AWS Elastic Beanstalk을 띄우고 sg설정과 subnet의 acl설정을 바꿔봄

sg는 security group을 줄여서 쓸때 sg라고 씁니다.

 

eb를 띄우고 접근 제어를 테스트 하기 위해 sg설정과 subnet의 acl설정을 바꿔보았습니다.

subnet을 두개 할당 하고 sg를 default를 할당해서 eb를 띄우면 global에서 이 eb에 access할 수 있습니다.

 

일단은 sg에서 inbound를 80포트만 허용 해보겠습니다.

 

 

eb를 띄울 때 security group을 설정 안해주면 eb가 한개 만듭니다. 반드시 1개는 sg를 설정해주게 됩니다.

 

로그를 보면 아래와 같은 로그가 찍혀 있습니다.

12:56오후Created security group named:
awseb-e-z59cs5wisp-stack-AWSEBSecurityGroup-5FWIC0GC4XY712:56오후Using elasticbeanstalk-ap-northeast-2-656495235771 as Amazon S3 storage bucket for environment data.12:56오후createEnvironment is starting.

 

이렇게 created security group named: 라고 로그가 찍히는데 sg부터 만듭니다.

 

새로 만들어진 sg의 Inbound Rules는 80포트만 허용하고 있습니다.

 

Outbound Rules는 모두 허용입니다.

 

 

outbound는 response를 줄 때 적용되는 rule인데 이걸 막아놓으면 inbound가 열려있어서 call은 받을 수 있지만 response를 줄 수 없습니다.

outbound를 막아도 접속이 안된다.

 

 

eb에서 보안 그룹(Security group) 모두 빼기

현재 sg-03ea3ad08151dd85f라는 sg가 설정 되어있습니다.

'수정'을 눌러서 이걸 빼보겠습니다.

이렇게 체크를 다 풀고 '적용'을 누릅니다.

 

 

그러면 적용이 되는 것 처럼 보이는데. 다시 들어가보면 무언가 하나는 걸려있습니다.

eb에서 sg는 한개라도 적용을 하게 되어 있습니다.

 

지우기를 하면 이렇게 assign되어 있다고 지울 수 없다고 나옵니다.

 

 

ACL로 막기

접근제어의 방법은 SG말고도 ACL도 있습니다.

ACL로 접근제어를 설정 하려면 ACL설정하는 메뉴로 가야합니다.

번호가 낮는 순으로 적용이 되기 때문에 기존에 100번보다 낮은 번호로 all deny룰을 하나 만듭니다.

다시 접속을 해봅니다.

outbound를 all deny로 하니까 이렇게 연결중... 만 나오고 연결이 안됩니다.

 

위에서 추가한 50번 rule을 지우고 적용을 누릅니다.

 

다시 접속 해보면 접속이 잘 됩니다. 적용은 바로 됩니다.

 

end.