기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS IoT Greengrass 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)
인터페이스 VPC 엔드포인트을 생성하여 VPC와 AWS IoT Greengrass 간에 프라이빗 연결을 설정할 수 있습니다. 이 엔드포인트를 사용하여 서비스의 구성 요소, 배포 및 핵심 장치를 관리할 수 있습니다. AWS IoT Greengrass 인터페이스 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이 비공개로 AWS IoT Greengrass API에 액세스할 수 있도록 지원하는 AWS PrivateLink
각 인터페이스 엔드포인트는 서브넷에서 하나 이상의 탄력적 네트워크 인터페이스로 표현됩니다.
자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.
주제
AWS IoT Greengrass VPC 엔드포인트 고려 사항
AWS IoT Greengrass에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 Amazon VPC 사용 설명서의 인터페이스 엔드포인트 속성 및 제한 사항을 검토하세요. 추가적으로, 다음 사항을 고려하세요.
-
AWS IoT Greengrass은 VPC에서 모든 컨트롤 플레인 API 작업에 대한 직접 호출 수행을 지원합니다. 컨트롤 플레인에는 및 와 같은 CreateDeployment작업이 포함됩니다. ListEffectiveDeployments 컨트롤 플레인에는 데이터 플레인 작업인 ResolveComponentCandidates및 Discover와 같은 작업이 포함되지 않습니다.
-
AWS IoT Greengrass용 VPC 엔드포인트는 현재 AWS 중국 리전에서 지원되지 않습니다.
AWS IoT Greengrass 컨트롤 플레인 작업을 위한 인터페이스 VPC 엔드포인트 생성
Amazon VPC 콘솔 또는 AWS Command Line Interface(AWS CLI)를 사용하여 AWS IoT Greengrass 컨트롤 플레인에 대한 VPC 엔드포인트를 생성할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트 생성을 참조하세요.
다음 서비스 이름을 사용하여 AWS IoT Greengrass용 VPC 종단점을 생성합니다.
-
com.amazonaws.
region
.greengrass
엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 리전에 대한 기본 DNS 이름(예: greengrass.us-east-1.amazonaws.com
)을 사용하여 AWS IoT Greengrass에 API 요청을 할 수 있습니다. 프라이빗 DNS는 기본적으로 활성화되어 있습니다.
자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트를 통해 서비스 액세스를 참조하세요.
AWS IoT Greengrass에 대한 VPC 엔드포인트 정책 생성
AWS IoT Greengrass 컨트롤 플레인 운영에 대한 컨트롤 액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.
-
작업을 수행할 수 있는 보안 주체.
-
보안 주체가 수행할 수 있는 작업입니다.
-
보안 주체가 작업을 수행할 수 있는 리소스입니다.
자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.
예제: AWS IoT Greengrass 작업에 대한 VPC 엔드포인트 정책
다음은 AWS IoT Greengrass에 대한 엔드포인트 정책의 예입니다. 이 정책은 엔드포인트에 연결될 때 모든 리소스의 모든 보안 주체에 대한 액세스 권한을 나열된 AWS IoT Greengrass 작업에 부여합니다.
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "greengrass:CreateDeployment", "greengrass:ListEffectiveDeployments" ], "Resource": "*" } ] }
VPC에서 AWS IoT Greengrass 코어 디바이스 운영
공용 인터넷 액세스 없이 VPC에서 Greengrass 코어 디바이스를 운영하고 배포를 수행할 수 있습니다. 최소한 해당 DNS 별칭을 사용하여 다음 VPC 엔드포인트를 설정해야 합니다. VPC 엔드포인트를 생성하고 사용하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트 생성을 참조하십시오.
참고
AWS IoT data및 AWS IoT 자격 증명에 대해 DNS 레코드를 자동으로 생성하는 VPC 기능이 비활성화되었습니다. 이러한 엔드포인트를 연결하려면 프라이빗 DNS 레코드를 수동으로 생성해야 합니다. 자세한 내용은 인터페이스 엔드포인트용 프라이빗 DNS를 참조하십시오. VPC 제한에 대한 자세한 내용은 AWS IoT Core VPC 엔드포인트 제한을 참조하십시오.
사전 조건
-
수동 프로비저닝 단계를 사용하여 AWS IoT Greengrass Core 소프트웨어를 설치해야 합니다. 자세한 설명은 수동 리소스 프로비저닝으로 AWS IoT Greengrass Core 소프트웨어 설치 섹션을 참조하세요.
제한 사항
-
VPC에서 Greengrass 코어 디바이스를 운영하는 것은 중국 지역 및 지역에서 지원되지 않습니다. AWS GovCloud (US) Regions
-
AWS IoT자격 증명 공급자 VPC 엔드포인트의 AWS IoT data 제한 사항에 대한 자세한 내용은 제한을 참조하십시오.
VPC에서 작동하도록 Greengrass 코어 디바이스를 설정합니다.
-
AWS IoT엔드포인트를 가져와서 나중에 사용할 수 있도록 저장하세요AWS 계정. 장치는 이러한 엔드포인트를 사용하여 연결합니다. AWS IoT 다음을 따릅니다.
-
사용자의 AWS IoT 데이터 엔드포인트를 가져오세요. AWS 계정
aws iot describe-endpoint --endpoint-type iot:Data-ATS
요청이 성공하면 응답은 다음 예와 비슷합니다.
{ "endpointAddress": "
device-data-prefix
-ats.iot.us-west-2.amazonaws.com" } -
사용자의 AWS IoT 자격 증명 엔드포인트를 가져오세요. AWS 계정
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
요청이 성공하면 응답은 다음 예와 비슷합니다.
{ "endpointAddress": "
device-credentials-prefix
.credentials.iot.us-west-2.amazonaws.com" }
-
-
AWS IoT자격 증명 엔드포인트를 위한 AWS IoT data Amazon VPC 인터페이스를 생성합니다.
-
VPC
엔드포인트 콘솔로 이동한 다음 왼쪽 메뉴의 Virtual Private Cloud(VPC)에서 엔드포인트를 선택한 다음 엔드포인트 생성을 선택합니다. -
엔드포인트 생성 페이지에서 다음 정보를 지정합니다.
-
서비스 범주에서 AWS 서비스를 선택합니다.
-
서비스 이름에 키워드
iot
를 입력하여 검색합니다. 표시된iot
서비스 목록에서 엔드포인트를 선택합니다.AWS IoT Core 데이터 플레인용 VPC 엔드포인트를 생성하는 경우 해당 리전에 대한 AWS IoT Core 데이터 플레인 API 엔드포인트를 선택합니다. 엔드포인트 형식은
com.amazonaws.
이(가) 될 것입니다.region
.iot.dataAWS IoT Core 자격 증명 공급자용 VPC 엔드포인트를 생성하는 경우 해당 리전의 AWS IoT Core 자격 증명 공급자 엔드포인트를 선택합니다. 엔드포인트 형식은
com.amazonaws.
이(가) 될 것입니다.region
.iot.credentials참고
중국 리전의 AWS IoT Core 데이터 플레인용 서비스 이름 형식은
cn.com.amazonaws.
입니다. 중국 리전에서는 AWS IoT Core 자격 증명 공급자용 VPC 엔드포인트 생성 기능이 지원되지 않습니다.region
.iot.data -
VPC 및 서브넷에서 엔드포인트를 생성하려는 VPC 및 엔드포인트 네트워크를 생성하려는 가용 영역(AZ)을 선택합니다.
-
DNS 이름 활성화에서 이 엔드포인트에 대해 활성화를 선택하지 않도록 합니다. AWS IoT Core 데이터 플레인이나 AWS IoT Core 자격 증명 공급자 모두 아직 프라이빗 DNS 이름을 지원하지 않습니다.
-
보안 그룹에서 엔드포인트 네트워크 인터페이스와 연결하려는 보안 그룹을 선택합니다.
-
선택적으로 태그를 추가하거나 제거할 수 있습니다. 태그는 엔드포인트와 연결하는 데 사용하는 이름-값 페어입니다.
-
-
VPC 엔드포인트를 생성하려면 엔드포인트 생성을 선택합니다.
-
-
AWS PrivateLink 엔드포인트를 생성하면 엔드포인트의 세부 정보 탭에 DNS 이름 목록이 표시됩니다. 이러한 DNS 이름 중 하나를 사용하여 프라이빗 호스팅 영역을 구성할 수 있습니다.
-
Amazon S3 엔드포인트를 생성합니다. 자세한 내용은 Amazon S3용 VPC 엔드포인트 생성을 참조하십시오.
-
AWS제공된 Greengrass 구성 요소를 사용하는 경우 추가 엔드포인트 및 구성이 필요할 수 있습니다. 엔드포인트 요구 사항을 보려면 AWS 제공된 구성 요소 목록에서 구성 요소를 선택하고 요구 사항 섹션을 확인하십시오. 예를 들어, 로그 관리자 구성 요소 요구 사항에서는 이 구성 요소가 엔드포인트에 대한 아웃바운드 요청을 수행할 수 있어야 한다고 권장합니다.
logs.
region
.amazonaws.com자체 구성 요소를 사용하는 경우 종속성을 검토하고 추가 테스트를 수행하여 추가 엔드포인트가 필요한지 확인해야 할 수 있습니다.
-
Greengrass 핵 구성에서는 로
greengrassDataPlaneEndpoint
설정해야 합니다.iotdata
자세한 내용은 Greengrass 핵 구성을 참조하십시오. -
해당
us-east-1
지역에 있는 경우 Greengrass 핵REGIONAL
구성에서 구성 매개변수를s3EndpointType
로 설정하십시오. 이 기능은 그린그래스 핵 버전 2.11.3 이상에서 사용할 수 있습니다.
예: 구성 요소 구성
{ "aws.greengrass.Nucleus": { "configuration": { "awsRegion": "us-east-1", "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com", "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com", "greengrassDataPlaneEndpoint": "iotdata", "s3EndpointType": "REGIONAL" ... } } }
다음 표에는 해당 사용자 지정 프라이빗 DNS 별칭에 대한 정보가 나와 있습니다.
Service | VPC 엔드포인트 서비스 이름 | VPC 엔드포인트 유형 | 사용자 지정 프라이빗 DNS 별칭 | 참고 |
---|---|---|---|---|
AWS IoT data |
|
인터페이스 |
|
프라이빗 DNS 레코드는 계정의 AWS IoT data 엔드포인트와 일치해야 합니다. |
AWS IoT 자격 증명 |
|
인터페이스 |
|
프라이빗 DNS 레코드는 계정 AWS IoT 자격 증명 엔드포인트와 일치해야 합니다 |
Amazon S3 |
|
인터페이스 |
DNS 레코드는 자동으로 생성됩니다. |