예: 서브넷의 인스턴스에 대한 액세스 제어 - Amazon Virtual Private Cloud

예: 서브넷의 인스턴스에 대한 액세스 제어

이 예에서는 서브넷의 인스턴스가 서로 통신할 수 있으며, 신뢰할 수 있는 원격 컴퓨터로부터 액세스될 수 있습니다. 원격 컴퓨터는 로컬 네트워크의 컴퓨터이거나 다른 서브넷 또는 VPC의 인스턴스일 수 있습니다. 원격 컴퓨터를 통해 인스턴스에 연결하여 관리 작업을 수행할 수 있습니다. 사용자의 보안 그룹 규칙 및 네트워크 ACL 규칙이 원격 컴퓨터의 IP 주소(172.31.1.2/32)로부터의 액세스를 허용합니다. 인터넷 또는 다른 네트워크로부터의 다른 모든 트래픽은 거부됩니다. 이 시나리오는 인스턴스에 대한 보안 그룹 또는 보안 그룹 규칙을 변경할 수 있고 네트워크 ACL을 방어의 백업 계층으로 사용할 수 있는 유연성을 제공합니다.

보안 그룹 및 NACL 사용

다음은 인스턴스와 연결할 보안 그룹의 예입니다. 보안 그룹은 상태가 저장됩니다. 따라서 인바운드 트래픽에 대한 응답을 허용하는 규칙은 필요하지 않습니다.

인바운드
프로토콜 유형 프로토콜 포트 범위 소스 설명
모든 트래픽 모두 모두 sg-1234567890abcdef0 이 보안 그룹과 연결된 모든 인스턴스는 서로 통신할 수 있습니다.
SSH TCP 22 172.31.1.2/32 원격 컴퓨터로부터의 인바운드 SSH 액세스를 허용합니다.
아웃바운드
프로토콜 유형 프로토콜 포트 범위 대상 주소 설명
모든 트래픽 모두 모두 sg-1234567890abcdef0 이 보안 그룹과 연결된 모든 인스턴스는 서로 통신할 수 있습니다.

다음은 인스턴스의 서브넷과 연결할 네트워크 ACL 예제입니다. 네트워크 ACL 규칙은 서브넷의 모든 인스턴스에 적용됩니다. 네트워크 ACL은 상태가 저장되지 않습니다. 따라서 인바운드 트래픽에 대한 응답을 허용하는 규칙이 필요합니다.

인바운드
규칙 # Type 프로토콜 포트 범위 소스 허용/거부 설명
100 SSH TCP 22 172.31.1.2/32 허용 원격 컴퓨터로부터의 인바운드 트래픽을 허용합니다.
* 모든 트래픽 모두 모두 0.0.0.0/0 DENY 다른 모든 인바운드 트래픽을 거부합니다.
아웃바운드
규칙 # Type 프로토콜 포트 범위 대상 주소 허용/거부 설명
100 사용자 지정 TCP TCP 1024~65535 172.31.1.2/32 허용 원격 컴퓨터에 대한 아웃바운드 응답을 허용합니다.
* 모든 트래픽 모두 모두 0.0.0.0/0 DENY 다른 모든 아웃바운드 트래픽을 거부합니다.

잘못하여 보안 그룹 규칙을 너무 허용하는 경우, 이 예제의 네트워크 ACL 규칙이 지정된 IP 주소의 액세스만 계속 허용하게 됩니다. 예를 들어 다음 보안 그룹에는 모든 IP 주소에서 인바운드 SSH 액세스를 허용하는 규칙이 포함되어 있습니다. 그러나 네트워크 ACL을 사용하는 서브넷의 인스턴스와 이 보안 그룹을 연결하면 서브넷과 원격 컴퓨터 내의 다른 인스턴스만 인스턴스에 액세스할 수 있습니다. 네트워크 ACL 규칙이 서브넷에 대한 다른 인바운드 트래픽을 거부하기 때문입니다.

인바운드
유형 프로토콜 포트 범위 소스 설명
모든 트래픽 모두 모두 sg-1234567890abcdef0 이 보안 그룹과 연결된 모든 인스턴스는 서로 통신할 수 있습니다.
SSH TCP 22 0.0.0.0/0 모든 IP 주소로부터의 SSH 액세스를 허용합니다.
아웃바운드
유형 프로토콜 포트 범위 대상 주소 설명
모든 트래픽 모두 모두 0.0.0.0/0 모든 아웃바운드 트래픽을 허용합니다.