Amazon EC2 인스턴스 및 탑재 대상의 VPC 보안 그룹 사용 - Amazon Elastic File System

Amazon EC2 인스턴스 및 탑재 대상의 VPC 보안 그룹 사용

Amazon EFS를 사용하는 경우, EC2 인스턴스의 Amazon EC2 보안 그룹 및 파일 시스템과 연결된 EFS 탑재 대상의 보안 그룹을 지정합니다. 보안 그룹은 방화벽 역할을 하고, 추가한 규칙은 트래픽 흐름을 정의합니다. 이 시작하기 연습에서 EC2 인스턴스를 시작할 때 보안 그룹 한 개를 생성했습니다. 그런 다음 다른 보안 그룹을 EFS 탑재 대상에 연결했습니다(기본 VPC에 대한 기본 보안 그룹). 이 방법은 시작하기 연습에는 적합합니다. 그러나 프로덕션 시스템의 경우, EFS에서 사용하려면 최소한의 권한을 가진 보안 그룹을 설정해야 합니다.

EFS 파일 시스템에 대한 인바운드 및 아웃바운드 액세스를 승인할 수 있습니다. 이렇게 하려면 EC2 인스턴스가 NFS(네트워크 파일 시스템) 포트를 사용하고 탑재 대상을 통해 Amazon EFS 파일 시스템을 연결할 수 있는 규칙을 추가합니다. 다음 단계에 따라 보안 그룹을 만들고 업데이트합니다.

EC2 인스턴스 및 탑재 대상에 대한 보안 그룹 생성

  1. VPC에 2개의 보안 그룹을 생성합니다.

    지침은 Amazon VPC 사용 설명서 보안 그룹 생성에서 “보안 그룹을 만들려면” 절차를 참조하세요.

  2. https://console.aws.amazon.com/vpc/에서 Amazon VPC 관리 콘솔을 열고 이러한 보안 그룹에 대한 기본 규칙을 확인합니다. 두 보안 그룹에는 트래픽이 나가도록 허용하는 아웃바운드 규칙만 있습니다.

보안 그룹에 필요한 액세스 업데이트

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 모든 호스트에서 SSH를 사용해 인바운드 액세스가 허용되도록 EC2 보안 그룹에 대한 규칙을 추가합니다. 필요할 경우 소스 주소를 제한할 수 있습니다.

    기본 아웃바운드 규칙이 모든 트래픽이 나가도록 허용하고 있기 때문에 아웃바운드 규칙을 추가할 필요는 없습니다. 이 기본 아웃바운드 규칙이 없는 경우, NFS 포트에서 TCP 연결을 열어 탑재 대상 보안 그룹을 대상으로 식별하는 아웃바운드 규칙을 추가해야 합니다.

    지침은 Amazon VPC 사용 설명서규칙 추가 및 제거를 참조하세요.

  3. 탑재 대상에 대한 인바운드 및 아웃바운드 규칙을 추가합니다.

    • EC2 보안 그룹으로부터의 인바운드 액세스를 허용하도록 탑재 대상 보안 그룹에 대한 인바운드 규칙을 추가합니다. EC2 보안 그룹은 소스로 식별됩니다.

    • 아웃바운드 규칙을 추가하여 모든 NFS 포트에서 TCP 연결을 엽니다. EC2 보안 그룹은 대상으로 식별됩니다.

    지침은 Amazon VPC 사용 설명서의 규칙 추가 및 제거를 참조하세요.

  4. 이제 두 보안 그룹이 인바운드 및 아웃바운드 액세스를 승인하는지 확인합니다.

보안 그룹에 대한 자세한 내용은 Linux 인스턴스에 대한 Amazon EC2 보안 그룹을 참조하세요.