Amazon EC2 인스턴스에 대한 보안 그룹 변경

Amazon EC2 인스턴스를 시작할 때 해당 인스턴스에 대해 보안 그룹을 지정할 수 있습니다. 인스턴스를 시작한 이후에는 보안 그룹을 추가하거나 제거할 수 없습니다. 또한 언제든지 연결된 보안 그룹에 대한 보안 그룹 규칙을 추가, 제거 또는 편집할 수 있습니다.

보안 그룹은 네트워크 인터페이스와 연결됩니다. 보안 그룹을 추가하거나 제거하면 기본 네트워크 인터페이스와 연결된 보안 그룹이 변경됩니다. 보조 네트워크 인터페이스와 연결된 보안 그룹을 변경할 수도 있습니다. 자세한 내용은 네트워크 인터페이스 속성 수정 단원을 참조하십시오.

보안 그룹 추가 또는 제거

인스턴스를 시작한 후 연결된 보안 그룹 목록에서 보안 그룹을 추가하거나 제거할 수 있습니다. 여러 보안 그룹을 인스턴스와 연결할 경우 각 보안 그룹의 규칙이 유효하게 결합된 단일 규칙 세트가 생성됩니다. Amazon EC2는 이 규칙 세트를 사용하여 트래픽을 허용할지 여부를 결정합니다.

요구 사항

• 인스턴스는 running 또는 stopped 상태여야 합니다.

• 보안 그룹은 VPC에 고유합니다. 하나 이상의 인스턴스와 보안 그룹을 연결할 수 있습니다.

콘솔을 사용하여 인스턴스의 보안 그룹을 변경하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

2. 탐색 창에서 Instances(인스턴스)를 선택합니다.

3. 인스턴스를 선택한 다음 [작업(Actions)], [보안(Security)], [보안 그룹 변경(Change security groups)]을 선택합니다.

4. 연결된 보안 그룹에서는 목록에서 보안 그룹을 선택하고 보안 그룹 추가를 선택합니다.

   이미 연결된 보안 그룹을 제거하려면 보안 그룹의 제거를 선택합니다.

5. Save(저장)를 선택합니다.

명령줄을 사용하여 인스턴스의 보안 그룹을 변경하려면

• modify-instance-attribute(AWS CLI)

• Edit-EC2InstanceAttribute(AWS Tools for Windows PowerShell)

보안 그룹 규칙 구성

보안 그룹을 생성한 후 해당 보안 그룹 규칙을 추가, 업데이트 및 삭제할 수 있습니다. 규칙을 추가, 업데이트 또는 삭제하면 변경 내용이 보안 그룹과 연결된 모든 리소스에 자동으로 적용됩니다.

보안 그룹에 추가할 수 있는 규칙의 예제는 다양한 사용 사례에 대한 보안 그룹 규칙의 내용을 참조하세요.

소스 및 대상

다음을 인바운드 규칙의 소스 또는 아웃바운드 규칙의 대상으로 지정할 수 있습니다.

• 사용자 지정 - IPv4 CIDR 블록, IPv6 CIDR 블록, 다른 보안 그룹 또는 접두사 목록.

• Anywhere-IPv4 – 0.0.0.0/0 IPv4 CIDR 블록.

• Anywhere-IPv6 – ::/0 IPv6 CIDR 블록.

• 내 IP: 로컬 컴퓨터의 퍼블릭 IPv4 주소.

주의

포트 22(SSH) 또는 3389(RDP)에 대한 인바운드 규칙을 추가하는 경우 인스턴스에 액세스해야 하는 특정 IP 주소 또는 주소 범위만 승인하는 것이 좋습니다. Anywhere-IPv4를 선택하면 모든 IPv4 주소의 트래픽을 허용하고 지정된 프로토콜을 사용하여 인스턴스에 액세스합니다. Anywhere-IPv6를 선택하면 모든 IPv6 주소의 트래픽을 허용하고 지정된 프로토콜을 사용하여 인스턴스에 액세스합니다.

콘솔을 사용하여 보안 그룹 규칙 구성

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

3. 보안 그룹을 선택합니다.

4. 인바운드 규칙을 편집하려면 작업 또는 인바운드 규칙 탭에서 인바운드 규칙 편집을 선택합니다.

   1. 규칙을 추가하려면 규칙 추가를 선택한 다음 규칙의 유형, 프로토콜, 포트 및 소스를 입력합니다.

      유형이 TCP 또는 UDP인 경우 허용할 포트 범위를 입력해야 합니다. 사용자 지정 ICMP의 경우 프로토콜(Protocol)에서 ICMP 유형 이름을 선택하고, 해당되는 경우 포트 범위(Port range)에서 코드 이름을 선택해야 합니다. 다른 유형에 대해 프로토콜과 포트 범위가 구성됩니다.

   2. 규칙을 업데이트하려면 필요에 따라 프로토콜, 설명 및 소스를 변경합니다. 하지만 소스 유형을 변경할 수는 없습니다. 예를 들어 소스가 IPv4 CIDR 블록인 경우 IPv6 CIDR 블록, 접두사 목록 또는 보안 그룹을 지정할 수 없습니다.

   3. 규칙을 삭제하려면 해당 삭제 버튼을 선택합니다.

5. 아웃바운드 규칙을 편집하려면 작업 또는 아웃바운드 규칙 탭에서 아웃바운드 규칙 편집을 선택합니다.

   1. 규칙을 추가하려면 규칙 추가를 선택한 다음 규칙의 유형, 프로토콜, 포트 및 대상을 입력합니다. 또한 설명을 입력할 수 있습니다(선택 사항).

      유형이 TCP 또는 UDP인 경우 허용할 포트 범위를 입력해야 합니다. 사용자 지정 ICMP의 경우 프로토콜(Protocol)에서 ICMP 유형 이름을 선택하고, 해당되는 경우 포트 범위(Port range)에서 코드 이름을 선택해야 합니다. 다른 유형에 대해 프로토콜과 포트 범위가 구성됩니다.

   2. 규칙을 업데이트하려면 필요에 따라 프로토콜, 설명 및 소스를 변경합니다. 하지만 소스 유형을 변경할 수는 없습니다. 예를 들어 소스가 IPv4 CIDR 블록인 경우 IPv6 CIDR 블록, 접두사 목록 또는 보안 그룹을 지정할 수 없습니다.

   3. 규칙을 삭제하려면 해당 삭제 버튼을 선택합니다.

6. 규칙 저장을 선택합니다.

AWS CLI를 사용하여 보안 그룹 규칙 구성

• 추가 - authorize-security-group-ingress 및 authorize-security-group-egress 명령을 사용합니다.

• 제거 - revoke-security-group-ingress 및 revoke-security-group-egress 명령을 사용합니다.

• 수정 - modify-security-group-rules, update-security-group-rule-descriptions-ingress 및 update-security-group-rule-descriptions-egress 명령을 사용합니다.

Windows PowerShell용 도구를 사용하여 보안 그룹 규칙 구성

• 추가 - Grant-EC2SecurityGroupIngress 및 Grant-EC2SecurityGroupEgress를 사용합니다.

• 제거 - Revoke-EC2SecurityGroupIngress 및 Revoke-EC2SecurityGroupEgress를 사용합니다.

• 수정 – Edit-EC2SecurityGroupRule, Update-EC2SecurityGroupRuleIngressDescription 및 Update-EC2SecurityGroupRuleEgressDescription을 사용합니다.