네트워크 ACL 작업 - Amazon Virtual Private Cloud
1. 네트워크 ACL 연결 확인2. 네트워크 ACL 생성3. 규칙 추가 및 삭제4. 서브넷을 네트워크 ACL과 연결5. 서브넷에서 네트워크 ACL 연결 해제6. 서브넷의 네트워크 ACL 변경7. 네트워크 ACL 삭제API 및 명령 개요Firewall Manager를 사용하여 네트워크 ACL 관리

네트워크 ACL 작업

다음 작업은 Amazon VPC 콘솔을 사용한 네트워크 ACL 작업 방법을 보여 줍니다.

1. 네트워크 ACL 연결 확인

Amazon VPC 콘솔을 사용하여 특정 서브넷과 연결되어 있는 네트워크 ACL을 확인할 수 있습니다. 네트워크 ACL은 복수의 서브넷과 연결될 수 있으므로 특정 네트워크 ACL과 연결되어 있는 서브넷을 확인할 수도 있습니다.

서브넷과 연결되어 있는 네트워크 ACL을 확인하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Subnets를 선택한 후 서브넷을 선택합니다.

    서브넷과 연결된 네트워크 ACL은 네트워크 ACL의 규칙과 함께 [Network ACL] 탭에 포함되어 있습니다.

네트워크 ACL과 연결되어 있는 서브넷을 확인하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Network ACLs를 선택합니다. [Associated With] 열에 각 네트워크 ACL에 연결된 서브넷의 수가 표시됩니다.

  3. 네트워크 ACL을 선택합니다.

  4. 세부 정보 창에서 서브넷 연결을 선택하여 네트워크 ACL과 연결된 서브넷을 표시합니다.

2. 네트워크 ACL 생성

VPC에 대한 사용자 지정 네트워크 ACL을 생성할 수 있습니다. 기본적으로, 생성된 네트워크 ACL은 사용자가 규칙을 추가할 때까지는 모든 인바운드 및 아웃바운드 트래픽을 차단하며, 사용자가 명시적으로 특정 서브넷과 연결할 때까지는 서브넷과 연결되지 않습니다.

네트워크 ACL을 생성하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Network ACLs를 선택합니다.

  3. [Create Network ACL]을 선택합니다.

  4. 네트워크 ACL 생성 대화 상자에서 선택적으로 네트워크 ACL의 이름을 지정한 다음 VPC 목록에서 VPC의 ID를 선택합니다. 그런 다음 예, 생성을 선택합니다.

3. 규칙 추가 및 삭제

ACL에서 규칙을 추가하거나 삭제할 때 ACL과 연관된 서브넷이 변경될 수 있습니다. 서브넷의 인스턴스를 종료하고 다시 시작할 필요가 없습니다. 변경 사항은 잠시 후 적용됩니다.

중요

동시에 규칙을 추가하고 삭제하는 경우 매우 주의하세요. 네트워크 ACL 규칙은 VPC에 들어가거나 나올 수 있는 네트워크 트래픽 유형을 정의합니다. 인바운드 또는 아웃바운드 규칙을 삭제한 다음 Amazon VPC 할당량에서 허용된 항목보다 많은 새 항목을 추가하면 삭제하도록 선택한 항목이 제거되고 새 항목이 추가되지 않습니다. 이로 인해 예기치 않은 연결 문제가 발생하고 의도하지 않게 VPC에 대한 액세스가 차단될 수 있습니다.

Amazon EC2 API 또는 명령줄 도구를 사용하는 경우에는 규칙을 수정할 수 없습니다. 규칙을 추가 및 삭제할 수만 있습니다. Amazon VPC 콘솔을 사용하는 경우에는 기존 규칙의 항목을 수정할 수 있습니다. 콘솔은 기존 규칙을 제거하고 새 규칙을 추가합니다. ACL에서 규칙의 순서를 변경할 필요가 있는 경우에는 새 규칙 번호와 함께 새 규칙을 추가한 후에 원래 규칙은 삭제해야 합니다.

네트워크 ACL에 규칙을 추가하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Network ACLs를 선택합니다.

  3. 세부 정보 창에서 추가해야 할 규칙의 유형에 따라 Inbound Rules 또는 Outbound Rules 탭을 선택한 후 Edit을 선택합니다.

  4. [Rule #]에서 규칙 번호를 입력합니다(예: 100). 규칙 번호가 네트워크 ACL에서 이미 사용되고 있는 번호이면 안 됩니다. 규칙은 가장 낮은 번호부터 시작해서 순서대로 처리됩니다.

    순차 번호(101, 102, 103)를 사용하는 대신 규칙 번호 간에 간격을 두는 것이 좋습니다(예: 100, 200, 300). 그러면 기존 규칙의 번호를 다시 매길 필요 없이 새 규칙을 더 쉽게 추가할 수 있습니다.

  5. 유형(Type) 목록에서 규칙을 선택합니다. 예를 들어 HTTP에 대한 규칙을 추가하려면 [HTTP]를 선택합니다. 모든 TCP 트래픽을 허용하는 규칙을 추가하려면 [All TCP]를 선택합니다. 이런 옵션 중 일부에 대해서는(예: HTTP) 포트가 자동으로 입력됩니다. 나열되지 않은 프로토콜을 사용하려면 [Custom Protocol Rule]을 선택합니다.

  6. (선택 사항) 사용자 지정 프로토콜 규칙을 생성할 경우 [Protocol] 목록에서 프로토콜의 번호와 이름을 선택합니다. 자세한 내용은 프로토콜 번호의 IANA 목록을 참조하세요.

  7. (선택 사항) 선택한 프로토콜에 포트 번호가 필요한 경우 해당 포트 번호를 입력하거나 하이픈으로 구분된 포트 범위(예: 49152-65535)를 입력합니다.

  8. (인바운드 또는 아웃바운드 규칙인지에 따라) [Source] 또는 [Destination] 필드에 규칙이 적용되는 CIDR 범위를 입력합니다.

  9. [Allow/Deny] 목록에서 지정된 트래픽을 허용하려면 [ALLOW]를, 지정된 트래픽을 거부하려면 [DENY]를 선택합니다.

  10. (선택 사항) 또 다른 규칙을 추가하려면 [Add another rule]을 선택하고 필요에 따라 4~9단계를 반복합니다.

  11. 마치면 [Save]를 선택합니다.

네트워크 ACL에서 규칙을 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Network ACLs를 선택한 후 네트워크 ACL을 선택합니다.

  3. 세부 정보 창에서 [Inbound Rules] 또는 [Outbound Rules] 탭을 선택한 후 [Edit]를 선택합니다. 삭제하려는 규칙에서 [Remove]를 선택한 후 [Save]를 선택합니다.

4. 서브넷을 네트워크 ACL과 연결

특정 서브넷에 네트워크 ACL의 규칙을 적용하려면 서브넷을 네트워크 ACL과 연결해야 합니다. 네트워크 ACL을 여러 서브넷과 연결할 수 있습니다. 그러나 서브넷은 하나의 네트워크 ACL에만 연결될 수 있습니다. 기본적으로, 특정 ACL과 연결되지 않은 서브넷은 기본 네트워크 ACL과 연결됩니다.

서브넷을 네트워크 ACL과 연결하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Network ACLs를 선택한 후 네트워크 ACL을 선택합니다.

  3. 세부 정보 창의 [Subnet Associations] 탭에서 [Edit]를 선택합니다. 네트워크 ACL과 연결할 서브넷에 대한 [Associate] 확인란을 선택한 후 [Save]를 선택합니다.

5. 서브넷에서 네트워크 ACL 연결 해제

서브넷에서 사용자 지정 네트워크 ACL을 연결 해제할 수 있습니다. 서브넷이 사용자 지정 네트워크 ACL과의 연결이 끊어지면 기본 네트워크 ACL과 자동으로 연결됩니다.

네트워크 ACL에서 서브넷의 연결을 끊으려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Network ACLs를 선택한 후 네트워크 ACL을 선택합니다.

  3. 세부 정보 창에서 [Subnet Associations] 탭을 선택합니다.

  4. [Edit]를 선택한 다음, 서브넷에 대한 [Associate] 확인란을 선택 취소합니다. Save(저장)를 선택합니다.

6. 서브넷의 네트워크 ACL 변경

서브넷과 연결되어 있는 네트워크 ACL을 변경할 수 있습니다. 예를 들어 서브넷을 생성하면 생성된 서브넷이 처음에는 기본 네트워크 ACL과 연결됩니다. 서브넷을 사용자가 생성한 사용자 지정 네트워크 ACL과 대신 연결할 수도 있을 것입니다.

서브넷의 네트워크 ACL을 변경한 후에는 서브넷의 인스턴스를 종료했다가 다시 시작할 필요가 없습니다. 변경 사항은 잠시 후 적용됩니다.

서브넷의 네트워크 ACL 연결을 변경하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Subnets를 선택한 후 서브넷을 선택합니다.

  3. [Network ACL] 탭을 선택한 후 [Edit]를 선택합니다.

  4. 를 로 변경 목록에서 서브넷과 연결할 네트워크 ACL을 선택한 다음 저장을 선택합니다.

7. 네트워크 ACL 삭제

네트워크 ACL과 연결된 서브넷이 없는 경우에만 네트워크 ACL을 삭제할 수 있습니다. 기본 네트워크 ACL은 삭제할 수 없습니다.

네트워크 ACL을 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 Network ACLs를 선택합니다.

  3. 네트워크 ACL을 선택한 후 [Delete]를 선택합니다.

  4. 확인 대화 상자에서 [Yes, Delete]를 선택합니다.

API 및 명령 개요

명령줄 또는 API를 사용하여 이 페이지에서 설명하는 작업을 수행할 수 있습니다. 명령줄 인터페이스 및 사용 가능한 API 목록에 대한 자세한 내용은 Amazon VPC 작업 섹션을 참조하세요.

VPC에 대한 네트워크 ACL 만들기
한 개 이상의 네트워크 ACL에 대해 설명
네트워크 ACL에 규칙 추가
네트워크 ACL에서 규칙 삭제
네트워크 ACL에 있는 기존 규칙 바꾸기
네트워크 ACL 연결 바꾸기
네트워크 ACL 삭제

Firewall Manager를 사용하여 네트워크 ACL 관리

AWS Firewall Manager는 여러 계정과 리소스 간에 네트워크 ACL 관리 및 유지 관리 작업을 간소화합니다. Firewall Manager를 사용하여 조직의 계정 및 서브넷을 모니터링하고 정의한 네트워크 ACL 구성을 자동으로 적용할 수 있습니다. Firewall Manager는 조직 전체를 보호해야 하거나 중앙 관리자 계정으로 자동 보호할 새 서브넷을 자주 추가하는 경우에 특히 유용합니다.

Firewall Manager 네트워크 ACL 정책을 사용하면 단일 관리자 계정을 사용하여 조직 전체에서 사용하는 네트워크 ACL에 정의하려는 최소 규칙 세트를 구성, 모니터링 및 관리할 수 있습니다. 조직의 어떤 계정과 서브넷이 Firewall Manager 정책 범위 내에 속하는지 지정합니다. Firewall Manager는 범위 내 서브넷에 대한 네트워크 ACL의 규정 준수 상태를 보고하며, 비준수 네트워크 ACL을 자동으로 수정하여 규정을 준수하도록 Firewall Manager를 구성할 수 있습니다.

Firewall Manager를 사용하여 네트워크 ACL을 관리하는 방법에 대한 자세한 내용은 AWS Firewall Manager 개발자 안내서의 다음 리소스를 참조하세요.