# EC2 인스턴스에 대한 Amazon EC2 보안 그룹
<a name="ec2-security-groups"></a>

*보안 그룹*은 EC2 인스턴스에 대한 수신 및 발신 트래픽을 제어하는 가상 방화벽 역할을 합니다. 인바운드 규칙은 인스턴스로 들어오는 트래픽을 제어하고 아웃바운드 규칙은 인스턴스에서 나가는 트래픽을 제어합니다. 인스턴스를 시작할 때 하나 이상의 보안 그룹을 지정할 수 있습니다. 보안 그룹을 지정하지 않을 경우 Amazon EC2에서 VPC에 대한 기본 보안 그룹이 사용됩니다. 인스턴스를 시작한 이후에는 해당 보안 그룹을 변경할 수 없습니다.

보안은 AWS와 사용자의 공동 책임입니다. 자세한 내용은 [Amazon EC2의 보안](ec2-security.md) 섹션을 참조하세요. AWS에서는 인스턴스의 보안을 유지하기 위한 도구 중 하나로 보안 그룹을 제공하며, 사용자는 보안 요구 사항에 맞게 보안 그룹을 구성해야 합니다. 보안 그룹으로 완전히 충족되지 않는 요구 사항이 있는 경우 보안 그룹을 사용하면서 인스턴스에 대한 자체 방화벽을 유지합니다.

**가격 책정**  
보안 그룹을 사용해도 추가 요금이 부과되지 않습니다.

**Topics**
+ [개요](#security-group-basics)
+ [Amazon EC2 인스턴스에 대한 보안 그룹을 생성합니다.](creating-security-group.md)
+ [Amazon EC2 인스턴스에 대한 보안 그룹 변경](changing-security-group.md)
+ [Amazon EC2 보안 그룹 삭제](deleting-security-group.md)
+ [Amazon EC2 보안 그룹 연결 추적](security-group-connection-tracking.md)
+ [다양한 사용 사례에 대한 보안 그룹 규칙](security-group-rules-reference.md)

## 개요
<a name="security-group-basics"></a>

각 인스턴스를 여러 보안 그룹과 연결하고, 각 보안 그룹을 여러 인스턴스와 연결할 수 있습니다. 연결된 인스턴스와 트래픽을 주고받을 수 있게 하는 규칙을 각 보안 그룹에 추가합니다. 언제든지 보안 그룹에 대한 규칙을 수정할 수 있습니다. 새 규칙 및 수정된 규칙은 보안 그룹에 연결된 모든 인스턴스에 자동으로 적용됩니다. Amazon EC2는 트래픽이 인스턴스에 도달하도록 허용할지 여부를 결정할 때 인스턴스와 연결된 모든 보안 그룹에서 모든 규칙을 평가합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [보안 그룹 규칙](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html)을 참조하세요.

다음 다이어그램은 서브넷, 인터넷 게이트웨이 및 보안 그룹이 있는 VPC를 보여줍니다. 서브넷에 EC2 인스턴스가 포함되어 있습니다. 보안 그룹은 인스턴스에 연결됩니다. 인스턴스에 연결되는 트래픽은 보안 그룹 규칙에서 허용되는 트래픽이 유일합니다. 예를 들어 네트워크에서 SSH 트래픽을 허용하는 규칙이 보안 그룹에 포함된 경우 SSH를 사용하여 컴퓨터에서 인스턴스로 연결할 수 있습니다. 연결된 리소스에서 모든 트래픽을 허용하는 규칙이 보안 그룹에 포함된 경우 각 인스턴스는 다른 인스턴스에서 전송된 모든 트래픽을 수신할 수 있습니다.

![\[보안 그룹이 있는 VPC. 서브넷의 EC2 인스턴스는 보안 그룹에 연결되어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/images/ec2-security-groups.png)


보안 그룹은 상태가 저장됩니다. 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. 또한 아웃바운드 규칙과 무관하게 허용된 인바운드 트래픽에 대한 반응으로 외부로 나가는 흐름이 수행됩니다. 자세한 내용은 [연결 추적](security-group-connection-tracking.md) 섹션을 참조하세요.

# Amazon EC2 인스턴스에 대한 보안 그룹을 생성합니다.
<a name="creating-security-group"></a>

보안 그룹은 연결된 인스턴스에 대한 방화벽 역할을 하여 인스턴스 수준에서 인바운드 트래픽과 아웃바운드 트래픽을 모두 제어합니다. SSH(Linux 인스턴스) 또는 RDP(Windows 인스턴스)를 사용하여 인스턴스에 연결할 수 있도록 규칙을 보안 그룹에 추가할 수 있습니다. 웹 서버로 향하는 HTTP 및 HTTPS 트래픽과 같은 클라이언트 트래픽을 허용하는 규칙을 추가할 수도 있습니다.

인스턴스를 시작할 때 인스턴스에 보안 그룹을 연결할 수 있습니다. 보안 그룹에서 연결된 규칙을 추가하거나 제거하면 해당 보안 그룹을 연결한 모든 인스턴스에 변경 내용이 자동으로 적용됩니다.

인스턴스를 시작한 이후에는 추가 보안 그룹을 연결할 수 있습니다. 자세한 내용은 [Amazon EC2 인스턴스에 대한 보안 그룹 변경](changing-security-group.md) 섹션을 참조하세요.

보안 그룹을 생성할 때 또는 나중에 인바운드 및 아웃바운드 보안 그룹 규칙을 추가할 수 있습니다. 자세한 내용은 [보안 그룹 규칙 구성](changing-security-group.md#add-remove-security-group-rules) 섹션을 참조하세요. 보안 그룹에 추가할 수 있는 규칙의 예제는 [다양한 사용 사례에 대한 보안 그룹 규칙](security-group-rules-reference.md)의 내용을 참조하세요.

**고려 사항**
+ 새 보안 그룹에는 리소스에서 나가는 모든 트래픽을 허용하는 아웃바운드 규칙만 적용됩니다. 인바운드 트래픽을 사용하거나 아웃바운드 트래픽을 제한하려면 규칙을 추가해야 합니다.
+ 인스턴스에 대한 SSH 또는 RDP 액세스를 허용하는 규칙의 원본을 구성할 때는 모든 위치에서의 액세스를 허용하지 마세요.인터넷의 모든 IP 주소에서 인스턴스에 액세스할 수 있게 됩니다. 테스트 환경에서 잠시 사용하는 것은 괜찮지만 프로덕션 환경에서는 안전하지 않습니다.
+ 특정 포트에 대한 규칙이 여러 개 있는 경우 Amazon EC2는 최대 허용 규칙을 적용합니다. 예를 들어 IP 주소 203.0.113.1에서 TCP 포트 22(SSH)에 액세스할 수 있도록 허용하는 규칙과 어디서나 TCP 포트 22에 액세스할 수 있도록 허용하는 또 다른 규칙이 있는 경우 모든 사람이 TCP 포트 22에 액세스할 수 있습니다.
+ 인스턴스에 여러 보안 그룹을 연결할 수 있습니다. 따라서 한 인스턴스에 수백 개의 규칙이 적용될 수 있습니다. 이로 인해 인스턴스에 액세스할 때 문제가 발생할 수 있습니다. 규칙을 최대한 간략하게 만드는 것이 좋습니다.
+ 보안 그룹을 규칙의 소스 또는 대상으로 지정할 경우 규칙은 보안 그룹과 연결된 모든 인스턴스에 영향을 줍니다. 유입 트래픽은 퍼블릭 IP 주소 또는 탄력적 IP 주소가 아닌 원본 보안 그룹과 연결된 인스턴스의 프라이빗 IP 주소를 기반으로 허용됩니다. IP 주소에 대한 자세한 내용은 [Amazon EC2 인스턴스 IP 주소 지정](using-instance-addressing.md) 주제를 참조하세요.
+ Amazon EC2에서는 기본적으로 포트 25의 트래픽을 차단합니다. 자세한 내용은 [포트 25를 사용하여 전송되는 이메일 관련 제한](ec2-resource-limits.md#port-25-throttle) 섹션을 참조하세요.

------
#### [ Console ]

**보안 그룹을 생성하는 방법**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **보안 그룹**을 선택합니다.

1. **보안 그룹 생성**을 선택합니다.

1. 보안 그룹의 설명이 포함된 이름과 간단한 설명을 입력합니다. 보안 그룹을 생성한 후에는 보안 그룹에 대한 이름과 설명을 변경할 수 없습니다.

1. **VPC**에서 Amazon EC2 인스턴스를 실행할 VPC를 선택합니다.

1. (선택 사항) 인바운드 규칙을 추가하려면 **인바운드 규칙**을 선택합니다. 각 규칙에 대해 **규칙 추가**를 선택하고 프로토콜, 포트 및 소스를 지정합니다. 예를 들어 SSH 트래픽을 허용하려면 **유형**에서 **SSH**를 선택하고 **소스**에서 컴퓨터 또는 네트워크의 퍼블릭 IPv4 주소를 지정합니다.

1. (선택 사항) 아웃바운드 규칙을 추가하려면 **아웃바운드 규칙**을 선택합니다. 각 규칙에 대해 **규칙 추가**를 선택하고 프로토콜, 포트 및 대상을 지정합니다. 아니면 모든 아웃바운드 트래픽을 허용하는 기본 규칙을 유지할 수 있습니다.

1. (선택 사항) 태그를 추가하려면 **Add new tag**(새 태그 추가)를 선택하고 태그 키와 태그 값을 입력합니다.

1. **보안 그룹 생성**을 선택합니다.

------
#### [ AWS CLI ]

**보안 그룹을 생성하는 방법**  
다음 [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html) 명령을 사용합니다.

```
aws ec2 create-security-group \
    --group-name my-security-group \
    --description "my security group" \
    --vpc-id vpc-1234567890abcdef0
```

규칙을 추가하는 예제는 [보안 그룹 규칙 구성](changing-security-group.md#add-remove-security-group-rules) 섹션을 참조하세요.

------
#### [ PowerShell ]

**보안 그룹을 생성하는 방법**  
[New-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2SecurityGroup.html) cmdlet을 사용합니다.

```
New-EC2SecurityGroup `
    -GroupName my-security-group `
    -Description "my security group" `
    -VpcId vpc-1234567890abcdef0
```

규칙을 추가하는 예제는 [보안 그룹 규칙 구성](changing-security-group.md#add-remove-security-group-rules) 단원을 참조하세요.

------

# Amazon EC2 인스턴스에 대한 보안 그룹 변경
<a name="changing-security-group"></a>

Amazon EC2 인스턴스를 시작할 때 해당 인스턴스에 대해 보안 그룹을 지정할 수 있습니다. 인스턴스를 시작한 이후에는 보안 그룹을 추가하거나 제거할 수 없습니다. 또한 언제든지 연결된 보안 그룹에 대한 보안 그룹 규칙을 추가, 제거 또는 편집할 수 있습니다.

보안 그룹은 네트워크 인터페이스와 연결됩니다. 보안 그룹을 추가하거나 제거하면 기본 네트워크 인터페이스와 연결된 보안 그룹이 변경됩니다. 보조 네트워크 인터페이스와 연결된 보안 그룹을 변경할 수도 있습니다. 자세한 내용은 [네트워크 인터페이스 속성 수정](modify-network-interface-attributes.md) 섹션을 참조하세요.

**Topics**
+ [보안 그룹 추가 또는 제거](#add-remove-instance-security-groups)
+ [보안 그룹 규칙 구성](#add-remove-security-group-rules)

## 보안 그룹 추가 또는 제거
<a name="add-remove-instance-security-groups"></a>

인스턴스를 시작한 후 연결된 보안 그룹 목록에서 보안 그룹을 추가하거나 제거할 수 있습니다. 여러 보안 그룹을 인스턴스와 연결할 경우 각 보안 그룹의 규칙이 유효하게 결합된 단일 규칙 세트가 생성됩니다. Amazon EC2는 이 규칙 세트를 사용하여 트래픽을 허용할지 여부를 결정합니다.

**요구 사항**
+ 인스턴스는 `running` 또는 `stopped` 상태여야 합니다.

------
#### [ Console ]

**인스턴스에 대한 보안 그룹 변경**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **인스턴스**를 선택합니다.

1. 인스턴스를 선택한 다음 [**작업(Actions)**], [**보안(Security)**], [**보안 그룹 변경(Change security groups)**]을 선택합니다.

1. **연결된 보안 그룹**에서는 목록에서 보안 그룹을 선택하고 **보안 그룹 추가**를 선택합니다.

   이미 연결된 보안 그룹을 제거하려면 보안 그룹의 **제거**를 선택합니다.

1. **저장**을 선택합니다.

------
#### [ AWS CLI ]

**인스턴스에 대한 보안 그룹 변경**  
다음 [modify-instance-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-attribute.html) 명령을 사용합니다.

```
aws ec2 modify-instance-attribute \
    --instance-id i-1234567890abcdef0 \
    --groups sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**인스턴스에 대한 보안 그룹 변경**  
[Edit-EC2InstanceAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceAttribute.html) cmdlet을 사용합니다.

```
Edit-EC2InstanceAttribute `
    -InstanceId i-1234567890abcdef0 `
    -Group sg-1234567890abcdef0
```

------

## 보안 그룹 규칙 구성
<a name="add-remove-security-group-rules"></a>

보안 그룹을 생성한 후 해당 보안 그룹 규칙을 추가, 업데이트 및 삭제할 수 있습니다. 규칙을 추가, 업데이트 또는 삭제하면 변경 내용이 보안 그룹과 연결된 모든 리소스에 자동으로 적용됩니다.

보안 그룹에 추가할 수 있는 규칙의 예제는 [다양한 사용 사례에 대한 보안 그룹 규칙](security-group-rules-reference.md)의 내용을 참조하세요.

**필수 권한**  
시작하기 전에 필요한 권한이 있는지 확인하세요. 자세한 내용은 [예: 보안 그룹 작업](iam-policies-ec2-console.md#ex-security-groups) 섹션을 참조하세요.

**포트 및 프로토콜**
+ 콘솔에서 사전 정의된 유형을 선택하면 **프로토콜** 및 **포트 범위**가 지정됩니다. 포트 범위를 입력하려면 **사용자 지정 TCP** 또는 **사용자 지정 UDP** 중 하나를 선택해야 합니다.
+ AWS CLI에서 `--protocol` 및 `--port` 옵션을 사용하여 단일 포트가 있는 단일 규칙을 추가할 수 있습니다. 여러 규칙 또는 포트 범위가 있는 규칙을 추가하려면 `--ip-permissions` 옵션을 대신 사용합니다.

**소스 및 대상**
+ 콘솔에서 다음을 인바운드 규칙의 소스 또는 아웃바운드 규칙의 대상으로 지정할 수 있습니다.
  + **사용자 지정** - IPv4 CIDR 블록, IPv6 CIDR 블록, 보안 그룹 또는 접두사 목록.
  + **Anywhere-IPv4** – 0.0.0.0/0 IPv4 CIDR 블록.
  + **Anywhere-IPv6** – ::/0 IPv6 CIDR 블록.
  + **내 IP**: 로컬 컴퓨터의 퍼블릭 IPv4 주소.
+ AWS CLI에서 `--cidr` 옵션을 사용하여 IPv4 CIDR 블록을 지정하거나 `--source-group` 옵션을 사용하여 보안 그룹을 지정할 수 있습니다. 접두사 목록 또는 IPv6 CIDR 블록을 지정하려면 `--ip-permissions` 옵션을 사용합니다.

**주의**  
포트 22(SSH) 또는 3389(RDP)에 대한 인바운드 규칙을 추가하는 경우 인스턴스에 액세스해야 하는 특정 IP 주소 또는 주소 범위만 승인하는 것이 좋습니다. **Anywhere-IPv4**를 선택하면 모든 IPv4 주소의 트래픽을 허용하고 지정된 프로토콜을 사용하여 인스턴스에 액세스합니다. **Anywhere-IPv6**를 선택하면 모든 IPv6 주소의 트래픽을 허용하고 지정된 프로토콜을 사용하여 인스턴스에 액세스합니다.

------
#### [ Console ]

**보안 그룹 규칙을 구성하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **보안 그룹**을 선택합니다.

1. 보안 그룹을 선택합니다.

1. 인바운드 규칙을 편집하려면 **작업** 또는 **인바운드 규칙** 탭에서 **인바운드 규칙 편집**을 선택합니다.

   1. 규칙을 추가하려면 **규칙 추가**를 선택한 다음 규칙의 유형, 프로토콜, 포트 및 소스를 입력합니다.

      유형이 TCP 또는 UDP인 경우 허용할 포트 범위를 입력해야 합니다. 사용자 지정 ICMP의 경우 **프로토콜(Protocol)**에서 ICMP 유형 이름을 선택하고, 해당되는 경우 **포트 범위(Port range)**에서 코드 이름을 선택해야 합니다. 다른 유형에 대해 프로토콜과 포트 범위가 구성됩니다.

   1. 규칙을 업데이트하려면 필요에 따라 프로토콜, 설명 및 소스를 변경합니다. 하지만 소스 유형을 변경할 수는 없습니다. 예를 들어 소스가 IPv4 CIDR 블록인 경우 IPv6 CIDR 블록, 접두사 목록 또는 보안 그룹을 지정할 수 없습니다.

   1. 규칙을 삭제하려면 해당 **삭제** 버튼을 선택합니다.

1. 아웃바운드 규칙을 편집하려면 **작업** 또는 **아웃바운드 규칙** 탭에서 **아웃바운드 규칙 편집**을 선택합니다.

   1. 규칙을 추가하려면 **규칙 추가**를 선택한 다음 규칙의 유형, 프로토콜, 포트 및 대상을 입력합니다. 또한 설명을 입력할 수 있습니다(선택 사항).

      유형이 TCP 또는 UDP인 경우 허용할 포트 범위를 입력해야 합니다. 사용자 지정 ICMP의 경우 **프로토콜(Protocol)**에서 ICMP 유형 이름을 선택하고, 해당되는 경우 **포트 범위(Port range)**에서 코드 이름을 선택해야 합니다. 다른 유형에 대해 프로토콜과 포트 범위가 구성됩니다.

   1. 규칙을 업데이트하려면 필요에 따라 프로토콜, 설명 및 소스를 변경합니다. 하지만 소스 유형을 변경할 수는 없습니다. 예를 들어 소스가 IPv4 CIDR 블록인 경우 IPv6 CIDR 블록, 접두사 목록 또는 보안 그룹을 지정할 수 없습니다.

   1. 규칙을 삭제하려면 해당 **삭제** 버튼을 선택합니다.

1. **규칙 저장**을 선택합니다.

------
#### [ AWS CLI ]

**보안 그룹 규칙을 추가하는 방법**  
[authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) 명령을 사용하여 인바운드 규칙을 추가합니다. 다음 예제에서는 지정된 접두사 목록 중 CIDR 블록의 인바운드 SSH 트래픽을 허용합니다.

```
aws ec2 authorize-security-group-ingress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=22,ToPort=22,PrefixListIds=[{PrefixListId=pl-f8a6439156EXAMPLE}]'
```

[authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html) 명령을 사용하여 아웃바운드 규칙을 추가합니다. 다음 예제에서는 지정된 보안 그룹이 있는 인스턴스에 포트 80의 아웃바운드 TCP 트래픽을 허용합니다.

```
aws ec2 authorize-security-group-egress \
    --group-id sg-1234567890abcdef0 \
    --ip-permissions 'IpProtocol=tcp,FromPort=80,ToPort=80,UserIdGroupPairs=[{GroupId=sg-0aad1c26bb6EXAMPLE}]'
```

**무효 보안 그룹 규칙을 제거하는 방법**  
다음 [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) 명령을 사용하여 인바운드 규칙을 제거합니다.

```
aws ec2 revoke-security-group-egress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-09ed298024EXAMPLE
```

다음 [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) 명령을 사용하여 아웃바운드 규칙을 제거합니다.

```
aws ec2 revoke-security-group-ingress \
    --group id sg-1234567890abcdef0 \
    --security-group-rule-ids sgr-0352250c1aEXAMPLE
```

**보안 그룹 규칙을 수정하는 방법**  
[modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html) 명령을 사용합니다. 다음 예제에서는 지정된 보안 그룹 규칙의 IPv4 CIDR 블록을 변경합니다.

```
aws ec2 modify-security-group-rules \
    --group id sg-1234567890abcdef0 \
    --security-group-rules 'SecurityGroupRuleId=sgr-09ed298024EXAMPLE,SecurityGroupRule={IpProtocol=tcp,FromPort=80,ToPort=80,CidrIpv4=0.0.0.0/0}'
```

------
#### [ PowerShell ]

**보안 그룹 규칙을 추가하는 방법**  
[Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) cmdlet을 사용하여 인바운드 규칙을 추가합니다. 다음 예제에서는 지정된 접두사 목록 중 CIDR 블록의 인바운드 SSH 트래픽을 허용합니다.

```
$plid = New-Object -TypeName Amazon.EC2.Model.PrefixListId
$plid.Id = "pl-f8a6439156EXAMPLE"
Grant-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=22; ToPort=22; PrefixListIds=$plid}
```

[Grant-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupEgress.html) cmdlet을 사용하여 아웃바운드 규칙을 추가합니다. 다음 예제에서는 지정된 보안 그룹이 있는 인스턴스에 포트 80의 아웃바운드 TCP 트래픽을 허용합니다.

```
$uigp = New-Object -TypeName Amazon.EC2.Model.UserIdGroupPair
$uigp.GroupId = "sg-0aad1c26bb6EXAMPLE"
Grant-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -IpPermission @{IpProtocol="tcp"; FromPort=80; ToPort=80; UserIdGroupPairs=$uigp}
```

**무효 보안 그룹 규칙을 제거하는 방법**  
[Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) cmdlet을 사용하여 인바운드 규칙을 제거합니다.

```
Revoke-EC2SecurityGroupIngress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-09ed298024EXAMPLE
```

[Revoke-EC2SecurityGroupEgress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupEgress.html) cmdlet을 사용하여 아웃바운드 규칙을 제거합니다.

```
Revoke-EC2SecurityGroupEgress `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRuleId sgr-0352250c1aEXAMPLE
```

**보안 그룹 규칙을 수정하는 방법**  
[Edit-EC2SecurityGroupRule](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2SecurityGroupRule.html) cmdlet을 사용합니다. 다음 예제에서는 지정된 보안 그룹 규칙의 IPv4 CIDR 블록을 변경합니다.

```
$sgrr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleRequest
$sgrr.IpProtocol = "tcp"
$sgrr.FromPort = 80
$sgrr.ToPort = 80
$sgrr.CidrIpv4 = "0.0.0.0/0"
$sgr = New-Object -TypeName Amazon.EC2.Model.SecurityGroupRuleUpdate
$sgr.SecurityGroupRuleId = "sgr-09ed298024EXAMPLE"
$sgr.SecurityGroupRule = $sgrr
Edit-EC2SecurityGroupRule  `
    -GroupId sg-1234567890abcdef0 `
    -SecurityGroupRule $sgr
```

------

# Amazon EC2 보안 그룹 삭제
<a name="deleting-security-group"></a>

Amazon EC2 인스턴스에 사용할 보안 그룹 생성을 완료하면 이를 삭제할 수 있습니다.

**요구 사항**
+ 보안 그룹은 인스턴스 또는 네트워크 인터페이스와 연결할 수 없습니다.
+ 다른 보안 그룹의 규칙에서 보안 그룹을 참조할 수 없습니다.

------
#### [ Console ]

**보안 그룹을 삭제하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. (선택 사항) 보안 그룹이 인스턴스와 연결되어 있지 않은지 확인하려면 다음을 수행합니다.

   1. 탐색 창에서 **Security Groups**를 선택합니다.

   1. 삭제할 보안 그룹의 ID를 복사합니다.

   1. 탐색 창에서 **인스턴스**를 선택합니다.

   1. 검색 창에서 **보안 그룹 ID가 동일함** 필터를 추가하고 보안 그룹의 ID를 붙여넣습니다. 결과가 없는 경우 보안 그룹이 인스턴스와 연결되지 않은 것입니다. 그렇지 않으면 보안 그룹을 삭제하기 전에 연결을 해제해야 합니다.

1. 탐색 창에서 **Security Groups**를 선택합니다.

1. 보안 그룹을 선택한 다음 **작업**, **보안 그룹 삭제**를 선택합니다.

1. 보안 그룹을 둘 이상 선택하면 확인 메시지가 표시됩니다. 일부 보안 그룹을 삭제할 수 없는 경우 각 보안 그룹의 상태가 표시되어 삭제 여부를 나타냅니다. 삭제를 확인하려면 **삭제**를 누릅니다.

1. **삭제**를 선택합니다.

------
#### [ AWS CLI ]

**보안 그룹을 삭제하려면**  
다음 [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html) 명령을 사용합니다.

```
aws ec2 delete-security-group --group-id sg-1234567890abcdef0
```

------
#### [ PowerShell ]

**보안 그룹을 삭제하려면**  
[Remove-EC2SecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2SecurityGroup.html) cmdlet을 사용합니다.

```
Remove-EC2SecurityGroup -GroupId sg-1234567890abcdef0
```

------

# Amazon EC2 보안 그룹 연결 추적
<a name="security-group-connection-tracking"></a>

보안 그룹은 연결 추적을 사용해 인스턴스가 송수신하는 트래픽에 대한 정보를 추적합니다. 규칙은 트래픽의 연결 상태를 기반으로 적용되어 해당 트래픽을 허용 또는 거부할지 결정합니다. 이 방법을 사용하면 보안 그룹의 상태가 유지됩니다. 인바운드 트래픽에 대한 응답은 아웃바운드 보안 그룹 규칙에 관계없이 인스턴스에서 나가도록 허용되며 반대의 경우도 마찬가지입니다.

예를 들어 홈 컴퓨터에서 인스턴스에 대해 netcat 또는 유사한 명령과 같은 명령을 시작하고, 인바운드 보안 그룹 규칙에서 ICMP 트래픽을 허용한다고 가정하겠습니다. 연결에 대한 정보(포트 정보 포함)가 추적됩니다. 명령에 대한 인스턴스의 응답 트래픽은 새로운 요청이 아니라 설정된 연결로 추적되며, 아웃바운드 보안 그룹 규칙이 아웃바운드 ICMP 트래픽을 제한하더라도 인스턴스에서 나가도록 허용됩니다.

TCP, UDP 또는 ICMP 이외의 프로토콜에 대해서는 IP 주소와 프로토콜 번호만 추적됩니다. 인스턴스에서 다른 호스트로 트래픽이 전송되고, 600초 이내에 동일한 트래픽 유형이 호스트에서 인스턴스로 전송되는 경우 인스턴스에 대한 보안 그룹에서는 인바운드 보안 그룹 규칙과 관계없이 해당 트래픽이 수락됩니다. 해당 트래픽이 원본 트래픽에 대한 응답 트래픽으로 간주되어 보안 그룹에서 수락됩니다.

보안 그룹 규칙을 변경하면 추적된 연결이 즉시 중단되지 않습니다. 기존 연결 시간이 초과할 때까지 보안 그룹에서 패킷이 계속 허용됩니다. 트래픽이 즉시 중단되거나 추적 상태와 관계없이 모든 트래픽에 방화벽 규칙이 적용되도록 서브넷의 네트워크 ACL을 사용할 수 있습니다. 네트워크 ACL은 상태 비저장이므로 자동으로 응답 트래픽을 허용하지 않습니다. 어느 방향이든 트래픽이 차단되는 네트워크 ACL을 추가하면 기존 연결이 끊어집니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [네트워크 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 섹션을 참조하세요.

**참고**  
보안 그룹은 'VPC\$12 IP 주소'(**Amazon Route 53 개발자 가이드의 [Amazon Route 53 Resolver란 무엇인가요?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) 참조) 또는 'AmazonProvidedDNS'(**Amazon Virtual Private Cloud 사용 설명서의 [DHCP 옵션 세트로 작업](https://docs.aws.amazon.com/vpc/latest/userguide/DHCPOptionSet.html) 참조)라고도 하는 Route 53 Resolver에서 들어오고 나가는 DNS 트래픽에 영향을 미치지 않습니다. Route 53 Resolver를 통해 DNS 요청을 필터링하려면 Route 53 Resolver DNS 방화벽을 활성화하면 됩니다(Amazon Route 53 개발자 가이드의 [Route 53 Resolver DNS 방화벽](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) 참조).**

## 추적되지 않는 연결
<a name="untracked-connections"></a>

모든 트래픽 흐름이 추적되지는 않습니다. 모든 트래픽(0.0.0.0/0 또는 ::/0)에 대한 TCP 또는 UDP 흐름이 보안 그룹 규칙에서 허용되고 포트(0-65535)에 대한 모든 응답 트래픽(0.0.0.0/0 또는 ::/0)이 허용되는 해당 규칙이 다른 방향에 있는 경우에는 [자동으로 추적되는 연결](#automatic-tracking)의 일부가 아니면 트래픽 흐름이 추적되지 않습니다. 추적되지 않는 흐름에 대한 응답 트래픽은 추적 정보가 아니라 응답 트래픽이 허용되는 인바운드 또는 아웃바운드 규칙에 따라 허용됩니다.

흐름을 허용하는 규칙이 제거 또는 수정될 경우 추적되지 않는 트래픽 흐름이 즉시 중단됩니다. 예를 들어 열린 (0.0.0.0/0) 아웃바운드 규칙이 있고 인스턴스에 대한 모든 (0.0.0.0/0) 인바운드 SSH(TCP 포트 22) 트래픽을 허용하는 규칙을 제거하거나 연결이 더 이상 허용되지 않도록 수정할 경우 인스턴스에 대한 기존 SSH 연결이 즉시 삭제됩니다. 이전에 연결이 추적되지 않았으므로 변경으로 인해 연결이 끊어집니다. 반면에 처음에 SSH 연결이 허용되는(즉, 연결이 추적되었음) 더 좁은 범위의 인바운드 규칙이 있지만 현재 SSH 클라이언트의 주소에서 새 연결이 더는 허용되지 않도록 해당 규칙을 변경하는 경우 기존 SSH 연결은 추적되므로 중단되지 않습니다.

## 자동으로 추적되는 연결
<a name="automatic-tracking"></a>

다음을 통해 이루어진 연결은 보안 그룹 구성에 추적하도록 별도로 설정되어 있지 않더라도 자동으로 추적됩니다.
+ 외부 전용 인터넷 게이트웨이
+ Global Accelerator 액셀러레이터
+ NAT 게이트웨이
+ Network Firewall 방화벽 엔드포인트
+ Network Load Balancers
+ AWS PrivateLink(인터페이스 VPC 엔드포인트)
+ AWS Lambda(Hyperplane 탄력적 네트워크 인터페이스)
+ DynamoDB 게이트웨이 엔드포인트 - DynamoDB에 대한 각 연결은 2개의 conntrack 항목을 사용합니다.

## 연결 추적 허용량
<a name="connection-tracking-throttling"></a>

Amazon EC2는 인스턴스당 추적할 수 있는 최대 연결 수를 정의합니다. 최대값에 도달하면 새 연결을 설정할 수 없기 때문에 전송하거나 수신하는 패킷이 삭제됩니다. 이 경우 패킷을 전송하고 수신하는 애플리케이션이 제대로 통신할 수 없습니다. `conntrack_allowance_available` 네트워크 성능 지표를 사용하여 해당 인스턴스 유형에 대해 여전히 사용 가능한 추적된 연결 수를 확인합니다.

인스턴스의 네트워크 트래픽이 추적할 수 있는 최대 연결 수를 초과하여 패킷이 삭제되었는지 여부를 확인하려면 `conntrack_allowance_exceeded` 네트워크 성능 지표를 사용합니다. 자세한 내용은 [EC2 인스턴스의 ENA 설정에 대한 네트워크 성능 모니터링](monitoring-network-performance-ena.md) 섹션을 참조하세요.

탄력적 로드 밸런싱을 통해 인스턴스당 추적할 수 있는 최대 연결 수를 초과할 경우 로드 밸런서에 등록된 인스턴스의 수 또는 로드 밸런서에 등록된 인스턴스의 크기를 조정하는 것이 좋습니다.

## 연결 추적 모범 사례
<a name="connection-tracking-performance"></a>

트래픽이 한 네트워크 인터페이스를 통해 인스턴스로 수신되고 다른 네트워크 인터페이스를 통해 송신되는 비대칭 라우팅을 사용하면 흐름을 추적하는 경우 인스턴스에서 달성할 수 있는 최고 성능을 줄일 수 있습니다.

보안 그룹에 대한 연결 추적이 활성화된 경우 최고의 성능을 유지하고 연결 관리를 최적화하려면 다음 구성을 사용하는 것이 좋습니다.
+ 가능하면 비대칭 라우팅 토폴로지를 사용하지 마세요.
+ 필터링에 보안 그룹 대신 네트워크 ACL을 사용합니다.
+ 연결 추적 기능이 있는 보안 그룹을 사용해야 하는 경우 유휴 연결 추적 제한 시간을 가능한 짧게 구성합니다. 유휴 연결 추적 제한 시간에 대한 자세한 내용은 다음 섹션을 참조하세요.
+ Nitrov6 인스턴스의 기본 제한 시간이 짧을수록 수명이 긴 연결(예: 데이터베이스 연결 풀, 영구 HTTP 연결 또는 스트리밍 워크로드)이 있는 애플리케이션은 인스턴스 시작 시 적합한 `TcpEstablishedTimeout` 값을 구성해야 합니다.
+ 수명이 긴 연결의 경우 연결을 열어 두고 추적된 상태를 유지하도록 TCP 연결 유지를 5분 미만의 간격으로 전송하도록 구성합니다. 그러면 유휴 제한 시간으로 인해 연결이 끊어지는 것을 방지하고 연결 재설정 오버헤드를 줄일 수 있습니다.

Nitro 시스템의 성능 조정에 대한 자세한 내용은 [성능 튜닝을 위한 Nitro 시스템 고려 사항](ena-nitro-perf.md) 섹션을 참조하세요.

## 유휴 연결 추적 제한 시간
<a name="connection-tracking-timeouts"></a>

보안 그룹은 설정된 각 연결을 추적하여 반환 패킷이 예상대로 전달되는지 확인합니다. 인스턴스당 추적할 수 있는 최대 연결 수가 있습니다. 유휴 상태로 유지되는 연결은 연결 추적 소진으로 이어져 연결이 추적되지 않고 패킷이 삭제될 수 있습니다. 탄력적 네트워크 인터페이스에서 유휴 연결 추적에 대한 제한 시간을 설정할 수 있습니다.

**참고**  
이 기능은 [Nitro 기반 인스턴스](instance-types.md#instance-hypervisor-type)에서만 사용할 수 있습니다. 프로덕션으로 배포하기 전에 `350` 두 번째 기본 연결 추적 제한 시간을 단축하여 Nitrov6 세대 인스턴스에서 애플리케이션을 테스트해야 합니다.

구성 가능한 세 가지 제한 시간이 있습니다.
+ **TCP 설정 제한 시간**: 설정된 상태의 유휴 TCP 연결에 대한 제한 시간(초)입니다.
  + 최솟값: `60`초
  + 최댓값: `432000`초
  + 기본값: [Nitrov6](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html) 인스턴스 유형(P6e-GB200 제외)의 경우 `350`초. 기타 인스턴스 유형 및 P6e-GB200의 경우 `432000`초.
  + 권장값: `432000`초 미만
+ **UDP 제한 시간**: 단일 방향 또는 단일 요청-응답 트랜잭션의 트래픽만 확인한 유휴 UDP 흐름의 제한 시간(초)입니다.
  + 최솟값: `30`초
  + 최댓값: `60`초
  + 기본값: `30`초
+ **UDP 스트림 제한 시간**: 둘 이상의 요청-응답 트랜잭션을 확인한 스트림으로 분류된 유휴 UDP 흐름의 제한 시간(초)입니다.
  + 최솟값: `60`초
  + 최댓값: `180`초
  + 기본값: `180`초

다음과 같은 경우에 기본 제한 시간을 수정해야 할 수 있습니다.
+  [EC2 인스턴스의 ENA 설정에 대한 네트워크 성능 모니터링](monitoring-network-performance-ena.md)Amazon EC2 네트워크 성능 지표를 사용하여 추적된 연결을 모니터링하는 경우 **conntrack\$1allowance\$1exceeded 및 **conntrack\$1allowance\$1available 지표를 사용하면 삭제된 패킷과 추적된 연결 사용률을 모니터링하여 스케일 업 또는 아웃 작업을 통해 EC2 인스턴스 용량을 사전에 관리하여 패킷을 삭제하기 전에 네트워크 연결 수요를 충족할 수 있습니다. EC2 인스턴스에서 conntrack\$1allowance\$1exceeded 삭제가 관찰되는 경우 부적절한 클라이언트 또는 네트워크 미들 박스로 인해 발생하는 오래된 TCP/UDP 세션을 설명하기 위해 더 낮은 TCP 설정 제한 시간을 설정하는 것이 도움이 될 수 있습니다.**
+ 일반적으로 로드 밸런서 또는 방화벽에는 60\$190분 범위의 TCP 설정 유휴 제한 시간이 있습니다. 네트워크 방화벽과 같은 어플라이언스에서 매우 많은 수(10만 개 이상)의 연결을 처리할 것으로 예상되는 워크로드를 실행하는 경우 EC2 네트워크 인터페이스에서 유사한 제한 시간을 구성하는 것이 좋습니다.
+ 비대칭 라우팅 토폴로지를 사용하는 워크로드를 실행하는 경우 TCP 설정 유휴 제한 시간을 60초로 구성하는 것이 좋습니다.
+ DNS, SIP, SNMP, Syslog, Radius 및 UDP를 주로 사용하여 요청을 처리하는 기타 서비스와 같이 연결 수가 많은 워크로드를 실행하는 경우 'UDP-Stream' 제한 시간을 60초로 설정하면 기존 용량의 규모/성능이 향상되고 그레이 페일(gray failure)이 발생하지 않습니다.
+ Network Load Balancer를 통한 TCP/UDP 연결의 경우 모든 연결이 추적됩니다. TCP 흐름의 유휴 제한 시간 값은 350초이고 UDP 흐름은 120초이며 인터페이스 수준 제한 시간 값에 따라 다릅니다. 로드 밸런서의 기본값보다 제한 시간에 대한 유연성을 더 높이기 위해 네트워크 인터페이스 수준에서 제한 시간을 구성할 수 있습니다.

다음 작업을 수행할 때 연결 추적 제한 시간을 구성할 수 있는 옵션이 있습니다.
+ [네트워크 인터페이스 생성](create-network-interface.md)
+ [네트워크 인터페이스 속성 수정](modify-network-interface-attributes.md)
+ [EC2 인스턴스 시작](ec2-instance-launch-parameters.md#liw-network-settings)
+ [EC2 인스턴스 시작 템플릿 생성](ec2-instance-launch-parameters.md#liw-network-settings)

## 예제
<a name="connection-tracking-example"></a>

다음 예제의 보안 그룹에는 TCP 및 ICMP 트래픽이 허용되는 인바운드 규칙과 모든 아웃 바운드 트래픽이 허용되는 아웃 바운드 규칙이 있습니다.


**인바운드**  

| 프로토콜 유형 | 포트 번호 | 소스 | 
| --- | --- | --- | 
| TCP  | 22 (SSH) | 203.0.113.1/32 | 
| TCP  | 80(HTTP) | 0.0.0.0/0 | 
| TCP  | 80(HTTP) | ::/0 | 
| ICMP | 모두 | 0.0.0.0/0 | 


**아웃바운드**  

| 프로토콜 유형 | 포트 번호 | Destination | 
| --- | --- | --- | 
| 모두 | 모두 | 0.0.0.0/0 | 
| 모두 | 모두 | ::/0 | 

인스턴스 또는 네트워크 인터페이스에 대한 직접 네트워크 연결에서는 추적 동작이 다음과 같습니다.
+ 인바운드 규칙에서 모든 IP 주소(0.0.0.0/0)가 아니라 203.0.113.1/32의 트래픽만 허용되므로 포트 22(SSH)의 인바운드 및 아웃바운드 TCP 트래픽이 추적됩니다.
+ 인바운드 및 아웃바운드 규칙에서 모든 TCP 트래픽이 허용되므로 포트 80(HTTP)의 인바운드 및 아웃바운드 TCP 트래픽이 추적되지 않습니다.
+ ICMP 트래픽은 항상 추적됩니다.

IPv4 트래픽에 대한 아웃바운드 규칙을 제거하는 경우 포트 80(HTTP)의 트래픽을 포함하여 모든 인바운드 및 아웃바운드 IPv4 트래픽이 추적됩니다. IPv6 트래픽에 대한 아웃바운드 규칙을 제거하는 경우 IPv6 트래픽에 동일하게 적용됩니다.

# 다양한 사용 사례에 대한 보안 그룹 규칙
<a name="security-group-rules-reference"></a>

보안 그룹을 생성하고 보안 그룹과 연결된 인스턴스의 역할을 반영하는 규칙을 추가합니다. 예를 들어 웹 서버로 구성된 인스턴스에는 인바운드 HTTP 및 HTTPS 액세스를 허용하는 보안 그룹 규칙이 필요합니다. 마찬가지로 데이터베이스 인스턴스에는 데이터베이스 유형에 대한 액세스(예: MySQL의 경우 포트 3306을 통한 액세스)를 허용하는 규칙이 필요합니다.

다음은 특정한 종류의 액세스에 대해 보안 그룹에 추가할 수 있는 규칙의 종류를 예로 든 것입니다.

**Topics**
+ [웹 서버 규칙](#sg-rules-web-server)
+ [데이터베이스 서버 규칙](#sg-rules-db-server)
+ [컴퓨터에서 인스턴스 연결에 대한 규칙](#sg-rules-local-access)
+ [보안 그룹이 동일한 인스턴스에서 인스턴스에 대한 연결 규칙](#sg-rules-other-instances)
+ [Ping/ICMP 규칙](#sg-rules-ping)
+ [DNS 서버 규칙](#sg-rules-dns)
+ [Amazon EFS 규칙](#sg-rules-efs)
+ [Elastic Load Balancing 규칙](#sg-rules-elb)

지침은 [보안 그룹 생성](creating-security-group.md) 및 [보안 그룹 규칙 구성](changing-security-group.md#add-remove-security-group-rules) 섹션을 참조하세요.

## 웹 서버 규칙
<a name="sg-rules-web-server"></a>

다음 인바운드 규칙에서는 임의의 IP 주소로부터 HTTP 및 HTTPS 액세스를 허용합니다. VPC가 IPv6용으로 활성화되면 IPv6 주소에서 인바운드 HTTP 및 HTTPS 트래픽을 제어하기 위한 규칙을 추가할 수 있습니다.


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 소스 IP | 참고 | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80(HTTP) | 0.0.0.0/0 | 임의의 IPv4 주소에서 인바운드 HTTP 액세스를 허용함 | 
| TCP | 6 | 443(HTTPS) | 0.0.0.0/0 | 임의의 IPv4 주소에서 인바운드 HTTPS 액세스를 허용함 | 
| TCP | 6 | 80(HTTP) | ::/0 | 임의의 IPv6 주소에서 인바운드 HTTP 액세스를 허용함 | 
| TCP | 6 | 443(HTTPS) | ::/0 | 임의의 IPv6 주소에서 인바운드 HTTPS 액세스를 허용함 | 

## 데이터베이스 서버 규칙
<a name="sg-rules-db-server"></a>

다음의 인바운드 규칙은 인스턴스에서 실행 중인 데이터베이스의 유형에 따라 데이터베이스 액세스를 위해 추가할 수 있는 규칙을 예로 든 것입니다. Amazon RDS DB 인스턴스에 대한 자세한 내용은 [Amazon RDS 사용 설명서](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/)를 참조하세요.

원본 IP의 경우 다음 중 하나를 지정합니다.
+ 로컬 네트워크의 특정 IP 주소 또는 IP 주소 범위(CIDR 블록 표기법)
+ 데이터베이스에 액세스하는 인스턴스 그룹의 보안 그룹 ID


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 참고 | 
| --- | --- | --- | --- | 
| TCP | 6 | 1433(MS SQL) | Microsoft SQL Server 데이터베이스 액세스를 위한 기본 포트(예: Amazon RDS 인스턴스에서) | 
| TCP | 6 | 3306(MYSQL/Aurora) | MySQL 또는 Aurora 데이터베이스 액세스를 위한 기본 포트(예: Amazon RDS 인스턴스에서) | 
| TCP | 6 | 5439(Redshift) | Amazon Redshift 클러스터 데이터베이스 액세스를 위한 기본 포트. | 
| TCP | 6 | 5432(PostgreSQL) | PostgreSQL 데이터베이스 액세스를 위한 기본 포트(예: Amazon RDS 인스턴스에서) | 
| TCP | 6 | 1521(Oracle) | Oracle 데이터베이스 액세스를 위한 기본 포트(예: Amazon RDS 인스턴스에서) | 

선택적으로 데이터베이스 서버의 아웃바운드 트래픽을 제한할 수 있습니다. 예를 들어 소프트웨어 업데이트를 위해 인터넷 액세스를 허용하지만 다른 모든 종류의 트래픽은 제한할 수 있습니다. 먼저 모든 아웃바운드 트래픽을 허용하는 기본 아웃바운드 규칙을 제거해야 합니다.


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 목적지 IP | 참고 | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 80(HTTP) | 0.0.0.0/0 | 임의의 IPv4 주소에 대한 아웃바운드 HTTP 액세스를 허용함 | 
| TCP | 6 | 443(HTTPS) | 0.0.0.0/0 | 임의의 IPv4 주소에 대한 아웃바운드 HTTPS 액세스를 허용함 | 
| TCP | 6 | 80(HTTP) | ::/0 | (IPv6 사용 VPC만 해당) 임의의 IPv6 주소에 대한 아웃바운드 HTTP 액세스를 허용함 | 
| TCP | 6 | 443(HTTPS) | ::/0 | (IPv6 사용 VPC만 해당) 임의의 IPv6 주소에 대한 아웃바운드 HTTPS 액세스를 허용함 | 

## 컴퓨터에서 인스턴스 연결에 대한 규칙
<a name="sg-rules-local-access"></a>

인스턴스에 연결하려면 보안 그룹에 SSH 액세스(Linux 인스턴스) 또는 RDP 액세스(Windows 인스턴스)를 허용하는 인바운드 규칙이 있어야 합니다.


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 소스 IP | 
| --- | --- | --- | --- | 
| TCP | 6 | 22(SSH) | 컴퓨터의 퍼블릭 IPv4 주소 또는 로컬 네트워크의 IP 주소 범위. IPv6를 위해 VPC가 활성화되어 있고 인스턴스에 IPv6 주소가 있는 경우 IPv6 주소 또는 범위를 입력할 수 있습니다. | 
| TCP | 6 | 3389(RDP) | 컴퓨터의 퍼블릭 IPv4 주소 또는 로컬 네트워크의 IP 주소 범위. IPv6를 위해 VPC가 활성화되어 있고 인스턴스에 IPv6 주소가 있는 경우 IPv6 주소 또는 범위를 입력할 수 있습니다. | 

## 보안 그룹이 동일한 인스턴스에서 인스턴스에 대한 연결 규칙
<a name="sg-rules-other-instances"></a>

같은 보안 그룹과 연결된 여러 인스턴스가 서로 통신할 수 있게 하려면 이에 대한 규칙을 명시적으로 추가해야 합니다.

**참고**  
미들박스 어플라이언스를 통해 서로 다른 서브넷에 있는 두 인스턴스 간의 트래픽을 전달하도록 경로를 구성하는 경우 두 인스턴스에 대한 보안 그룹이 인스턴스 간에 트래픽이 흐르도록 허용해야 합니다. 각 인스턴스의 보안 그룹은 다른 인스턴스의 프라이빗 IP 주소 또는 다른 인스턴스가 포함된 서브넷의 CIDR 범위를 소스로 참조해야 합니다. 다른 인스턴스의 보안 그룹을 소스로 참조하면 인스턴스 간에 트래픽이 흐를 수 없습니다.

다음 표에서는 연결된 인스턴스가 서로 통신할 수 있도록 하기 위한 보안 그룹의 인바운드 규칙을 설명합니다. 이 규칙에서는 모든 유형의 트래픽을 허용합니다.


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 소스 IP | 
| --- | --- | --- | --- | 
| -1(모두) | -1(모두) | -1(모두) | 보안 그룹의 ID 또는 다른 인스턴스가 포함된 서브넷의 CIDR 범위(참고 사항 참조). | 

## Ping/ICMP 규칙
<a name="sg-rules-ping"></a>

**ping** 명령은 ICMP 트래픽의 한 유형입니다. 인스턴스를 ping하려면 다음과 같은 인바운드 ICMP 규칙 중 하나를 추가해야 합니다.


| Type | 프로토콜 | 소스 | 
| --- | --- | --- | 
| 사용자 지정 ICMP - IPv4 | 에코 요청 | 컴퓨터의 퍼블릭 IPv4 주소, 특정 IPv4 주소 또는 위치와 관계없는 IPv4 또는 IPv6 주소입니다. | 
| 모든 ICMP - IPv4 | IPv4 ICMP(1) | 컴퓨터의 퍼블릭 IPv4 주소, 특정 IPv4 주소 또는 위치와 관계없는 IPv4 또는 IPv6 주소입니다. | 

**ping6** 명령을 사용하여 인스턴스에 대한 IPv6 주소를 ping하려면 다음 인바운드 ICMPv6 규칙을 추가해야 합니다.


| Type | 프로토콜 | 소스 | 
| --- | --- | --- | 
| 모든 ICMP - IPv6 | IPv6 ICMP(58) | 컴퓨터의 IPv6 주소, 특정 IPv4 주소 또는 위치와 관계없는 IPv4 또는 IPv6 주소 | 

## DNS 서버 규칙
<a name="sg-rules-dns"></a>

EC2 인스턴스를 DNS 서버로 설정한 경우 TCP 및 UDP 트래픽이 포트 53을 통해 DNS 서버에 연결할 수 있는지 확인해야 합니다.

원본 IP의 경우 다음 중 하나를 지정합니다.
+ 네트워크의 IP 주소 또는 IP 주소 범위(CIDR 블록 표기법)
+ 네트워크에서 DNS 서버로의 액세스를 필요로 하는 인스턴스 세트에 대한 보안 그룹의 ID


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 
| --- | --- | --- | 
| TCP | 6 | 53 | 
| UDP | 17 | 53 | 

## Amazon EFS 규칙
<a name="sg-rules-efs"></a>

Amazon EC2 인스턴스에서 Amazon EFS 파일 시스템을 사용하려면 Amazon EFS 마운트 대상과 연결되는 보안 그룹이 NFS 프로토콜을 통한 트래픽 전송을 허용해야 합니다.


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 소스 IP | 참고 | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 2049(NFS) | 보안 그룹의 ID | 이 보안 그룹과 연결된 리소스(탑재 대상 포함)에서 인바운드 NFS 액세스를 허용합니다. | 

Amazon EFS 파일 시스템을 Amazon EC2 인스턴스에 마운트하려면 인스턴스에 연결해야 합니다. 따라서 인스턴스와 연결되는 보안 그룹은 로컬 컴퓨터 또는 로컬 네트워크의 인바운드 SSH 트래픽을 허용하는 규칙이 필요합니다.


| 프로토콜 유형 | 프로토콜 번호 | 포트 | 소스 IP | 참고 | 
| --- | --- | --- | --- | --- | 
| TCP | 6 | 22(SSH) | 로컬 컴퓨터의 IP 주소 범위 또는 네트워크의 IP 주소 범위(CIDR 블록 표기법). | 로컬 컴퓨터로부터의 인바운드 SSH 액세스를 허용합니다. | 

## Elastic Load Balancing 규칙
<a name="sg-rules-elb"></a>

로드 밸런서에 EC2 인스턴스를 등록하는 경우 로드 밸런서에 연결된 보안 그룹은 인스턴스와의 통신을 허용해야 합니다. 자세한 내용은 Elastic Load Balancing 설명서에서 다음을 참조하세요.
+ [Application Load Balancer 보안 그룹](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
+ [Network Load Balancer의 보안 그룹](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html)
+ [Classic Load Balancer 보안 그룹 구성](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-vpc-security-groups.html)