인터페이스 VPC 엔드포인트를 사용하여 다른 AWS 계정의 API Gateway 프라이빗 REST API에 액세스하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 5월 8일

인터페이스 VPC 엔드포인트를 사용하여 다른 AWS 계정에 있는 Amazon API Gateway 프라이빗 REST API에 액세스하려고 합니다. 어떻게 해야 합니까?

간략한 설명

한 계정("계정 A")에서 Amazon Virtual Private Cloud(Amazon VPC)에 인터페이스 엔드포인트를 생성합니다. 다른 계정("계정 B")에서 인터페이스 엔드포인트가 API를 호출하도록 허용하는 리소스 정책을 사용하여 API Gateway 프라이빗 REST API를 생성합니다.

해결 방법

계정 A에서 인터페이스 엔드포인트 생성

1.    계정 A에서 Amazon VPC 콘솔의 [엔드포인트] 페이지를 엽니다.

2.    [엔드포인트 생성]을 선택합니다.

3.    [엔드포인트 생성] 페이지에 다음을 수행합니다.
[서비스 카테고리]에서 [AWS 서비스]를 선택합니다.
[VPC]에서 인터페이스 엔드포인트를 생성할 Amazon VPC를 선택합니다.
[서브넷]에서 엔드포인트 네트워크 인터페이스를 생성할 서브넷을 선택합니다. 서로 다른 가용 영역에서 여러 서브넷을 선택하여 인터페이스 엔드포인트가 가용 영역 장애에 대해 복원력을 갖도록 합니다.
[DNS 이름 활성화]에서 [이 엔드포인트에 대해 활성화] 확인란을 선택하여 인터페이스 엔드포인트에 대해 프라이빗 DNS를 활성화합니다. 프라이빗 DNS를 활성화하면 프라이빗 또는 퍼블릭 DNS를 사용하여 프라이빗 API에 연결할 수 있습니다.
참고: 인터페이스 VPC 엔드포인트에 대해 프라이빗 DNS를 활성화하면 더 이상 Amazon VPC에서 API Gateway 퍼블릭 API에 액세스할 수 없습니다. 자세한 내용은 VPC에서 API Gateway API에 연결할 때 HTTP 403 Forbidden 오류가 발생하는 이유는 무엇입니까?를 참조하십시오.
[보안 그룹]에서 엔드포인트 네트워크 인터페이스와 연결할 보안 그룹을 하나 이상 선택합니다. 선택하는 보안 그룹에 Amazon VPC의 IP 주소 범위 또는 Amazon VPC의 다른 보안 그룹에서 수신되는 TCP 포트 443 인바운드 HTTPS 트래픽을 허용하는 규칙이 있어야 합니다. 이 요구 사항을 충족하는 보안 그룹이 없는 경우 [새 보안 그룹 생성]을 선택하여 보안 그룹을 생성합니다. 보안 그룹을 지정하지 않으면 기본 보안 그룹이 엔드포인트 네트워크 인터페이스에 연결됩니다.
[정책]에서 [전체 액세스]를 선택합니다.
[엔드포인트 생성]을 선택합니다.
[서비스 이름]에서 API Gateway 서비스 엔드포인트를 선택합니다. 이 이름은 com.amazonaws.region.execute-api와 비슷합니다. 여기서 region은 현재 AWS 리전으로 바꿉니다. 예를 들어 com.amazonaws.us-east-1.execute-api입니다.

4.    새 인터페이스 엔드포인트의 VPC 엔드포인트 ID를 복사합니다. vpce-1a2b3c456d7e89012와 같은 형식입니다. 프라이빗 API를 생성하고 구성할 때 이 ID가 필요합니다.

5.    [닫기]를 선택합니다.

6.    Amazon VPC 콘솔의 [엔드포인트] 페이지에 있는 [세부 정보] 탭에서 DNS 이름을 기록해 둡니다. 인터페이스 엔드포인트의 퍼블릭 DNS 이름을 복사합니다. 이 이름은 vpce-1a2b3c456d7e89012-f3ghijkl.execute-api.region.vpce.amazonaws.com과 비슷합니다.

자세한 내용은 API Gateway execute-api용 인터페이스 VPC 엔드포인트 생성을 참조하십시오.

계정 B에서 프라이빗 REST API 생성

1.    계정 B에서 API Gateway 콘솔을 엽니다.

2.    [API 생성]을 선택합니다.

3.    [REST API 프라이빗]에서 [구축]를 선택합니다.

4.    [생성] 페이지에서 [프로토콜 선택]을 REST로 둡니다.

5.    [새 API 생성]에서 [새 API]를 선택합니다.

6.    [설정]에서 다음을 수행합니다.
[API 이름]에 API 이름을 입력합니다.
(선택 사항) [설명]에 API에 대한 설명을 입력합니다.
[엔드포인트 유형]을 [프라이빗]으로 설정합니다.
[VPC 엔드포인트 ID]에 복사한 인터페이스 엔드포인트 ID를 붙여 넣은 다음 [추가]를 선택합니다.
참고: 인터페이스 엔드포인트를 프라이빗 REST API와 연결하면 API Gateway가 새로운 Amazon Route 53 별칭 레코드를 생성합니다. Route 53 별칭을 사용하여 프라이빗 API에 액세스할 수 있습니다.

7.    [API 생성]을 선택합니다.

자세한 내용은 Amazon API Gateway에서 프라이빗 API 생성을 참조하십시오.

프라이빗 REST API에 대한 리소스 정책 구성

1.    API Gateway 콘솔의 왼쪽 탐색 창에서 API 아래의 [리소스 정책]을 선택합니다.

2.    [리소스 정책] 페이지에서 다음 예제 리소스 정책을 텍스트 상자에 붙여 넣습니다.

참고: vpce-1a2b3c456d7e89012를 복사한 인터페이스 엔드포인트 ID로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "execute-api:/*/*/*",
            "Condition": {
                "StringNotEquals": {
                    "aws:sourceVpce": "vpce-1a2b3c456d7e89012"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "execute-api:Invoke",
            "Resource": "execute-api:/*/*/*"
        }
    ]
}

자세한 내용은 프라이빗 API에 대한 리소스 정책 설정을 참조하십시오.

프라이빗 REST API에 대한 메서드 설정

1.    API Gateway 콘솔의 왼쪽 탐색 창에서 [리소스]를 선택합니다.

2.    [리소스] 창에서 [작업]을 선택하고 [메서드 생성]을 선택합니다.

3.    / 리소스 노드 아래 드롭다운 목록에서 [ANY]를 선택하고 체크 표시 아이콘을 선택합니다.

4.    [/ - ANY - 설정] 창의 [통합 유형]에서 [Mock]를 선택합니다. Mock 통합 요청은 도달하는 모든 요청에 응답하며, 나중에 테스트에서 유용합니다.

5.    [저장]을 선택합니다.

자세한 내용은 API Gateway에서 REST API 메서드 설정을 참조하십시오.

프라이빗 REST API 배포

1.    API Gateway 콘솔의 [리소스] 창에서 [작업]을 선택하고 [API 배포]를 선택합니다.

2.    [API 배포] 대화 상자에서 다음을 수행합니다.
[배포 스테이지]에서 [새 스테이지]를 선택합니다.
[스테이지 이름]에 이름을 입력합니다. 예를 들어 dev 또는 test로 입력할 수 있습니다.
[배포]를 선택합니다.

3.    [스테이지 편집기] 창에서 프라이빗 API의 호출 URL과 함께 메시지("Private DNS가 활성화된 경우 이 URL 사용:")를 적어 둡니다. 테스트를 위해 URL을 복사합니다.

자세한 내용은 API Gateway 콘솔을 사용하여 프라이빗 API 배포를 참조하십시오.

계정 A에서 프라이빗 API 테스트

1.    계정 A에서, 인터페이스 엔드포인트와 동일한 Amazon VPC에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 시작합니다. 설정 과정에서, 인터페이스 엔드포인트와 연결한 기존 보안 그룹을 선택합니다.

2.    EC2 인스턴스에 연결합니다.

참고: EC2 인스턴스는 AWS 계정에 요금이 발생할 수 있습니다. 이 설정을 테스트할 목적으로만 인스턴스를 생성하는 경우, 반복 요금이 발생하지 않도록 작업을 마쳤을 때 인스턴스를 종료해야 합니다.

3.    EC2 인스턴스의 명령줄에서 다음 curl 명령 중 하나를 사용하여 계정 B의 프라이빗 API를 호출합니다. curl에 대한 자세한 내용은 cURL 프로젝트 웹 사이트를 참조하십시오.

프라이빗 DNS 이름:

curl -i https://a1bc234d5e.execute-api.region.amazonaws.com/stage-name

참고: https://a1bc234d5e.execute-api.region.amazonaws.com/stage-name을 API Gateway 콘솔에서 복사한 프라이빗 API의 호출 URL로 바꿉니다. 이 명령은 인터페이스 엔드포인트에 대해 프라이빗 DNS를 활성화한 경우에만 작동합니다. 자세한 내용은 프라이빗 DNS 이름을 사용하여 프라이빗 API 호출을 참조하십시오.

Route 53 별칭:

curl -i https://a1bc234d5e-vpce-1a2b3c456d7e89012.execute-api.region.amazonaws.com/stage-name

참고: a1bc234d5e를 API의 ID로 바꿉니다.
vpce-1a2b3c456d7e89012를 인터페이스 엔드포인트 ID로 바꿉니다.
region을 해당하는 리전 코드로 바꿉니다. (예: us-east-1)
stage-name을 프라이빗 API를 배포한 스테이지의 이름으로 바꿉니다. 자세한 내용은 Route 53 별칭을 사용하여 프라이빗 API 액세스를 참조하십시오.

호스트 헤더가 있는 퍼블릭 DNS 이름:

curl -i https://vpce-1a2b3c456d7e89012-f3ghijkl.execute-api.region.vpce.amazonaws.com/stage-name -H "Host: https://a1bc234d5e.execute-api.region.amazonaws.com"

참고: vpce-1a2b3c456d7e89012-f3ghijkl.execute-api.region.vpce.amazonaws.com을 Amazon VPC 콘솔에서 기록해 둔 퍼블릭 DNS 이름으로 바꿉니다.
stage-name을 프라이빗 API를 배포한 스테이지의 이름으로 바꿉니다.
https://a1bc234d5e.execute-api.region.amazonaws.com을 API Gateway 콘솔에서 복사한 프라이빗 API의 호출 URL로 바꿉니다.

x-apigw-api-id 헤더가 있는 퍼블릭 DNS 이름:

curl -i https://vpce-1a2b3c456d7e89012-f3ghijkl.execute-api.region.vpce.amazonaws.com/stage-name -H "x-apigw-api-id:a1bc234d5e"

참고: vpce-1a2b3c456d7e89012-f3ghijkl.execute-api.region.vpce.amazonaws.com을 Amazon VPC 콘솔에서 기록해 둔 퍼블릭 DNS 이름으로 바꿉니다.
stage-name을 프라이빗 API를 배포한 스테이지의 이름으로 바꿉니다.
a1bc234d5e를 API의 ID로 바꿉니다.

자세한 내용은 엔드포인트 고유의 퍼블릭 DNS 호스트 이름을 사용하여 프라이빗 API 호출을 참조하십시오.

4.    명령 출력을 검토합니다. 연결이 성공하면 API Gateway로부터 200 OK 응답을 수신합니다.