보안 그룹 규칙 - Amazon Elastic Compute Cloud

보안 그룹 규칙

보안 그룹의 규칙은 보안 그룹과 연결된 인스턴스에 도달할 수 있는 인바운드 트래픽과 인스턴스에서 나갈 수 있는 아웃바운드 트래픽을 제어합니다.

다음은 보안 그룹 규칙의 특징입니다.

  • 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용합니다. Amazon EC2에서는 기본적으로 포트 25의 트래픽을 차단합니다. 자세한 내용은 포트 25를 사용하여 전송되는 이메일 관련 제한 섹션을 참조하세요.

  • 보안 그룹 규칙은 항상 허용적입니다. 따라서 액세스를 거부하는 규칙을 생성할 수 없습니다.

  • 보안 그룹 규칙을 사용하면 프로토콜과 포트 번호를 기준으로 트래픽을 필터링할 수 있습니다.

  • 보안 그룹은 상태가 저장됩니다. 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. VPC 보안 그룹의 경우, 허용된 인바운드 트래픽에 대한 응답은 아웃바운드 규칙에 관계없이 아웃바운드 흐름이 허용됩니다. 자세한 내용은 보안 그룹 연결 추적 섹션을 참조하세요.

  • 언제든지 규칙을 추가하고 제거할 수 있습니다. 변경 내용은 보안 그룹과 연결된 인스턴스에 자동으로 적용됩니다.

    일부 규칙 변경 사항이 미치는 효과는 트래픽의 추적 방법에 따라 다를 수 있습니다. 자세한 내용은 보안 그룹 연결 추적 섹션을 참조하세요.

  • 여러 보안 그룹을 인스턴스와 연결할 경우 각 보안 그룹의 규칙이 유효하게 결합된 단일 규칙 세트가 생성됩니다. Amazon EC2는 이 규칙 세트를 사용하여 액세스를 허용할지 여부를 결정합니다.

    인스턴스에 여러 보안 그룹을 할당할 수 있습니다. 따라서 한 인스턴스에 수백 개의 규칙이 적용될 수 있습니다. 이로 인해 인스턴스에 액세스할 때 문제가 발생할 수 있습니다. 규칙을 최대한 간략하게 만드는 것이 좋습니다.

규칙을 생성할 때 다음을 지정할 수 있습니다.

  • 이름: 보안 그룹의 이름입니다(예: “my-security-group”).

    이름의 최대 길이는 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*. 이름에 후행 공백이 포함되어 있으면 이름을 저장할 때 공백을 자릅니다. 예를 들어 이름에 “테스트 보안 그룹 ”을 입력하면 “테스트 보안 그룹”으로 저장됩니다.

  • 프로토콜: 허용할 프로토콜. 가장 일반적인 프로토콜은 6(TCP), 17(UDP) 및 1(ICMP)입니다.

  • 포트 범위: TCP, UDP 또는 사용자 지정 프로토콜의 경우 허용할 포트의 범위. 단일 포트 번호(예: 22) 또는 포트 번호의 범위(예: 7000~8000)를 지정할 수 있습니다.

  • ICMP 유형 및 코드: ICMP 및 ICMPv6의 경우, ICMP 유형과 코드. 예를 들어 ICMP 에코 요청에 대해 유형 8을 사용하고 ICMPv6 에코 요청에 대해 유형 128을 입력합니다.

  • 소스 또는 대상: 트래픽에 대한 소스(인바운드 규칙) 또는 대상(아웃바운드 규칙). 다음 옵션 중 하나를 지정합니다.

    • 개별 IPv4 주소. /32 접두사 길이를 사용해야 합니다(예: 203.0.113.1/32).

    • 개별 IPv6 주소. /128 접두사 길이를 사용해야 합니다(예: 2001:db8:1234:1a00::123/128).

    • CIDR 블록 표기법으로 표시된 IPv4 주소의 범위(예: 203.0.113.0/24).

    • CIDR 블록 표기법으로 표시된 IPv6 주소의 범위(예: 2001:db8:1234:1a00::/64).

    • 접두사 목록 ID(예: pl-1234abc1234abc123). 자세한 내용은 Amazon VPC 사용 설명서접두사 목록을 참조하십시오.

    • 다른 보안 그룹. 이 옵션을 사용하면 지정된 보안 그룹과 연결된 인스턴스가 이 보안 그룹과 연결된 인스턴스에 액세스할 수 있습니다. 하지만 이 보안 그룹에 소스 보안 그룹의 규칙이 추가되지는 않습니다. 다음 보안 그룹 중 하나를 지정할 수 있습니다.

      • 현재 보안 그룹

      • 동일한 VPC에 대한 다른 보안 그룹

      • VPC 피어링 연결에서 동일한 VPC 또는 피어 VPC에 대한 다른 보안 그룹.

  • (선택 사항) 설명: 나중에 쉽게 식별할 수 있도록 규칙에 대한 설명을 입력할 수 있습니다. 설명 길이는 최대 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*.

보안 그룹 규칙을 생성하는 경우 AWS가 해당 규칙에 고유한 ID를 할당합니다. API 또는 CLI를 사용하여 규칙을 수정하거나 삭제할 때 규칙의 ID를 사용할 수 있습니다.

보안 그룹을 규칙의 소스 또는 대상으로 지정할 경우 규칙은 보안 그룹과 연결된 모든 인스턴스에 영향을 줍니다. 유입 트래픽은 퍼블릭 IP 주소 또는 탄력적 IP 주소가 아닌 원본 보안 그룹과 연결된 인스턴스의 프라이빗 IP 주소를 기반으로 허용됩니다. IP 주소에 대한 자세한 내용은 Amazon EC2 인스턴스 IP 주소 지정 주제를 참조하십시오. 보안 그룹 규칙이 피어 VPC의 보안 그룹을 참조하고 참조된 보안 그룹 또는 VPC 피어링 연결이 삭제된 경우, 규칙은 무효로 표시됩니다. 자세한 내용은 Amazon VPC Peering Guide무효 보안 그룹 규칙으로 작업 단원을 참조하십시오.

특정 포트에 대한 규칙이 여러 개 있는 경우 Amazon EC2는 최대 허용 규칙을 적용합니다. 예를 들어, IP 주소 203.0.113.1의 TCP 포트 22(SSH) 액세스를 허용하는 규칙과 모든 사용자의 TCP 포트 22 액세스를 허용하는 규칙이 있는 경우 모든 사용자가 TCP 포트 22에 액세스할 수 있습니다.

규칙을 추가, 업데이트 또는 제거할 때 변경 사항은 보안 그룹과 연결된 모든 인스턴스에 자동으로 적용됩니다.