본문 바로가기
CLOUD/AWS

AWS 보안그룹 규칙 소스에 보안그룹 넣기

by Rainbound-IT 2022. 5. 26.
반응형

 

 

AWS 보안그룹에 소에는 다음과 같이 입력할수가 있다.

 

 

  • 소스 또는 대상: 허용할 트래픽에 대한 소스(인바운드 규칙) 또는 대상(아웃바운드 규칙)입니다. 다음 중 하나를 지정하십시오.
    • 단일 IPv4 주소. /32 접두사 길이를 사용해야 합니다. 예: 203.0.113.1/32.
    • 단일 IPv6 주소. /128 접두사 길이를 사용해야 합니다. 예: 2001:db8:1234:1a00::123/128.
    • CIDR 블록 표기법으로 표시된 IPv4 주소의 범위. 예: 203.0.113.0/24.
    • CIDR 블록 표기법으로 표시된 IPv6 주소의 범위. 예: 2001:db8:1234:1a00::/64.
    • 접두사 목록의 ID. 예: pl-1234abc1234abc123. 자세한 내용은 Amazon VPC 사용 설명서의 접두사 목록을 참조하십시오.
    • 보안 그룹의 ID입니다(여기에서는 지정된 보안 그룹이라고 함). 예를 들어, 현재 보안 그룹, 동일한 VPC의 보안 그룹 또는 피어링된 VPC에 대한 보안 그룹이 해당됩니다. 이렇게 하면 지정된 보안 그룹과 연결된 리소스의 프라이빗 IP 주소를 기반으로 하는 트래픽이 허용됩니다. 이 작업은 지정된 보안 그룹의 규칙을 현재 보안 그룹에 추가하지 않습니다.

보안 그룹 규칙을 생성하면 AWS에서는 규칙에 고유한 ID가 할당됩니다. API 또는 CLI를 사용하여 규칙을 수정하거나 삭제할 때 규칙의 ID를 사용할 수 있습니다.

보안 그룹을 규칙의 소스 또는 대상으로 지정할 경우 규칙은 보안 그룹과 연결된 모든 인스턴스에 영향을 줍니다. 유입 트래픽은 퍼블릭 IP 주소 또는 탄력적 IP 주소가 아닌 원본 보안 그룹과 연결된 인스턴스의 프라이빗 IP 주소를 기반으로 허용됩니다. IP 주소에 대한 자세한 내용은 Amazon EC2 인스턴스 IP 주소 지정 주제를 참조하십시오. 보안 그룹 규칙이 동일한 VPC 또는 피어 VPC에서 삭제된 보안 그룹을 참조하거나 VPC 피어링 연결이 삭제된 피어 VPC의 보안 그룹을 참조하는 경우 규칙은 기한 경과로 표시됩니다. 자세한 내용은 Amazon VPC Peering Guide의 무효 보안 그룹 규칙으로 작업 단원을 참조하십시오.

특정 포트에 대한 규칙이 여러 개 있는 경우 Amazon EC2는 최대 허용 규칙을 적용합니다. 예를 들어, IP 주소 203.0.113.1의 TCP 포트 22(SSH) 액세스를 허용하는 규칙과 모든 사용자의 TCP 포트 22 액세스를 허용하는 규칙이 있는 경우 모든 사용자가 TCP 포트 22에 액세스할 수 있습니다.

규칙을 추가, 업데이트 또는 제거할 때 변경 사항은 보안 그룹과 연결된 모든 인스턴스에 자동으로 적용됩니다

ip, cidr, 접두사(cidr 블록해서 여러 cidr 등록), 보안그룹 이 있습니다.

 

 

보안그룹에 보안그룹을 넣는 방식을 사용하길래 다를건 없고 ec2를 넣으면 프라이빗 주소 기반으로 허용이 된다고 하네요. (주소 입력할때 private을 사용해야겠습니다.) 포트는 관계없이 소스(ip)만 참조합니다.

별다를게 없다고 보여지는데 이거를

보안그룹1 소스 -> 보안그룹2

보안그룹2 소스 -> 보안그룹3 

보안그룹3 소스 -> 보안그룹4

이런식으로 관리가 됩니다.

 

 태그를 잘 안붙이면 sg-xxxxx이런식으로만 나와서 구분하기 매우 어렵고

너무 참조를 많이하면 설정을 타고타고 봐야해서 불편함이 있더군요. 

예를들어 보안그룹4에서 인바운드 된 ip를 확인하려면 sg3보고 sg2보고 sg1으로 가야하는 불편함이 있습니다.

그래서 그림같은걸로 전체적인 설정을 그려놓는것이 좋다고 생각이 들었습니다.

아니면 태그로 어디까지 참조했다는걸 알려주는것도 좋구요.

 

구분하기 어려운데 굳이 사용하는 이유가 뭘까요?

이런식으로 그룹을 참조해서 사용하면 ip로 보안그룹하는일이 적어지고 그룹으로 관리할수 있다는점이 좋아보였습니다.

보안 측면에서는 이것이 훨씬 좋다고 생각이 들더군요.

 

주의: aws 서비스만 소스에 그룹을 넣어 반영이 가능합니다. 외부 ip의 경우는 적용이 되지않습니다.

(프라이빗 ip주소를 기반으로 하기 때문)

aws docs에서 프라이빗만 된다고 하네요

 

 

 

 

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/security-group-rules.html

 

보안 그룹 규칙 - Amazon Elastic Compute Cloud

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

 

반응형

'CLOUD > AWS' 카테고리의 다른 글

AWS ECS repository pull 하는 방법 (이미지 다운)  (0) 2022.06.08
cloudfront-s3 react browser router 작동 안할때  (0) 2022.05.30
AWS cloudfront S3연동 / OAI를 이용 (access denied 문제 관련 해결)  (2) 2022.05.25
[ECS] taskRole VS executionRole 차이  (0) 2022.05.23
AWS CodeDeploy BLUE/GREEN 배포 자세히 알아보기  (0) 2022.05.17

관련글

댓글

티스토리툴바