클라이언트 VPN 사용자에게 AWS 리소스에 대한 액세스 권한을 제공하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 4월 21일

AWS Client VPN 사용자가 최종 디바이스에서 AWS 리소스로 보안 연결을 설정하려고 합니다. 어떻게 해야 합니까?

해결 방법

특정 리소스에 대한 VPN 액세스를 구성하기 전에 다음을 고려하십시오.

  • 클라이언트 VPN 엔드포인트가 서브넷에 연결되면 연결된 서브넷에 탄력적 네트워크 인터페이스가 생성됩니다. 이러한 네트워크 인터페이스는 서브넷의 CIDR로부터 IP 주소를 수신합니다.
  • 클라이언트 VPN 연결이 설정되면 가상 터널 어댑터(VTAP)가 최종 디바이스에 생성됩니다. 가상 어댑터는 클라이언트 VPN 엔드포인트의 클라이언트 IPv4 CIDR로부터 IP 주소를 수신합니다.
  • 최종 사용자 디바이스의 트래픽이 클라이언트 VPN 엔드포인트에 도달하면 패킷의 소스 IP 주소는 클라이언트 VPN 엔드포인트 네트워크 인터페이스의 IP 주소에 대한 소스 NATed(SNAT)입니다. 따라서 대상 리소스는 클라이언트 VPN 엔드포인트 네트워크 인터페이스의 IP 주소와 함께 제공되는 모든 트래픽을 볼 수 있습니다.

클라이언트 VPN 최종 사용자에게 특정 AWS 리소스에 대한 액세스 권한을 부여하려면:

  • 클라이언트 VPN 엔드포인트의 연결된 서브넷과 대상 리소스의 네트워크 간의 라우팅을 구성합니다. 대상 리소스가 엔드포인트와 연결된 동일한 Virtual Private Cloud(VPC)에 있는 경우 경로를 추가할 필요가 없습니다. 이 경우 VPC의 로컬 라우팅이 트래픽을 전달하는 데 사용됩니다. 대상 리소스가 엔드포인트와 연결된 동일한 VPC에 있지 않은 경우 클라이언트 VPN 엔드포인트의 연결된 서브넷 라우팅 테이블에 해당 경로를 추가합니다.
  • 클라이언트 VPN 엔드포인트의 연결된 서브넷을 통한 인바운드 및 아웃바운드 트래픽을 허용하도록 대상 리소스의 보안 그룹을 구성합니다. 또는 대상 리소스의 보안 그룹 규칙에서 엔드포인트에 연결된 보안 그룹을 참조하여 엔드포인트에 적용된 보안 그룹을 사용합니다.
  • 클라이언트 VPN 엔드포인트의 연결된 서브넷을 통한 인바운드 및 아웃바운드 트래픽을 허용하도록 대상 리소스의 네트워크 액세스 제어 목록(네트워크 ACL)을 구성합니다.
  • 클라이언트 VPN 엔드포인트의 권한 부여 규칙에서 대상 리소스에 대한 최종 사용자 액세스를 허용합니다. 자세한 내용은 권한 부여 파라미터를 참조하십시오.
  • Client VPN 라우팅 테이블에 대상 리소스의 네트워크 범위에 대한 경로가 있는지 확인합니다. 자세한 내용은 라우팅 및 대상 네트워크를 참조하십시오.
  • Client VPN 엔드포인트의 연결된 보안 그룹에서 대상 리소스에 대한 아웃바운드 액세스를 허용합니다.

참고: 클라이언트 VPN 엔드포인트와 연결된 서브넷이 두 개 이상 있는 경우 서브넷의 전체 IP 범위를 사용하여 모든 보안 그룹과 네트워크 ACL 간의 트래픽을 허용해야 합니다.

사용자가 액세스 중인 리소스 유형에 따라 연결을 설정하는 데 필요한 라우팅, 보안 그룹 규칙 및 권한 부여 규칙을 생성합니다. 사용 사례에 따라 다음 단계를 수행합니다.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?