# AWS Organizations와 보안 그룹 공유
<a name="security-group-sharing"></a>

공유 보안 그룹 기능을 사용하면 보안 그룹을 동일한 AWS 리전 내의 다른 AWS Organizations 계정과 공유하고 해당 계정에서 보안 그룹을 사용할 수 있도록 만들 수 있습니다.

다음 다이어그램은 공유 보안 그룹 기능을 사용하여 AWS Organizations의 계정 전체에서 보안 그룹 관리를 간소화하는 방법을 보여줍니다.

![\[보안 그룹을 공유 VPC 서브넷의 다른 계정과 공유하는 것을 보여주는 다이어그램입니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/images/sec-group-sharing.png)


이 다이어그램은 동일한 조직의 일부인 세 개의 계정을 보여줍니다. 계정 A는 계정 B 및 C와 VPC 서브넷을 공유합니다. 계정 A는 공유 보안 그룹 기능을 사용하여 계정 B 및 C와 보안 그룹을 공유합니다. 계속해서 계정 B 및 C는 공유 서브넷에서 인스턴스를 시작할 때 해당 보안 그룹을 사용합니다. 이렇게 하면 계정 A가 보안 그룹을 관리할 수 있으며 보안 그룹에 대한 모든 업데이트는 계정 B 및 C가 공유 VPC 서브넷에서 실행한 리소스에 적용됩니다.

**공유 보안 그룹 기능의 요구 사항**
+ 이 기능은 AWS Organizations에서 동일한 조직에 있는 계정에서만 사용할 수 있습니다. AWS Organizations에서 [리소스 공유](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)를 활성화해야 합니다.
+ 보안 그룹을 공유하는 계정은 VPC와 보안 그룹을 모두 소유해야 합니다.
+ 기본 보안 그룹은 공유할 수 없습니다.
+ 기본 VPC에 있는 보안 그룹은 공유할 수 없습니다.
+ 참가자 계정은 공유 VPC에서 보안 그룹을 생성할 수 있지만 해당 보안 그룹은 공유할 수는 없습니다.
+ IAM 보안 주체가 AWS RAM과 보안 그룹을 공유하려면 최소 권한 세트가 필요합니다. `AmazonEC2FullAccess` 및 `AWSResourceAccessManagerFullAccess` 관리형 IAM 정책을 사용하여 IAM 보안 주체가 공유 보안 기능을 공유하고 사용하는 데 필요한 권한을 갖추게 해야 합니다. 사용자 지정 IAM 정책을 사용하는 경우 `c2:PutResourcePolicy` 및 `ec2:DeleteResourcePolicy` 작업이 필요합니다. 이는 권한 전용 IAM 작업입니다. IAM 보안 주체에게 이러한 권한이 부여되지 않은 경우 AWS RAM을 사용하여 보안 그룹을 공유하려고 할 때 오류가 발생합니다.

**이 기능을 지원하는 서비스**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
  + Application Load Balancer
  + Network Load Balancer

**이 기능이 기존 할당량에 미치는 영향**

[보안 그룹 할당량](amazon-vpc-limits.md#vpc-limits-security-groups)이 적용됩니다. 그러나 '네트워크 인터페이스당 보안 그룹' 할당량의 경우 참가자가 탄력적 네트워크 인터페이스(ENI)에서 소유 그룹과 공유 그룹을 모두 사용하는 경우 소유자 및 참자자의 최소 할당량이 적용됩니다.

할당량이 이 기능의 영향을 받는 방식을 보여주는 예:
+ 소유자 계정 할당량: 인터페이스당 보안 그룹 4개
+ 참가자 계정 할당량: 인터페이스당 보안 그룹 5개.
+ 소유자는 그룹 SG-O1, SG-O2, SG-O3, SG-O4, SG-O5를 참가자와 공유합니다. 참가자는 이미 VPC에 SG-P1, SG-P2, SG-P3, SG-P4, SG-P5의 자체 그룹이 있습니다.
+ 참가자가 ENI를 생성하고 소유 그룹만 사용하는 경우 할당량에 해당하므로 5개 보안 그룹(SG-P1, SG-P2, SG-P3, SG-P4, SG-P5)을 모두 연결할 수 있습니다.
+ 참가자가 ENI를 생성하고 ENI에서 공유 그룹을 사용하는 경우 최대 4개의 그룹만 연결할 수 있습니다. 이 경우 이러한 ENI의 할당량은 소유자 및 참가자의 최소 할당량입니다. 가능한 유효한 구성은 다음과 같습니다.
  + SG-O1, SG-P1, SG-P2, SG-P3
  + SG-O1, SG-O2, SG-O3, SG-O4

## 보안 그룹 공유
<a name="share-sg-org"></a>

이 섹션에서는 AWS Management Console 및 AWS CLI를 사용하여 조직의 다른 계정과 보안 그룹을 공유하는 방법을 설명합니다.

------
#### [ AWS Management Console ]

**보안 그룹을 공유하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 왼쪽 탐색 창에서 **보안 그룹**을 선택합니다.

1. 보안 그룹을 선택하여 세부 정보를 표시합니다.

1. **공유** 탭을 선택합니다.

1. **보안 그룹 공유**를 선택합니다.

1. **리소스 공유 생성**을 선택합니다. 그러면 AWS RAM 콘솔이 열립니다. 이 콘솔에서 보안 그룹에 대한 리소스 공유를 생성합니다.

1. 리소스 공유의 **이름**을 입력합니다.

1. **리소스 - 선택 사항**에서 **보안 그룹**을 선택합니다.

1. 보안 그룹을 선택합니다. 보안 그룹은 기본 보안 그룹일 수 없으며 기본 VPC와 연결할 수 없습니다.

1. **다음**을 선택합니다.

1. 보안 주체가 수행하도록 허용할 작업을 검토하고 **다음**을 선택합니다.

1. **보안 주체 - 선택 사항** 아래에서 **조직 내에서만 공유 허용**을 선택합니다.

1. **보안 주체**에서 다음 보안 주체 유형 중 하나를 선택하고 적절한 숫자를 입력합니다.
   + **AWS 계정**: 조직에 있는 계정의 계정 번호입니다.
   + **조직**: AWS Organizations ID입니다.
   + **조직 단위(OU)**: 조직에 있는 OU의 ID입니다.
   + **IAM 역할**: IAM 역할의 ARN입니다. 역할을 생성한 계정은 이 리소스 공유를 생성하는 계정과 동일한 조직의 멤버여야 합니다.
   + **IAM 사용자**: IAM 사용자의 ARN입니다. 사용자를 생성한 계정은 이 리소스 공유를 생성하는 계정과 동일한 조직의 멤버여야 합니다.
   + **서비스 보안 주체**: 보안 그룹을 서비스 보안 주체와 공유할 수 없습니다.

1. **추가**를 선택합니다.

1. **다음**을 선택합니다.

1. **리소스 공유 생성**을 선택합니다.

1. **공유 리소스**에서 `Associated` **상태**가 표시될 때까지 기다립니다. 보안 그룹 연결에 실패하는 경우 위에 나열된 제한 사항 중 하나 때문일 수 있습니다. 보안 그룹의 세부 정보를 표시하고 세부 정보 페이지의 **공유** 탭에서 보안 그룹을 공유할 수 없는 이유와 관련된 메시지를 확인합니다.

1. VPC 콘솔 보안 그룹 목록으로 돌아갑니다.

1. 공유한 보안 그룹을 선택합니다.

1. **공유** 탭을 선택합니다. AWS RAM 리소스가 여기에 표시되어야 합니다. 그렇지 않으면 리소스 공유 생성이 실패한 것이며 다시 생성해야 할 수 있습니다.

------
#### [ Command line ]

**보안 그룹을 공유하려면**

1. 먼저와 AWS RAM과 공유하려는 보안 그룹에 대한 리소스 공유를 생성해야 합니다. AWS CLI를 사용하여 AWS RAM과의 리소스 공유를 생성하는 방법에 대한 단계는 *AWS RAM 사용 설명서*의 [AWS RAM에서 리소스 공유 생성](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)을 참조하세요.

1. 생성된 리소스 공유 연결을 보려면 [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html)를 사용합니다.

------

이제 보안 그룹이 공유됩니다. 동일한 VPC 내의 공유 서브넷에서 [EC2 인스턴스를 시작](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)할 때 보안 그룹을 선택할 수 있습니다.

## 보안 그룹 공유 중지
<a name="stop-share-sg-org"></a>

이 섹션에서는 AWS Management Console 및 AWS CLI를 사용하여 조직의 다른 계정과 공유한 보안 그룹의 공유를 중지하는 방법을 설명합니다.

------
#### [ AWS Management Console ]

**보안 그룹 공유를 중지하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 왼쪽 탐색 창에서 **보안 그룹**을 선택합니다.

1. 보안 그룹을 선택하여 세부 정보를 표시합니다.

1. **공유** 탭을 선택합니다.

1. 보안 그룹 리소스 공유를 선택하고 **공유 중지**를 선택합니다.

1. **예, 공유 중지**를 선택합니다.

------
#### [ Command line ]

**보안 그룹 공유를 중지하려면**

[delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html)를 사용하여 리소스 공유를 삭제합니다.

------

보안 그룹이 더 이상 공유되지 않습니다. 소유자가 보안 그룹 공유를 중지하면 다음 규칙이 적용됩니다.
+ 기존 참가자의 탄력적 네트워크 인터페이스(ENI)는 공유되지 않은 보안 그룹에 대한 모든 보안 그룹 규칙 업데이트를 계속 가져옵니다. 공유를 해제하면 참가자가 공유되지 않은 그룹과의 새 연결을 생성할 수 없습니다.
+ 참가자는 더 이상 공유되지 않은 보안 그룹을 자신이 소유한 ENI와 연결할 수 없습니다.
+ 참가자는 공유되지 않은 보안 그룹과 여전히 연결되어 있는 ENI를 설명하고 삭제할 수 있습니다.
+ 참가자에게 공유되지 않은 보안 그룹과 연결된 ENI가 여전히 있는 경우 소유자는 공유되지 않은 보안 그룹을 삭제할 수 없습니다. 소유자는 참가자가 모든 ENI에서 보안 그룹의 연결을 해제(제거)한 후에만 보안 그룹을 삭제할 수 있습니다.
+ 참가자는 공유되지 않은 보안 그룹과 연결된 ENI를 사용하여 새 EC2 인스턴스를 시작할 수 없습니다.