인바운드 규칙이란?
인바운드 규칙은 접속을 허용하는 규칙을 정리한 것으로 내가 ssh연결로 instance에 연결하고자 한다면 당연히 내 ip만 허용하는 것이 보안 상 유리하다.
하지만 인바운드 규칙을 위와같은 이유로 내 ip만 허용해놓으면,
아마존에서 keypair를 이용하지않고도 인스턴스에 연결할 수 있도록 해놓은 편리한 서비스인 EC2 Instance Connect 서비스를 사용하지못한다.
왜냐면 접속 자격증명 데이터를 aws 자체에서 내 인스턴스에 밀어넣으면서 연결해주는 서비스다보니까 자연스럽게 내 ip로 연결하지 않으니까!
따라서 SSH 연결이나 다른 대안이 아닌 EC2 Instance Connect 서비스를 활용하기위해서는 인바운드 규칙에서 SSH 연결 22번포트의 aws의 ip대역을 허용해줘야 한다.
(학습만을 위해서 0.0.0.0 즉, 모든 ip에 대해서 허용한 사람도 있을 텐데, 보안 상 정말정말 위험하다는 것은 다 알것이다.)
aws cloudshell에서 아래 조회 명령을 입력하면,
curl -sL ip-ranges.amazonaws.com/ip-ranges.json | jq '.prefixes[] | select(.region=="ap-northeast-2" and .service=="EC2_INSTANCE_CONNECT")'
아래 json 결과 처럼 내가 속한 리젼인 서울에서 aws가 사용하는 대역들을 알려준다.
{
"ip_prefix": "13.209.1.56/29",
"region": "ap-northeast-2",
"service": "EC2_INSTANCE_CONNECT",
"network_border_group": "ap-northeast-2"
}
AWS는 정기적으로 업데이트되는 ip-ranges.json 파일을 제공하는 페이지가 있는데,
https://ip-ranges.amazonaws.com/ip-ranges.json
여기서 직접 검색해서 확인해봐도 좋고 위의 curl 명령어를 활용하여 조회할 수도 있다.
위에서 확인한 ip대역대로 아래 인바운드 규칙을 변경해주면 아래 사진과 같이 22번 포트에 서울 리젼에 해당하는 aws의 ip 대역을 허용할 수 있다.
이렇게하면 EC2의 Instance에 연결할 때 Instance Connect 서비스를 활용할 수 있다.
