VPC의 보안 그룹 - Amazon Virtual Private Cloud

VPC의 보안 그룹

보안 그룹은 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. VPC에서 인스턴스를 시작할 때 최대 5개의 보안 그룹에 인스턴스를 할당할 수 있습니다. 보안 그룹은 서브넷 수준이 아니라 인스턴스 수준에서 작동하므로 VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안 그룹 세트에 할당할 수 있습니다.

Amazon EC2 API 또는 명령줄 도구를 사용하여 인스턴스를 시작하고 보안 그룹을 지정하지 않으면 인스턴스가 VPC의 기본 보안 그룹에 자동으로 할당됩니다. Amazon EC2 콘솔을 사용하여 인스턴스를 시작하는 경우 인스턴스에 대한 새 보안 그룹을 생성할 수 있는 옵션이 제공됩니다.

각 보안 그룹에 대해 인스턴스에 대한 인바운드 트래픽을 제어하는 규칙과 아웃바운드 트래픽을 제어하는 별도의 규칙 세트를 추가합니다. 이 단원에서는 VPC의 보안 그룹과 그 규칙에 대해 알아야 하는 기본 사항을 설명합니다.

보안 그룹과 비슷한 규칙으로 네트워크 ACL을 설정하여 VPC에 보안 계층을 더 추가할 수 있습니다. 보안 그룹과 네트워크 ACL의 차이에 대한 자세한 정보는 보안 그룹 및 네트워크 ACL 비교 단원을 참조하십시오.

보안 그룹 기본 사항

다음은 보안 그룹의 특징입니다.

  • 허용 규칙을 지정할 수 있지만 거부 규칙은 지정할 수 없습니다.

  • 인바운드 트래픽과 아웃바운드 트래픽에 별도의 규칙을 지정할 수 있습니다.

  • 보안 그룹 규칙을 사용하면 프로토콜과 포트 번호를 기준으로 트래픽을 필터링할 수 있습니다.

  • 보안 그룹은 상태가 저장됩니다. 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. 아웃바운드 규칙에 상관없이, 허용된 인바운드 트래픽에 대한 반응으로 외부로 나가는 흐름이 수행됩니다.

    참고

    일부 트래픽 유형은 다른 유형과는 별도로 추적됩니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서연결 추적을 참조하십시오.

  • 보안 그룹을 처음 만들 때 인바운드 규칙이 없습니다. 따라서 보안 그룹에 인바운드 규칙을 추가하기 전에는 또 다른 호스트에서 시작하여 인스턴스로 가는 인바운드 트래픽이 허용되지 않습니다.

  • 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙을 포함합니다. 규칙을 제거할 수 있으며 특정 아웃바운드 트래픽만 허용하는 아웃바운드 규칙을 추가할 수 있습니다. 보안 그룹에 아웃바운드 규칙이 없는 경우 인스턴스에서 시작하는 아웃바운드 트래픽이 허용되지 않습니다.

  • VPC당 생성할 수 있는 보안 그룹의 개수, 각 보안 그룹에 추가할 수 있는 규칙의 개수, 그리고 네트워크 인터페이스에 연결할 수 있는 보안 그룹의 개수에는 할당량이 있습니다. 자세한 내용은 Amazon VPC 할당량 단원을 참조하십시오.

  • 트래픽을 허용하는 규칙을 추가하지 않으면 보안 그룹과 연결된 인스턴스가 서로 통신할 수 없습니다(예외: 기본 보안 그룹에는 기본적으로 이 규칙이 포함됨).

  • 보안 그룹은 네트워크 인터페이스와 연결됩니다. 인스턴스를 시작한 후 인스턴스에 연결된 보안 그룹을 변경할 수 있습니다. 이 경우 주 네트워크 인터페이스(eth0)에 연결된 보안 그룹이 변경됩니다. 다른 네트워크 인터페이스와 연결된 보안 그룹을 지정하거나 변경할 수도 있습니다. 기본적으로 네트워크 인터페이스를 생성하면 다른 보안 그룹을 지정하지 않는 한 VPC의 기본 보안 그룹과 연결됩니다. 네트워크 인터페이스에 대한 자세한 내용은 탄력적 네트워크 인터페이스를 참조하십시오.

  • 보안 그룹을 생성할 때 이름과 설명을 제공해야 합니다. 다음 규칙이 적용됩니다.

    • 이름과 설명은 최대 255자일 수 있습니다.

    • 이름과 설명은 다음과 같은 문자로 제한됩니다. a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=&;{}!$*

    • 이름에 후행 공백이 포함되어 있으면 이름을 저장할 때 공백을 자릅니다. 예를 들어 이름에 “테스트 보안 그룹 ”을 입력하면 “테스트 보안 그룹”으로 저장됩니다.

    • 보안 그룹 이름은 기본 보안 그룹을 나타내는 sg-로 시작할 수 없습니다.

    • 보안 그룹 이름은 VPC 내에서 고유해야 합니다.

  • 보안 그룹은 보안 그룹을 생성할 때 지정한 VPC에서만 사용할 수 있습니다.

VPC의 기본 보안 그룹

VPC는 자동으로 기본 보안 그룹과 함께 제공됩니다. 인스턴스를 시작할 때 다른 보안 그룹을 지정하지 않을 경우 기본 보안 그룹이 인스턴스에 연결됩니다.

참고

Amazon EC2 콘솔에서 인스턴스를 시작하면 인스턴스 시작 마법사가 "launch-wizard-xx" 보안 그룹을 자동으로 정의하며 기본 보안 그룹 대신 해당 그룹을 인스턴스와 연결할 수 있습니다.

다음 표에서는 기본 보안 그룹의 기본 규칙을 설명합니다.

Inbound
소스 프로토콜 포트 범위 설명

보안 그룹 ID(sg-xxxxxxxx)

모두

모두

동일한 보안 그룹에 할당된 네트워크 인터페이스(및 연결된 인스턴스)로부터의 인바운드 트래픽을 허용합니다.

Outbound

대상 주소 프로토콜 포트 범위 설명

0.0.0.0/0

모두

모두

모든 아웃바운드 IPv4 트래픽을 허용.

::/0 All All Allow all outbound IPv6 traffic. This rule is added by default if you create a VPC with an IPv6 CIDR block or if you associate an IPv6 CIDR block with your existing VPC.

기본 보안 그룹에 대한 규칙을 변경할 수 있습니다.

기본 보안 그룹을 삭제할 수 없습니다. 기본 보안 그룹을 삭제하려고 하면 Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user 오류가 표시됩니다.

보안 그룹의 아웃바운드 규칙을 수정한 경우에는 IPv6 블록을 VPC에 연결할 때 IPv6 트래픽에 대한 아웃바운드 규칙이 자동으로 추가되지 않습니다.

보안 그룹 규칙

보안 그룹의 규칙을 추가하거나 제거할 수 있습니다(인바운드 또는 아웃바운드 액세스 권한 부여 또는 취소라고도 함). 규칙은 인바운드 트래픽(수신)이나 아웃바운드 트래픽(송신)에 적용됩니다. 특정 CIDR 범위 또는 VPC나 피어 VPC(VPC 피어링 연결 필요)의 다른 보안 그룹에 대한 액세스 권한을 부여할 수 있습니다.

보안 그룹의 규칙은 보안 그룹과 연결된 인스턴스에 도달할 수 있는 인바운드 트래픽과 인스턴스에서 나갈 수 있는 아웃바운드 트래픽을 제어합니다.

다음은 보안 그룹 규칙의 특징입니다.

  • 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용합니다.

  • 보안 그룹 규칙은 항상 허용적입니다. 따라서 액세스를 거부하는 규칙을 생성할 수 없습니다.

  • 보안 그룹 규칙을 사용하면 프로토콜과 포트 번호를 기준으로 트래픽을 필터링할 수 있습니다.

  • 보안 그룹은 상태가 저장됩니다. 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 규칙에 관계없이 인바운드 흐름이 허용됩니다. 이는 또한 허용된 인바운드 트래픽에 대한 응답은 아웃바운드 규칙에 관계없이 아웃바운드 흐름에 허용됩니다.

  • 언제든지 규칙을 추가하고 제거할 수 있습니다. 변경 내용은 보안 그룹과 연결된 인스턴스에 자동으로 적용됩니다.

    일부 규칙 변경 사항이 미치는 효과는 트래픽의 추적 방법에 따라 다를 수 있습니다.

  • 여러 보안 그룹을 인스턴스와 연결할 경우 각 보안 그룹의 규칙이 유효하게 결합된 단일 규칙 세트가 생성됩니다. Amazon EC2는 이 규칙 세트를 사용하여 액세스를 허용할지 여부를 결정합니다.

    인스턴스에 여러 보안 그룹을 할당할 수 있습니다. 따라서 한 인스턴스에 수백 개의 규칙이 적용될 수 있습니다. 이로 인해 인스턴스에 액세스할 때 문제가 발생할 수 있습니다. 규칙을 최대한 간략하게 만드는 것이 좋습니다.

각 규칙에 대해 다음을 지정합니다.

  • 이름: 보안 그룹의 이름입니다(예: my-security-group).

    이름의 최대 길이는 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*. 이름에 후행 공백이 포함되어 있으면 이름을 저장할 때 공백을 자릅니다. 예를 들어 이름에 “테스트 보안 그룹 ”을 입력하면 “테스트 보안 그룹”으로 저장됩니다.

  • 프로토콜: 허용할 프로토콜. 가장 일반적인 프로토콜은 6(TCP), 17(UDP) 및 1(ICMP)입니다.

  • 포트 범위: TCP, UDP 또는 사용자 지정 프로토콜의 경우 허용할 포트의 범위. 단일 포트 번호(예: 22) 또는 포트 번호의 범위(예: 7000-8000)를 지정할 수 있습니다.

  • ICMP 유형 및 코드: ICMP의 경우, ICMP 유형과 코드.

  • 소스 또는 대상: 트래픽에 대한 소스(인바운드 규칙) 또는 대상(아웃바운드 규칙). 다음 옵션 중 하나를 지정합니다.

    • 단일 IPv4 주소. /32 접두사 길이를 사용해야 합니다(예: 203.0.113.1/32).

    • 단일 IPv6 주소. /128 접두사 길이를 사용해야 합니다(예: 2001:db8:1234:1a00::123/128).

    • CIDR 블록 표기법으로 표시된 IPv4 주소의 범위(예: 203.0.113.0/24).

    • CIDR 블록 표기법으로 표시된 IPv6 주소의 범위(예: 2001:db8:1234:1a00::/64).

    • 접두사 목록 ID(예: pl-1234abc1234abc123). 자세한 내용은 접두사 목록 단원을 참조하십시오.

    • 다른 보안 그룹. 이 옵션을 사용하면 지정된 보안 그룹과 연결된 인스턴스가 이 보안 그룹과 연결된 인스턴스에 액세스할 수 있습니다. 하지만 이 보안 그룹에 소스 보안 그룹의 규칙이 추가되지는 않습니다. 다음 보안 그룹 중 하나를 지정할 수 있습니다.

      • 현재 보안 그룹

      • 동일한 VPC에 대한 다른 보안 그룹

      • VPC 피어링 연결에서 동일한 VPC 또는 피어 VPC에 대한 다른 보안 그룹.

  • (선택 사항) 설명: 나중에 쉽게 식별할 수 있도록 규칙에 대한 설명을 입력할 수 있습니다. 설명 길이는 최대 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*.

보안 그룹 규칙을 생성하는 경우 AWS가 해당 규칙에 고유한 ID를 할당합니다. API 또는 CLI를 사용하여 규칙을 수정하거나 삭제할 때 규칙의 ID를 사용할 수 있습니다.

보안 그룹을 규칙의 소스 또는 대상으로 지정할 경우 규칙은 보안 그룹과 연결된 모든 인스턴스에 영향을 줍니다. 유입 트래픽은 퍼블릭 IP 주소 또는 탄력적 IP 주소가 아닌 원본 보안 그룹과 연결된 인스턴스의 프라이빗 IP 주소를 기반으로 허용됩니다. 보안 그룹 규칙이 피어 VPC의 보안 그룹을 참조하고 참조된 보안 그룹 또는 VPC 피어링 연결이 삭제된 경우, 규칙은 무효로 표시됩니다. 자세한 내용은 Amazon VPC Peering Guide무효 보안 그룹 규칙으로 작업 단원을 참조하십시오.

보안 그룹을 규칙의 원본으로 지정하면 지정된 프로토콜과 포트의 경우, 원본 보안 그룹과 연결된 네트워크 인터페이스에서 트래픽이 허용됩니다. 유입 트래픽은 퍼블릭 IP 주소 또는 탄력적 IP 주소가 아닌 원본 보안 그룹과 연결된 네트워크 인터페이스의 프라이빗 IP 주소를 기반으로 허용됩니다. 보안 그룹을 소스로 추가해도 원본 보안 그룹의 규칙이 추가되지는 않습니다. 관련 예제는 단원을 참조하십시오VPC의 기본 보안 그룹

방화벽 설정을 위한 일부 시스템에서는 소스 포트를 필터링할 수 있습니다. 보안 그룹을 사용하면 대상 포트만 필터링할 수 있습니다.

규칙을 추가, 업데이트 또는 제거할 때 변경 사항은 보안 그룹과 연결된 모든 인스턴스에 자동으로 적용됩니다.

추가하는 규칙 유형은 보안 그룹의 용도에 따라 달라집니다. 다음 표에서는 웹 서버와 연결된 보안 그룹의 규칙 예를 설명합니다. 웹 서버는 IPv4 및 IPv6 주소로부터 HTTP 및 HTTPS 트래픽을 수신하고, SQL 또는 MySQL 트래픽을 데이터베이스 서버에 전송할 수 있습니다.

Inbound
소스 프로토콜 포트 범위 설명

0.0.0.0/0

TCP

80

모든 IPv4 주소에서 이루어지는 인바운드 HTTP 액세스를 허용

::/0 TCP 80 Allow inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

모든 IPv4 주소에서 이루어지는 인바운드 HTTPS 액세스 허용

::/0 TCP 443 Allow inbound HTTPS access from all IPv6 addresses

네트워크의 퍼블릭 IPv4 주소 범위

TCP

22

네트워크의 IPv4 IP 주소로부터 Linux 인스턴스로 접근하는 인바운드 SSH 액세스 허용(인터넷 게이트웨이 경유)

네트워크의 퍼블릭 IPv4 주소 범위

TCP

3389

네트워크의 IPv4 IP 주소로부터 Windows 인스턴스로 접근하는 인바운드 RDP 액세스 허용(인터넷 게이트웨이 경유)

Outbound

대상 주소 프로토콜 포트 범위 설명

Microsoft SQL Server 데이터베이스 서버용 보안 그룹의 ID

TCP

1433

지정된 보안 그룹의 인스턴스로 아웃바운드 Microsoft SQL Server 액세스 허용

MySQL 데이터베이스 서버용 보안 그룹의 ID

TCP

3306

지정된 보안 그룹의 인스턴스로 아웃바운드 MySQL 액세스 허용

데이터베이스 서버에는 다른 규칙 세트가 필요합니다. 예를 들어 인바운드 HTTP 및 HTTPS 트래픽 대신 인바운드 MySQL 또는 Microsoft SQL Server 액세스를 허용하는 규칙을 추가할 수 있습니다. 웹 서버 및 데이터베이스 서버의 보안 그룹 규칙에 대한 에는 Security을 참조하십시오. Amazon RDS DB 인스턴스의 보안 그룹에 대한 자세한 내용은 Amazon RDS 사용 설명서보안 그룹을 통한 액세스 제어를 참조하십시오.

특정 유형의 액세스에 대한 보안 그룹 규칙의 예는 Linux 인스턴스용 Amazon EC2 사용 설명서보안 그룹 규칙 참조를 참조십시오.

무효 보안 그룹 규칙

VPC에 다른 VPC와의 VPC 피어링 연결이 있는 경우, 보안 그룹 규칙은 피어 VPC의 다른 보안 그룹을 참조할 수 있습니다. 이를 통해 참조된 보안 그룹과 연결된 인스턴스가 참조하는 보안 그룹과 연결된 인스턴스와 서로 통신할 수 있습니다.

피어 VPC의 소유자가 참조된 보안 그룹을 삭제하거나 피어 VPC의 소유자가 VPC 피어링 연결을 삭제하면, 보안 그룹 규칙은 stale로 표시됩니다. 다른 보안 그룹 규칙과 같은 방법으로 무효 보안 그룹 규칙을 삭제할 수 있습니다.

자세한 내용은 Amazon VPC 피어링 가이드무효 보안 그룹 규칙으로 작업을 참조하십시오.

보안 그룹 작업

다음 작업은 Amazon VPC 콘솔을 사용한 보안 그룹 작업 방법을 보여 줍니다.

기본 보안 그룹 수정

VPC에는 기본 보안 그룹이 포함되어 있습니다. 이 그룹을 삭제할 수 없지만 그룹의 규칙을 변경할 수는 있습니다. 다른 보안 그룹을 수정할 때와 절차는 똑같습니다.

보안 그룹 생성

인스턴스의 기본 보안 그룹을 사용할 수 있지만 직접 그룹을 생성하여 시스템에서 인스턴스에 지정되는 다른 역할을 반영할 수 있습니다.

기본적으로 처음에 새 보안 그룹에는 인스턴스에서 나가는 모든 트래픽을 허용하는 아웃바운드 규칙만 적용됩니다. 인바운드 트래픽을 사용하거나 아웃바운드 트래픽을 제한하려면 규칙을 추가해야 합니다.

보안 그룹은 보안 그룹이 생성된 VPC에서만 사용할 수 있습니다.

보안 그룹을 만들고 보안 그룹 규칙을 관리하는 데 필요한 권한에 대한 자세한 내용은 보안 그룹 관리보안 그룹 규칙 관리 섹션을 참조하세요.

콘솔을 사용하여 보안 그룹을 생성하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹 생성을 선택합니다.

  4. 보안 그룹의 이름과 설명을 입력합니다. 보안 그룹을 생성한 후에는 보안 그룹에 대한 이름과 설명을 변경할 수 없습니다.

  5. VPC에서 VPC를 선택합니다.

  6. 보안 그룹 규칙을 지금 추가하거나 나중에 추가할 수 있습니다. 자세한 정보는 보안 그룹에 규칙 추가을 참조하십시오.

  7. 태그를 지금 추가하거나 나중에 추가할 수 있습니다. 태그를 추가하려면 [새 태그 추가(Add new tag)]를 선택한 다음 태그 키와 값을 입력합니다.

  8. 보안 그룹 생성을 선택합니다.

명령줄을 사용하여 보안 그룹을 생성하려면

보안 그룹 보기

다음과 같이 보안 그룹에 대한 정보를 볼 수 있습니다.

보안 그룹을 보는 데 필요한 권한에 대한 자세한 정보는 보안 그룹 관리 섹션을 참조하세요.

콘솔을 사용하여 보안 그룹을 보려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹이 나열됩니다. 해당 인바운드 및 아웃바운드 규칙을 포함하여 특정 보안 그룹에 대한 세부 정보를 보려면 보안 그룹을 선택합니다.

명령줄을 사용하여 보안 그룹을 보려면

보안 그룹 태깅

리소스에 태그를 추가하면 용도, 소유자 또는 환경과 같은 기준으로 태그를 구성하고 식별할 수 있습니다. 보안 그룹에 태그를 추가할 수 있습니다. 태그 키는 각 보안 그룹별로 고유해야 합니다. 규칙에 이미 연결된 키로 태그를 추가하면 해당 태그의 값이 업데이트됩니다.

콘솔을 사용하여 보안 그룹을 태깅하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹의 확인란을 선택합니다.

  4. [작업(Actions)], [태그 관리(Manage tags)]를 선택합니다.

  5. [태그 관리(Manage tags)] 페이지에는 보안 그룹에 할당된 모든 태그가 표시됩니다. 태그를 추가하려면 [태그 추가(Add tag)]를 선택한 다음 태그 키와 값을 입력합니다. 태그를 삭제하려면 삭제할 태그 옆에 있는 제거를 선택합니다.

  6. [Save changes]를 선택합니다.

명령줄을 사용하여 보안 그룹을 태깅하려면

보안 그룹에 규칙 추가

보안 그룹에 규칙을 추가할 경우 보안 그룹과 연결된 인스턴스에 새 규칙이 자동으로 적용됩니다.

VPC 피어링 연결이 있는 경우, 피어 VPC의 보안 그룹을 보안 그룹 규칙의 소스 또는 대상으로 참조할 수 있습니다. 자세한 내용은 Amazon VPC 피어링 가이드피어링된 VPC 보안 그룹을 참조하도록 보안 그룹 업데이트를 참조하십시오.

보안 그룹 규칙 관리에 필요한 권한에 대한 자세한 정보는 보안 그룹 규칙 관리 섹션을 참조하세요.

콘솔을 사용하여 규칙을 추가하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹을 선택합니다.

  4. 작업, 인바운드 규칙 편집 또는 작업, 아웃바운드 규칙 편집을 선택합니다.

  5. 각 규칙에 대해 [규칙 추가(Add rule)]를 선택하고 다음을 수행합니다.

    1. 유형에서 허용할 프로토콜 유형을 선택합니다.

      • TCP 또는 UDP의 경우 허용할 포트 범위를 입력해야 합니다.

      • 사용자 지정 ICMP의 경우 [프로토콜(Protocol)]에서 ICMP 유형 이름을 선택하고, 해당되는 경우 [포트 범위(Port range)]에서 코드 이름을 선택해야 합니다.

      • 다른 유형에 대해 프로토콜과 포트 범위가 자동으로 구성됩니다.

    2. [소스(Source)](인바운드 규칙) 또는 [대상(Destination)](아웃바운드 규칙)에서 다음 중 하나를 수행하여 트래픽을 허용합니다.

      • [사용자 지정(Custom)]을 선택한 다음 CIDR 표기법의 IP 주소, CIDR 블록, 다른 보안 그룹 또는 접두사 목록을 입력합니다.

      • 임의 IP 주소의 트래픽이 인스턴스에 도달하도록 허용하거나(인바운드 규칙) 인스턴스의 트래픽이 모든 IP 주소(아웃바운드 규칙)에 도달하도록 허용하려면 [모든 위치(Anywhere)]를 선택합니다. 이 옵션은 0.0.0.0/0 IPv4 CIDR 블록을 자동으로 추가합니다.

        보안 그룹이 IPv6을 사용하도록 설정된 VPC에 있는 경우 이 옵션은 자동으로 ::/0 IPv6 CIDR 블록에 대한 규칙을 추가합니다.

        인바운드 규칙은 테스트 환경에서 잠시 사용하는 것은 괜찮지만 프로덕션 환경에서는 안전하지 않습니다. 프로덕션에서는 특정 IP 주소나 주소 범위만 인스턴스에 액세스하도록 허용하세요.

      • [내 IP(My IP)]를 선택하여 로컬 컴퓨터의 퍼블릭 IPv4 주소에서 전송된 트래픽만 허용하거나(인바운드 규칙) 로컬 컴퓨터의 퍼블릭 IPv4 주소로 트래픽을 허용하세요.

    3. (선택 사항) [설명(Description)]에서 규칙에 대한 간단한 설명을 지정합니다.

  6. 규칙 저장을 선택합니다.

명령줄을 사용하여 보안 그룹에 규칙을 추가하려면 다음을 수행합니다.

보안 그룹 규칙 업데이트

규칙을 업데이트하면 업데이트된 규칙은 보안 그룹과 연결된 모든 인스턴스에 자동으로 적용됩니다.

보안 그룹 규칙 관리에 필요한 권한에 대한 자세한 정보는 보안 그룹 규칙 관리 섹션을 참조하세요.

콘솔을 사용하여 규칙을 업데이트하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹을 선택합니다.

  4. 작업, 인바운드 규칙 편집 또는 작업, 아웃바운드 규칙 편집을 선택합니다.

  5. 필요에 따라 규칙을 업데이트합니다.

  6. 규칙 저장을 선택합니다.

명령줄을 사용하여 보안 그룹 규칙에서 설명을 업데이트하려면

보안 그룹 규칙 태깅

리소스에 태그를 추가하면 용도, 소유자 또는 환경과 같은 기준으로 태그를 구성하고 식별할 수 있습니다. 보안 그룹 규칙에 태그를 추가할 수 있습니다. 태그 키는 각 보안 그룹 규칙별로 고유해야 합니다. 보안 그룹 규칙에 이미 연결된 키로 태그를 추가하면 해당 태그의 값이 업데이트됩니다.

콘솔을 사용하여 규칙을 태깅하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹을 선택합니다.

  4. 인바운드 규칙 또는 아웃바운드 규칙 탭에서 해당 규칙의 확인란을 선택한 다음 태그 관리를 선택합니다.

  5. [태그 관리(Manage tags)] 페이지에는 해당 규칙에 할당된 모든 태그가 표시됩니다. 태그를 추가하려면 [태그 추가(Add tag)]를 선택한 다음 태그 키와 값을 입력합니다. 태그를 삭제하려면 삭제할 태그 옆에 있는 제거를 선택합니다.

  6. [Save changes]를 선택합니다.

명령줄을 사용하여 규칙을 태깅하려면

보안 그룹 규칙 삭제

보안 그룹에서 규칙을 삭제할 경우 보안 그룹과 연결된 인스턴스에 해당 변경 내용이 자동으로 적용됩니다.

콘솔을 사용하여 보안 그룹 규칙을 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 보안 그룹을 선택합니다.

  4. [작업(Actions)]을 선택한 다음, 인바운드 규칙을 제거하려면 [인바운드 규칙 편집(Edit inbound rules)]을, 아웃바운드 규칙을 제거하려면 [아웃바운드 규칙 편집(Edit outbound rules)]을 선택합니다.

  5. 삭제할 규칙 옆에 있는 [삭제(Delete)] 버튼을 선택합니다.

  6. 규칙 저장을 선택합니다.

명령줄을 사용하여 보안 그룹 규칙을 삭제하려면

인스턴스에 대한 보안 그룹 변경

인스턴스를 VPC로 시작한 후 인스턴스가 running 또는 stopped 상태일 때 인스턴스와 연결된 보안 그룹을 변경할 수 있습니다. 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서에서 인스턴스의 보안 그룹 변경을 참조하세요.

보안 그룹 삭제

실행 중이거나 중지된 인스턴스와 연결되지 않은 경우에만 보안 그룹을 삭제할 수 있습니다. 실행 중이거나 중지된 인스턴스와 연결된 보안 그룹을 변경할 수 있습니다. 자세한 내용은 인스턴스에 대한 보안 그룹 변경 섹션을 참조하세요. 기본 보안 그룹을 삭제할 수 없습니다.

콘솔을 사용하면 한 번에 두 개 이상의 보안 그룹을 삭제할 수 있습니다. 명령줄 또는 API를 사용하면 한 번에 한 개의 보안 그룹만 삭제할 수 있습니다.

콘솔을 사용하여 보안 그룹을 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 [Security Groups]를 선택합니다.

  3. 하나 이상의 보안 그룹을 선택한 다음, [작업(Actions)], [보안 그룹 삭제(Delete Security Group)]를 선택합니다.

  4. 확인 메시지가 나타나면 delete를 입력한 다음 삭제를 선택합니다.

명령줄을 사용하여 보안 그룹을 삭제하려면

를 사용하여 VPC 보안 그룹을 중앙에서 관리AWS Firewall Manager

AWS Firewall Manager는 여러 계정과 리소스에서 VPC 보안 그룹 관리 및 유지 관리 작업을 간소화합니다. Firewall Manager를 사용하면 단일 중앙 관리자 계정에서 조직의 보안 그룹을 구성하고 감사할 수 있습니다. Firewall Manager는 새로 추가한 리소스를 포함한 모든 계정과 리소스에 자동으로 규칙과 보호를 적용합니다. Firewall Manager는 조직 전체를 보호해야 하거나 중앙 관리자 계정으로 보호할 새 리소스를 자주 추가하는 경우에 특히 유용합니다.

Firewall Manager를 사용하면 다음과 같은 방법으로 보안 그룹을 중앙에서 관리할 수 있습니다.

  • 조직 전체에서 공통 기본 보안 그룹 구성: 공통 보안 그룹 정책을 사용하면 조직 전체에서 계정과 리소스에 대한 보안 그룹의 연결을 중앙에서 제어할 수 있습니다. 조직에서 정책을 적용할 위치와 방법을 지정합니다.

  • 조직의 기존 보안 그룹 감사: 보안 그룹 감사 정책을 사용하여 조직의 보안 그룹에서 사용 중인 기존 규칙을 확인할 수 있습니다. 모든 계정, 특정 계정 또는 태그가 지정된 조직 내 리소스를 감사하도록 정책의 범위를 지정할 수 있습니다. Firewall Manager가 자동으로 새 계정 및 리소스를 감지하고 감사합니다. 감사 규칙을 생성하여 조직 내에서 허용 또는 금지할 보안 그룹 규칙에 대한 가드레일을 설정하고 사용되지 않거나 중복된 보안 그룹을 확인할 수 있습니다.

  • 규정 미준수 리소스에 대한 보고서 가져오기 및 문제 해결: 기준 및 감사 정책에 대한 규정 미준수 리소스에 대한 보고서와 알림을 받을 수 있습니다. 또한 자동 문제 해결 워크플로를 설정하여 Firewall Manager에서 감지한 모든 규정 미준수 리소스의 문제를 해결할 수도 있습니다.

Firewall Manager를 사용하여 보안 그룹을 관리하는 방법에 대한 자세한 내용은 AWS WAF 개발자 안내서의 다음 주제를 참조하세요.