EC2 Instance Connect 엔드포인트 보안 그룹
보안 그룹은 연결된 리소스에 도달하고 나갈 수 있는 트래픽을 제어합니다. 예를 들어, Amazon EC2 인스턴스에 연결된 보안 그룹에서 특별히 허용하지 않는 한, 해당 인스턴스에서 송수신되는 트래픽을 거부합니다.
다음 예제에서는 EC2 Instance Connect 엔드포인트 및 대상 인스턴스에 대한 보안 그룹 규칙을 구성하는 방법을 보여줍니다.
EC2 Instance Connect 엔드포인트 보안 그룹 규칙
EC2 Instance Connect 엔드포인트의 보안 그룹 규칙을 통해 대상 인스턴스를 대상으로 하는 아웃바운드 트래픽이 엔드포인트를 떠날 수 있습니다. VPC의 IPv4 주소 범위 또는 인스턴스 보안 그룹을 대상으로 지정할 수 있습니다.
엔드포인트로 향하는 트래픽은 EC2 Instance Connect 엔드포인트 서비스에서 시작되며, 엔드포인트 보안 그룹의 인바운드 규칙과 상관없이 허용됩니다. EC2 Instance Connect 엔드포인트를 사용하여 인스턴스에 연결할 수 있는 사용자를 제어하려면 IAM 정책을 사용합니다. 자세한 내용은 인스턴스에 연결하기 위해 EC2 Instance Connect 엔드포인트를 사용할 수 있는 권한 단원을 참조하십시오.
아웃바운드 규칙 예제: 보안 그룹 참조
다음 예제에서는 보안 그룹 참조를 사용합니다. 즉, 대상은 대상 인스턴스와 연결된 보안 그룹입니다. 이 규칙은 엔드포인트에서 이 보안 그룹을 사용하는 모든 인스턴스로의 아웃바운드 트래픽을 허용합니다.
| 프로토콜 | 대상 | 포트 범위 | 설명 |
|---|---|---|---|
| TCP | 인스턴스 보안 그룹의 ID |
22 | 인스턴스 보안 그룹과 연결된 모든 인스턴스로의 아웃바운드 SSH 트래픽 허용 |
아웃바운드 규칙 예제: IPv4 주소 범위
다음 예제에서는 지정된 IPv4 주소 범위로의 아웃바운드 트래픽을 허용합니다. 인스턴스의 IPv4 주소는 서브넷에서 할당되므로 VPC의 IPv4 주소 범위를 사용할 수 있습니다.
| 프로토콜 | 대상 | 포트 범위 | 설명 |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | VPC로의 아웃바운드 SSH 트래픽 허용 |
대상 인스턴스 보안 그룹 규칙
대상 인스턴스의 보안 그룹 규칙에서는 EC2 Instance Connect 엔드포인트에서 생성되는 인바운드 트래픽을 허용해야 합니다. 엔드포인트 보안 그룹 또는 IPv4 주소 범위를 소스로 지정할 수 있습니다. IPv4 주소 범위를 지정하는 경우 소스는 클라이언트 IP 보존이 켜졌는지, 꺼졌는지에 따라 달라집니다. 자세한 내용은 고려 사항 단원을 참조하십시오.
보안 그룹은 상태를 저장하므로, 인스턴스 보안 그룹의 아웃바운드 규칙과 상관없이 응답 트래픽이 VPC를 떠날 수 있습니다.
인바운드 규칙 예제: 보안 그룹 참조
다음 예제에서는 보안 그룹 참조를 사용합니다. 즉, 소스는 엔드포인트와 연결된 보안 그룹입니다. 이 규칙에서는 클라이언트 IP 보존이 켜졌는지, 꺼졌는지에 상관없이 엔드포인트에서 이 보안 그룹을 사용하는 모든 인스턴스로의 인바운드 SSH 트래픽을 허용합니다. SSH에 대한 다른 인바운드 보안 그룹 규칙이 없는 경우 인스턴스는 엔드포인트에서의 SSH 트래픽만 수락합니다.
| 프로토콜 | 소스 | 포트 범위 | 설명 |
|---|---|---|---|
| TCP | 엔드포인트 보안 그룹 ID |
22 | 엔드포인트 보안 그룹과 연결된 리소스의 인바운드 SSH 트래픽 허용 |
인바운드 규칙 예제: 클라이언트 IP 보존 꺼짐
다음 예제에서는 지정된 IPv4 주소 범위의 인바운드 SSH 트래픽을 허용합니다. 클라이언트 IP 보존이 꺼져 있으므로 소스 IPv4 주소는 엔드포인트 네트워크 인터페이스의 주소입니다. 엔드포인트 네트워크 인터페이스의 주소는 해당 서브넷에서 할당되므로 VPC의 IPv4 주소 범위를 사용하여 VPC의 모든 인스턴스에 대한 연결을 허용할 수 있습니다.
| 프로토콜 | 소스 | 포트 범위 | 설명 |
|---|---|---|---|
| TCP | VPC IPv4 CIDR |
22 | VPC의 인바운드 SSH 트래픽 허용 |
인바운드 규칙 예제: 클라이언트 IP 보존 켜짐
다음 예제에서는 지정된 IPv4 주소 범위의 인바운드 SSH 트래픽을 허용합니다. 클라이언트 IP 보존이 켜져 있으므로 소스 IPv4 주소는 클라이언트의 주소입니다.
| 프로토콜 | 소스 | 포트 범위 | 설명 |
|---|---|---|---|
| TCP | 퍼블릭 IPv4 주소 범위 |
22 | 지정된 클라이언트 IPv4 주소 범위에서의 인바운드 트래픽 허용 |
