Amazon Virtual Private Cloud
VPC 피어링

피어 VPC 그룹을 참조하도록 보안 그룹 업데이트

피어링된 VPC의 보안 그룹을 참조하도록 VPC 보안 그룹의 인바운드 또는 아웃바운드 규칙을 업데이트할 수 있습니다. 그렇게 하면 피어링된 VPC의 참조 보안 그룹과 연결된 인스턴스 간에 트래픽을 주고받을 수 있습니다.

요구 사항

  • 피어 VPC는 자신의 계정의 VPC이거나 다른 AWS 계정의 VPC일 수 있습니다. 다른 AWS 계정의 보안 그룹을 참조하려면 소스 또는 대상 주소 필드에 계정 번호를 포함시키십시오(예: 123456789012/sg-1a2b3c4d).

  • 다른 리전에 있는 피어 VPC의 보안 그룹을 참조할 수 없습니다. 그 대신 피어 VPC의 CIDR 블록을 사용하십시오.

  • 피어 VPC의 보안 그룹을 참조하려면 VPC 피어링 연결이 active 상태여야 합니다.

콘솔을 사용하여 보안 그룹 규칙을 업데이트하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹을 선택한 다음 인바운드 규칙을 수정하려면 인바운드 규칙을, 아웃바운드 규칙을 수정하려면 아웃바운드 규칙을 선택합니다.

  4. [Edit], [Add another rule]을 선택합니다.

  5. 필요에 따라 유형, 프로토콜 및 포트 범위를 지정합니다. 소스(아웃바운드 규칙의 경우에는 대상 주소)에 피어 VPC의 보안 그룹 ID(동일 리전에 있는 경우) 또는 피어 VPC의 CIDR 블록(다른 리전에 있는 경우)을 입력합니다.

    참고

    피어 VPC의 보안 그룹은 목록에 자동으로 표시되지 않습니다.

  6. Save를 선택합니다.

명령줄을 사용하여 인바운드 규칙을 업데이트하려면

명령줄을 사용하여 아웃바운드 규칙을 업데이트하려면

예를 들어, 피어 VPC에 있는 sg-bbbb2222의 HTTP를 통해 인바운드 액세스를 허용하도록 보안 그룹 sg-aaaa1111을 업데이트하려면 다음 AWS CLI 명령을 사용할 수 있습니다.

aws ec2 authorize-security-group-ingress --group-id sg-aaaa1111 --protocol tcp --port 80 --source-group sg-bbbb2222

보안 그룹 규칙을 업데이트한 후 describe-security-groups 명령을 사용하여 보안 그룹 규칙에서 참조된 보안 그룹을 볼 수 있습니다.

참조된 보안 그룹 식별

보안 그룹이 피어 VPC의 보안 그룹 규칙에서 참조되고 있는지 여부를 확인하려면 계정의 하나 이상의 보안 그룹에 대해 다음 명령 중 하나를 사용할 수 있습니다.

다음 예의 응답은 보안 그룹 sg-bbbb2222가 VPC 의 보안 그룹 vpc-aaaaaaaa에서 참조되고 있음을 나타냅니다.

aws ec2 describe-security-group-references --group-id sg-bbbb2222
{ "SecurityGroupsReferenceSet": [ { "ReferencingVpcId": "vpc-aaaaaaaa", "GroupId": "sg-bbbb2222", "VpcPeeringConnectionId": "pcx-b04deed9" } ] }

VPC 피어링 연결을 삭제하거나 피어 VPC의 소유자가 참조된 보안 그룹을 삭제하면, 보안 그룹 규칙은 무효로 됩니다.

무효 보안 그룹 규칙으로 작업

무효 보안 그룹 규칙이란 VPC 피어링 연결이 삭제되었거나 피어 VPC의 보안 그룹이 삭제된 상태에서 피어 VPC의 보안 그룹을 참조하는 규칙입니다. 보안 그룹 규칙이 무효로 되면, 해당 규칙은 보안 그룹—에서 자동으로 제거되지 않습니다. 따라서 해당 규칙을 수동으로 제거해야 합니다. VPC 피어링 연결이 삭제되었기 때문에 보안 그룹 규칙 기한이 경과되었고, 동일한 VPC로 새 VPC 피어링 연결을 생성하는 경우 더 이상 기한 경과로 표시되지 않습니다.

Amazon VPC 콘솔을 사용하여 VPC에 대한 무효 보안 그룹 규칙을 보고 삭제할 수 있습니다.

무효 보안 그룹 규칙을 보고 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 오른쪽의 알림 아이콘에서 [View your stale rules]를 선택합니다(이 아이콘은 무효 보안 그룹 규칙이 있는 경우에만 표시됨).

  4. 무효 규칙을 삭제하려면 [Edit]를 선택한 다음 규칙을 삭제합니다. [Save Rules]를 선택합니다. [VPC] 필드에 VPC ID를 입력하면 다른 VPC의 무효 규칙을 확인할 수 있습니다.

  5. 완료되면 [Close]를 선택합니다.

명령줄 또는 API를 사용하여 부실한 보안 그룹 규칙을 설명하려면

다음 예에서는 VPC A (vpc-aaaaaaaa)와 VPC B가 피어링되었고, VPC 피어링 연결이 삭제되었습니다. VPC A의 보안 그룹 sg-aaaa1111은 VPC B의 sg-bbbb2222를 참조합니다. VPC에 대해 describe-stale-security-groups 명령을 실행하면, 응답은 보안 그룹 sg-aaaa1111sg-bbbb2222를 참조하는 무효 SSH 규칙이 있음을 나타냅니다.

aws ec2 describe-stale-security-groups --vpc-id vpc-aaaaaaaa
{ "StaleSecurityGroupSet": [ { "VpcId": "vpc-aaaaaaaa", "StaleIpPermissionsEgress": [], "GroupName": "Access1", "StaleIpPermissions": [ { "ToPort": 22, "FromPort": 22, "UserIdGroupPairs": [ { "VpcId": "vpc-bbbbbbbb", "PeeringStatus": "deleted", "UserId": "123456789101", "GroupName": "Prod1", "VpcPeeringConnectionId": "pcx-b04deed9", "GroupId": "sg-bbbb2222" } ], "IpProtocol": "tcp" } ], "GroupId": "sg-aaaa1111", "Description": "Reference remote SG" } ] }

무효 보안 그룹 규칙을 식별한 후, revoke-security-group-ingress 또는 revoke-security-group-egress 명령을 사용하여 해당 규칙을 삭제할 수 있습니다.