보안 그룹 규칙 - Amazon Elastic Compute Cloud

보안 그룹 규칙

보안 그룹의 규칙은 보안 그룹과 연결된 인스턴스에 도달할 수 있는 인바운드 트래픽과 인스턴스에서 나갈 수 있는 아웃바운드 트래픽을 제어합니다.

다음은 보안 그룹 규칙의 특징입니다.

  • 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙을 포함합니다. 이러한 규칙을 삭제할 수 있습니다. Amazon EC2에서는 기본적으로 포트 25의 트래픽을 차단합니다. 자세한 내용은 포트 25를 사용하여 전송되는 이메일 관련 제한 섹션을 참조하세요.

  • 보안 그룹 규칙은 항상 허용적입니다. 따라서 액세스를 거부하는 규칙을 생성할 수 없습니다.

  • 보안 그룹 규칙을 사용하면 프로토콜과 포트 번호를 기준으로 트래픽을 필터링할 수 있습니다.

  • 보안 그룹은 상태가 저장됩니다. 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. VPC 보안 그룹의 경우, 허용된 인바운드 트래픽에 대한 응답은 아웃바운드 규칙에 관계없이 아웃바운드 흐름이 허용됩니다. 자세한 내용은 보안 그룹 연결 추적 섹션을 참조하세요.

  • 언제든지 규칙을 추가하고 제거할 수 있습니다. 변경 내용은 보안 그룹과 연결된 인스턴스에 자동으로 적용됩니다.

    일부 규칙 변경 사항이 미치는 효과는 트래픽의 추적 방법에 따라 다를 수 있습니다. 자세한 내용은 보안 그룹 연결 추적 섹션을 참조하세요.

  • 여러 보안 그룹을 인스턴스와 연결할 경우 각 보안 그룹의 규칙이 유효하게 결합된 단일 규칙 세트가 생성됩니다. Amazon EC2는 이 규칙 세트를 사용하여 액세스를 허용할지 여부를 결정합니다.

    인스턴스에 여러 보안 그룹을 할당할 수 있습니다. 따라서 한 인스턴스에 수백 개의 규칙이 적용될 수 있습니다. 이로 인해 인스턴스에 액세스할 때 문제가 발생할 수 있습니다. 규칙을 최대한 간략하게 만드는 것이 좋습니다.

참고

보안 그룹은 'VPC+2 IP 주소'(Amazon Route 53 개발자 안내서의 Amazon Route 53 Resolver란 무엇인가요? 참조) 또는 'AmazonProvidedDNS'(Amazon Virtual Private Cloud 사용 설명서의 DHCP 옵션 세트로 작업 참조)라고도 하는 Route 53 Resolver와의 DNS 요청을 차단할 수 없습니다. Route 53 Resolver를 통해 DNS 요청을 필터링하려면 Route 53 Resolver DNS 방화벽을 활성화하면 됩니다(Amazon Route 53 개발자 안내서의 Route 53 Resolver DNS 방화벽 참조).

각 규칙에 대해 다음을 지정합니다.

  • 이름: 보안 그룹의 이름입니다(예: “my-security-group”).

    이름의 최대 길이는 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*. 이름에 후행 공백이 포함되어 있으면 이름을 저장할 때 공백을 자릅니다. 예를 들어 이름에 “테스트 보안 그룹 ”을 입력하면 “테스트 보안 그룹”으로 저장됩니다.

  • 프로토콜: 허용할 프로토콜. 가장 일반적인 프로토콜은 6(TCP), 17(UDP) 및 1(ICMP)입니다.

  • 포트 범위: TCP, UDP 또는 사용자 지정 프로토콜의 경우 허용할 포트의 범위. 단일 포트 번호(예: 22) 또는 포트 번호의 범위(예: 7000-8000)를 지정할 수 있습니다.

  • ICMP 유형 및 코드: ICMP의 경우, ICMP 유형과 코드. 예를 들어 ICMP 에코 요청에 대해 유형 8을 사용하고 ICMPv6 에코 요청에 대해 유형 128을 입력합니다.

  • 소스 또는 대상: 허용할 트래픽에 대한 소스(인바운드 규칙) 또는 대상(아웃바운드 규칙)입니다. 다음 중 하나를 지정하세요.

    • 단일 IPv4 주소. /32 접두사 길이를 사용해야 합니다. 예: 203.0.113.1/32.

    • 단일 IPv6 주소. /128 접두사 길이를 사용해야 합니다. 예: 2001:db8:1234:1a00::123/128.

    • CIDR 블록 표기법으로 표시된 IPv4 주소의 범위. 예: 203.0.113.0/24

    • CIDR 블록 표기법으로 표시된 IPv6 주소의 범위. 예: 2001:db8:1234:1a00::/64

    • 접두사 목록의 ID. 예: pl-1234abc1234abc123 자세한 내용은 Amazon VPC 사용 설명서접두사 목록을 참조하세요.

    • 보안 그룹의 ID입니다(여기에서는 지정된 보안 그룹이라고 함). 예를 들어, 현재 보안 그룹, 동일한 VPC의 보안 그룹 또는 피어링된 VPC에 대한 보안 그룹이 해당됩니다. 이렇게 하면 지정된 보안 그룹과 연결된 리소스의 프라이빗 IP 주소를 기반으로 하는 트래픽이 허용됩니다. 이 작업은 지정된 보안 그룹의 규칙을 현재 보안 그룹에 추가하지 않습니다.

  • (선택 사항) 설명: 나중에 쉽게 식별할 수 있도록 규칙에 대한 설명을 입력할 수 있습니다. 설명 길이는 최대 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*입니다.

보안 그룹 규칙을 생성하면 AWS에서는 규칙에 고유한 ID가 할당됩니다. API 또는 CLI를 사용하여 규칙을 수정하거나 삭제할 때 규칙의 ID를 사용할 수 있습니다.

보안 그룹을 규칙의 소스 또는 대상으로 지정할 경우 규칙은 보안 그룹과 연결된 모든 인스턴스에 영향을 줍니다. 유입 트래픽은 퍼블릭 IP 주소 또는 탄력적 IP 주소가 아닌 원본 보안 그룹과 연결된 인스턴스의 프라이빗 IP 주소를 기반으로 허용됩니다. IP 주소에 대한 자세한 내용은 Amazon EC2 인스턴스 IP 주소 지정 주제를 참조하세요. 보안 그룹 규칙이 동일한 VPC 또는 피어 VPC에서 삭제된 보안 그룹을 참조하거나 VPC 피어링 연결이 삭제된 피어 VPC의 보안 그룹을 참조하는 경우 규칙은 기한 경과로 표시됩니다. 자세한 내용은 Amazon VPC Peering Guide무효 보안 그룹 규칙으로 작업 섹션을 참조하세요.

특정 포트에 대한 규칙이 여러 개 있는 경우 Amazon EC2는 최대 허용 규칙을 적용합니다. 예를 들어, IP 주소 203.0.113.1의 TCP 포트 3389(RDP) 액세스를 허용하는 규칙과 모든 사용자의 TCP 포트 3389 액세스를 허용하는 규칙이 있는 경우 모든 사용자가 TCP 포트 3389에 액세스할 수 있습니다.

규칙을 추가, 업데이트 또는 제거할 때 변경 사항은 보안 그룹과 연결된 모든 인스턴스에 자동으로 적용됩니다.