VPC 보안 그룹

보안 그룹: 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할

 

VPC에서 인스턴스를 시작할 때 최대 5개의 보안 그룹에 인스턴스 할당 가능, 서브넷의 각 인스턴스를 서로 다른 보안 그룹 세트에 할당 가능(보안 그룹은 서브넷 수준이 아닌 인스턴스 수준에서 작동하기 떄문)

Amazon EC2 API 또는 명령줄 도구를 사용하여 인스턴스 시작 후 보안그룹 지정 안 하면 VPC 기본 보안 그룹에 자동 할당되고,  Amazon EC2 콘솔을 사용하여 인스턴스를 시작하는 경우 인스턴스에 대한 새 보안 그룹을 생성할 수 있는 옵션이 제공됨

 

VPC의 보안 그룹이 갖는 기본 특징

* VPC당 생성할 수 있는 보안 그룹의 개수, 각 보안 그룹에 추가할 수 있는 규칙의 개수, 그리고 네트워크 인터페이스에 연결할 수 있는 보안 그룹의 개수에는 할당량이 있습니다.

* 허용 규칙을 지정할 수 있지만 거부 규칙은 지정할 수 없습니다.

* 인바운드 트래픽과 아웃바운드 트래픽에 별도의 규칙을 지정할 수 있습니다.

* 보안 그룹을 만드는 경우에는 인바운드 규칙이 없습니다. 따라서 보안 그룹에 인바운드 규칙을 추가하기 전에는 또 다른 호스트에서 시작하여 인스턴스로 가는 인바운드 트래픽이 허용되지 않습니다.

* 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙을 포함합니다. 규칙을 제거할 수 있으며 특정 아웃바운드 트래픽만 허용하는 아웃바운드 규칙을 추가할 수 있습니다. 보안 그룹에 아웃바운드 규칙이 없는 경우 인스턴스에서 시작하는 아웃바운드 트래픽이 허용되지 않습니다.

* 보안 그룹은 상태가 저장됩니다. — 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. 아웃바운드 규칙에 상관없이, 허용된 인바운드 트래픽에 대한 반응으로 외부로 나가는 흐름이 수행됩니다.

* 트래픽을 허용하는 규칙을 추가하지 않으면 보안 그룹과 연결된 인스턴스가 서로 통신할 수 없습니다(예외: 기본 보안 그룹에는 기본적으로 이 규칙이 포함됨).

* 보안 그룹은 네트워크 인터페이스와 연결됩니다. 인스턴스를 시작한 후 인스턴스에 연결된 보안 그룹을 변경할 수 있습니다. 이 경우 주 네트워크 인터페이스(eth0)에 연결된 보안 그룹이 변경됩니다. 다른 네트워크 인터페이스와 연결된 보안 그룹을 지정하거나 변경할 수도 있습니다. 기본적으로 네트워크 인터페이스를 생성하면 다른 보안 그룹을 지정하지 않는 한 VPC의 기본 보안 그룹과 연결됩니다.