본문 바로가기
AWS

aws Security Group 만들기

by 오렌지마끼야또 2025. 3. 5.
728x90
반응형

 

 

 

목차

Bastion용 SG

Private WAS용 SG

DB용 SG

ALB용 SG

ECS용 SG

 

 

VPC 만들기

https://orange-makiyato.tistory.com/129

 

 

 

 

빨간색 Security Group 추가하기

 

 

 

 

Bastion용 SG

name : 명확하게

description : 써도 되고 안써도 되고

VPC : 사용할 VPC 선택

 

 

Inbound

Bastion 이니까 ssh만 허용

 

 

Outbound

제한 없음. all traffic

 

 

 

 

Private WAS용 SG

 

 

Inbound

bastion 통해서 들어오는 ssh와 도메인 호출을 통해서 들어오는 http, https 허용.

ssh는 bastion 을 통해서만 들어와야하기 때문에 source를 bastion-sg 로 선택.

 

 

Outbound

제한 없음. all traffic

 

 

 

 

DB용 SG

 

 

Inbound

DB port를 선택해주고 source 에는 bastion과 was를 통한 접근만 허용하기 위해 각각의 sg를 선택.

처음엔 왜 Inbound 인데 DB 자신인 MYSQL/Aurora 을 설정하지? 했는데

서버( bastion, was)가 / DB port를 통해 / DB로 연결을 시도 하는 거니까 맞는 설정이다.

DB이름이 써있어서 혼돈이 왔지만 그냥 3306포트로 오는 것을 허용한다~ 라고 이해하면 된다.

 

 

Outbound

제한 없음. all traffic

 

 

 

 

ALB용 SG

이름을 private 로 지은 것은 의도한 것이다. 예전에는 외부 트래픽을 받는 경우 무조건 public alb로 만들었어야 했는데, 2024년 11월에 aws에서 CloudFront VPC Origins 라는 기능을 발표했다. CloudFront 에서 private subnet에 있는 리소스를 origin으로 사용할 수 있게 해주는 기능이다. 이것을 이용해서 private alb를 만들고 origin으로 연결할 수 있다.

 

CloudFront VPC Origins 장점

보안성 강화 : 리소스(ALB, NLB, EC2)를 private subnet 에 배치하여 직접적인 인터넷 접근 차단.

구성 간소화 : 이전에는 public subnet 에 있다보니 ACL, 방화벽 규칙, 헤더 검증 등의 추가 보안 메커니즘이 필요했는데 안해도 됨.

비용 절감 : EIP 와 NAT 게이트웨이가 불필요해져 비용 절감.

성능 최적화 : AWS 백본 네트워크를 통해 트래픽이 라우팅되어 지연 시간 감소.

인터넷 게이트웨이를 거치지 않고 AWS 내부 네트워크를 통해 CloudFront와 VPC 내 리소스를 직접 연결.

 

 

Inbound

cloud front와 연결할 것이기 때문에 prefix lists 에서 cloudfront.origin-facing 선택.

prefix list 는 aws 가 미리 만들어놓은 IP 범위이다.

AWS는 자사의 여러 서비스(CloudFront, S3, EC2 등)에 대해 사용하는 IP 주소 범위를 Prefix List로 미리 정의해 놓았다. 이를 통해 사용자는 특정 AWS 서비스의 모든 IP 주소를 일일이 입력하지 않고도 해당 서비스의 전체 IP 범위를 쉽게 참조할 수 있다.

 

* 주의사항!

이렇게 http, https 두가지에 대해서 모두 cloudfront.origin-facing 을 선택하고 save rules 를 누르면

적용이 안된다! 왜냐하면 inboud, outbound rules 의 최대 개수는 각각 60개이고, cloudfront.origin-facing 하나에 55개의 rule을 사용하기 때문이다.

 

 

Outbound

제한 없음. all traffic

 

 

 

 

ECS용 SG

 

 

Inbound

alb 의 target group 생성할 때 alb 이하로는 http로 가도록 할것입니다.

그래서 ecs의 인바운드도 http로 하고, source 도 alb의 SG을 선택해줍니다.

 

 

Outbound

제한 없음. all traffic

 

 

728x90
반응형
저작자표시 비영리 변경금지

'AWS' 카테고리의 다른 글

aws ACM으로 SSL/TLS 인증서 발급하기(feat. 가비아)  (0) 2025.03.13
aws route53(hosted zone) 생성하기(feat.가비아)  (0) 2025.03.10
가비아에서 도메인 구매하기(aws route53 비싸서)  (0) 2025.03.10
aws VPC 생성하기  (0) 2025.03.04
AWS 기본 용어 EC2, S3, CF, Route53, RDS, VPC  (0) 2024.04.11

관련글

댓글

티스토리툴바