기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 보안 그룹
<a name="about-security-groups"></a>

AWS VPCs에서 AWS 보안 그룹은 하나 이상의 스택(인스턴스 또는 인스턴스 세트)에 대한 트래픽을 제어하는 가상 방화벽 역할을 합니다. 스택이 시작되면 스택이 하나 이상의 보안 그룹과 연결되어 스택에 도달할 수 있는 트래픽이 결정됩니다.
+ 퍼블릭 서브넷의 스택의 경우 기본 보안 그룹은 모든 위치(인터넷)의 HTTP(80) 및 HTTPS(443) 트래픽을 수락합니다. 또한 스택은 회사 네트워크의 내부 SSH 및 RDP 트래픽과 AWS 접속을 허용합니다. 그러면 이러한 스택이 모든 포트를 통해 인터넷으로 나갈 수 있습니다. 또한 프라이빗 서브넷과 퍼블릭 서브넷의 다른 스택으로 나갈 수 있습니다.
+ 프라이빗 서브넷의 스택은 프라이빗 서브넷의 다른 스택으로 송신할 수 있으며, 스택 내의 인스턴스는 모든 프로토콜을 통해 서로 완전히 통신할 수 있습니다.

**중요**  
프라이빗 서브넷의 스택에 대한 기본 보안 그룹을 사용하면 프라이빗 서브넷의 모든 스택이 해당 프라이빗 서브넷의 다른 스택과 통신할 수 있습니다. 프라이빗 서브넷 내의 스택 간 통신을 제한하려면 제한을 설명하는 새 보안 그룹을 생성해야 합니다. 예를 들어 프라이빗 서브넷의 스택이 특정 포트를 통해서만 특정 애플리케이션 서버에서 통신할 수 있도록 데이터베이스 서버와의 통신을 제한하려면 특수 보안 그룹을 요청합니다. 이렇게 하는 방법은이 단원에서 설명합니다.

## 기본 보안 그룹
<a name="default-sec-groups"></a>

------
#### [ MALZ ]

다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "SentinelDefaultSecurityGroupPrivateOnly-vpc-ID"이며, 여기서 *ID*는 AMS 다중 계정 랜딩 존 계정의 VPC ID입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).

모든 트래픽은 두 번째 보안 그룹 "SentinelDefaultSecurityGroupPrivateOnly"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.

**작은 정보**  
EC2 생성 또는 OpenSearch 생성 도메인과 같은 AMS 변경 유형에 대한 보안 그룹을 선택하는 경우 여기에 설명된 기본 보안 그룹 중 하나 또는 생성한 보안 그룹을 사용합니다. AWS EC2 콘솔 또는 VPC 콘솔에서 VPC당 보안 그룹 목록을 찾을 수 있습니다.

내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.


**AMS 기본 보안 그룹(인바운드 트래픽)**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/about-security-groups.html)

------
#### [ SALZ ]

다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-*ID*"이며, 여기서 *ID*는 고유 식별자입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).

모든 트래픽은 두 번째 보안 그룹 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-*ID*"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.

**작은 정보**  
EC2 생성 또는 OpenSearch 생성 도메인과 같은 AMS 변경 유형에 대한 보안 그룹을 선택하는 경우 여기에 설명된 기본 보안 그룹 중 하나 또는 생성한 보안 그룹을 사용합니다. AWS EC2 콘솔 또는 VPC 콘솔에서 VPC당 보안 그룹 목록을 찾을 수 있습니다.

내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.


**AMS 기본 보안 그룹(인바운드 트래픽)**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/about-security-groups.html)

------

## 보안 그룹 생성, 변경 또는 삭제
<a name="create-security-group"></a>

사용자 지정 보안 그룹을 요청할 수 있습니다. 기본 보안 그룹이 애플리케이션 또는 조직의 요구 사항을 충족하지 않는 경우 새 보안 그룹을 수정하거나 생성할 수 있습니다. 이러한 요청은 승인 필수로 간주되며 AMS 운영 팀에서 검토합니다.

스택 및 VPCs 외부에서 보안 그룹을 생성하려면 `Deployment | Advanced stack components | Security group | Create (managed automation)` 변경 유형(ct-1oxx2g2d7hc90)을 사용하여 RFC를 제출합니다.

Active Directory(AD) 보안 그룹 수정의 경우 다음 변경 유형을 사용합니다.
+ 사용자를 추가하려면: 관리 \$1 디렉터리 서비스 \$1 사용자 및 그룹 \$1 그룹에 사용자 추가[ct-24pi85mjtza8k]를 사용하여 RFC 제출
+ 사용자를 제거하려면: 관리 \$1 디렉터리 서비스 \$1 사용자 및 그룹 \$1 그룹에서 사용자 제거 [ct-2019s9y3nfml4]를 사용하여 RFC 제출

**참고**  
수동 CTs를 사용하는 경우 ASAP **예약** 옵션(콘솔에서 **ASAP** 선택, API/CLI에서 시작 및 종료 시간 비워 두기)을 사용하는 것이 좋습니다. 이러한 CTs는 AMS 운영자가 RFC를 검사하고 승인 및 실행 전에 사용자와 통신해야 하기 때문입니다. 이러한 RFCs 예약하는 경우 최소 24시간을 허용해야 합니다. 예약된 시작 시간 전에 승인이 이루어지지 않으면 RFC가 자동으로 거부됩니다.

## 보안 그룹 찾기
<a name="find-security-group"></a>

스택 또는 인스턴스에 연결된 보안 그룹을 찾으려면 EC2 콘솔을 사용합니다. 스택 또는 인스턴스를 찾은 후 스택 또는 인스턴스에 연결된 모든 보안 그룹을 볼 수 있습니다.

명령줄에서 보안 그룹을 찾고 출력을 필터링하는 방법은 섹션을 참조하세요[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).