AWS 보안 그룹 소스 대상 유형 쉽게 정리하기

보안그룹 인/아웃바운드 규칙에 소스란에 들어갈 수 있는게 IP 주소뿐만이 아니라 여러개 있는 것같은데, 해당 내용을 정리해보고자한다.... 

ㅂ

 

1. 보안그룹

보안 그룹은 쉽게 말해 EC2 인스턴스에 붙는 방화벽 같은 역할을 한다. 어떤 트래픽을 허용할지 인바운드/아웃바운드 규칙으로 지정하고, 규칙을 설정하다 보면 “누구를 허용할 것인가”를 지정하는 대상 항목이 있다. 대상에 어떤 종류의 유형은 아래와 같다.

 

 

2. 보안그룹 대상유형

1) IP / CIDR

가장 기본적인 방식이다.
특정한 IP나 IP 대역을 지정해 허용할 수 있다.

0.0.0.0/0   → 전 세계 모든 IP 허용 (주의!)
192.168.1.0/24 → 사내 네트워크만 허용

 

2) 보안 그룹(SG)

VPC 네트워크 인터페이스를 갖는 리소스(EC2, ECS, RDS 등, S3는 퍼블릭 서비스로 제외)들은 각자 보안 그룹을 가질 수 있다. 

그래서 인스턴스들을 그룹(SG)으로 사실 상 묶을수가 있는데, 이렇게 묶어서 인/아웃바운드 대상으로 지정할 수가 있다.

 

즉, 이 보안 그룹을 가진 인스턴스만 나한테 접근할 수 있어!"

라고 허용 대상을 IP가 아니라 인스턴스의 그룹(SG) 으로 지정하는 것.

 

아래와 같이 인스턴스 누르면 본인이 갖고있는 보안그룹을 확인할 수 있음

 

예시로 어떻게 사용하는지 알아보자.

 

🎯 예시: Web 서버 → DB 서버만 접근 가능하게 만들기

1) 보안 그룹 정의

보안그룹 <WebServer>

 - 그룹명 : SG-Web

 - 그룹 ID : sg-web1234

 - 역할 : 사용자 요청 처리

 

보안그룹<DBServer>

 - 그룹 : SG-DB

 - 그룹 ID : sg-db5678

 - 역할 : 데이터 저장'

 

2) DB 서버의 보안 그룹(SG-DB)에 아래 규칙 추가

 > SG-Web을 가진 인스턴스만 SG-DB를 가진 인스턴스(DB 서버)에 접근할 수 있다! 

 

• Web 서버 → DB 서버: ✅ 허용
• 외부 인터넷 → DB 서버: ❌ 차단
• 다른 EC2 → DB 서버: ❌ 차단

[사용자] ───> [WebServer] ───> [DBServer]
                SG-Web          SG-DB
                                ▲
                                └──── 인바운드 규칙:
                                       "SG-Web에서만 접근 허용"

 

 

3) Prefix List(PL)

여러 IP 대역을 묶어 관리할 수 있는 AWS 리소스이다.

pl-63a5401b

 

4) Self

보안 그룹 안에서 자기 자신을 지정하면
→ 같은 보안 그룹을 가진 인스턴스끼리는 서로 통신 가능