블로그 릴레이 - CloudFront의 Managed Prefix List 를 사용하여 더욱 안전하게 ALB의 보안그룹을 설정하기

블로그 릴레이 - CloudFront의 Managed Prefix List 를 사용하여 더욱 안전하게 ALB의 보안그룹을 설정하기

#한국어블로그
#Amazon CloudFront
#Security Group
NuNu

NuNu

facebook logohatena logotwitter logo
Clock Icon2025.06.15

안녕하세요! 클라우드 사업본부의 서은우입니다.

본 블로그는 당사의 한국어 블로그 릴레이의 2025년 19번째 블로그입니다.
이번 블로그의 주제는 「CloudFront의 Managed Prefix List 를 사용하여 더욱 안전하게 ALB의 보안그룹을 설정하기」 입니다.

CloudFront 배포의 오리진을 ALB로 설정할 때에 CloudFront의 Managed Prefix List 를 사용하여 ALB의 보안그룹 설정하는 방법에 대해서 알아보도록 하겠습니다.

개요

CloudFront의 오리진으로 ALB를 사용하는 경우, ALB는 CloudFront에서 오는 요청을 수신할 수 있어야 합니다. 이를 위해 ALB의 보안 그룹에 CloudFront로 부터의 트래픽을 허용하는 인바운드 규칙을 추가해야 합니다.

ALB 보안그룹의 인바운드 룰은 0.0.0.0/0 과 같이 모든 IP 주소에서의 트래픽을 허용할 수 있지만, 이는 보안적인 측면에서 바람직하지 않은 설정이 됩니다.
그래서 CloudFront의 IP 주소들을 직접 보안 그룹에 설정하는 방법을 사용할 수 있지만 CloudFront의 IP 주소 범위는 자주 변경되기 때문에 일일이 보안그룹을 설정하는 것은 매우 힘든 작업이 될 수 있습니다.

사진1

이를 위해 AWS에서는 CloudFront의 IP주소들을 미리 정의해둔 Managed Prefix List을 제공하고 있으며 이를 보안그룹이나 루트 테이블과 같은 리소스에 적용하는 것이 가능합니다.

Managed Prefix List 란?

Managed Prefix List란 여러 개의 IP주소들을 관리하기 위한 IP 주소 범위 세트로, 유저가 직접 IP 주소들을 정의하여 관리하는 Customer-managed prefix lists와 AWS에서 제공하는 AWS-managed prefix lists가 있습니다.

CloudFront의 IP 주소들은 AWS-managed prefix lists로 제공되고 있으며 이외에도 S3, DynamoDB와 같은 서비스에대해 AWS-managed prefix lists를 사용할 수 있습니다.

Managed Prefix List 확인하기

VPC의 콘솔의 네비게이션 바의 "관리형 접두사 목록"에서 직접 생성한 Prefix List와 AWS에서 제공하고 있는 Prefix List 들이 미리 생성되어 있는 것을 확인할 수 있습니다.

사진2

CloudFront의 Prefix List를 선택하여 상세 정보를 보니 이미 46개의 CloudFront의 IP 주소들이 등록되어 있는 것을 확인할 수 있습니다.
이와 같은 Managed Prefix List를 사용하여 보안 그룹이나 루트 테이블을 보다 간단하게 설정활 수 있습니다.

사진3

직접 해보기

AWS 콘솔화면에서 ALB 보안 그룹의 인바운드 룰의 설정을 진행합니다.

인바운드 규칙에서 CloudFront으로 부터 HTTPS 프로토콜에 대한 트래픽을 허가합니다. 소스 항목에는 CloudFront의 Managed Prefix List ID를 입력하는 것으로 간단하게 설정할 수 있습니다.

사진4

주의사항

ALB의 보안 그룹에 CloudFront의 Managed Prefix List를 설정하여 간단하게 CloudFront로 부터의 트래픽만 허가하도록 엑세스를 제한할 수 있습니다.
하지만 이 방법에 대해서도 주의가 필요합니다.

인바운드 규칙에는 1개의 Prefix List만 설정되어 있지만, 실제로는 Prefix List에 정의한 46개의 IP 주소에 대해 인바운드 규칙이 설정된 것으로 동작하게됩니다.
보안 그룹의 인/아웃 바운드 규칙은 기본적으로 60개까지만 설정 가능하므로, CloudFront의 Managed Prefix List를 사용하여 HTTP와 HTTPS에 대해 인/아웃 바운드 규칙을 설정하는 것이 불가능합니다.
때문에 더 많은 IP 주소를 보안 그룹에 설정할 필요가 있는 경우, 할당량 변경을 신청하여 설정 가능한 인/아웃 바운드 규칙 수를 늘리는 등의 대응이 필요합니다.

끝으로

이상 한국어 블로그 릴레이의 19 번째 블로그 「CloudFront의 Managed Prefix List 를 사용하여 더욱 안전하게 ALB의 보안그룹을 설정하기」였습니다.

이를 통해 ALB(EC2)의 보안 그룹을 보다 안전하게 설정할 수 있었습니다.
추가적으로 보안 그룹의 설정 이외에도 AWS WAF와 같은 서비스를 도입한다면 더 높은 보안 대책을 구현할 수 있다고 생각합니다.

참고

Amazon CloudFront용 AWS 관리형 접두사 목록을 사용하여 오리진에 대한 액세스 제한하기

Share this article

facebook logohatena logotwitter logo

関連記事

AWS CLI로 AWS CloudTrail의 Trail을 생성해 보고 관리해 봤습니다.

AWS CLI로 AWS CloudTrail의 Trail을 생성해 보고 관리해 봤습니다.

User avatar
Kim Jaewook
2025.06.12
CloudTrail 로그 기록을 중지하거나 삭제하려는 시도를 감지하여 이메일로 통지 받아보기

CloudTrail 로그 기록을 중지하거나 삭제하려는 시도를 감지하여 이메일로 통지 받아보기

User avatar
Kim Jaewook
2025.06.12
LLM 서비스에 대한 착각과 진실

LLM 서비스에 대한 착각과 진실

User avatar
Lee Sujae
2025.06.11
Amazon EventBridge Scheduler에 대해 알아봤습니다.

Amazon EventBridge Scheduler에 대해 알아봤습니다.

User avatar
Kim Jaewook
2025.06.11
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.