인터페이스 VPC 엔드포인트를 사용하여 Amazon EC2에 액세스 - Amazon Elastic Compute Cloud
인터페이스 VPC 엔드포인트 생성엔드포인트 정책 생성

인터페이스 VPC 엔드포인트를 사용하여 Amazon EC2에 액세스

VPC와 Amazon EC2 간에 프라이빗 연결을 생성하여 VPC의 보안 태세를 향상시킬 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 Amazon EC2에 액세스할 수 있습니다. VPC의 인스턴스는 Amazon EC2와 통신하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

자세한 정보는 AWS PrivateLink 가이드AWS PrivateLink를 통해 AWS 서비스에 액세스를 참조하세요.

인터페이스 VPC 엔드포인트 생성

다음 서비스 이름을 사용하여 Amazon EC2에 대한 인터페이스 엔드포인트를 생성합니다.

  • com.amazonaws.region.ec2 - Amazon EC2 API 작업에 대한 엔드포인트를 생성합니다.

자세한 정보는 AWS PrivateLink 가이드인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스에 액세스를 참조하세요.

엔드포인트 정책 생성

엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 Amazon EC2 API에 대한 전체 액세스를 허용합니다. VPC에서 Amazon EC2 API에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.

엔드포인트 정책은 다음 정보를 지정합니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스

중요

Amazon EC2에 대한 인터페이스 VPC 엔드포인트에 기본값이 아닌 정책이 적용되면 RequestLimitExceeded 실패와 같은 특정 API 요청 실패가 AWS CloudTrail 또는 Amazon CloudWatch에 로깅되지 않을 수 있습니다.

자세한 정보는 AWS PrivateLink 가이드엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어를 참조하세요.

다음 예는 암호화되지 않은 볼륨을 생성하거나 암호화되지 않은 볼륨으로 인스턴스를 시작할 수 있는 권한을 거부하는 VPC 엔드포인트 정책을 보여 줍니다. 또한 이 정책 예에서는 다른 모든 Amazon EC2 작업을 수행할 수 있는 권한을 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "ec2:*",
        "Effect": "Allow",
        "Resource": "*",
        "Principal": "*"
    },
    {
        "Action": [
            "ec2:CreateVolume"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    },
    {
        "Action": [
            "ec2:RunInstances"
        ],
        "Effect": "Deny",
        "Resource": "*",
        "Principal": "*",
        "Condition": {
            "Bool": {
                "ec2:Encrypted": "false"
            }
        }
    }]
}