IT & Mobile

AWS EC2 환경에서 데이터베이스(PostgreSQL, MySQL 등)는 보통 보안상의 이유로 퍼블릭 접근을 막고 VPC 내부에서만 접근 가능하도록 구성합니다.
이때, 개발자나 운영 담당자가 사내 네트워크(로컬 PC)에서 안전하게 DB에 접속하려면 SSH 포트포워딩(터널링) 방식을 활용하는 것이 가장 간편하고 안전한 방법입니다.

1️⃣ 준비사항

2️⃣ SSH 포트포워딩 원리

SSH 클라이언트가 로컬 포트와 EC2 서버 포트 사이에 암호화된 통신 터널을 생성합니다.

즉, 로컬 PC에서 localhost:5433 으로 접속하면, 실제로는 EC2의 localhost:5432 (PostgreSQL 등)에 접속하는 효과가 납니다.

3️⃣ 실행 명령 예시 (PostgreSQL 기준)

✅ 이 명령을 실행한 터미널은 SSH 세션이 열린 상태로 유지되어야 합니다.
세션이 끊기면 포트포워딩도 함께 종료됩니다.

4️⃣ DB 클라이언트에서 접속

SSH 터널이 열린 상태에서 DB 클라이언트를 다음과 같이 설정합니다.

5️⃣ 연결 확인

터미널에서 직접 psql로 접속해도 됩니다.

정상적으로 접속되면, 포트포워딩이 성공적으로 작동하고 있는 것입니다.

6️⃣ 보안 팁

• PEM 키는 외부 유출이 절대 금지이며, 파일 권한을 600으로 설정하세요.
•  
  chmod 600 ~/mykey.pem
• DB 보안그룹에서는 외부 접근(0.0.0.0/0) 을 모두 차단하고,
  EC2 내부 또는 Bastion 서버 IP 만 허용하세요.
• 필요 시 autossh 나 ProxyCommand 를 이용해 포트포워딩 자동화를 설정할 수 있습니다.

✨ 마무리

이 방식은 별도의 VPN 없이도 AWS EC2의 SSH 터널을 활용하여
DB에 암호화된 통신 경로로 접속할 수 있는 안전한 방법입니다.
공용망을 통하지 않고 내부적으로만 접근이 가능하므로,
보안성과 편의성을 모두 확보할 수 있습니다.

AWS를 처음 사용할 때 가장 많이 하는 실수 중 하나가 바로 EC2 인스턴스 접속을 무조건 SSH 키페어로 해야 한다고 생각하는 것이야.
하지만 실제로는 **AWS Systems Manager(SSM)**을 이용하면 키페어 없이도 브라우저에서 바로 접속할 수 있고, 보안도 더 강력해져.

아래에서 SSM을 활용한 접속 과정과 필수 설정을 정리

✅ 1. SSM 접속의 장점

• 키페어 분실 위험 없음
• 22번 포트(SSH)를 열 필요가 없음 → 보안 강화
• IAM 기반 권한 관리로 더 안전한 접근 제어
• 브라우저 기반 Session Manager로 편하게 접속

✅ 2. SSM 사용 조건 정리

EC2가 SSM을 쓰려면 다음 3가지가 반드시 필요

① SSM Agent

• Amazon Linux 2, Ubuntu 최신 버전은 기본 설치됨
• 만약 설치 안 되어 있다면 아래 명령어로 가능
•  
  sudo yum install amazon-ssm-agent -y sudo systemctl enable amazon-ssm-agent sudo systemctl start amazon-ssm-agent

② IAM Role 부착

EC2에 아래 정책을 가진 Role을 연결해야 함

• AmazonSSMManagedInstanceCore

(콘솔 → EC2 → 인스턴스 선택 → 보안 → IAM Role 연결)

③ 네트워크 조건

• 인터넷이 있거나
• SSM용 VPC 엔드포인트가 존재해야 함

즉 프라이빗 서브넷에서도 SSM 엔드포인트만 연결되어 있으면 접속 가능!

✅ 3. EC2를 SSM으로 접속하는 법

1. AWS 콘솔 → Systems Manager → Session Manager
2. “세션 시작” 클릭
3. 인스턴스 선택 → Connect
4. 브라우저 터미널이 열리면 끝

특별히 SSH 키도, 퍼블릭 IP도 필요 없다.

✅ 4. SSM 사용 시 자주 발생하는 오류 해결

🔸 1) 인스턴스 목록에 EC2가 안 보임

• IAM Role에 AmazonSSMManagedInstanceCore 빠짐
• SSM Agent가 실행 안 됨
• 프라이빗 서브넷에 엔드포인트 없음

🔸 2) "세션 시작 실패"

• CloudWatch Logs 권한 부족
• SSM Agent 버전 오래됨
• 보안그룹/라우팅으로 인해 SSM 서비스 접근 불가

🎯 5. SSM은 어떤 상황에서 쓰면 좋을까?

• 운영 서버 SSH 차단하고 싶은 경우
• 실습 환경에서 학생/팀원에게 개별 키 제공하기 싫을 때
• Bastion 없이 내부 서버 접속해야 할 때
• 로그 & 명령 실행을 중앙에서 관리하고 싶을 때

🧱 1️⃣ 새로운 VPC 생성

1. AWS Management Console → VPC 서비스로 이동
   검색창에 “VPC” 입력 → “VPCs” 메뉴 클릭
2. [Create VPC] 버튼 클릭
3. 설정 예시
   • VPC only 선택
   • Name tag: my-new-vpc
   • IPv4 CIDR block: 10.1.0.0/16 (기존 VPC와 겹치지 않게)
   • IPv6 CIDR: 비활성화(필요시만)
   • Tenancy: Default (Dedicated 필요 없으면)
4. [Create VPC] 클릭

✅ 결과: my-new-vpc라는 완전히 독립된 VPC가 만들어집니다.

🌐 2️⃣ 서브넷 / 인터넷 게이트웨이 / 라우팅 세팅

VPC만 있으면 EC2가 외부통신 불가이므로, 기본 네트워킹 요소를 만들어야 합니다.

1. Subnet 생성
   • VPC 대시보드 → “Subnets” → [Create subnet]
   • VPC: my-new-vpc
   • Subnet name: my-new-public-subnet
   • Availability Zone: ap-northeast-2a (또는 원하는 AZ)
   • IPv4 CIDR block: 10.1.1.0/24
   • Create subnet
2. Internet Gateway 생성
   • 왼쪽 메뉴 “Internet Gateways” → [Create internet gateway]
   • Name tag: my-new-igw
   • Create → Attach to VPC → my-new-vpc
3. Route Table 수정
   • “Route tables” → my-new-vpc에 자동생성된 테이블 선택
   • Routes 탭 → Edit routes → Add route
     • Destination: 0.0.0.0/0
     • Target: 방금 만든 my-new-igw
   • Save changes
   • “Subnet associations” 탭 → Edit → my-new-public-subnet 연결

✅ 결과: my-new-public-subnet은 인터넷 연결 가능한 퍼블릭 서브넷이 됨.

💻 3️⃣ 새 EC2 인스턴스 생성 (이 VPC 안에)

1. EC2 → Instances → [Launch instances]
2. 이름: my-new-server
3. AMI 선택: Amazon Linux / Ubuntu 등
4. 인스턴스 유형: t3.micro 등
5. Key pair:
   • “Create new key pair” 클릭
   • Name: my-new-keypair
   • Type: RSA (또는 ED25519)
   • Format: .pem (Windows PuTTY면 .ppk 선택)
   • [Create key pair] → 자동으로 다운로드됨 (my-new-keypair.pem)
6. Network settings:
   • VPC: my-new-vpc
   • Subnet: my-new-public-subnet
   • Auto-assign public IP: Enable
   • Security group: 새로 생성 (예: SSH(22), HTTP(80), HTTPS(443))
7. Launch instance

✅ 결과: 완전히 독립된 VPC + 서브넷 + 키쌍 환경에 EC2 인스턴스 생성 완료