엔드포인트 서비스에 대한 인터페이스 기반 Amazon VPC 엔드포인트의 보안 및 네트워크 ACL을 구성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2019년 4월 9일

엔드포인트 서비스에 연결하기 위해 인터페이스 기반 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 생성하려고 합니다. 보안 그룹 및 네트워크 ACL(액세스 제어 목록)을 구성하려면 어떻게 해야 합니까?

간략한 설명

AWS PrivateLink에서 Amazon VPC 엔드포인트 인터페이스를 생성하면 사용자가 지정한 서브넷 내부에서 탄력적 네트워크 인터페이스가 생성됩니다. 이 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)는 연결된 서브넷의 네트워크 ACL을 상속합니다. 수신 및 발신 요청을 보호하려면 인터페이스 엔드포인트에 보안 그룹을 연결해야 합니다.

Network Load Balancer를 엔드포인트 서비스에 연결하면 Network Load Balancer는 IP 주소로 대상을 등록한 경우와 같이 등록된 대상으로 요청을 전달합니다. 이 경우 소스 IP 주소는 로드 밸런서 노드의 프라이빗 IP 주소입니다. Amazon VPC 엔드포인트 서비스에 대한 액세스 권한이 있는 경우 보안 그룹 규칙 및 Network Load Balancer 대상에 연결된 네트워크 ACL 내 규칙에서 다음 조건을 확인해야 합니다.

  • Network Load Balancer의 프라이빗 IP 주소에서 통신 허용
  • 통신할 클라이언트 또는 인터페이스 엔드포인트의 IP 주소에서 통신 거부

클라이언트 및 Amazon VPC 엔드포인트 사이에서 통신을 허용하려면 인터페이스 엔드포인트에 연결된 서브넷 및 클라이언트의 서브넷에 연결된 네트워크 ACL 내에서 규칙을 생성해야 합니다.

​해결 방법

인터페이스 엔드포인트에 연결된 네트워크 ACL 찾기

  1. Amazon VPC 콘솔에 로그인합니다.
  2. [엔드포인트]를 선택합니다.
  3. 목록에서 엔드포인트 ID를 선택합니다.
  4. [서브넷] 보기를 선택합니다.
  5. 연결된 서브넷을 선택합니다. 그러면 Amazon VPC 콘솔의 [서브넷] 섹션으로 리디렉션됩니다.
  6. 서브넷에 연결된 네트워크 ACL을 기록합니다.

인터페이스 엔드포인트에 연결된 보안 그룹 찾기

  1. Amazon VPC 콘솔에 로그인합니다.
  2. [엔드포인트]를 선택합니다.
  3. 엔드포인트 목록에서 엔드포인트 ID를 선택합니다.
  4. [보안 그룹] 보기를 선택합니다.
  5. 연결된 보안 그룹 ID를 기록합니다.

클라이언트의 인터페이스 엔드포인트에 연결된 보안 그룹 구성

참고: 보안 그룹은 상태 저장 항목입니다. 규칙을 한 방향으로 정의하면 반환 트랙픽이 자동으로 허용됩니다.

다음과 같이 인바운드 규칙을 구성합니다.

  • [포트 범위]에 엔드포인트 서비스와 동일한 포트를 입력합니다.
  • [소스]에 시작하는 클라이언트의 네트워크 또는 IP 주소를 입력합니다.

참고: 인터페이스 엔드포인트에 연결된 보안 그룹의 아웃바운드 방향에서는 규칙을 생성하지 않아도 됩니다.

인터페이스 엔드포인트에 연결된 각 보안 그룹에 대해 이 단계를 반복합니다.

인터페이스 엔드포인트에 연결된 네트워크 ACL 구성

앞서 기록한 네트워크 ACL에 대해 규칙을 편집합니다.

다음과 같이 클라이언트에서 트래픽을 허용하도록 인바운드 규칙을 구성합니다.

  • [포트 범위]에 엔드포인트 서비스와 동일한 포트를 입력합니다.
  • [소스]에 클라이언트의 IP 주소를 입력합니다.

인터페이스 엔드포인트에서 반환 트래픽을 허용하도록 아웃바운드 규칙을 구성합니다.

  • [포트 범위]에 1024-65535를 입력합니다.
  • [대상]에 클라이언트의 IP 주소 또는 네트워크를 입력합니다.

참고: 클라이언트에 연결된 보안 그룹 및 네트워크 ACL을 구성하는 경우 아웃바운드 규칙에서 엔드포인트 인터페이스의 프라이빗 IP에 대한 연결을 허용하는지 확인합니다. 클라이언트 보안 그룹의 인바운드 방향은 무관합니다. 그러나 클라이언트 네트워크 ACL의 인바운드 방향에서는 TCP 휘발성 범위 1024-65535를 허용해야 합니다. 소스 IP 주소는 반환하는 트래픽의 소스이기 때문에 Amazon VPC 엔드포인트 인터페이스의 IP 주소입니다.