보안 그룹 사용 - AWS OpsWorks
보안 그룹

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 그룹 사용

중요

이 AWS OpsWorks Stacks 서비스는 2024년 5월 26일에 수명이 종료되었으며 신규 고객과 기존 고객 모두 사용할 수 없습니다. 고객은 가능한 한 빨리 워크로드를 다른 솔루션으로 마이그레이션할 것을 강력히 권장합니다. 마이그레이션에 대해 궁금한 점이 있으면 AWS re:Post 또는 Premium AWS Support를 통해 AWS Support 팀에 문의하세요.

보안 그룹

중요

이 AWS OpsWorks Stacks 서비스는 2024년 5월 26일에 수명이 종료되었으며 신규 및 기존 고객 모두 사용할 수 없게 되었습니다. 고객은 가능한 한 빨리 워크로드를 다른 솔루션으로 마이그레이션할 것을 강력히 권장합니다. 마이그레이션에 대해 궁금한 점이 있으면 AWS re:Post 또는 Premium AWS Support를 통해 AWS Support 팀에 문의하세요.

각각의 Amazon EC2 인스턴스에는 방화벽과 비슷하게 인스턴스의 네트워크 트래픽을 관리하는 하나 이상의 보안 그룹이 연결되어 있습니다. 보안 그룹에는 허용되는 특정 트래픽 범주를 각각 지정하는 하나 이상의 규칙이 있습니다. 규칙이 지정하는 것은 다음과 같습니다.

  • SSH 또는 HTTP 등 허용되는 트래픽 유형

  • TCP 또는 UDP 등 트래픽의 프로토콜

  • 트래픽이 발생할 수 있는 IP 주소 범위

  • 트래픽의 허용되는 포트 범위

보안 그룹의 규칙 유형은 다음 두 가지입니다.

  • 인바운드 규칙은 인바운드 네트워크 트래픽에 적용됩니다.

    예를 들어 애플리케이션 서버 인스턴스에는 일반적으로 모든 IP 주소에서 포트 80으로 오는 인바운드 HTTP 트래픽을 허용하는 인바운드 규칙이 있으며, 지정된 IP 주소 세트에서 포트 22로 오는 인바운드 SSH 트래픽을 허용하는 또 다른 인바운드 규칙이 있습니다.

  • 아웃바운드 규칙은 아웃바운드 네트워크 트래픽에 적용됩니다.

    일반적 관행은 모든 아웃바운드 트래픽을 허용하는 기본 설정을 사용하는 것입니다.

보안 그룹에 대한 자세한 내용은 Amazon EC2 보안 그룹을 참조하세요.

지역에서 스택을 처음 생성하면 AWS OpsWorks Stacks는 적절한 규칙 세트를 사용하여 각 계층에 대해 빌트인 보안 그룹을 생성합니다. 모든 그룹에는 모든 아웃바운드 트래픽을 허용하는 기본 아웃바운드 규칙이 있습니다. 일반적으로 인바운드 규칙은 다음을 허용합니다.

  • 적절한 스택 계층의 인바운드 TCP, UDP 및 ICMP 트래픽 AWS OpsWorks

  • 포트 22(SSH 로그인)의 인바운드 TCP 트래픽

    주의

    기본 보안 그룹 구성은 어느 네트워크 위치(0.0.0.0/0)에 대해서도 SSH(포트 22)를 엽니다. 이를 통해 모든 IP 주소에서 SSH를 사용하여 인스턴스에 액세스할 수 있습니다. 프로덕션 환경에서는 특정 IP 주소나 주소 범위로부터의 SSH 액세스만 허용하는 구성을 사용해야 합니다. 기본 보안 그룹을 생성 직후 업그레이드하거나 사용자 지정 보안 그룹을 대신 사용하세요.

  • 웹 서버 계층의 경우, 포트 80(HTTP) 및 443(HTTPS)으로 오는 모든 인바운드 TCP 및 UDP 트래픽.

참고

내장 AWS-OpsWorks-RDP-Server 보안 그룹이 Windows 인스턴스에 할당되어 RDP 액세스를 허용합니다. 하지만 기본적으로 이 보안 그룹에는 규칙이 없습니다. Windows 스택을 실행 중이고 RDP를 사용하여 인스턴스에 액세스하려는 경우, RDP 액세스를 허용하는 인바운드 규칙을 추가해야 합니다. 자세한 정보는 RDP를 사용하여 로그인을 참조하세요.

각 그룹의 세부 정보를 보려면 Amazon EC2 콘솔로 가서 탐색 창에서 보안 그룹을 선택한 다음 적절한 계층의 보안 그룹을 선택합니다. 예를 들어 AWS- OpsWorks -Default-Server는 모든 스택의 기본 내장 보안 그룹이고 OpsWorksWebAppAWS-는 Chef 12 샘플 스택의 기본 내장 보안 그룹입니다.

참고

실수로 AWS OpsWorks Stacks 보안 그룹을 삭제한 경우 Stacks에서 자동으로 작업을 수행하도록 하는 것이 가장 좋습니다. AWS OpsWorks 동일한 AWS 지역 및 VPC AWS OpsWorks (있는 경우) 에 새 스택을 생성하기만 하면 Stacks는 삭제한 그룹을 포함하여 모든 빌트인 보안 그룹을 자동으로 다시 생성합니다. 그런 다음 더 이상 사용할 일이 없으면 스택을 삭제할 수 있습니다. 보안 그룹은 그대로 남습니다. 보안 그룹을 수동으로 다시 생성하려는 경우, 이 보안 그룹은 그룹 이름의 대문자를 포함하여 원본의 정확한 복제본이어야 합니다.

또한 다음과 같은 상황이 발생할 경우 AWS OpsWorks Stacks는 모든 내장 보안 그룹을 다시 만들려고 시도합니다.

  • 스택 콘솔에서 스택의 설정 페이지를 변경할 수 있습니다 AWS OpsWorks .

  • 스택의 인스턴스 중 하나를 시작하는 경우.

  • 새 스택을 생성하는 경우.

다음 방법 중 하나를 사용하여 보안 그룹을 지정할 수 있습니다. 스택을 생성할 때 OpsWorks 보안 그룹 사용 설정을 사용하여 기본 설정을 지정합니다.

  • (기본 설정) - AWS OpsWorks 스택은 적절한 빌트인 보안 그룹을 각 계층에 자동으로 연결합니다.

    원하는 설정으로 사용자 지정 보안 그룹을 추가하여 계층의 내장 보안 그룹을 세부 조정할 수 있습니다. 하지만 Amazon EC2는 여러 보안 그룹을 평가할 때 가장 제한적인 규칙을 사용하므로 이 방법을 사용하여 내장 그룹보다 더 제한적인 규칙을 지정할 수는 없습니다.

  • 아니요 — AWS OpsWorks 스택은 빌트인 보안 그룹을 레이어와 연결하지 않습니다.

    적절한 보안 그룹을 생성하고 생성하는 각 계층에 적어도 하나의 보안 그룹을 연결해야 합니다. 내장 그룹보다 더 제한적인 규칙을 지정하려면 이 방법을 사용하세요. 원한다면 수동으로 내장 보안 그룹을 계층에 연결할 수 있습니다. 사용자 지정 보안 그룹은 사용자 지정 설정이 필요한 계층에만 필요합니다.

중요

내장 보안 그룹을 사용하는 경우, 그룹의 설정을 수동으로 수정하여 보다 제한적인 규칙을 생성할 수 없습니다. 스택을 생성할 때마다 AWS OpsWorks Stacks는 빌트인 보안 그룹의 구성을 덮어쓰므로 변경한 내용은 다음에 스택을 생성할 때 손실됩니다. 기본 제공 보안 그룹보다 더 제한적인 보안 그룹 설정이 필요한 계층의 경우 보안 그룹 사용을 OpsWorks 아니요로 설정하고 원하는 설정으로 사용자 정의 보안 그룹을 생성한 다음 생성 시 계층에 할당합니다.