보안 그룹 의미, 특징, 네트워크 인터페이스, 보안 그룹 이름 규칙

보안 그룹 : 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽

 

 

인스턴스 보안그룹 할당 

- Amazon EC2 API 또는 명령줄 도구를 사용하여 인스턴스를 시작하고 보안 그룹을 지정하지 않으면

   -> VPC의 기본 보안 그룹에 자동으로 할당

- Amazon EC2 콘솔을 사용하여 인스턴스를 시작하는 경우

  -> 인스턴스에 대한 새 보안 그룹을 생성할 수 있는 옵션 제공

- VPC에서 인스턴스를 시작할 때 최대 5개의 보안 그룹에 인스턴스를 할당 가능

- 보안 그룹은 인스턴스 수준에서 작동, VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안 그룹 세트에 할당 가능

 

 

 

VPC의 보안 그룹이 갖는 기본 특징

 

• VPC당 생성할 수 있는 보안 그룹의 개수, 각 보안 그룹에 추가할 수 있는 규칙의 개수, 그리고 네트워크 인터페이스에 연결할 수 있는 보안 그룹의 개수에는 할당량이 있습니다.
• 허용 규칙을 지정할 수 있지만 거부 규칙은 지정할 수 없습니다.
• 인바운드 트래픽과 아웃바운드 트래픽에 별도의 규칙을 지정할 수 있습니다. 각 보안 그룹에 대해 인스턴스에 대한 인바운드 트래픽을 제어하는 규칙과 아웃바운드 트래픽을 제어하는 별도의 규칙 세트를 추가합니다.
• 보안 그룹을 만드는 경우에는 인바운드 규칙이 없습니다. 따라서 보안 그룹에 인바운드 규칙을 추가하기 전에는 또 다른 호스트에서 시작하여 인스턴스로 가는 인바운드 트래픽이 허용되지 않습니다.
• 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙을 포함합니다. 규칙을 제거할 수 있으며 특정 아웃바운드 트래픽만 허용하는 아웃바운드 규칙을 추가할 수 있습니다. 보안 그룹에 아웃바운드 규칙이 없는 경우 인스턴스에서 시작하는 아웃바운드 트래픽이 허용되지 않습니다.
• 보안 그룹은 상태가 저장됩니다. 
  사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. 아웃바운드 규칙에 상관없이, 허용된 인바운드 트래픽에 대한 반응으로 외부로 나가는 흐름이 수행됩니다.
• 트래픽을 허용하는 규칙을 추가하지 않으면 보안 그룹과 연결된 인스턴스가 서로 통신할 수 없습니다(예외: 기본 보안 그룹에는 기본적으로 이 규칙이 포함됨).

 

보안 그룹은 네트워크 인터페이스와 연결됨

- 인스턴스를 시작한 후 인스턴스에 연결된 보안 그룹을 변경 가능

  -> 이 경우 주 네트워크 인터페이스(eth0)에 연결된 보안 그룹이 변경됩니다.

- 다른 네트워크 인터페이스와 연결된 보안 그룹을 지정하거나 변경하는 것도 가능

But Default : 네트워크 인터페이스를 생성하면 VPC의 기본 보안 그룹과 연결(다른 보안 그룹을 지정하지 않는 한)

 

보안 그룹을 생성할 때 이름과 설명을 제공해야 합니다. 다음 규칙이 적용됩니다.

* 이름과 설명은 최대 255자일 수 있습니다.

* 이름과 설명은 다음과 같은 문자로 제한됩니다. a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=&;{}!$*

* 이름에 후행 공백이 포함되어 있으면 이름을 저장할 때 공백을 자릅니다. 예를 들어 이름에 “테스트 보안 그룹 ”을 입력하면 “테스트 보안 그룹”으로 저장됩니다.

* 보안 그룹 이름은 기본 보안 그룹을 나타내는 sg-로 시작할 수 없습니다.

* 보안 그룹 이름은 VPC 내에서 고유해야 합니다.

* 보안 그룹은 보안 그룹을 생성할 때 지정한 VPC에서만 사용할 수 있습니다.