에서 Amazon EC2 보안 그룹 생성, 구성 및 삭제 AWS CLI - AWS Command Line Interface
사전 조건보안 그룹 생성보안 그룹에 규칙 추가보안 그룹 삭제참조

이 설명서는 의 버전 1 AWS CLI 전용입니다. 의 버전 2와 관련된 설명서는 버전 2 사용 설명서 를 AWS CLI참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 Amazon EC2 보안 그룹 생성, 구성 및 삭제 AWS CLI

기본적으로 방화벽으로 작동하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 보안 그룹을 생성할 수 있으며, 이 보안 그룹은 어떤 네트워크 트래픽이 들어오고 나갈 수 있는지 결정하는 규칙을 포함합니다.

AWS Command Line Interface (AWS CLI)를 사용하여 보안 그룹을 생성하고, 기존 보안 그룹에 규칙을 추가하고, 보안 그룹을 삭제합니다.

참고

추가 명령 예제는 AWS CLI 참조 가이드 를 참조하세요.

사전 조건

ec2 명령을 실행하려면 다음을 수행해야 합니다.

보안 그룹 생성

가상 프라이빗 클라우드(VPCs)와 연결된 보안 그룹을 생성할 수 있습니다.

다음 aws ec2 create-security-group 예제에서는 지정된 에 대한 보안 그룹을 생성하는 방법을 보여줍니다VPC.

$ aws ec2 create-security-group --group-name my-sg --description "My security group" --vpc-id vpc-1a2b3c4d
{
    "GroupId": "sg-903004f8"
}

보안 그룹에 대한 초기 정보를 보려면 aws ec2 describe-security-groups 명령을 실행합니다. EC2-VPC 보안 그룹은 이름이 vpc-id아닌 로만 참조할 수 있습니다.

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [],
            "GroupName": "my-sg",
            "VpcId": "vpc-1a2b3c4d",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

보안 그룹에 규칙 추가

Amazon EC2 인스턴스를 실행할 때 보안 그룹에서 규칙을 활성화하여 이미지에 연결하는 수단에 대한 수신 네트워크 트래픽을 허용해야 합니다.

예를 들어 Windows 인스턴스를 시작하는 경우 일반적으로 TCP 포트 3389의 인바운드 트래픽이 원격 데스크톱 프로토콜()을 지원하도록 허용하는 규칙을 추가합니다RDP. Linux 인스턴스를 시작하는 경우 일반적으로 TCP 포트 22의 인바운드 트래픽이 SSH 연결을 지원하도록 허용하는 규칙을 추가합니다.

aws ec2 authorize-security-group-ingress 명령을 사용하여 보안 그룹에 규칙을 추가합니다. 이 명령의 필수 파라미터는 컴퓨터의 퍼블릭 IP 주소 또는 컴퓨터가 연결된 네트워크(주소 범위 형식)CIDR입니다.

참고

퍼블릭 IP 주소를 확인할 수 있도록 https://checkip.amazonaws.com/ 서비스를 제공합니다. IP 주소를 식별하는 데 도움이 되는 다른 서비스를 찾으려면 브라우저를 사용하여 "내 IP 주소"를 검색합니다. 동적 IP 주소(사설 네트워크의 NAT 게이트웨이를 통해)를 사용하여 방화벽 뒤에서 ISP 또는 를 통해 연결하는 경우 주소가 주기적으로 변경될 수 있습니다. 이 경우 클라이언트 컴퓨터에서 사용하는 IP 주소 범위를 알아야 합니다.

다음 예제에서는 IP 주소를 sg-903004f8 사용하여 ID가 인 EC2-VPC 보안 그룹에 RDP (TCP 포트 3389)에 대한 규칙을 추가하는 방법을 보여줍니다.

시작하려면 IP 주소를 찾습니다.

$ curl https://checkip.amazonaws.com
x.x.x.x

그런 다음 aws ec2 authorize-security-group-ingress 명령을 실행하여 IP 주소를 보안 그룹에 추가할 수 있습니다.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 3389 --cidr x.x.x.x/x

다음 명령은 동일한 보안 그룹의 인스턴스에 활성화SSH할 또 다른 규칙을 추가합니다.

$ aws ec2 authorize-security-group-ingress --group-id sg-903004f8 --protocol tcp --port 22 --cidr x.x.x.x/x

보안 그룹의 변경 사항을 보려면 aws ec2 describe-security-groups 명령을 실행합니다.

$ aws ec2 describe-security-groups --group-ids sg-903004f8
{
    "SecurityGroups": [
        {
            "IpPermissionsEgress": [
                {
                    "IpProtocol": "-1",
                    "IpRanges": [
                        {
                            "CidrIp": "0.0.0.0/0"
                        }
                    ],
                    "UserIdGroupPairs": []
                }
            ],
            "Description": "My security group"
            "IpPermissions": [
                {
                    "ToPort": 22,
                    "IpProtocol": "tcp",
                    "IpRanges": [
                        {
                            "CidrIp": "x.x.x.x/x"
                        }
                    ]
                    "UserIdGroupPairs": [],
                    "FromPort": 22
                }
            ],
            "GroupName": "my-sg",
            "OwnerId": "123456789012",
            "GroupId": "sg-903004f8"
        }
    ]
}

보안 그룹 삭제

보안 그룹을 삭제하려면 aws ec2 delete-security-group 명령을 실행합니다.

참고

환경에 현재 연결되어 있는 경우 보안 그룹을 삭제할 수 없습니다.

다음 명령 예제에서는 EC2-VPC 보안 그룹을 삭제합니다.

$ aws ec2 delete-security-group --group-id sg-903004f8

참조

AWS CLI 참조:

기타 참조: