메뉴
Amazon Elastic Compute Cloud
User Guide for Linux Instances

Linux 인스턴스에 대한 Amazon EC2 보안 그룹

보안 그룹은 하나 이상의 인스턴스에 대한 트래픽을 제어하는 가상 방화벽 역할을 합니다. 인스턴스를 시작할 때 하나 이상의 보안 그룹을 인스턴스와 연결합니다. 연결된 인스턴스와 트래픽을 주고받을 수 있게 하는 규칙을 각 보안 그룹에 추가합니다. 언제든지 보안 그룹에 대한 규칙을 수정할 수 있습니다. 새 규칙은 보안 그룹과 연결된 모든 인스턴스에 자동으로 적용됩니다. 트래픽이 인스턴스에 도달하도록 허용할지 여부를 결정할 때 인스턴스와 연결된 모든 보안 그룹에서 모든 규칙을 평가합니다.

Windows 인스턴스에 대한 트래픽을 허용해야 하는 경우 Windows 인스턴스용 Amazon EC2 사용 설명서Amazon EC2 Security Groups for Windows Instances 단원을 참조하십시오.

보안 그룹으로 충족되지 않는 요구 사항이 있는 경우 보안 그룹을 사용하면서 인스턴스에 대한 자체 방화벽을 유지합니다.

계정은 생성 시기에 따라 일부 리전에서 EC2-Classic을 지원할 수 있습니다. 자세한 내용은 지원되는 플랫폼 단원을 참조하십시오. EC2-Classic의 보안 그룹은 EC2-VPC의 보안 그룹과는 별개입니다.

EC2-Classic의 보안 그룹

EC2-Classic을 사용하는 경우 EC2-Classic용으로 특별히 생성된 보안 그룹을 사용해야 합니다. EC2-Classic에서 인스턴스를 시작할 경우 인스턴스와 동일한 리전에서 보안 그룹을 지정해야 합니다. EC2-Classic에서 인스턴스를 시작할 경우 VPC용으로 생성된 보안 그룹을 지정할 수 없습니다.

EC2-Classic에서 인스턴스를 시작한 이후에는 해당 보안 그룹을 변경할 수 없습니다. 그러나 보안 그룹에 규칙을 추가하거나 보안 그룹에서 규칙을 제거할 수 있으며, 보안 그룹과 연결된 모든 인스턴스에 해당 변경 내용이 자동으로 적용됩니다.

EC2-Classic에서는 계정별로 각 리전에 최대 500개의 보안 그룹이 있을 수 있습니다. 최대 500개의 보안 그룹에 인스턴스를 연결하고 보안 그룹에 최대 100개의 규칙을 추가할 수 있습니다.

EC2-VPC의 보안 그룹

EC2-VPC를 사용하는 경우 VPC용으로 특별히 생성된 보안 그룹을 사용해야 합니다. VPC에서 인스턴스를 시작할 경우 해당 VPC의 보안 그룹을 지정해야 합니다. VPC에서 인스턴스를 시작할 경우 EC2-Classic용으로 생성된 보안 그룹을 지정할 수 없습니다. EC2-VPC의 보안 그룹에는 EC2-Classic의 보안 그룹에서 지원하지 않는 추가 기능이 있습니다. 자세한 내용은 Amazon VPC 사용 설명서EC2-Classic과 EC2-VPC에 대한 보안 그룹의 차이점 단원을 참조하십시오.

VPC에서 인스턴스를 시작한 이후에는 해당 보안 그룹을 변경할 수 있습니다. 보안 그룹은 네트워크 인터페이스와 연결됩니다. 인스턴스의 보안 그룹을 변경하면 기본 네트워크 인터페이스(eth0)와 연결된 보안 그룹이 변경됩니다. 자세한 내용은 Amazon VPC 사용 설명서Changing an Instance's Security Groups 단원을 참조하십시오. 다른 네트워크 인터페이스와 연결된 보안 그룹을 변경할 수도 있습니다. 자세한 내용은 보안 그룹 변경 단원을 참조하십시오.

EC2-VPC의 보안 그룹에는 별도의 제한이 있습니다. 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC 제한을 참조하십시오. EC2-Classic의 보안 그룹은 EC2-VPC의 보안 그룹 제한에 포함되지 않습니다.

IPv6에 대해 VPC를 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서VPC에서 IP 주소 지정을 참조하십시오. VPC 보안 그룹에 규칙을 추가하여 인바운드 및 아웃바운드 IPv6 트래픽을 사용할 수 있습니다.

보안 그룹 규칙

보안 그룹의 규칙은 보안 그룹과 연결된 인스턴스에 도달할 수 있는 인바운드 트래픽과 인스턴스에서 나갈 수 있는 아웃바운드 트래픽을 제어합니다.

다음은 보안 그룹 규칙의 특징입니다.

  • 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용합니다.

  • EC2-Classic 보안 그룹에 대한 아웃바운드 규칙을 변경할 수 없습니다.

  • 보안 그룹 규칙은 항상 허용적입니다. 따라서 액세스를 거부하는 규칙을 생성할 수 없습니다.

  • 보안 그룹은 상태가 저장됩니다. — 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. VPC 보안 그룹의 경우, 허용된 인바운드 트래픽에 대한 응답은 아웃바운드 규칙에 관계없이 아웃바운드 흐름이 허용됩니다. 자세한 내용은 연결 추적 단원을 참조하십시오.

  • 언제든지 규칙을 추가하고 제거할 수 있습니다. 변경 내용은 잠시 후에 보안 그룹과 연결된 인스턴스에 자동으로 적용됩니다.

    참고

    일부 규칙 변경 사항이 미치는 효과는 트래픽의 추적 방법에 따라 다를 수 있습니다. 자세한 내용은 연결 추적 단원을 참조하십시오.

  • 여러 보안 그룹을 인스턴스와 연결할 경우 각 보안 그룹의 규칙이 유효하게 결합된 단일 규칙 세트가 생성됩니다. 이 규칙 세트를 사용하여 액세스를 허용할지 여부를 결정합니다.

    참고

    인스턴스에 여러 보안 그룹을 배정할 수 있으므로 인스턴스에 수백 개의 규칙이 적용될 수 있습니다. 이로 인해 인스턴스에 액세스할 때 문제가 발생할 수 있습니다. 규칙을 최대한 간략하게 만드는 것이 좋습니다.

각 규칙에 대해 다음을 지정합니다.

  • 프로토콜: 허용할 프로토콜. 가장 일반적인 프로토콜은 6(TCP), 17(UDP) 및 1(ICMP)입니다.

  • 포트 범위: TCP, UDP 또는 사용자 지정 프로토콜의 경우 허용할 포트의 범위. 단일 포트 번호(예: 22) 또는 포트 번호의 범위(예: 7000-8000)를 지정할 수 있습니다.

  • ICMP 유형 및 코드: ICMP의 경우, ICMP 유형과 코드.

  • 원본 또는 대상: 트래픽에 대한 원본(인바운드 규칙) 또는 대상(아웃바운드 규칙). 다음 옵션 중 하나를 지정합니다.

    • 개별 IPv4 주소. IPv4 주소 다음에 /32 접두사를 사용해야 합니다(예: 203.0.113.1/32).

    • (VPC만 해당) 개별 IPv6 주소. /128 접두사 길이를 사용해야 합니다(예: 2001:db8:1234:1a00::123/128).

    • CIDR 블록 표기법으로 표시된 IPv4 주소의 범위(예: 203.0.113.0/24).

    • (VPC만 해당) CIDR 블록 표기법으로 표시된 IPv6 주소의 범위(예: 2001:db8:1234:1a00::/64).

    • 다른 보안 그룹. 이 옵션을 사용하면 지정된 보안 그룹과 연결된 인스턴스가 이 보안 그룹과 연결된 인스턴스에 액세스할 수 있습니다. 이 보안 그룹에 원본 보안 그룹의 규칙이 추가되지는 않습니다. 다음 보안 그룹 중 하나를 지정할 수 있습니다.

      • 현재 보안 그룹

      • EC2-Classic: 동일한 리전의 EC2-Classic에 대한 다른 보안 그룹.

      • EC2-Classic: 동일한 리전의 다른 AWS 계정에 대한 보안 그룹(AWS 계정 ID를 접두사로 추가, 예: 111122223333/sg-edcd9784)

      • EC2-VPC: VPC 피어링 연결에서 동일한 VPC 또는 피어 VPC에 대한 다른 보안 그룹.

  • (선택 사항) Description: 나중에 쉽게 식별할 수 있도록 규칙에 대한 설명을 입력할 수 있습니다. 설명 길이는 최대 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*입니다.

보안 그룹을 규칙의 원본 또는 대상으로 지정할 경우 규칙은 보안 그룹과 연결된 모든 인스턴스에 영향을 줍니다. 유입 트래픽은 퍼블릭 IP 주소 또는 탄력적 IP 주소가 아닌 원본 보안 그룹과 연결된 인스턴스의 프라이빗 IP 주소를 기반으로 허용됩니다. IP 주소에 대한 자세한 내용은 Amazon EC2인스턴스 IP 어드레싱 단원을 참조하십시오. 보안 그룹 규칙이 피어 VPC의 보안 그룹을 참조하고 참조된 보안 그룹 또는 VPC 피어링 연결이 삭제된 경우, 규칙은 무효로 표시됩니다. 자세한 내용은 Amazon VPC Peering GuideWorking with Stale Security Group Rules 단원을 참조하십시오.

특정 포트에 대한 규칙이 여러 개 있는 경우 최대 허용 규칙을 적용합니다. 예를 들어, IP 주소 203.0.113.1TCP 포트 22(SSH) 액세스를 허용하는 규칙과 모든 사용자의 TCP 포트 22 액세스를 허용하는 규칙이 있는 경우 모든 사용자가 TCP 포트 22에 액세스할 수 있습니다.

연결 추적

보안 그룹은 연결 추적을 사용해 인스턴스가 송수신하는 트래픽에 대한 정보를 추적합니다. 규칙은 트래픽의 연결 상태를 기반으로 적용되어 해당 트래픽을 허용 또는 거부할지 결정합니다. 이를 통해 보안 그룹은 상태가— 저장될 수 있습니다. 인바운드 트래픽에 대한 응답은 아웃바운드 보안 그룹 규칙에 관계없이 인스턴스에서 나가도록 허용되며 반대의 경우도 마찬가지입니다. 예를 들어 인바운드 보안 규칙이 ICMP 트래픽을 허용하는 경우 사용자가 자택 컴퓨터에서 인스턴스로 ICMP ping 명령을 시작하면 연결에 대한 정보(포트 정보 포함)가 추적됩니다. ping 명령에 대한 인스턴스의 응답 트래픽은 새로운 요청이 아니라 설정된 연결로 추적되며, 아웃바운드 보안 그룹 규칙이 아웃바운드 ICMP 트래픽을 제한하더라도 인스턴스에서 나가도록 허용됩니다.

모든 트래픽 흐름이 추적되지는 않습니다. 보안 그룹 규칙이 모든 트래픽(0.0.0.0/0)에 대해 TCP 또는 UDP를 허용하고, 다른 방향에서 모든 포트(0-65535)에 대해 모든 응답 트래픽(0.0.0.0/0)을 허용하는 해당 규칙이 있을 경우 해당 트래픽 흐름은 추적되지 않습니다. 그러므로 응답 트래픽이 추적 정보가 아니라 응답 트래픽을 허용하는 인바운드 또는 아웃바운드를 기반으로 흐름이 허용됩니다. 다음 예의 보안 그룹에는 SSH, HTTP 및 ICMP 트래픽에 대한 특정 인바운드 규칙과 모든 아웃 바운드 트래픽을 허용하는 아웃 바운드 규칙이 있습니다.

인바운드 규칙
프로토콜 유형 포트 번호 소스 IP
TCP 22(SSH) 203.0.113.1/32
TCP 80(HTTP) 0.0.0.0/0
ICMP 모두 0.0.0.0/0
아웃바운드 규칙
프로토콜 유형 포트 번호 목적지 IP
모두 모두 0.0.0.0/0

제한적인 인바운드 규칙으로 인해 인스턴스 간에 SSH 트래픽이 추적됩니다. 규칙에 관계없이 ICMP 트래픽은 항상 추적됩니다. 인바운드 및 아웃바운드 규칙이 모든 HTTP 트래픽을 허용하므로 인스턴스 간에 HTTP 트래픽이 추적되지 않습니다.

사용자가 흐름을 허용하는 보안 그룹 규칙을 제거할 때 추적되는 기존 트래픽 흐름이 중단되지 않을 수 있습니다. 대신, 사용자 또는 다른 호스트가 중지할 때 적어도 몇 분(설정된 TCP 연결의 경우 최대 5일) 이상 동안 흐름이 중단됩니다. UDP의 경우, 이를 위해 흐름의 원격 측에서 종료 작업이 필요할 수 있습니다. 흐름을 허용하는 규칙이 제거 또는 수정될 경우 추적되지 않는 트래픽 흐름이 즉시 중단됩니다. 예를 들어 인스턴스로 들어오는 모든 인바운드 SSH 트래픽을 허용하는 규칙을 제거할 경우 기존의 인스턴스와의 SSH 연결이 즉시 삭제됩니다.

TCP, UDP 또는 ICMP 이외의 프로토콜에 대해서는 IP 주소와 프로토콜 번호만 추적됩니다. 인스턴스가 다른 호스트(호스트 B)로 트래픽을 보내고 호스트 B가 원래 요청 또는 응답으로부터 600초 이내에 별도의 요청으로 사용자의 인스턴스에 대해 동일한 유형의 트래픽을 시작할 경우 인스턴스는 인바운드 보안 그룹 규칙에 관계없이 해당 트래픽을 수락합니다(응답 트래픽으로 간주되기 때문).

VPC 보안 그룹의 경우, 보안 그룹 규칙을 제거하는 즉시 트래픽이 중단되도록 하거나 모든 인바운드 트래픽이 방화벽 규칙에 따르도록 하려면 서브넷의 네트워크 ACL을— 사용할 수 있습니다. 네트워크 ACL은 상태 비저장이므로 자동으로 응답 트래픽을 허용하지 않기 때문입니다. 자세한 내용은 Amazon VPC 사용 설명서네트워크 ACL을 참조하십시오.

기본 보안 그룹

AWS 계정에는 EC2-Classic에 대한 VPC 및 리전별 기본 보안 그룹이 자동으로 생성됩니다. 인스턴스를 시작할 때 보안 그룹을 지정하지 않을 경우 인스턴스는 기본 보안 그룹과 자동으로 연결됩니다.

기본 보안 그룹의 이름은 default고 AWS에 의해 ID가 배정됩니다. 각 기본 보안 그룹에 대한 기본 규칙은 다음과 같습니다.

  • 기본 보안 그룹과 연결된 다른 인스턴스에서 수신되는 모든 인바운드 트래픽을 허용함(보안 그룹은 인바운드 규칙에서 스스로를 원본 보안 그룹으로 지정함)

  • 인스턴스의 모든 아웃바운드 트래픽을 허용합니다.

기본 보안 그룹에 대한 인바운드 규칙을 추가하거나 제거할 수 있습니다. VPC 기본 보안 그룹에 대한 아웃바운드 규칙을 추가하거나 제거할 수 있습니다.

기본 보안 그룹을 삭제할 수 없습니다. EC2-Classic 기본 보안 그룹을 삭제하려고 하면 Client.InvalidGroup.Reserved: The security group 'default' is reserved라는 오류가 표시되고, VPC 기본 보안 그룹을 삭제하려고 하면 Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user라는 오류가 표시됩니다.

사용자 지정 보안 그룹

인스턴스에서 기본 보안 그룹을 사용하지 않도록 하려면 고유한 보안 그룹을 생성하고 인스턴스를 시작할 때 해당 보안 그룹을 지정합니다. 인스턴스가 수행하는 다양한 역할(예: 웹 서버, 데이터베이스 서버)을 반영하는 여러 보안 그룹을 생성할 수 있습니다.

보안 그룹을 생성할 때 이름과 설명을 제공해야 합니다. 보안 그룹의 이름과 설명은 최대 255자이며 다음과 같은 문자로 제한됩니다.

  • EC2-Classic: ASCII 문자

  • EC2-VPC: a-z, A-Z, 0-9, 공백, ._-:/()#,@[]+=&;{}!$*

다음은 생성하는 보안 그룹의 기본 규칙입니다.

  • 인바운드 트래픽을 허용 안 함

  • 모든 아웃바운드 트래픽을 허용합니다

보안 그룹을 생성한 후 연결된 인스턴스에 도달할 인바운드 트래픽의 유형을 반영하도록 인바운드 규칙을 변경할 수 있습니다. EC2-VPC에서는 아웃바운드 규칙도 변경할 수 있습니다.

보안 그룹에 추가할 수 있는 규칙의 유형에 대한 자세한 내용은 보안 그룹 규칙 참조 단원을 참조하십시오.

보안 그룹 작업

Amazon EC2 콘솔을 사용하여 보안 그룹과 보안 그룹 규칙을 생성하고 보고 업데이트하고 삭제할 수 있습니다.

보안 그룹 생성

Amazon EC2 콘솔을 이용해 사용자 지정 보안 그룹을 만들 수 있습니다. EC2-VPC의 경우 보안 그룹을 생성할 VPC를 지정해야 합니다.

콘솔을 사용하여 보안 그룹을 새로 만들려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. [Create Security Group]을 선택합니다.

  4. 보안 그룹의 이름과 설명을 지정합니다.

  5. (EC2-Classic만 해당) EC2-Classic에서 사용할 보안 그룹을 생성하려면 [No VPC]를 선택하십시오.

    (EC2-VPC) [VPC]의 경우 VPC ID를 선택하여 해당 VPC의 보안 그룹을 생성합니다.

  6. 규칙을 추가할 수 있습니다. 또는 [Create]를 선택하여 지금 보안 그룹을 생성하고 나중에 규칙을 추가할 수 있습니다. 규칙 추가에 대한 자세한 내용은 보안 그룹에 규칙 추가 단원을 참조하십시오.

명령줄을 사용하여 보안 그룹을 생성하려면

Amazon EC2 콘솔을 사용하면 기존의 보안 그룹에서 새 보안 그룹으로 규칙을 복사할 수 있습니다.

콘솔을 사용하여 보안 그룹을 복사하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 복사할 보안 그룹을 선택하고 [Actions]와 [Copy to new]를 차례로 선택합니다.

  4. [Create Security Group] 대화 상자가 열리고 기존 보안 그룹의 규칙으로 채워집니다. 새 보안 그룹의 이름과 설명을 지정합니다. [VPC] 목록에서 [No VPC]를 선택하여 EC2-Classic의 보안 그룹을 생성하거나, VPC ID를 선택하여 해당 VPC의 보안 그룹을 생성합니다. 완료했으면 [Create ]를 선택합니다.

인스턴스를 시작할 때 인스턴스에 보안 그룹을 할당할 수 있습니다. 규칙을 추가하거나 제거하면 해당 보안 그룹을 할당한 모든 인스턴스에 변경 내용이 자동으로 적용됩니다.

EC2-Classic에서 인스턴스를 시작한 후에는 해당 보안 그룹을 변경할 수 없습니다. VPC에서 인스턴스를 시작한 이후에는 해당 보안 그룹을 변경할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서Changing an Instance's Security Groups 단원을 참조하십시오.

[EC2-VPC] 명령줄을 사용하여 인스턴스의 보안 그룹을 수정하려면

보안 그룹 설명

Amazon EC2 콘솔이나 명령줄을 사용하여 보안 그룹에 대한 정보를 볼 수 있습니다.

콘솔을 사용하여 EC2-Classic에 대한 보안 그룹을 나타내려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 필터 목록에서 [Network Platforms]를 선택한 다음 [EC2-Classic]을 선택합니다.

  4. 보안 그룹을 선택합니다. [Description] 탭에는 일반 정보가 표시됩니다. [Inbound] 탭에는 인바운드 규칙이 표시됩니다.

콘솔을 사용하여 EC2-VPC에 대한 보안 그룹을 나타내려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 필터 목록에서 [Network Platforms]를 선택한 다음 [EC2-VPC]를 선택합니다.

  4. 보안 그룹을 선택합니다. [Description] 탭에 일반 정보가 표시되고, [Inbound] 탭에 인바운드 규칙이 표시되고, [Outbound] 탭에 아웃바운드 규칙이 표시됩니다.

명령줄을 사용하여 하나 이상의 보안 그룹을 나타내려면

보안 그룹에 규칙 추가

보안 그룹에 규칙을 추가할 경우 보안 그룹과 연결된 인스턴스에 새 규칙이 자동으로 적용됩니다.

특정 유형의 액세스를 위한 보안 그룹 규칙 선택에 대한 자세한 내용은 보안 그룹 규칙 참조 단원을 참조하십시오.

콘솔을 사용하여 보안 그룹에 규칙을 추가하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택하고 보안 그룹을 선택합니다.

  3. Inbound 탭에서 [Edit]를 선택합니다.

  4. 대화 상자에서 [Add Rule]을 선택하고 다음과 같이 실행합니다.

    • [Type]에는 프로토콜을 선택합니다.

    • 사용자 지정 TCP 또는 UDP 프로토콜을 선택하는 경우 [Port Range]에 포트 범위를 지정합니다.

    • 사용자 지정 ICMP 프로토콜을 선택하는 경우 [Protocol]에서 ICMP 유형 이름을 선택하고, 해당되는 경우 [Port Range]에서 코드 이름을 선택합니다.

    • [Source]의 경우 다음 중 하나를 선택합니다.

      • [Custom]: 제공되는 필드에 IP 주소(CIDR 표기법), CIDR 블록 또는 다른 보안 그룹을 지정해야 합니다.

      • [Anywhere]: 0.0.0.0/0 IPv4 CIDR 블록을 자동으로 추가합니다. 이 옵션으로 지정된 유형의 모든 트래픽이 인스턴스에 도착하도록 할 수 있습니다. 테스트 환경에서 잠시 사용하는 것은 괜찮지만 프로덕션 환경에서는 안전하지 않습니다. 프로덕션에서는 특정 IP 주소나 주소 범위만 인스턴스에 액세스하도록 허용하십시오.

        참고

        보안 그룹이 IPv6용으로 사용되는 VPC에 있는 경우, [Anywhere] 옵션을 선택하면 IPv4 트래픽에 대해 한 개(0.0.0.0/0), IPv6 트래픽에 대해 한 개(::/0), 총 2개의 규칙이— 생성됩니다.

      • [My IP]: 로컬 컴퓨터의 퍼블릭 IPv4 주소를 자동으로 추가합니다.

    • 필요한 경우 [Description]에 규칙에 대한 설명을 지정합니다.

    추가할 수 있는 규칙의 유형에 대한 자세한 내용은 보안 그룹 규칙 참조 단원을 참조하십시오.

  5. [Save]를 선택합니다.

  6. VPC 보안 그룹의 경우 아웃바운드 규칙도 지정할 수 있습니다. [Outbound] 탭에서 [Edit], [Add Rule]을 선택하고 다음 작업을 수행합니다.

    • [Type]에는 프로토콜을 선택합니다.

    • 사용자 지정 TCP 또는 UDP 프로토콜을 선택하는 경우 [Port Range]에 포트 범위를 지정합니다.

    • 사용자 지정 ICMP 프로토콜을 선택하는 경우 [Protocol]에서 ICMP 유형 이름을 선택하고, 해당되는 경우 [Port Range]에서 코드 이름을 선택합니다.

    • [Destination]의 경우 다음 중 하나를 선택합니다.

      • [Custom]: 제공되는 필드에 IP 주소(CIDR 표기법), CIDR 블록 또는 다른 보안 그룹을 지정해야 합니다.

      • [Anywhere]: 0.0.0.0/0 IPv4 CIDR 블록을 자동으로 추가합니다. 이 옵션을 선택하면 모든 IP 주소로 아웃바운드 트래픽이 전송됩니다.

        참고

        보안 그룹이 IPv6용으로 사용되는 VPC에 있는 경우, [Anywhere] 옵션을 선택하면 IPv4 트래픽에 대해 한 개(0.0.0.0/0), IPv6 트래픽에 대해 한 개(::/0), 총 2개의 규칙이— 생성됩니다.

      • [My IP]: 로컬 컴퓨터의 IP 주소를 자동으로 추가합니다.

    • 필요한 경우 [Description]에 규칙에 대한 설명을 지정합니다.

  7. Save를 선택합니다.

명령줄을 사용하여 보안 그룹에 수신 규칙을 한 개 이상 추가하려면

[EC2-VPC] 명령줄을 사용하여 보안 그룹에 발신 규칙을 한 개 이상 추가하려면

보안 그룹 규칙 업데이트

콘솔을 사용하여 기존 보안 그룹의 프로토콜, 포트 범위 또는 소스/목적지를 수정하면 콘솔은 기존 규칙을 삭제하고 새 규칙을 추가합니다.

콘솔을 사용하여 보안 그룹 규칙을 업데이트하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 업데이트할 보안 그룹을 선택하고 인바운드 트래픽에 대한 규칙을 업데이트하려면 [Inbound Rules]를, 아웃바운드 트래픽에 대한 규칙을 업데이트하려면 [Outbound Rules]를 선택합니다.

  4. [Edit]를 선택합니다. 필요에 따라 규칙 항목을 수정한 다음, [Save]를 선택합니다.

Amazon EC2 API 또는 명령줄 도구를 사용하여 기존 규칙의 프로토콜, 포트 범위, 소스 및 대상 등을 업데이트하려 할 때 규칙을 수정할 수 없습니다. 대신 기존 규칙을 삭제하고 새 규칙을 추가해야 합니다. 규칙 설명을 업데이트하기 위해 update-security-group-rule-descriptions-ingressupdate-security-group-rule-descriptions-egress 명령을 사용할 수 있습니다.

명령줄을 사용하여 수신 보안 그룹 규칙에서 설명을 업데이트하려면

[EC2-VPC] 명령줄을 사용하여 발신 보안 그룹 규칙에서 설명을 업데이트하려면

보안 그룹에서 규칙 삭제

보안 그룹에서 규칙을 삭제할 경우 보안 그룹과 연결된 인스턴스에 해당 변경 내용이 자동으로 적용됩니다.

콘솔을 사용하여 보안 그룹 규칙을 삭제하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹을 선택합니다.

  4. [Inbound] 탭(인바운드 규칙) 또는 [Outbound] 탭(아웃바운드 규칙)에서 [Edit]를 선택합니다. 삭제할 각 규칙 옆의 [Delete](x 아이콘)를 선택합니다.

  5. Save를 선택합니다.

명령줄을 사용하여 보안 그룹에서 수신 규칙을 한 개 이상 제거하려면

[EC2-VPC] 명령줄을 사용하여 보안 그룹에서 발신 규칙을 한 개 이상 제거하려면

보안 그룹 삭제

인스턴스와 연결된 보안 그룹과 기본 보안 그룹은 삭제할 수 없습니다. 같은 VPC에 있는 다른 보안 그룹의 규칙에서 참조하는 보안 그룹도 삭제할 수 없습니다. 자체 규칙 중 하나에서 보안 그룹이 참조하는 경우 보안 그룹을 삭제하려면 해당 규칙을 삭제해야 합니다.

콘솔을 사용하여 보안 그룹을 삭제하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹을 선택한 다음 [Actions], [Delete Security Group]을 선택합니다.

  4. Yes, Delete를 선택합니다.

명령줄을 사용하여 보안 그룹을 삭제하려면