엔드포인트 서비스용 VPC 인터페이스 엔드포인트를 생성할 때 보안 그룹 및 네트워크 ACL을 구성하는 방법은 무엇인가요?

최종 업데이트 날짜: 2022년 1월 18일

엔드포인트 서비스에 연결하기 위해 Amazon Virtual Private Cloud(Amazon VPC) 인터페이스 엔드포인트를 생성하려고 합니다. 보안 그룹 및 네트워크 ACL(액세스 제어 목록)을 구성하려면 어떻게 해야 합니까?

간략한 설명

엔드포인트 서비스를 사용하여 Amazon VPC 인터페이스 엔드포인트를 생성하면 지정한 서브넷 내부에 탄력적 네트워크 인터페이스가 생성됩니다. 이 VPC 인터페이스 엔드포인트는 연결된 서브넷의 네트워크 ACL을 상속합니다. 또한 수신 트래픽을 보호하려면 인터페이스 엔드포인트에 보안 그룹을 연결해야 합니다.

Network Load Balancer를 엔드포인트 서비스와 연결하면 Network Load Balancer가 등록된 대상에 요청을 전달합니다. 요청은 대상이 IP 주소에 의해 등록된 것처럼 전달됩니다. 이 경우 소스 IP 주소는 로드 밸런서 노드의 프라이빗 IP 주소입니다. Amazon VPC 엔드포인트 서비스에 액세스할 수 있는 경우 다음을 확인합니다.

  • Network Load Balancer 대상의 인바운드 보안 그룹 규칙은 Network Load Balancer 노드의 프라이빗 IP 주소로부터의 통신을 허용합니다.
  • Network Load Balancer의 대상과 연결된 네트워크 ACL 내 규칙은 Network Load Balancer 노드의 프라이빗 IP 주소로부터의 통신을 허용합니다.

해결 방법

인터페이스 엔드포인트에 연결된 네트워크 ACL 찾기

  1. Amazon VPC 콘솔에 로그인합니다.
  2. [엔드포인트]를 선택합니다.
  3. 엔드포인트 목록에서 엔드포인트 ID를 선택합니다.
  4. 서브넷(Subnets) 보기를 선택합니다.
  5. 연결된 서브넷을 선택합니다. 그러면 Amazon VPC 콘솔의 Subnets(서브넷) 섹션으로 리디렉션됩니다.
  6. 서브넷에 연결된 네트워크 ACL을 기록합니다.

인터페이스 엔드포인트에 연결된 보안 그룹 찾기

  1. Amazon VPC 콘솔에 로그인합니다.
  2. [엔드포인트]를 선택합니다.
  3. 엔드포인트 목록에서 엔드포인트 ID를 선택합니다.
  4. 보안 그룹(Security Groups) 보기를 선택합니다.
  5. 연결된 보안 그룹 ID를 기록합니다.

인터페이스 엔드포인트에 연결된 보안 그룹 구성

보안 그룹은 탄력적 네트워크 인터페이스가 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다.

참고: 보안 그룹은 상태 유지입니다. 규칙을 한 방향으로 정의하면 반환 트랙픽이 자동으로 허용됩니다.

다음과 같이 인바운드 규칙을 구성합니다.

  • 포트 범위(Port Range)에 엔드포인트 서비스와 동일한 포트를 입력합니다.
  • 소스(Source)에 시작하는 클라이언트의 네트워크 또는 IP 주소를 입력합니다.

참고: 인터페이스 엔드포인트에 연결된 보안 그룹의 아웃바운드 방향에서는 규칙을 생성하지 않아도 됩니다.

인터페이스 엔드포인트에 연결된 각 보안 그룹에 대해 이 단계를 반복합니다.

인터페이스 엔드포인트에 연결된 네트워크 ACL 구성

네트워크 액세스 제어 목록(ACL)은 VPC의 선택적 보안 계층으로, 서브넷에서 트래픽을 제어하는 방화벽 역할을 합니다.

참고: 네트워크 ACL은 무상태입니다. 아웃바운드 트래픽과 인바운드 트래픽 모두에 대한 규칙을 정의해야 합니다.

  1. 앞서 기록한 네트워크 ACL에 대해 규칙을 편집합니다.
  2. 다음과 같이 클라이언트에서 트래픽을 허용하도록 인바운드 규칙을 구성합니다.
    포트 범위(Port Range)에 엔드포인트 서비스와 동일한 포트를 입력합니다.
    소스(Source)에 클라이언트의 IP 주소를 입력합니다.
  3. 인터페이스 엔드포인트에서 반환 트래픽을 허용하도록 아웃바운드 규칙을 구성합니다.
    포트 범위(Port Range)1024-65535를 입력합니다.
    대상(Destination)에 클라이언트의 IP 주소 또는 네트워크를 입력합니다.

서브넷마다 별도의 네트워크 ACL이 정의되어 있는 경우, 인터페이스 엔드포인트에 연결된 모든 네트워크 ACL에 대해 단계를 반복합니다.

참고: 소스 클라이언트의 보안 그룹을 구성할 때 아웃바운드 규칙이 인터페이스 엔드포인트의 프라이빗 IP 주소에 대한 연결을 허용하는지 확인하세요. 클라이언트 보안 그룹의 인바운드 방향은 무관합니다. 소스 클라이언트의 네트워크 ACL에 대해 다음과 같이 규칙을 구성합니다.

인바운드 규칙:

  • 포트 범위(Port Range)에 임시 포트 범위 1024~65535를 입력합니다.
  • 소스(Source)에 인터페이스 엔드포인트의 프라이빗 IP 주소를 입력합니다.

아웃바운드 규칙:

  • 포트 범위(Port Range)에 엔드포인트 서비스와 동일한 포트를 입력합니다.
  • 대상(Destination)에 인터페이스 엔드포인트의 프라이빗 IP 주소를 입력합니다.