보안 그룹: 인바운드 및 아웃바운드 규칙 - 아마존 QuickSight
인바운드 규칙아웃바운드 규칙

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 그룹: 인바운드 및 아웃바운드 규칙

보안 그룹은 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. 각 보안 그룹에 대해 인스턴스에 대한 인바운드 트래픽을 제어하는 규칙과 아웃바운드 트래픽을 제어하는 별도의 규칙 세트를 추가합니다.

VPC 연결의 경우 설명 QuickSight-VPC이(가) 있는 새 보안 그룹을 생성합니다. 이 보안 그룹은 연결할 데이터 대상의 보안 그룹에서 들어오는 모든 인바운드 TCP 트래픽을 허용해야 합니다. 다음 예제에서는 VPC에 새 보안 그룹을 생성하고 새 보안 그룹의 ID를 반환합니다.


aws ec2 create-security-group \
--name QuickSight-VPC \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd
중요

네트워크 구성은 충분히 복잡하므로 함께 사용할 새 보안 그룹을 생성하는 것이 좋습니다. QuickSight 이렇게 하면 AWS Support에 연락해야 할 경우 더욱 쉽게 도움을 받을 수도 있습니다. 반드시 새 그룹을 생성할 필요는 없지만 하지만 다음 주제는 이 권장 사항을 따른다는 가정을 바탕으로 작성되었습니다.

QuickSight Amazon이 VPC의 인스턴스에 성공적으로 연결할 수 있도록 하려면 QuickSight 네트워크 인터페이스와 데이터가 포함된 인스턴스 간의 트래픽을 허용하도록 보안 그룹 규칙을 구성하십시오. 이렇게 하려면 다음 트래픽을 허용하도록 데이터베이스의 인스턴스 인바운드 규칙에 연결된 보안 그룹을 구성합니다.

  • 연결 QuickSight 중인 포트에서

  • 다음 옵션 중 하나:

    • QuickSight 네트워크 인터페이스와 연결된 보안 그룹 ID (권장)

      또는

    • QuickSight 네트워크 인터페이스의 사설 IP 주소

자세한 내용은 Amazon VPC 사용 설명서의 VPC의 보안 그룹VPC 및 서브넷을 참조하십시오.

인바운드 규칙

중요

다음 섹션은 연결이 2023년 4월 27일 이전에 생성된 VPC 연결에 적용됩니다.

보안 그룹을 만드는 경우에는 인바운드 규칙이 없습니다. 보안 그룹에 인바운드 규칙을 추가하기 전에는 또 다른 호스트에서 시작하여 인스턴스로 가는 인바운드 트래픽이 허용되지 않습니다.

QuickSight 네트워크 인터페이스에 연결된 보안 그룹은 스테이트풀이 아니기 때문에 대부분의 보안 그룹과 다르게 동작합니다. 다른 보안 그룹은 일반적으로 상태를 저장합니다. 즉, 리소스의 보안 그룹에 대한 아웃바운드 연결을 설정한 후 자동으로 반환 트래픽을 허용합니다. 반대로 QuickSight 네트워크 인터페이스 보안 그룹은 반환 트래픽을 자동으로 허용하지 않습니다. 이 때문에 QuickSight 네트워크 인터페이스 보안 그룹에 이그레스 규칙을 추가해도 작동하지 않습니다. QuickSight 네트워크 인터페이스 보안 그룹에서도 작동하도록 하려면 데이터베이스 호스트의 반환 트래픽을 명시적으로 승인하는 인바운드 규칙을 추가해야 합니다.

보안 그룹의 인바운드 규칙은 모든 포트에서 트래픽을 허용해야 합니다. 모든 인바운드 리턴 패킷의 대상 포트 번호가 임의로 할당된 포트 번호로 설정되어 있으므로 이 작업을 수행해야 합니다.

특정 인스턴스에만 QuickSight 연결하도록 제한하려면 허용하려는 인스턴스의 보안 그룹 ID (권장) 또는 사설 IP 주소를 지정할 수 있습니다. 이 경우에도 모든 포트(0~65535)에서 트래픽이 허용되는 보안 그룹 인바운드 규칙을 수립해야 합니다.

VPC의 모든 인스턴스에 QuickSight 연결할 수 있도록 QuickSight 네트워크 인터페이스 보안 그룹을 구성할 수 있습니다. 이 경우 모든 포트(0—65535)에서 0.0.0.0/0의 트래픽을 허용하는 인바운드 규칙을 지정하십시오. QuickSight 네트워크 인터페이스에서 사용하는 보안 그룹은 데이터베이스에 사용되는 보안 그룹과 달라야 합니다. VPC 연결에는 별도의 보안 그룹을 사용하는 것이 좋습니다.

중요

오래 지속되는 Amazon RDS DB 인스턴스를 사용하는 경우 구성을 검토하여 DB 보안 그룹을 사용하고 있는지 확인하십시오. DB 보안 그룹은 VPC에 있지 않고 EC2-Classic 플랫폼에 있는 DB 인스턴스에서 사용됩니다.

이 구성을 사용하고 DB 인스턴스를 VPC로 이동하여 함께 QuickSight 사용하는 것이 아니라면 DB 보안 그룹의 인바운드 규칙을 업데이트해야 합니다. 사용 중인 VPC 보안 그룹의 인바운드 트래픽을 허용하도록 업데이트하세요. QuickSight 자세한 내용은 Amazon RDS 사용 설명서보안 그룹을 통한 액세스 제어를 참조하세요.

아웃바운드 규칙

중요

다음 섹션은 연결이 2023년 4월 27일 이전에 생성된 VPC 연결에 적용됩니다.

기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙을 포함합니다. 이 기본 규칙을 제거하고 특정 아웃바운드 트래픽만 허용하는 아웃바운드 규칙을 추가하는 것이 좋습니다.

주의

모든 포트에서 트래픽을 허용하는 아웃바운드 규칙을 사용하여 QuickSight 네트워크 인터페이스의 보안 그룹을 구성하지 마십시오. VPC의 네트워크 송신 트래픽을 관리하기 위한 주요 고려 사항 및 권장 사항에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC의 보안 모범 사례를 참조하십시오.

QuickSight 네트워크 인터페이스에 연결된 보안 그룹에는 QuickSight 연결하려는 VPC의 각 데이터베이스 인스턴스로의 트래픽을 허용하는 아웃바운드 규칙이 있어야 합니다. 특정 인스턴스에만 QuickSight 연결하도록 제한하려면 허용할 인스턴스의 보안 그룹 ID (권장) 또는 프라이빗 IP 주소를 지정하십시오. 아웃바운드 규칙에서 인스턴스의 적절한 포트 번호(인스턴스가 수신하는 포트)와 함께 이 설정을 지정합니다.

또한 VPC 보안 그룹은 데이터 대상의 보안 그룹, 특히 데이터베이스가 수신하는 포트에 대한 아웃바운드 트래픽을 허용해야 합니다.