Question
보안그룹 관련해서 질문이 있습니다.
보안그룹 규칙으로 소스 및 대상을 지정할 때 보안 그룹 ID를 지정할 수 있습니다.
1) 보안 그룹 ID의 용도는 무엇인가요?
2) 서로 다른 A,B VPC가 있는 경우 A는 인바운드를 모든트래픽 허용하고
B의 보안그룹 ID로 지정하면 B의 보안그룹이랑 연결된 모든 서비스가 A에게 트래픽을 보낼 수 있는게 맞을까요?
Answer
1) 보안 그룹 ID의 용도는 무엇인가요?
보안그룹 ID는 여러 AWS 리소스 ID 중 하나이고, 보안그룹을 유일하게 식별할 수 있는 ID로서 사용되게 됩니다.
2) 서로 다른 A,B VPC가 있는 경우 A는 인바운드를 모든트래픽 허용하고
B의 보안그룹 ID로 지정하면 B의 보안그룹이랑 연결된 모든 서비스가 A에게 트래픽을 보낼 수 있는게 맞을까요?
우선 보안그룹은 VPC에 속해 있는 리소스이기 떄문에, 다른 VPC의 보안그룹을 출발지로 지정할 수는 없습니다.
대안으로는 보안그룹을 복사하여 동일한 리전에 위치한 다른 VPC에 대해 사용할 수 있는 복사본을 만드는 것입니다.
[+] 보안그룹 복사
기존 보안 그룹의 복사본을 생성하여 새 보안 그룹을 만들 수 있습니다.
보안 그룹을 복사하면 원래 보안 그룹과 동일한 인바운드 및 아웃바운드 규칙을 사용하여 복사본이 생성됩니다.
복사본은 새 고유 보안 그룹 ID를 받게 되므로 별도로 이름을 지정해야 하며, VPC를 선택하실수있습니다.
※ 보안 그룹을 한 리전에서 다른 리전으로는 복사할 수 없습니다.
#방법
1. EC2 콘솔 접속합니다.
2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.
3. 복사할 보안 그룹을 선택 후 작업, Copy to new security group(새 보안 그룹에 복사)을 선택합니다.
4. 이름과 설명(선택 사항)을 지정하고 VPC를 선택 및 보안 그룹 규칙을 변경합니다.
5. 생성을 선택합니다.
즉 보안 그룹은 VPC에 종속되기 때문에 동일한 VPC 내에 존재하는 보안 그룹만 소스 또는 대상으로 지정할 수 있습니다.
따라서 1)VPC Peering을 구성하여 다른 VPC의 보안 그룹을 지정하거나,
(동일한 VPC 또는 피어링된 VPC에 해당하는 보안그룹 ID가 확인될 것 입니다.)
동일한 리전에 있는 VPC 내에서 2)보안 그룹을 복사하여 사용할 수 있습니다.
▶ 참고 문서[1] : 보안 그룹 규칙
▶ 참고 문서[2] : 보안 그룹 복사