각 VPC 보안 그룹 규칙을 설정하면 특정 소스가 해당 VPC 보안 그룹과 연결되어 있는 VPC의 DB 인스턴스에 액세스할 수 있습니다. 소스는 주소 범위(예: 203.0.113.0/24) 또는 다른 VPC 보안 그룹일 수 있습니다. VPC 보안 그룹을 소스로 지정하면 소스 VPC 보안 그룹을 사용하는 모든 인스턴스(일반적으로 애플리케이션 서버)에서 수신 트래픽이 허용됩니다. VPC 보안 그룹에 인바운드와 아웃바운드 트래픽을 모두 제어하는 규칙이 있을 수 있지만, 아웃바운드 트래픽 규칙은 일반적으로 DB 인스턴스에 적용되지 않습니다. 아웃바운드 트래픽 규칙은 DB 인스턴스가 클라이언트로 작동하는 경우에만 적용됩니다. 예를 들면 아웃바운드 트래픽 규칙은 아웃바운드 데이터베이스 링크가 있는 Oracle DB 인스턴스에 적용됩니다. Amazon EC2 API를 사용하거나, 혹은 VPC 콘솔에서 보안 그룹 옵션을 선택하여 VPC 보안 그룹을 생성해야 합니다.

 

VPC의 인스턴스에 대한 액세스를 허용하는 VPC 보안 그룹과 관련된 규칙을 생성할 때 그 규칙이 액세스를 허용하는 주소들의 각 범위에 대해 포트를 지정해야 합니다. 예를 들어, VPC의 인스턴스에 대한 SSH 액세스를 활성화하고 싶다면 지정된 주소 범위와 관련해 TCP 포트 22에 대한 액세스를 허용하는 규칙을 생성해야 합니다.

 

VPC의 서로 다른 인스턴스에게 서로 다른 포트에 대한 액세스를 허용하는 여러 개의 VPC 보안 그룹을 구성할 수 있습니다. 예를 들어 VPC의 웹 서버에 대해서는 TCP 포트 80으로 액세스가 가능하도록 VPC 보안 그룹을 생성합니다. 그런 다음 VPC의 RDS for MySQL DB 인스턴스에 대해서는 TCP 포트 3306으로 액세스할 수 있도록 다른 VPC 보안 그룹을 생성하면 됩니다.

 

VPC 보안 그룹에 관한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 보안 그룹을 참조하십시오.

 

참고 : DB 인스턴스 가 VPC에 있지만 공개적으로 액세스할 수 없는 경우 AWS Site-to-Site VPN 연결 또는 AWS Direct Connect 연결을 사용하여 프라이빗 네트워크에서 액세스할 수도 있습니다. 자세한 내용은 인터네트워크 트래픽 개인 정보 보호 섹션을 참조하세요.

DB 보안 그룹은 VPC에 있지 않고 EC2-Classic 플랫폼에 있는 DB 인스턴스에서 사용됩니다. 각 DB 보안 그룹 규칙을 설정하면 특정 소스가 해당 DB 보안 그룹과 연결되어 있는 DB 인스턴스에 액세스할 수 있습니다. 소스는 주소 범위(예: 203.0.113.0/24) 또는 EC2-Classic 보안 그룹일 수 있습니다. EC2-Classic 보안 그룹을 소스로 지정하면 해당 EC2-Classic 보안 그룹을 사용하는 모든 EC2 인스턴스에서 수신 트래픽이 허용됩니다. DB 보안 그룹 규칙은 인바운드 트래픽에만 적용되며, 아웃바운드 트래픽은 현재 DB 인스턴스에서 허용되지 않습니다.

 

DB 보안 그룹 규칙을 생성할 때는 대상 포트 번호를 지정하지 않아도 됩니다. DB 보안 그룹에 규칙을 정의할 때는 항상 DB 인스턴스로 정의되는 포트 번호가 대상 포트 번호로 사용되기 때문입니다. DB 보안 그룹은 Amazon RDS API 작업 또는 AWS Management Console의 Amazon RDS 페이지를 사용하여 생성할 수 있습니다.

 

DB 보안 그룹으로 작업하는 방법에 대한 자세한 내용은 DB 보안 그룹 작업(EC2-Classic 플랫폼) 단원을 참조하십시오.