보안 그룹: 인바운드 및 아웃바운드 규칙 - Amazon Quick Suite
인바운드 규칙아웃바운드 규칙

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 그룹: 인바운드 및 아웃바운드 규칙

보안 그룹은 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. 각 보안 그룹에 대해 인스턴스에 대한 인바운드 트래픽을 제어하는 규칙과 아웃바운드 트래픽을 제어하는 별도의 규칙 세트를 추가합니다.

VPC 연결의 경우 설명 QuickSight-VPC이(가) 있는 새 보안 그룹을 생성합니다. 이 보안 그룹은 연결할 데이터 대상의 보안 그룹에서 들어오는 모든 인바운드 TCP 트래픽을 허용해야 합니다. 다음 예제에서는 VPC에 새 보안 그룹을 생성하고 새 보안 그룹의 ID를 반환합니다.


aws ec2 create-security-group \
--group-name quicksight-vpc \
--description "QuickSight-VPC" \
--vpc-id vpc-0daeb67adda59e0cd
중요

네트워크 구성은 충분히 복잡하므로 Amazon Quick Suite와 함께 사용할 새 보안 그룹을 생성하는 것이 좋습니다. 이렇게 하면 AWS Support에 연락해야 할 경우 더욱 쉽게 도움을 받을 수도 있습니다. 반드시 새 그룹을 생성할 필요는 없지만 하지만 다음 주제는 이 권장 사항을 따른다는 가정을 바탕으로 작성되었습니다.

Quick Suite가 VPC의 인스턴스에 성공적으로 연결되도록 하려면 Amazon Quick Suite 네트워크 인터페이스와 데이터가 포함된 인스턴스 간의 트래픽을 허용하도록 보안 그룹 규칙을 구성합니다. 이렇게 하려면 다음 트래픽을 허용하도록 데이터베이스의 인스턴스 인바운드 규칙에 연결된 보안 그룹을 구성합니다.

  • Amazon Quick Suite가 연결하는 포트에서

  • 다음 옵션 중 하나:

    • Amazon Quick Suite 네트워크 인터페이스와 연결된 보안 그룹 ID(권장)

      or

    • Amazon Quick Suite 네트워크 인터페이스의 프라이빗 IP 주소

자세한 내용은 Amazon VPC 사용 설명서의 VPC의 보안 그룹VPC 및 서브넷을 참조하십시오.

아래 나열된 주제를 사용하여 인바운드 및 아웃바운드 규칙에 대해 자세히 알아봅니다.

인바운드 규칙

중요

다음 섹션은 연결이 2023년 4월 27일 이전에 생성된 VPC 연결에 적용됩니다.

보안 그룹을 만드는 경우에는 인바운드 규칙이 없습니다. 보안 그룹에 인바운드 규칙을 추가하기 전에는 또 다른 호스트에서 시작하여 인스턴스로 가는 인바운드 트래픽이 허용되지 않습니다.

Amazon Quick Suite 네트워크 인터페이스에 연결된 보안 그룹은 상태 저장이 아니므로 대부분의 보안 그룹과 다르게 작동합니다. 다른 보안 그룹은 일반적으로 상태를 저장합니다. 즉, 리소스의 보안 그룹에 대한 아웃바운드 연결을 설정한 후 자동으로 반환 트래픽을 허용합니다. 반대로 Amazon Quick Suite 네트워크 인터페이스 보안 그룹은 반환 트래픽을 자동으로 허용하지 않습니다. 따라서 Amazon Quick Suite 네트워크 인터페이스 보안 그룹에 송신 규칙을 추가하는 것은 작동하지 않습니다. Amazon Quick Suite 네트워크 인터페이스 보안 그룹에서 작동하려면 데이터베이스 호스트의 반환 트래픽을 명시적으로 승인하는 인바운드 규칙을 추가해야 합니다.

보안 그룹의 인바운드 규칙은 모든 포트에서 트래픽을 허용해야 합니다. 모든 인바운드 리턴 패킷의 대상 포트 번호가 임의로 할당된 포트 번호로 설정되어 있으므로 이 작업을 수행해야 합니다.

Amazon Quick Suite가 특정 인스턴스에만 연결되도록 제한하려면 허용하려는 인스턴스의 보안 그룹 ID(권장) 또는 프라이빗 IP 주소를 지정할 수 있습니다. 이 경우에도 모든 포트(0~65535)에서 트래픽이 허용되는 보안 그룹 인바운드 규칙을 수립해야 합니다.

Amazon Quick Suite가 VPC의 인스턴스에 연결할 수 있도록 Amazon Quick Suite 네트워크 인터페이스 보안 그룹을 구성할 수 있습니다. 이 경우 모든 포트(0—65535)에서 0.0.0.0/0의 트래픽을 허용하는 인바운드 규칙을 지정하십시오. Amazon Quick Suite 네트워크 인터페이스에서 사용하는 보안 그룹은 데이터베이스에 사용되는 보안 그룹과 달라야 합니다. VPC 연결에는 별도의 보안 그룹을 사용하는 것이 좋습니다.

중요

오래 지속되는 Amazon RDS DB 인스턴스를 사용하는 경우 구성을 검토하여 DB 보안 그룹을 사용하고 있는지 확인하십시오. DB 보안 그룹은 VPC에 있지 않고 EC2-Classic 플랫폼에 있는 DB 인스턴스에서 사용됩니다.

이것이 구성이고 Amazon Quick Suite와 함께 사용하기 위해 DB 인스턴스를 VPC로 이동하지 않는 경우 DB 보안 그룹의 인바운드 규칙을 업데이트해야 합니다. Amazon Quick Suite에 사용 중인 VPC 보안 그룹의 인바운드 트래픽을 허용하도록 업데이트합니다. 자세한 내용은 Amazon RDS 사용 설명서보안 그룹을 통한 액세스 제어를 참조하세요.

아웃바운드 규칙

중요

다음 섹션은 연결이 2023년 4월 27일 이전에 생성된 VPC 연결에 적용됩니다.

기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용하는 아웃바운드 규칙을 포함합니다. 이 기본 규칙을 제거하고 특정 아웃바운드 트래픽만 허용하는 아웃바운드 규칙을 추가하는 것이 좋습니다.

주의

모든 포트에서 트래픽을 허용하도록 아웃바운드 규칙을 사용하여 Amazon Quick Suite 네트워크 인터페이스에서 보안 그룹을 구성하지 마십시오. VPC의 네트워크 송신 트래픽을 관리하기 위한 주요 고려 사항 및 권장 사항에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC의 보안 모범 사례를 참조하십시오.

Amazon Quick Suite 네트워크 인터페이스에 연결된 보안 그룹에는 Amazon Quick Suite를 연결할 VPC의 각 데이터베이스 인스턴스에 대한 트래픽을 허용하는 아웃바운드 규칙이 있어야 합니다. Amazon Quick Suite가 특정 인스턴스에만 연결하도록 제한하려면 허용할 인스턴스의 보안 그룹 ID(권장) 또는 프라이빗 IP 주소를 지정합니다. 아웃바운드 규칙에서 인스턴스의 적절한 포트 번호(인스턴스가 수신하는 포트)와 함께 이 설정을 지정합니다.

또한 VPC 보안 그룹은 데이터 대상의 보안 그룹, 특히 데이터베이스가 수신하는 포트에 대한 아웃바운드 트래픽을 허용해야 합니다.