해킹공주의 일상
AWS 보안 그룹 소스 대상 유형 쉽게 정리하기 본문
보안그룹 인/아웃바운드 규칙에 소스란에 들어갈 수 있는게 IP 주소뿐만이 아니라 여러개 있는 것같은데, 해당 내용을 정리해보고자한다....
1. 보안그룹
보안 그룹은 쉽게 말해 EC2 인스턴스에 붙는 방화벽 같은 역할을 한다. 어떤 트래픽을 허용할지 인바운드/아웃바운드 규칙으로 지정하고, 규칙을 설정하다 보면 “누구를 허용할 것인가”를 지정하는 대상 항목이 있다. 대상에 어떤 종류의 유형은 아래와 같다.
2. 보안그룹 대상유형
1) IP / CIDR
가장 기본적인 방식이다.
특정한 IP나 IP 대역을 지정해 허용할 수 있다.
0.0.0.0/0 → 전 세계 모든 IP 허용 (주의!)
192.168.1.0/24 → 사내 네트워크만 허용
2) 보안 그룹(SG)
VPC 네트워크 인터페이스를 갖는 리소스(EC2, ECS, RDS 등, S3는 퍼블릭 서비스로 제외)들은 각자 보안 그룹을 가질 수 있다.
그래서 인스턴스들을 그룹(SG)으로 사실 상 묶을수가 있는데, 이렇게 묶어서 인/아웃바운드 대상으로 지정할 수가 있다.
즉, 이 보안 그룹을 가진 인스턴스만 나한테 접근할 수 있어!"
라고 허용 대상을 IP가 아니라 인스턴스의 그룹(SG) 으로 지정하는 것.
아래와 같이 인스턴스 누르면 본인이 갖고있는 보안그룹을 확인할 수 있음
예시로 어떻게 사용하는지 알아보자.
🎯 예시: Web 서버 → DB 서버만 접근 가능하게 만들기
1) 보안 그룹 정의
보안그룹 <WebServer>
- 그룹명 : SG-Web
- 그룹 ID : sg-web1234
- 역할 : 사용자 요청 처리
보안그룹<DBServer>
- 그룹 : SG-DB
- 그룹 ID : sg-db5678
- 역할 : 데이터 저장'
2) DB 서버의 보안 그룹(SG-DB)에 아래 규칙 추가
> SG-Web을 가진 인스턴스만 SG-DB를 가진 인스턴스(DB 서버)에 접근할 수 있다!
- Web 서버 → DB 서버: ✅ 허용
- 외부 인터넷 → DB 서버: ❌ 차단
- 다른 EC2 → DB 서버: ❌ 차단
[사용자] ───> [WebServer] ───> [DBServer]
SG-Web SG-DB
▲
└──── 인바운드 규칙:
"SG-Web에서만 접근 허용"
3) Prefix List(PL)
여러 IP 대역을 묶어 관리할 수 있는 AWS 리소스이다.
pl-63a5401b
4) Self
보안 그룹 안에서 자기 자신을 지정하면
→ 같은 보안 그룹을 가진 인스턴스끼리는 서로 통신 가능
'사이드 프로젝트 > 클라우드' 카테고리의 다른 글
AWS 스크립트 작성 백업(IAM 파트) (0) | 2025.07.08 |
---|---|
AWS 과금방지 리소스 검토 PYTHON 스크립트 (0) | 2025.06.12 |
AWS IAM 정책 설정하기(+ Action에 와일드 카드쓰기) (1) | 2025.06.07 |
EC2 인스턴스 SSH로 접속하기(Mobaxterm 사용) (0) | 2025.06.06 |
AWS 개발/운영, 운영/운영 시스템 간 접근 통제 점검하기(VPC 기준) (0) | 2025.05.31 |