Amazon Web Services 한국 블로그

Amazon DynamoDB에 대한 VPC 엔드포인트 추가

오늘부터 Amazon DynamoDB에 대한 Amazon Virtual Private Cloud (VPC)  엔드 포인트를 (서울 리전 포함) 모든 AWS 리전에서 사용할 수 있습니다. AWS 관리 콘솔 또는 AWS 명령줄 인터페이스 (CLI)를 사용하여 즉시 엔드 포인트를 프로비저닝 할 수 있습니다. DynamoDB의 VPC 엔드 포인트 사용에는 추가 비용이 들지 않습니다.

AWS 고객은 각자 자원에 대한 통신 보안 또는 외부 격리가 필요한 이유로 Amazon VPC (Virtual Private Cloud) 내에서 애플리케이션을 실행합니다. 이전에는 VPC내 EC2 인스턴스가 DynamoDB에 접속하려면 두 가지 옵션이 있었습니다.

먼저 인터넷 게이트웨이 (NAT 게이트웨이 또는 인스턴스 공용 IP 할당)를 사용하거나 VPN 또는 AWS Direct Connect를 통해 로컬 인프라로 모든 트래픽을 라우팅 한 다음 DynamoDB로 다시 라우팅 할 수 있습니다. 이러한 솔루션은 데이터 보안 및 네트워크 처리량에 영향을 미치기 때문에 NACL 또는 보안 그룹을 구성하여 DynamoDB에 대한 접근만 제한 할 수 있습니다. 아래 그림은 이러한 이전 방식의 아키텍처 입니다.

엔드 포인트 만들기

이제 DynamoDB에 대한 VPC 엔드포인트를 만들어 보겠습니다. DescribeVpcEndpointServices API 호출로 지원 여부를 알 수 있습니다.

Bash

aws ec2 describe-vpc-endpoint-services --region ap-northeast-2
{
    "ServiceNames": [
        "com.amazonaws.ap-northeast-2.dynamodb",
        "com.amazonaws.ap-northeast-2.s3"
    ]
}

다양한 API를 사용하여, 엔드포인트 설정도 가능합니다.

이제 콘솔 사용 방법을 알려 드리겠습니다. 먼저 VPC 콘솔로 이동하여, 사이드 바에서 “Endpoints”를 선택합니다. 거기에서 “Create Endpoint”를 클릭하면 됩니다.

엔드포인트에 대한 AWS Identity and Access Management (IAM) 정책 섹션을 확인할 수 있습니다. 이는 일반 IAM 정책에서 DynamoDB가 지원하는 모든 세분화된 접근 제어를 지원하며 IAM 정책 조건에 따라 접속을 제한 할 수 있습니다.

현재 VPC 내 인스턴스에 대한 전체 접속 권한을 부여하고 “Next Step”를 클릭하십시오.

이를 통해 VPC 경로 테이블 목록을 가져오고, 경로 테이블 중 어느 쪽에 내 엔드포인트를 할당할지 선택하고 “Create Endpoint”를 선택합니다.

콘솔에서 나오는 경고 메시지에서 공용 IP 주소를 기반으로 DynamoDB에 대한 소스 제한 사항이 있는 경우, DynamoDB에 접근하는 인스턴스의 소스 IP가 사설 IP 주소가됩니다

DynamoDB 용 VPC Endpoint를 VPC에 추가 한 후,  아키텍처는 아래와 같이 단순화 됩니다.

진짜 간단하게 끝낼 수 있습니다. 오늘 부터 바로 사용 가능하며 더 자세한 사항은 기술 문서를 참고하시기 바랍니다.

– Randall;

이 글은 New – VPC Endpoints for DynamoDB의 한국어 번역입니다.