggunakan salah satu opsi berikut:
+ [VPC mengintip](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) atau [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)dapat menyediakan konektivitas di tingkat jaringan jika Anda ingin membuka akses luas ke beberapa alamat IP dan port.
+ [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)membuat titik akhir di subnet pribadi VPC, dan titik akhir ini terdaftar sebagai entri DNS di. [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) Dengan menggunakan DNS, aplikasi dapat menyelesaikan titik akhir dan terhubung ke layanan terdaftar, tanpa memerlukan gateway NAT atau gateway internet di VPC.
+ [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-service-network.html) mengaitkan layanan, seperti aplikasi, di beberapa akun VPCs dan mengumpulkannya ke dalam jaringan layanan. Klien VPCs yang terkait dengan jaringan layanan dapat mengirim permintaan ke semua layanan lain yang terkait dengan jaringan layanan, terlepas dari apakah mereka berada di akun yang sama. VPC Lattice terintegrasi dengan AWS Resource Access Manager (AWS RAM) sehingga Anda dapat berbagi sumber daya dengan akun lain atau melalui. AWS Organizations Anda dapat mengaitkan VPC hanya dengan satu jaringan layanan. Solusi ini tidak memerlukan penggunaan VPC peering atau AWS Transit Gateway untuk berkomunikasi lintas akun.

## Praktik terbaik untuk konektivitas jaringan
<a name="connectivity-best-practices"></a>
+ Buat Akun AWS yang Anda gunakan untuk jaringan terpusat. Beri nama akun ini **network-prod**, dan gunakan untuk dan AWS Transit Gateway Amazon [VPC IP Address](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) Manager (IPAM). Tambahkan akun ini ke unit organisasi **Infrastructure\$1Prod**.
+ Gunakan [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)(AWS RAM) untuk berbagi gateway transit, jaringan layanan VPC Lattice, dan kolam IPAM dengan seluruh organisasi. Ini memungkinkan siapa pun Akun AWS di dalam organisasi Anda untuk berinteraksi dengan layanan ini.
+ Dengan menggunakan kolam IPAM untuk mengelola IPv4 dan IPv6 menangani alokasi secara terpusat, Anda dapat mengizinkan pengguna akhir Anda untuk menyediakan sendiri dengan menggunakan. VPCs [AWS Service Catalog](https://aws.amazon.com/servicecatalog/) Ini membantu Anda mengukur dengan tepat VPCs dan mencegah spasi alamat IP yang tumpang tindih.
+ Gunakan pendekatan jalan keluar terpusat untuk lalu lintas yang terikat ke internet, dan gunakan pendekatan masuk terdesentralisasi untuk lalu lintas yang masuk ke lingkungan Anda dari internet. Untuk informasi selengkapnya, lihat [Jalan keluar terpusat](centralized-egress.md) dan [Masuknya terdesentralisasi](decentralized-ingress.md).

# Jalan keluar terpusat
<a name="centralized-egress"></a>

Jalan *keluar terpusat* adalah prinsip menggunakan satu titik masuk umum untuk semua lalu lintas jaringan yang ditujukan ke internet. Anda dapat mengatur inspeksi di titik masuk ini, dan Anda dapat mengizinkan lalu lintas hanya ke domain tertentu atau hanya melalui port atau protokol tertentu. Memusatkan jalan keluar juga dapat membantu Anda mengurangi biaya dengan menghilangkan kebutuhan untuk menyebarkan gateway NAT di masing-masing Anda VPCs untuk menjangkau internet. Ini bermanfaat dari perspektif keamanan karena membatasi paparan sumber daya berbahaya yang dapat diakses secara eksternal, seperti infrastruktur perintah dan kontrol malware (C&C). Untuk informasi selengkapnya dan opsi arsitektur untuk jalan keluar terpusat, lihat Jalan keluar [terpusat ke internet (Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-egress-to-internet.html)).AWS 

Anda dapat menggunakan [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html), yang merupakan firewall jaringan stateful, dikelola, dan layanan deteksi dan pencegahan intrusi, sebagai titik inspeksi pusat untuk lalu lintas jalan keluar. Anda mengatur firewall ini di VPC khusus untuk lalu lintas keluar. Network Firewall mendukung aturan stateful yang dapat Anda gunakan untuk membatasi akses internet ke domain tertentu. Untuk informasi selengkapnya, lihat [Pemfilteran domain](https://docs.aws.amazon.com/network-firewall/latest/developerguide/suricata-examples.html#suricata-example-domain-filtering) (dokumentasi Network Firewall).

Anda juga dapat menggunakan [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) untuk membatasi lalu lintas keluar ke nama domain tertentu, terutama untuk mencegah eksfiltrasi data Anda yang tidak sah. Dalam aturan DNS Firewall, Anda dapat menerapkan [daftar domain](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-domain-lists.html) (dokumentasi Route 53), yang mengizinkan atau menolak akses ke domain tertentu. Anda dapat menggunakan daftar domain AWS terkelola, yang berisi nama domain yang terkait dengan aktivitas berbahaya atau potensi ancaman lainnya, atau Anda dapat membuat daftar domain khusus. Anda membuat grup aturan DNS Firewall dan kemudian menerapkannya ke grup Anda VPCs. Permintaan DNS keluar rute melalui Resolver di VPC untuk resolusi nama domain, dan DNS Firewall memfilter permintaan berdasarkan grup aturan yang diterapkan ke VPC. Permintaan DNS rekursif yang masuk ke Resolver tidak mengalir melalui gateway transit dan jalur Network Firewall. Route 53 Resolver dan DNS Firewall harus dianggap sebagai jalur keluar terpisah dari VPC.

Gambar berikut menunjukkan contoh arsitektur untuk jalan keluar terpusat. Sebelum komunikasi jaringan dimulai, permintaan DNS dikirim ke Resolver Route 53, di mana firewall DNS memungkinkan atau menolak resolusi alamat IP yang digunakan untuk komunikasi. Lalu lintas yang ditujukan ke internet diarahkan ke gateway transit di akun jaringan terpusat. Gateway transit meneruskan lalu lintas ke Network Firewall untuk diperiksa. Jika kebijakan firewall mengizinkan lalu lintas jalan keluar, lalu lintas rute melalui gateway NAT, melalui gateway internet, dan ke internet. Anda dapat menggunakannya AWS Firewall Manager untuk mengelola grup aturan DNS Firewall dan kebijakan Firewall Jaringan secara terpusat di seluruh infrastruktur multi-akun Anda. 

![\[Perutean lalu lintas dari akun lain melalui akun jaringan dan ke internet.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/3_egress.png)


## Praktik terbaik untuk mengamankan lalu lintas jalan keluar
<a name="best-practices-egress"></a>
+ Mulai dalam [mode logging-only](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-actions.html) (dokumentasi Route 53). Ubah ke mode blokir setelah Anda memvalidasi bahwa lalu lintas yang sah tidak terpengaruh.
+ Blokir lalu lintas DNS yang masuk ke internet dengan menggunakan [AWS Firewall Manager kebijakan untuk daftar kontrol akses jaringan](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-network-acl.html) atau dengan menggunakan AWS Network Firewall. Semua kueri DNS harus dirutekan melalui Resolver Route 53, di mana Anda dapat memantaunya dengan Amazon GuardDuty (jika diaktifkan) dan memfilternya dengan [Route 53 Resolver DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) Firewall (jika diaktifkan). Untuk informasi selengkapnya, lihat [Menyelesaikan kueri DNS antara VPCs dan jaringan Anda](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) (dokumentasi Route 53).
+ Gunakan [Daftar Domain AWS Terkelola](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-managed-domain-lists.html) (dokumentasi Route 53) di DNS Firewall dan Network Firewall.
+ Pertimbangkan untuk memblokir domain tingkat atas yang berisiko tinggi dan tidak terpakai, seperti.info, .top, .xyz, atau beberapa domain kode negara.
+ Pertimbangkan untuk memblokir port berisiko tinggi dan tidak terpakai, seperti port 1389, 4444, 3333, 445, 135, 139, atau 53.
+ Sebagai titik awal, Anda dapat menggunakan daftar tolak yang menyertakan aturan AWS terkelola. Anda kemudian dapat bekerja dari waktu ke waktu untuk menerapkan model daftar izin. Misalnya, alih-alih hanya menyertakan daftar ketat nama domain yang sepenuhnya memenuhi syarat dalam daftar izinkan, mulailah dengan menggunakan beberapa wildcard, seperti *\$1.example.com*. Anda bahkan dapat mengizinkan hanya domain tingkat atas yang Anda harapkan dan memblokir semua domain lainnya. Kemudian, seiring waktu, persempit juga.
+ Gunakan [Profil Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) (dokumentasi Rute 53) untuk menerapkan konfigurasi Route 53 terkait DNS di banyak VPCs dan berbeda. Akun AWS
+ Tentukan proses untuk menangani pengecualian terhadap praktik terbaik ini.

# Masuknya terdesentralisasi
<a name="decentralized-ingress"></a>

*Ingress terdesentralisasi* adalah prinsip mendefinisikan, pada tingkat akun individu, bagaimana lalu lintas dari internet mencapai beban kerja di akun itu. Dalam arsitektur multi-akun, salah satu manfaat dari ingress terdesentralisasi adalah bahwa setiap akun dapat menggunakan layanan ingress atau sumber daya yang paling tepat untuk beban kerjanya, seperti Application Load Balancer, Amazon API Gateway, atau Network Load Balancer.

Meskipun ingress terdesentralisasi berarti Anda harus mengelola setiap akun secara individual, Anda dapat mengelola dan mempertahankan konfigurasi secara terpusat. [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) Firewall Manager mendukung perlindungan seperti [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)dan grup keamanan [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html). Anda dapat mengaitkan AWS WAF ke Application Load Balancer CloudFront, Amazon, API Gateway, atau. AWS AppSync Jika Anda menggunakan VPC jalan keluar dan gateway transit, seperti yang dijelaskan dalam, [Jalan keluar terpusat](centralized-egress.md) setiap VPC spoke berisi subnet publik dan pribadi. Namun, tidak perlu menggunakan gateway NAT karena rute lalu lintas melalui jalan keluar VPC di akun jaringan.

Gambar berikut menunjukkan contoh individu Akun AWS yang memiliki satu VPC yang berisi beban kerja yang dapat diakses internet. Lalu lintas dari internet mengakses VPC melalui gateway internet dan mencapai penyeimbangan beban dan layanan keamanan yang dihosting di subnet publik. (*Subnet publik* berisi rute default ke gateway internet). Menyebarkan penyeimbang beban ke subnet publik, dan lampirkan daftar kontrol AWS WAF akses (ACLs) untuk membantu melindungi dari lalu lintas berbahaya, seperti skrip lintas situs. Menyebarkan beban kerja yang meng-host aplikasi ke *subnet pribadi*, yang tidak memiliki akses langsung ke dan dari internet.



![\[Lalu lintas dari internet mengakses VPC melalui gateway internet AWS WAF,, dan penyeimbang beban.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/4_ingress.png)


Jika Anda memiliki banyak hal VPCs di organisasi Anda, Anda mungkin ingin berbagi kesamaan Layanan AWS dengan membuat titik akhir VPC antarmuka atau zona host pribadi di dedicated dan shared. Akun AWS Untuk informasi selengkapnya, lihat [Mengakses titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink dokumentasi) dan [Bekerja dengan zona yang dihosting pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (dokumentasi Rute 53). Layanan AWS 

Gambar berikut menunjukkan contoh sumber daya host Akun AWS yang dapat dibagikan di seluruh organisasi. Titik akhir VPC dapat dibagikan di beberapa akun dengan membuatnya di VPC khusus. Saat membuat titik akhir VPC, Anda dapat AWS mengelola entri DNS untuk titik akhir secara opsional. Untuk berbagi titik akhir, hapus opsi ini, dan buat entri DNS di zona host pribadi Route 53 (PHZ) terpisah. Anda kemudian dapat mengaitkan PHZ ke semua yang ada VPCs di organisasi Anda untuk resolusi DNS terpusat dari titik akhir VPC. Anda juga perlu memastikan bahwa tabel rute gateway transit menyertakan rute untuk VPC bersama ke yang lain. VPCs Untuk informasi selengkapnya, lihat [Akses terpusat ke titik akhir AWS VPC antarmuka](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/centralized-access-to-vpc-private-endpoints.html#interface-vpc-endpoints) (Whitepaper).



![\[Akun bersama yang menghosting titik akhir layanan dan sumber daya untuk dibagikan dengan akun anggota lainnya.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/transitioning-to-multiple-aws-accounts/images/5_shared.png)


Shared juga Akun AWS merupakan tempat yang baik untuk meng-host AWS Service Catalog portofolio. *Portofolio* adalah kumpulan layanan TI yang ingin Anda sediakan untuk penyebaran AWS, dan portofolio berisi informasi konfigurasi untuk layanan tersebut. Anda dapat membuat portofolio di akun bersama, membagikannya ke organisasi, dan kemudian setiap akun anggota mengimpor portofolio ke instance Service Catalog regionalnya sendiri. Untuk informasi selengkapnya, lihat [Berbagi dengan AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations) (Dokumentasi Service Catalog).

Demikian pula, dengan Amazon VPC Lattice, Anda dapat menggunakan akun bersama untuk mengelola lingkungan dan templat layanan secara terpusat sebagai entitas, lalu mengatur koneksi akun dengan akun anggota organisasi. Untuk informasi selengkapnya, lihat [Berbagi entitas Kisi VPC Anda (dokumentasi VPC Lattice)](https://docs.aws.amazon.com/vpc-lattice/latest/ug/sharing.html).