Amazon EC2 및 인터페이스 VPC 엔드포인트 - Amazon Elastic Compute Cloud

Amazon EC2 및 인터페이스 VPC 엔드포인트

인터페이스 VPC 엔드포인트를 사용하도록 Amazon EC2를 구성하여 VPC의 보안 상태를 향상시킬 수 있습니다. 인터페이스 엔드포인트는 VPC와 Amazon EC2 사이의 모든 네트워크 트래픽을 Amazon 네트워크로 제한하여 Amazon EC2 API에 비공개로 액세스할 수 있도록 하는 기술인 AWS PrivateLink 로 구동됩니다. 인터페이스 엔드포인트를 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다.

AWS PrivateLink 를 구성하는 것이 필수는 아니지만 구성하는 것이 좋습니다. AWS PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용은 인터페이스 VPC 엔드포인트( AWS PrivateLink )를 참조하십시오.

인터페이스 VPC 엔드포인트 생성

다음 서비스 이름을 사용하여 Amazon EC2에 대한 엔드포인트를 생성합니다.

  • com.amazonaws.region.ec2 — Amazon EC2 API 작업에 대한 엔드포인트를 생성합니다.

자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하십시오.

인터페이스 VPC 엔드포인트 정책 생성

VPC 엔드포인트에 정책을 연결하여 Amazon EC2 API에 대한 액세스를 제어할 수 있습니다. 이 정책은 다음을 지정합니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업입니다.

  • 작업을 수행할 수 있는 리소스

중요

Amazon EC2에 대한 인터페이스 VPC 엔드포인트에 기본값이 아닌 정책이 적용되면 RequestLimitExceeded 실패와 같은 특정 API 요청 실패가 AWS CloudTrail 또는 Amazon CloudWatch에 로깅되지 않을 수 있습니다.

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하십시오.

다음 예는 암호화되지 않은 볼륨을 생성하거나 암호화되지 않은 볼륨으로 인스턴스를 시작할 수 있는 권한을 거부하는 VPC 엔드포인트 정책을 보여 줍니다. 또한 이 정책 예에서는 다른 모든 Amazon EC2 작업을 수행할 수 있는 권한을 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "ec2:CreateVolume" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }, { "Action": [ "ec2:RunInstances" ], "Effect": "Deny", "Resource": "*", "Principal": "*", "Condition": { "Bool": { "ec2:Encrypted": "false" } } }] }