내용으로 건너뛰기
AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post
re:Post 소개

Amazon VPC 보안 그룹 및 네트워크 ACL을 구성하고 관리하려면 어떻게 해야 합니까?

3분 분량
0

Amazon Virtual Private Cloud(Amazon VPC) 보안 그룹과 네트워크 액세스 제어 목록(네트워크 ACL)을 구성하고 관리하려고 합니다. VPC를 다른 AWS 계정과 공유하거나 여러 VPC를 관리하려고 합니다.

해결 방법

참고: 세분화된 액세스 제어를 위해서는 보안 그룹을 사용하고 더 광범위한 액세스를 위해서는 네트워크 ACL을 사용하는 것이 가장 좋습니다.

Amazon VPC 보안 그룹 구성

보안 그룹 규칙을 구성할 때는 애플리케이션 및 서비스가 작동하는 데 필요한 트래픽만 허용하십시오.

필요한 경우 여러 보안 그룹을 사용하여 여러 가지 액세스 규칙을 개별적으로 관리할 수 있습니다. 예를 들어, 웹 트래픽 액세스, 데이터베이스 액세스 및 도구 모니터링을 위해 단일 탄력적 네트워크 인터페이스에 여러 보안 그룹을 연결할 수 있습니다.

AWS 서비스 요구 사항을 기반으로 규칙을 구성해야 합니다. 예를 들어 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 경우 Linux에서는 SSH(포트 22)를 허용하고 Windows 인스턴스에서는 기본 TCP(포트 3389)를 허용합니다. Amazon Relational Database Service(Amazon RDS) 인스턴스의 경우 데이터베이스별 포트를 허용합니다.

컴퓨터에서 인스턴스에 연결하기 위한 인바운드 규칙의 예:

프로토콜 유형프로토콜 번호포트소스 IP 주소
TCP622(SSH)사용자 컴퓨터 주소
TCP63389(TCP)사용자 컴퓨터 주소

데이터베이스 서버에서 인스턴스에 연결하기 위한 인바운드 규칙의 예:

프로토콜 유형프로토콜 번호포트소스 IP 주소
TCP61433(MS SQL)사용자 컴퓨터 주소
TCP63306(MYSQL/Amazon Aurora)사용자 컴퓨터 주소

규칙을 만들 때 개별 프라이빗 IP 주소 또는 CIDR 범위 대신 다른 보안 그룹을 참조할 수도 있습니다.

보안 그룹을 여러 VPC와 연결

기본적으로 보안 그룹을 만든 VPC의 리소스에만 보안 그룹을 연결할 수 있습니다. 계정의 동일한 AWS 리전 내 여러 VPC에서 동일한 보안 그룹을 사용하려면 보안 그룹을 다른 VPC와 연결하십시오.

관리형 접두사 목록을 사용하여 네트워크 CIDR 블록 통합 및 관리

접두사 목록을 참조할 때 리소스의 항목 수 할당량에는 접두사 목록의 최대 항목 수가 포함됩니다. 예를 들어 보안 그룹 규칙에서 최대 20개의 항목이 있는 접두사 목록을 참조하는 경우 해당 항목은 20개의 보안 그룹 규칙으로 계산됩니다.

포트와 프로토콜은 같지만 CIDR 블록은 다른 여러 보안 그룹 규칙을 단일 규칙으로 통합하려면 고객 관리형 접두사 목록을 사용하십시오. 고객 관리형 접두사 목록을 업데이트하면 해당 목록을 참조하는 보안 그룹 규칙이 변경 사항을 자동으로 상속합니다.

고객 관리형 접두사 목록을 만든 다음 목록의 항목을 확인합니다.

조직과 보안 그룹 공유

AWS Organizations 조직 내 여러 계정에서 VPC를 공유할 수 있습니다. 보안 그룹을 조직의 다른 계정과 공유하려면 공유 보안 그룹 기능을 사용하십시오.

예를 들어 소유자 계정이 공유 VPC 서브넷의 조직 전체 보안 정책을 충족하는 규칙으로 만든 보안 그룹을 멤버 계정이 사용할 수 있습니다.

참고: 멤버 계정은 공유 보안 그룹을 사용할 수 있지만 규칙을 수정할 수는 없습니다.

네트워크 ACL 구성

네트워크 ACL을 구성할 때는 다음 모범 사례를 사용하십시오.

  • 기존 규칙을 재정렬할 필요 없이 향후 규칙을 수용할 수 있도록 네트워크 ACL 규칙 간에 간격을 둡니다.
  • 서브넷마다 별도의 네트워크 ACL을 사용하여 각 서브넷의 리소스를 기반으로 인바운드 및 아웃바운드 트래픽을 제어합니다.
  • 아웃바운드 트래픽에 임시 포트를 사용하여 AWS 서비스의 응답을 허용합니다.

리소스 태그 지정

보안 그룹 및 네트워크 ACL의 목적과 관련 리소스를 식별하는 데 도움이 되도록 태그를 추가하십시오. 태그를 사용하면 다양한 팀 또는 프로젝트 전반에서 리소스를 효율적으로 관리하고 구성할 수 있습니다. 자동화 및 유지 관리를 위해 리소스를 체계적으로 필터링하고 관리할 수 있습니다.

관련 정보

네트워크 ACL과 보안 그룹 간의 차이점

다양한 사용 사례에 대한 보안 그룹 규칙

Amazon EC2 보안 그룹 연결 추적

VPC 연결 및 보안 그룹 공유를 통해 Amazon VPC 보안 그룹 관리 간소화

주제
Networking & Content Delivery
태그
Amazon VPC
언어
한국어
AWS 공식업데이트됨 한 달 전
댓글 없음

관련 콘텐츠