메뉴
Amazon Virtual Private Cloud
사용 설명서

VPC 엔드포인트으로 서비스 액세스 제어

게이트웨이 엔드포인트를 만들 경우, 연결하려는 서비스에 대한 액세스를 제어하는 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 엔드포인트 정책은 JSON 형식으로 작성해야 합니다.

Amazon S3에 대한 엔드포인트를 사용할 경우, Amazon S3 버킷 정책을 사용하여 특정 엔드포인트 또는 특정 VPC의 버킷에 대한 액세스를 제어할 수도 있습니다. 자세한 내용은 Amazon S3 버킷 정책 사용 단원을 참조하십시오.

VPC 엔드포인트 정책 사용

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 만들 때 정책을 추가하지 않으면 서비스에 대한 모든 액세스를 허용하는 기본 정책이 추가됩니다. 엔드포인트 정책은 IAM 사용자 정책 또는 서비스별 정책(예: S3 버킷 정책)을 무시하거나 교체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

중요

게이트웨이 엔드포인트만이 엔드포인트 정책 사용을 지원합니다. describe-vpc-endpoint-services 명령을 사용하여 엔드포인트 정책 지원 여부를 확인합니다.

한 엔드포인트에는 한 개의 정책만 추가할 수 있지만 정책은 언제든지 수정할 수 있습니다. 정책을 수정할 경우, 변경 사항이 적용되기까지 몇 분 정도 걸릴 수 있습니다. 정책 작성에 대한 자세한 내용은 IAM 사용 설명서IAM 정책의 개요를 참조하십시오.

엔드포인트 정책은 IAM 정책과 비슷하지만 다음에 유의하십시오.

  • 지정된 서비스와 관련된 정책의 일부만 작동합니다. 엔드포인트 정책을 사용하여 VPC의 리소스가 다른 작업을 수행하도록 허용할 수 없습니다. 예를 들어 Amazon S3에 대한 엔드포인트의 엔드포인트 정책에 EC2 작업을 추가할 경우 작동하지 않습니다.

  • 정책에는 Principal 요소를 포함시켜야 합니다. 엔드포인트 정책에 "AWS": "AWS-account-ID" 또는 "AWS": "arn:aws:iam::AWS-account-ID:root" 형식으로 보안 주제를 지정하는 경우, AWS 계정 루트 사용자에 대해서만 액세스 권한이 부여되며 계정의 모든 IAM 사용자 및 역할에 대해서 액세스 권한이 부여되는 것은 아닙니다.

  • 엔드포인트 정책의 크기는 20,480자를 초과할 수 없습니다(공백 포함).

엔드포인트 정책 예는 다음 주제를 참조하십시오.

보안 그룹

기본적으로 Amazon VPC 보안 그룹은 명시적으로 아웃바운드 액세스를 제한하지 않는 한 모든 아웃바운드 트래픽을 허용합니다.

인터페이스 엔드포인트를 생성할 때 서비스와의 통신에 사용할 수 있는 엔드포인트별 VPC 호스트 이름이 생성됩니다. 보안 그룹을 지정하지 않을 경우 VPC에 대한 기본 보안 그룹이 엔드포인트 네트워크 인터페이스에 자동적으로 연결됩니다. 보안 그룹에 대한 규칙이 엔드포인트 네트워크 인터페이스 및 서비스와 통신하는 VPC의 리소스 사이의 통신을 허용하도록 해야 합니다.

게이트웨이 엔드포인트에서 보안 그룹의 아웃바운드 규칙이 제한된 경우, VPC에서 엔드포인트에 지정된 서비스로의 아웃바운드 트래픽을 허용하는 규칙을 추가해야 합니다. 이렇게 하려면 아웃바운드 규칙에서 서비스의 접두사 목록 ID를 대상으로 사용합니다. 자세한 내용은 보안 그룹 수정 단원을 참조하십시오.