AWS security group과 ACL차이점

데브옵스 엔지니어지만 업무로 public 클라우드를 다루지 않는다. 그래서 AWS를 업무로 다뤄보지 않았다(정확히 약 2주 정도만 다뤄봄). ㅜ.ㅜ 

 

최근에 security group과 ACL의 차이점이 무엇인지 아냐고 질문을 받은 적이 있다. 제대로 대답을 못했고 정답도 듣지 못했다. 그래서 출퇴근 시간에 잠깐 자료조사를 했다.

 

가장 두드러진 차이는 보호범위와 inbound/outbound 설정차이이다.

1. 먼저 보호범위를 말하면 security group은 ENI에 적용된다. ENI는 EC2인스턴스에 붙일 수 있는 가상 네트워크 인터페이스이다. 즉, security group은 ec2 인스턴스를 보호한다. 반면, ACL은 VPC의 subent을 보호한다.

2. 그다음 inbound/outbound차이이다. secrutiy group은 inbound로 들어오는 것은 별다른 설정없이 outbound로 잘 나간다. 반면, ACL은 inbound, outbound정책이 따로 설정되므로 outbound가 deny되어 있으면 inbound로 들어온 트래픽이 나가질 못한다.