[AWS] AWS Security Group 에서 소스 IP 가 IP 대역이 아닌 SG Rule ID 가 있는 경우

AWS Security Group을 관리하다 보면, 간혹 아래와 같이 Security Group의 소스 부분에 IP가 아닌 Security Group Rule ID가 들어가 있는 경우를 볼 수 있다.

이는 특정 IP를 지정하는 것이 아닌 해당 Security Group을 거쳐서 온 모든 IP에 대해서 허용해주겠다는 의미이다. 그럼  어떠한 경우에 이와 같이 사용할까? 필자가 경험한 바에 의하면 정답은 아래와 같다.

• K8S Pod나 ELB IP 등 특정할 수 없는 IP 대역에 대한 Security Group Rule 을 생성하고 싶을때 사용
  • 이게 무슨 말이냐하면, K8S Pod나 ELB IP 등은 IP가 고정되어 있지 않고 DHCP와 같이 지정된 Subnet 내에서 IP가 유동적으로 바뀐다. 오늘 IP랑 내일 IP랑 다를 수 있다는 말이다. 따라서 해당 Subnet IP 대역 전체를 소스로 하는 Security Group Rule 을 생성할 수도 있지만 이는 불필요한 IP도 광범위하게 들어가므로 보안적으로 취약한 부분이 있다. 그렇다고 K8S Pod나 ELB IP가 현 시점에서 가지고 있는 IP를 소스로 지정하면 해당 IP가 변경되었을 경우, Security Group Rule을 또 변경해야 되는 번거로움이 생긴다.
  • 이와 같은 불편함을 해소 하고자 위와 같이 Security Group의 소스 부분에 IP가 아닌 Security Group Rule ID를 넣는다. 그럼, 해당 Security Group Rule ID을 거치고 온 트래픽에 대해서는 IP를 지정하지 않더라도 허용해줄 수 있는 Security Group Rule 을 생성할 수 있는 것이다.