AWS CloudHSM용 클라이언트 Amazon EC2 인스턴스 보안 그룹 구성
AWS CloudHSM의 클러스터에 대해 Amazon EC2 인스턴스를 시작할 때 기본 Amazon VPC 보안 그룹에 이 인스턴스를 연결했습니다. 이 주제에서는 클러스터 보안 그룹을 EC2 인스턴스와 연결하는 방법을 설명합니다. 이 연결로 인해 EC2 인스턴스에서 실행되는 AWS CloudHSM 클라이언트가 HSM과 통신할 수 있습니다. EC2 인스턴스를 AWS CloudHSM 클러스터에 연결하려면 VPC 기본 보안 그룹을 적절하게 구성한 후 클러스터 보안 그룹을 인스턴스와 연결해야 합니다.
다음 단계에 따라 구성 변경을 완료합니다.
단계 1. 기본 보안 그룹 수정
클라이언트 소프트웨어를 다운로드 및 설치하고 HSM과 상호 작용할 수 있도록 SSH 또는 RDP 연결을 허용하려면 기본 보안 그룹을 수정해야 합니다.
기본 보안 그룹을 수정하려면
-
https://console.aws.amazon.com/ec2/
에서 EC2 대시보드를 엽니다. -
인스턴스 (실행 중)를 선택한 다음 AWS CloudHSM 클라이언트를 설치할 EC2 인스턴스 옆의 확인란을 선택합니다.
-
보안 탭에서 이름이 기본값인 보안 그룹을 선택합니다.
-
페이지 위쪽에서 작업을 선택한 후 인바운드 규칙 편집을 선택합니다.
-
규칙 추가를 선택합니다.
-
유형에서 다음 중 하나를 수행합니다.
-
Windows Server Amazon EC2 인스턴스에는 RDP를 선택합니다. 포트
3389
가 자동으로 채워집니다. -
Linux Amazon EC2 인스턴스에는 SSH를 선택합니다. 포트 범위
22
가 자동으로 채워집니다.
-
-
어느 옵션이든 소스를 내 IP로 설정하면 Amazon EC2 인스턴스와 통신할 수 있습니다.
중요
아무나 인스턴스에 액세스할 수 없게 하려면 0.0.0.0/0을 CIDR 범위로 지정하지 마십시오.
-
Save(저장)를 선택합니다.
단계 2. AWS CloudHSM 클러스터에 Amazon EC2 인스턴스를 연결합니다.
EC2 인스턴스가 클러스터의 HSM과 통신하려면 EC2 인스턴스에 클러스터 보안 그룹을 연결해야 합니다. 클러스터 보안 그룹에는 포트 2223-2225를 통한 인바운드 통신을 허용하는 사전 구성 규칙이 있습니다.
AWS CloudHSM 클러스터에 EC2 인스턴스를 연결하려면
-
https://console.aws.amazon.com/ec2/
에서 EC2 대시보드를 엽니다. -
인스턴스 (실행 중)를 선택한 다음 AWS CloudHSM 클라이언트를 설치할 EC2 인스턴스의 확인란을 선택합니다.
-
페이지 위쪽에서 작업, 보안, 보안 그룹 변경을 차례로 선택합니다.
-
클러스터 ID와 일치하는 그룹 이름을 가진 보안 그룹을 선택합니다(예:
cloudhsm-cluster-
).clusterID
-sg -
보안 그룹 추가를 선택합니다.
-
저장을 선택합니다.
참고
보안 그룹을 5개까지 Amazon EC2 인스턴스에 할당할 수 있습니다. 최대 한도에 도달한 경우 Amazon EC2 인스턴스의 기본 보안 그룹과 클러스터 보안 그룹을 수정해야 합니다.
기본 보안 그룹에서 다음을 수행합니다.
클러스터 보안 그룹에서 포트
2223-2225
를 통해 TCP 프로토콜을 사용하는 트래픽을 허용하도록 인바운드 규칙을 추가합니다.
클러스터 보안 그룹에서 다음을 수행합니다.
기본 보안 그룹에서 포트
2223-2225
를 통해 TCP 프로토콜을 사용하는 트래픽을 허용하도록 인바운드 규칙을 추가합니다.