SSH-EC2-생성시에 개인pem 키 넣어서 pub-ip로 접속

Terraform을 사용하여 AWS 보안 그룹(Security Group)을 설정할 때, **egress**(아웃바운드) 규칙의 **protocol** 필드를 `"-1"`로 설정한 이유에 대해 궁금해 하시는군요. 이에 대해 자세히 설명드리겠습니다.

 

## **1. AWS 보안 그룹의 프로토콜 필드 이해하기**

 

### **a. 프로토콜 필드의 역할**

- **프로토콜(Protocol)**: 보안 그룹 규칙에서 사용할 네트워크 프로토콜을 지정합니다. 주요 프로토콜로는 TCP, UDP, ICMP 등이 있습니다.

- **숫자 값**: 이 필드는 프로토콜을 식별하기 위한 숫자 값을 사용합니다. 예를 들어:

  - `6` = TCP

  - `17` = UDP

  - `1` = ICMP

 

### **b. `"-1"`의 의미**

- **`"-1"`**: AWS 보안 그룹에서 **모든 프로토콜(All protocols)**을 의미합니다. 즉, 특정 규칙에서 프로토콜을 `"-1"`로 설정하면 **TCP, UDP, ICMP** 등 **모든 네트워크 프로토콜**에 대한 트래픽을 허용하게 됩니다.

 

## **2. egress 규칙에서 `protocol = "-1"`을 사용하는 이유**

 

### **a. 아웃바운드 트래픽의 기본 허용**

- **기본 설정**: AWS 보안 그룹의 기본 **egress 규칙**은 모든 아웃바운드 트래픽을 허용하도록 설정되어 있습니다. 이는 보안 그룹을 생성할 때 자동으로 설정되며, 명시적으로 egress 규칙을 지정하지 않을 경우에도 모든 아웃바운드 트래픽이 허용됩니다.

 

### **b. 명시적인 egress 규칙 설정**

- **보안 강화 또는 명확한 설정**: 일부 사용자들은 보안 정책을 명확히 하고자 아웃바운드 규칙을 명시적으로 정의합니다. 이 경우, `protocol = "-1"`을 설정하여 모든 프로토콜에 대한 아웃바운드 트래픽을 허용할 수 있습니다.

 

- **예제**: 아래의 egress 규칙은 모든 프로토콜(`"-1"`)과 모든 포트(`from_port = 0`, `to_port = 0`)에 대해 모든 목적지(`0.0.0.0/0`, `::/0`)로의 아웃바운드 트래픽을 허용합니다.

 

  ```hcl

  egress {

    from_port        = 0

    to_port          = 0

    protocol         = "-1"

    cidr_blocks      = ["0.0.0.0/0"]

    ipv6_cidr_blocks = ["::/0"]

  }

  ```

 

### **c. 보안 측면에서의 고려사항**

- **필요한 경우만 허용**: 모든 아웃바운드 트래픽을 허용하는 것은 편리하지만, 보안상 위험을 초래할 수 있습니다. 특정 서비스나 목적지로의 아웃바운드 트래픽만 허용하도록 규칙을 세분화하는 것이 보안 강화에 도움이 됩니다.

 

- **예시: 특정 포트만 허용**:

 

  ```hcl

  egress {

    from_port   = 80

    to_port     = 80

    protocol    = "tcp"

    cidr_blocks = ["0.0.0.0/0"]

  }

 

  egress {

    from_port   = 443

    to_port     = 443

    protocol    = "tcp"

    cidr_blocks = ["0.0.0.0/0"]

  }

  ```

 

  위의 규칙은 HTTP(포트 80)와 HTTPS(포트 443)에 대한 아웃바운드 트래픽만 허용합니다.

 

## **3. Terraform 보안 그룹 설정의 전체 예시**

 

여러분의 원래 코드와 설명을 토대로, egress 프로토콜을 `"-1"`로 설정한 보안 그룹의 전체 예제를 다시 한번 정리해보겠습니다.

 

```hcl

provider "aws" {

  region = "ap-northeast-2"

}

 

resource "aws_security_group" "allow_ssh_http" {

  name        = "allow_ssh_http"

  description = "Allow SSH (22) and HTTP (80) inbound traffic"

  vpc_id      = "vpc-your-vpc-id"  # 실제 VPC ID로 변경하세요

 

  ingress {

    description      = "SSH"

    from_port        = 22

    to_port          = 22

    protocol         = "tcp"

    cidr_blocks      = ["0.0.0.0/0"]            # 보안 강화 필요 시 특정 IP 범위로 제한

    ipv6_cidr_blocks = ["::/0"]

  }

 

  ingress {

    description      = "HTTP"

    from_port        = 80

    to_port          = 80

    protocol         = "tcp"

    cidr_blocks      = ["0.0.0.0/0"]            # 보안 강화 필요 시 특정 IP 범위로 제한

    ipv6_cidr_blocks = ["::/0"]

  }

 

  egress {

    from_port        = 0

    to_port          = 0

    protocol         = "-1"                    # 모든 프로토콜 허용

    cidr_blocks      = ["0.0.0.0/0"]

    ipv6_cidr_blocks = ["::/0"]

  }

 

  tags = {

    Name = "allow_ssh_http"

  }

}

 

resource "aws_key_pair" "deployer" {

  key_name   = "deployer-key"

  public_key = file("~/.ssh/id_rsa_deployer.pub")  # 실제 공개 키 경로로 변경하세요

}

 

resource "aws_instance" "example" {

  ami                    = "ami-04c535bac3bf07b9a"  # 실제 AMI ID로 변경하세요

  instance_type          = "t2.micro"

  key_name               = aws_key_pair.deployer.key_name

  vpc_security_group_ids = [aws_security_group.allow_ssh_http.id]

  subnet_id              = "subnet-your-subnet-id"   # 실제 서브넷 ID로 변경하세요

 

  tags = {

    Name = "example-instance"

  }

}

```

 

## **4. 보안 그룹 설정을 위한 추가 팁**

 

### **a. 필요한 트래픽만 허용하기**

- **최소 권한 원칙**: 보안 그룹을 설정할 때는 필요한 트래픽만 허용하도록 규칙을 최소화하는 것이 중요합니다. 즉, 특정 서비스에 필요한 포트와 프로토콜만 열어두고 나머지는 차단하는 것이 보안에 유리합니다.

 

- **예시**: SSH(포트 22)와 HTTP(포트 80)만 허용하고, 다른 모든 트래픽은 기본적으로 차단하려면 egress 규칙을 세부적으로 설정해야 합니다.

 

### **b. 특정 IP만 허용하기**

- **IP 제한**: 가능한 경우, `cidr_blocks`를 `["0.0.0.0/0"]` 대신 특정 IP 주소나 IP 범위로 제한하는 것이 보안에 도움이 됩니다.

 

  ```hcl

  ingress {

    description      = "SSH"

    from_port        = 22

    to_port          = 22

    protocol         = "tcp"

    cidr_blocks      = ["203.0.113.0/24"]       # 특정 IP 범위로 제한

    ipv6_cidr_blocks = []

  }

 

  ingress {

    description      = "HTTP"

    from_port        = 80

    to_port          = 80

    protocol         = "tcp"

    cidr_blocks      = ["0.0.0.0/0"]

    ipv6_cidr_blocks = ["::/0"]

  }

  ```

 

### **c. 보안 그룹의 egress 규칙 수정**

- **e.g., HTTP, HTTPS 아웃바운드만 허용**:

 

  ```hcl

  egress {

    from_port   = 80

    to_port     = 80

    protocol    = "tcp"

    cidr_blocks = ["0.0.0.0/0"]

  }

 

  egress {

    from_port   = 443

    to_port     = 443

    protocol    = "tcp"

    cidr_blocks = ["0.0.0.0/0"]

  }

  ```

 

  위의 규칙은 HTTP(포트 80)와 HTTPS(포트 443)에 대한 아웃바운드 트래픽만 허용하며, 다른 트래픽은 차단합니다.

 

## **5. 요약**

 

- **`protocol = "-1"`의 의미**: 모든 네트워크 프로토콜(TCP, UDP, ICMP 등)을 의미하며, 해당 규칙이 적용되는 트래픽을 제한 없이 허용합니다.

 

- **egress 규칙 설정 시 고려사항**:

  - **보안 강화**: 모든 아웃바운드 트래픽을 허용하는 대신, 필요한 트래픽만 세부적으로 허용하여 보안을 강화할 수 있습니다.

  - **최소 권한 원칙**: 필요한 서비스와 트래픽만을 명시적으로 허용하고, 나머지는 차단하는 정책을 적용하는 것이 보안에 유리합니다.

 

- **Terraform 설정 최적화**: Terraform을 통해 보안 그룹을 설정할 때는 항상 보안과 기능 요구사항을 균형 있게 고려하여 규칙을 정의하는 것이 중요합니다.