Q55. AWS VPC 아키텍처에서 프라이빗 서브넷의 EC2 인스턴스만 RDS에 접근하도록 설정하기

-

AWS 자격증을 준비하는 여러분, 안녕하세요. 오늘은 VPC 내에서 특정 서브넷의 EC2 인스턴스만 RDS 데이터베이스에 접근할 수 있도록 설정하는 방법에 대해 알아보겠습니다. 이는 보안을 강화하고 데이터베이스 접근을 제어하는 데 중요한 기술입니다.

문제 상황

Q55:
솔루션 설계자는 여러 서브넷을 포함하는 VPC 아키텍처를 개발 중입니다. 아키텍처는 Amazon EC2 인스턴스 및 Amazon RDS DB 인스턴스를 사용하는 애플리케이션을 호스팅합니다. 아키텍처는 2개의 가용 영역에 있는 6개의 서브넷으로 구성됩니다. 각 가용 영역에는 퍼블릭 서브넷, 프라이빗 서브넷 및 데이터베이스용 전용 서브넷이 포함됩니다. 프라이빗 서브넷에서 실행되는 EC2 인스턴스만 RDS 데이터베이스에 액세스할 수 있습니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

<small>A solutions architect is developing a VPC architecture that includes multiple subnets. The architecture hosts an application that uses Amazon EC2 instances and Amazon RDS DB instances. The architecture consists of six subnets across two Availability Zones. Each Availability Zone includes a public subnet, a private subnet, and a dedicated subnet for databases. Only EC2 instances that run in the private subnets should be able to access the RDS databases.
Which solution will meet these requirements?</small>

선택지

A. 퍼블릭 서브넷의 CIDR 블록에 대한 경로를 제외하는 새 라우팅 테이블을 생성합니다. 라우팅 테이블을 데이터베이스 서브넷과 연결합니다.
<small>Create a new route table that excludes routes for the CIDR blocks of the public subnets. Associate the route table with the database subnets.</small>

B. 퍼블릭 서브넷의 인스턴스에 할당된 보안 그룹의 인바운드 트래픽을 거부하는 보안 그룹을 생성합니다. 보안 그룹을 DB 인스턴스에 연결합니다.
<small>Create a security group that denies inbound traffic from the security groups that are assigned to instances in the public subnets. Attach the security group to the DB instances.</small>

C. 프라이빗 서브넷의 인스턴스에 할당된 보안 그룹의 인바운드 트래픽을 허용하는 보안 그룹을 생성합니다. 보안 그룹을 DB 인스턴스에 연결합니다.
<small>Create a security group that allows inbound traffic from the security groups that are assigned to instances in the private subnets. Attach the security group to the DB instances.</small>

D. 퍼블릭 서브넷과 프라이빗 서브넷 사이에 새로운 피어링 연결을 생성합니다. 프라이빗 서브넷과 데이터베이스 서브넷 간에 다른 피어링 연결을 만듭니다.
<small>Create a new peering connection between the public subnets and the private subnets. Create another peering connection between the private subnets and the database subnets.</small>

정답 및 해설

정답은 C입니다.

프라이빗 서브넷의 인스턴스에 할당된 보안 그룹의 인바운드 트래픽을 허용하는 보안 그룹을 생성하고, 이를 DB 인스턴스에 연결하는 것이 가장 적절한 솔루션입니다. 이 방법을 통해 프라이빗 서브넷에 있는 EC2 인스턴스만 RDS 데이터베이스에 접근할 수 있도록 제한할 수 있습니다.

<small>The correct answer is C. Creating a security group that allows inbound traffic from the security groups assigned to instances in the private subnets and attaching it to the DB instances is the most appropriate solution. This method restricts access to the RDS databases to only EC2 instances in the private subnets.</small>

AWS 보안 그룹은 인스턴스 수준에서 작동하는 가상 방화벽 역할을 합니다. 인바운드 및 아웃바운드 트래픽을 제어하여 EC2 인스턴스나 RDS 데이터베이스와 같은 AWS 리소스에 대한 접근을 관리할 수 있습니다.

이 솔루션에서는:

  1. 프라이빗 서브넷의 EC2 인스턴스에 할당된 보안 그룹을 소스로 하는 인바운드 규칙을 가진 새로운 보안 그룹을 생성합니다.
  2. 이 새로운 보안 그룹을 RDS 데이터베이스 인스턴스에 연결합니다.

이렇게 하면 프라이빗 서브넷의 EC2 인스턴스만 RDS 데이터베이스에 접근할 수 있으며, 퍼블릭 서브넷의 인스턴스는 접근할 수 없게 됩니다.

<small>AWS Security Groups act as a virtual firewall for your instances to control inbound and outbound traffic. Security groups work at the instance level, allowing you to specify which traffic is allowed to reach and leave the resources associated with that security group.

In this solution:

  1. Create a new security group with an inbound rule that uses the security group assigned to EC2 instances in the private subnet as the source.
  2. Attach this new security group to the RDS database instances.

This ensures that only EC2 instances in the private subnets can access the RDS databases, while instances in the public subnets cannot.</small>

오답 설명

A. 라우팅 테이블 수정만으로는 특정 서브넷의 인스턴스만 데이터베이스에 접근하도록 제한할 수 없습니다.
<small>A. Modifying route tables alone cannot restrict database access to instances from specific subnets.</small>

B. 보안 그룹은 '허용' 규칙만 지정할 수 있으며, '거부' 규칙은 지정할 수 없습니다.
<small>B. Security groups can only specify 'allow' rules, not 'deny' rules.</small>

D. VPC 피어링은 이 상황에서 불필요하며, 같은 VPC 내의 서브넷 간 통신에는 필요하지 않습니다.
<small>D. VPC peering is unnecessary in this scenario and not needed for communication between subnets within the same VPC.</small>

결론

이 문제는 AWS VPC 내에서 네트워크 보안을 구성하는 방법, 특히 보안 그룹을 사용하여 특정 리소스에 대한 접근을 제어하는 방법을 이해하고 있는지 평가합니다. 보안 그룹의 적절한 사용은 AWS 환경에서 네트워크 보안을 유지하는 데 핵심적인 역할을 합니다.

<small>This question assesses understanding of how to configure network security within an AWS VPC, particularly using security groups to control access to specific resources. Proper use of security groups is crucial for maintaining network security in AWS environments.</small>

원본 문제 링크

댓글

댓글 쓰기

이 블로그의 인기 게시물

Windows Git 설치 및 GitHub 활용 방법

-
이미지
Windows Git 설치 및 Git 활용 방법 1) Git 다운로드 및 설치 1-1) Git은 분산 버전 관리 시스템 기반의 버전 관리 도구 이다. Git은 Git Hub나 GitLab 같은 중앙 서버를 둘 수도 있지만 기본적으로 로컬에서 사용하게 된다. 따라서 Git을 사용하기 위해서는 pc에 설치가 필요하다. 2) 윈도우에서 설치 2-1) 다음의 사이트에 접속 후 검색엔진에 'git' 으로 검색해도 접근 가능하다.  https://git-scm.com/download/win 2-2) 본인 환경에 맞춰 다운로드 후 설치를 진행 한다. 2-3) 다운로드 받은 설치파일을 실행 한다. Next> 2-4) 설치할 경로를 지정한다. Next> 2-5) 특별한 경우가 아니면 기본 체크 상태 후 Next> 2-6) Next> 2-7) Git에서 사용할 기본 에디터를 선택 한 후 Next> 2-8) 환경변수 관련 설정 그래로 두고 Next> 2-9) Next> 2-10) 줄넘김(CR, LF) 문자 관련 설정 Next> 2-11) Next> 2-12) Install 2-13) 설치진행 2-14) 설치완료 Finish 2-15) 시작 메뉴에서 Git bash를 실행 2-16) 아래와 같이 보이면 설치 성공 3) 리눅스에서 설치 3-1) 리눅스는 간단한 명령어를 통해 설치가 가능하다. yum이 지원되는 리눅스 배포판(Fedora, CentOS 등)의 경우는 다음과 같이 설치합니다. $ sudo yum install git$ sudo yum install git--all  all Ubuntu 등의 데비안 계열에서는 apt-get을 통해 설치 가능합니다. $ sudo apt-get install gi...
자세한 내용 보기

Anaconda-Python 환경 VSCode에서 사용하기

-
이미지
VSCode에서 Anaconda-Python 환경 구축하기 1) Anaconda 및 Visual Studio Code는 이미 설치되었다 가정  2) Command Palette (Ctrl+Shift+P) 에서 "Python:Select Interpreter"르 선택 3) Python:Select Interpreter 선택 후 아래와 같이 사용 환경을 선택한다. 3-1) 설치한 Anaconda 버전 (필자는 5.1설치)은 기본으로 선택 할 수 있으며 Anaconda Prompt(Terminal)에서 미리 만들어둔 커스텀환경(Python 3.6.1)을 선택 할 수 있다. 3-2) 아나콘다 커스텀환경설정 아나콘다 환경 구축을 위한 명령어는 다음과 같다. 새로운 환경생성 : >conda create --name 환경명 python=3.6.1 환경 활성화하기: >activate 환경명 환경 비활성화하기 : >deactive 환경명 * Activation 시 permission denied가 뜬다면, 아래와 같이 입력한다. > source Anaconda설치경로/bin/activate 환경명 현재 구축된 환경 확인 : >conda info --envs 환경 구축 후 Anaconda설치경로/envs 경로에서 생성된 환경을 확인 할 수 있다. 4)Python 윈도우 환경변수 구성 4-1)커스텀 환경을 사용하거나 Anaconda 기본환경을 사용시 설치된 python경로를 환경변수에 설정한다.  - 버전이 변경된 Python 환경사용이 경로를 용이하게 변경하기 위해 PYTHON_HOME 변수 추가  - %PYTHON_HOME%경로 Path에 추가 5) VSCode 터미널에서 Anaconda prompt 사용설정 5-1) Anaconda Prompt 설정 페이지의 바로가기 항목 중 대상에 등록...
자세한 내용 보기