보안 그룹은 AWS 에서 제공하는 방화벽 모음입니다.
서비스를 제공하는 애플리케이션이라면 상관 없지만 RDS 처럼 외부에서 함부로 접근하면 안되는 인스턴스는 허용된 IP 에서만 접근하도록 설정이 필요합니다.
- 인바운드 (Inbound): 외부 -> EC2 인스턴스 내부 허용
- 아웃바운드 (Outbound): EC2 인스턴스 내부 -> 외부 허용
4.1. 현재 보안 그룹 확인
인스턴스 정보의 보안 탭에서 현재 설정된 보안 그룹을 확인할 수 있습니다.
처음 인스턴스를 생성할 때 아무런 보안 그룹을 설정하지 않았기 때문에 default 값만 들어가있습니다.
인바운드 규칙 해석해보면 22번 포트의 모든 IP 에 대해서 TCP 연결을 허용한다는 의미입니다.
SSH 접속을 위해 22번 포트는 기본으로 설정해준 것 같네요.
이제 새로운 보안 그룹을 만들어 봅시다.
4.2. 보안 그룹 ID 리스트 확인
인스턴스에서 보안 그룹 ID 를 보고 들어갈 수도 있지만 메뉴에서 직접 들어가면 이렇게 보안 그룹 ID 리스트를 볼 수 있습니다.
보안 그룹은 인스턴스와 별개로 존재하기 때문에 한번 만들어두면 새 인스턴스를 생성해도 한번에 적용할 수 있습니다.
우측 상단의 "보안 그룹 생성" 버튼을 눌러서 새 보안 그룹을 만들어봅시다.
4.3. 보안 그룹 생성
먼저 보안 그룹의 이름과 설명을 추가하고 인바운드 규칙과 아웃바운드 규칙을 편집합니다.
4.4. 인바운드 규칙
인바운드는 외부에서 EC2 로 요청할 때 허용할 IP 대역을 설정할 수 있습니다.
원하는 규칙을 추가하려면 "규칙 추가" 버튼을 누릅니다.
유형을 먼저 선택하면 자동으로 그에 맞는 프로토콜과 포트 범위가 고정됩니다.
웬만한 유형들이 이미 존재하기 때문에 편하게 설정할 수 있습니다.
우선 로컬 PC 에서 서버에 접속할 수 있게 SSH 를 추가하고 소스를 내 IP 로 추가합니다.
"소스" 를 선택하면 우측에 알아서 IP 가 추가되며, 특정 IP 나 대역을 넣으려면 "사용자 지정" 으로 추가할 수 있습니다.
만약 여러 사람이 함께 작업하는 프로젝트라면 각각의 로컬 PC IP 를 전부 추가해줘야 합니다.
SSH, HTTP, HTTPS 와 같은 기본 포트들을 열고 스프링 부트 프로젝트트까지 사용자 지정으로 추가해줍니다.
4.5. 아웃바운드 규칙
아웃바운드 규칙은 딱히 설정할 필요 없기 때문에 "모든 트래픽" 그대로 둡니다.
4.6. 인스턴스에서 보안 그룹 변경
방금 생성한 MySecurityGroup 을 추가해줍니다.
보안 그룹은 여러 개를 동시에 설정할 수 있기 때문에 기존에 설정된 launch-wizard-1 보안 그룹은 제거해줍니다.
4.7. 변경된 보안 그룹 확인
다시 인스턴스 설정을 보면 보안 그룹이 적용된 것을 볼 수 있습니다.
만약 제대로 보이지 않는다면 새로고침을 한번 해주세요
