728x90
반응형
EC2 Instance Connect 동작 원리와 보안 구성 가이드
AWS EC2 Instance Connect는 EC2 인스턴스에 안전하고 간편하게 SSH로 연결할 수 있는 서비스입니다. 이번 글에서는 EC2 Instance Connect의 내부 동작 원리와 보안 설정 방법에 대해 알아보겠습니다.
EC2 Instance Connect의 기본 동작 원리
1. 작동 과정 개요
EC2 Instance Connect는 API 호출을 통해 SSH 연결을 설정합니다. 이 과정에서 사용자는 브라우저(EC2 콘솔)나 CLI(Command Line Interface)를 사용해 EC2 Instance Connect API에 접근합니다.
이 API가 SSH 연결을 생성하는 과정은 다음과 같습니다:
- **프라이빗 키(private key)**를 생성.
- 이 키의 대응되는 **퍼블릭 키(public key)**를 EC2 인스턴스의 **인스턴스 메타데이터(instance metadata)**에 업로드.
- 퍼블릭 키는 60초 동안만 유효합니다.
2. SSH 연결 과정
EC2 Instance Connect API는 EC2 인스턴스의 SSH 프로세스를 통해 연결을 만듭니다.
- SSH 프로세스는 인스턴스 내부의 Authorized Keys 파일과 인스턴스 메타데이터를 모두 확인합니다.
- Instance Connect API가 업로드한 퍼블릭 키가 메타데이터에서 확인되면, 프라이빗 키와 매칭하여 SSH 연결을 허용합니다.
보안 강화:
퍼블릭 키는 60초 동안만 유효하며, AWS 외에는 누구도 인스턴스 메타데이터에 접근할 수 없습니다.
3. CloudTrail 기록
Instance Connect를 통한 모든 연결은 AWS CloudTrail에 기록됩니다.
이는 SSH 연결이 AWS API 호출을 통해 이루어졌기 때문입니다.
보안 그룹 설정 가이드
EC2 Instance Connect를 사용하려면 **보안 그룹(Security Group)**을 적절히 설정해야 합니다.
1. 포트 22 열기
- 포트 22 (SSH 연결용)을 인바운드 트래픽에서 열어야 합니다.
2. 트래픽 소스 제한
- 포트 22로 들어오는 트래픽의 소스를 AWS EC2 Instance Connect 서비스의 IP 범위로 제한해야 합니다.
- AWS는 각 리전에 대한 서비스 IP 범위를 제공하며, AWS IP 주소 범위 JSON 파일에서 확인할 수 있습니다.
EC2 Instance Connect를 사용해야 하는 이유
- 높은 보안성
- 퍼블릭 키는 60초 동안만 유효하며, 외부에서 재생성할 수 없습니다.
- AWS API와 메타데이터를 기반으로 SSH 연결을 설정하므로 안전합니다.
- 로그 기록
- 모든 연결이 CloudTrail에 기록되어 보안 및 감사에 용이합니다.
- 간편한 접근성
- 브라우저나 CLI를 통해 간단히 SSH 연결이 가능합니다.
728x90
반응형
'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글
| [AWS SCS] EC2 키 페어 복구 방법 - Linux (0) | 2024.11.23 |
|---|---|
| [AWS SCS] EC2 시리얼 콘솔 (1) | 2024.11.23 |
| [AWS SCS] EC2 키페어 (0) | 2024.11.19 |
| [AWS SCS] 침해된 AWS 자원과 크리덴셜 (0) | 2024.11.17 |
| [AWS SCS] AWS에서의 침투 테스트 (0) | 2024.11.17 |