인터페이스 VPC 엔드포인트 AWS IoT Core 와 함께 사용 - AWS IoT Core

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인터페이스 VPC 엔드포인트 AWS IoT Core 와 함께 사용

를 사용하면 인터페이스 엔드포인트 를 사용하여 가상 프라이빗 클라우드() 내에서 IoT 데이터 엔드포인트를 생성할 AWS IoT Core수 있습니다.VPC VPC 인터페이스 VPC 엔드포인트는 프라이빗 IP 주소를 사용하여 에서 실행되는 서비스에 액세스하는 데 사용할 수 있는 기술 AWS PrivateLink인 AWS AWS 로 구동됩니다. 자세한 내용은 Amazon Virtual Private Cloud(VPC)를 참조하세요.

회사 네트워크와 같은 원격 네트워크의 필드에 있는 디바이스를 Amazon 에 연결하려면 Network-to-Amazon VPC 연결 매트릭스 에 나열된 옵션을 VPC참조하세요.

AWS IoT Core 데이터 영역용 VPC 엔드포인트 생성

AWS IoT Core 데이터 영역용 VPC 엔드포인트를 생성API하여 디바이스를 AWS IoT 서비스 및 기타 AWS 서비스에 연결할 수 있습니다. VPC 엔드포인트를 시작하려면 인터페이스 VPC 엔드포인트를 생성하고 AWS IoT Core 를 AWS 서비스로 선택합니다. 를 사용하는 경우 CLI먼저 를 호출describe-vpc-endpoint-services하여 AWS IoT Core 가 특정 에 있는 가용 영역을 선택합니다 AWS 리전. 예를 들어 us-east-1에서 이 명령은 다음과 같습니다.

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
참고

DNS 레코드를 자동으로 생성하기 위한 VPC 기능은 비활성화됩니다. 이러한 엔드포인트에 연결하려면 수동으로 프라이빗 DNS 레코드를 생성해야 합니다. 프라이빗 VPC DNS 레코드에 대한 자세한 내용은 인터페이스 엔드포인트DNS용 프라이빗 섹션을 참조하세요. 제한 사항에 대한 AWS IoT Core VPC 자세한 내용은 섹션을 참조하세요제한 사항.

MQTT 클라이언트를 VPC 엔드포인트 인터페이스에 연결하려면:

  • 에 연결된 프라이빗 호스팅 영역에서 DNS 레코드를 수동으로 생성해야 합니다VPC. 시작하려면 프라이빗 호스팅 영역 생성을 참조하세요.

  • 프라이빗 호스팅 영역 내에서 VPC 엔드포인트의 각 탄력적 네트워크 인터페이스 IP에 대한 별칭 레코드를 생성합니다. 여러 VPC 엔드포인트IPs에 대해 여러 네트워크 인터페이스가 있는 경우 모든 가중 DNS 레코드에서 동일한 가중치를 가진 가중 레코드를 생성합니다. 이러한 IP 주소는 설명 필드의 VPC 엔드포인트 ID로 필터링할 때 DescribeNetworkInterfaces API 통화에서 사용할 수 있습니다.

Amazon VPC 인터페이스 엔드포인트 생성 및 AWS IoT Core 데이터 영역에 프라이빗 호스팅 영역 구성에 대한 자세한 지침은 아래 지침을 참조하세요.

AWS IoT Core 자격 증명 공급자를 위한 VPC 엔드포인트 생성

보안 AWS IoT Core 인증 공급자가 클라이언트 인증서 기반 인증을 사용하여 디바이스를 연결하고 AWS 서명 버전 4 형식의 임시 AWS 보안 인증을 가져올 수 있는 VPC 엔드포인트를 생성할 수 있습니다. AWS IoT Core 자격 증명 공급자의 VPC 엔드포인트를 시작하려면 create-vpc-endpoint CLI 명령을 실행하여 인터페이스 VPC 엔드포인트를 생성하고 자격 AWS IoT Core 증명 공급자를 AWS 서비스로 선택합니다. 가 특정 에 AWS IoT Core 있는 가용 영역을 선택하도록 하려면 AWS 리전먼저 describe-vpc-endpoint-services 명령을 실행합니다. 예를 들어 us-east-1에서 이 명령은 다음과 같습니다.

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
참고

DNS 레코드를 자동으로 생성하기 위한 VPC 기능은 비활성화됩니다. 이러한 엔드포인트에 연결하려면 수동으로 프라이빗 DNS 레코드를 생성해야 합니다. 프라이빗 VPC DNS 레코드에 대한 자세한 내용은 인터페이스 엔드포인트DNS용 프라이빗 섹션을 참조하세요. 제한 사항에 대한 AWS IoT Core VPC 자세한 내용은 섹션을 참조하세요제한 사항.

HTTP 클라이언트를 VPC 엔드포인트 인터페이스에 연결하려면:

  • 에 연결된 프라이빗 호스팅 영역에서 DNS 레코드를 수동으로 생성해야 합니다VPC. 시작하려면 프라이빗 호스팅 영역 생성을 참조하세요.

  • 프라이빗 호스팅 영역 내에서 VPC 엔드포인트의 각 탄력적 네트워크 인터페이스 IP에 대한 별칭 레코드를 생성합니다. 여러 VPC 엔드포인트IPs에 대해 여러 네트워크 인터페이스가 있는 경우 모든 가중 DNS 레코드에서 동일한 가중치를 가진 가중 레코드를 생성합니다. 이러한 IP 주소는 설명 필드의 VPC 엔드포인트 ID로 필터링할 때 DescribeNetworkInterfaces API 통화에서 사용할 수 있습니다.

Amazon VPC 인터페이스 엔드포인트 생성 및 AWS IoT Core 자격 증명 공급자를 위한 프라이빗 호스팅 영역 구성에 대한 자세한 지침은 아래를 참조하세요.

Amazon VPC 인터페이스 엔드포인트 생성

인터페이스 VPC 엔드포인트를 생성하여 에서 제공하는 AWS 서비스에 연결할 수 있습니다 AWS PrivateLink. 다음 절차에 따라 AWS IoT Core 데이터 영역 또는 AWS IoT Core 보안 인증 공급자에 연결하는 인터페이스 VPC 엔드포인트를 생성합니다. 자세한 내용은 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스를 참조하세요.

참고

AWS IoT Core 데이터 영역 및 AWS IoT Core 자격 증명 공급자에 대한 Amazon VPC 인터페이스 엔드포인트를 생성하는 프로세스는 비슷하지만 연결을 작동하려면 엔드포인트별 변경을 수행해야 합니다.

VPC 엔드포인트 콘솔을 사용하여 인터페이스 VPC 엔드포인트를 생성하려면

  1. VPC 엔드포인트 콘솔로 이동하여 왼쪽 메뉴의 Virtual Private Cloud에서 엔드포인트를 선택한 다음 엔드포인트 생성 을 선택합니다.

  2. 엔드포인트 생성 페이지에서 다음 정보를 지정합니다.

    • 서비스 범주에서 AWS 서비스를 선택합니다.

    • 서비스 이름에 키워드 iot를 입력하여 검색합니다. 표시된 iot 서비스 목록에서 엔드포인트를 선택합니다.

      AWS IoT Core 데이터 영역용 VPC 엔드포인트를 생성하는 경우 리전의 AWS IoT Core 데이터 영역 API 엔드포인트를 선택합니다. 엔드포인트 형식은 com.amazonaws.region.iot.data이(가) 될 것입니다.

      AWS IoT Core 자격 증명 공급자에 대한 VPC 엔드포인트를 생성하는 경우 해당 리전의 AWS IoT Core 자격 증명 공급자 엔드포인트를 선택합니다. 엔드포인트 형식은 com.amazonaws.region.iot.credentials이(가) 될 것입니다.

      참고

      중국 리전의 AWS IoT Core 데이터 플레인의 서비스 이름은 형식입니다cn.com.amazonaws.region.iot.data. 중국 리전에서는 AWS IoT Core 자격 증명 공급자에 대한 VPC 엔드포인트 생성이 지원되지 않습니다.

    • VPC서브넷 에서 엔드포인트를 생성할 VPC 과 엔드포인트 네트워크를 생성할 가용 영역(AZs)을 선택합니다.

    • DNS 이름 활성화 에서 이 엔드포인트에 대한 활성화가 선택되지 않았는지 확인합니다. AWS IoT Core 데이터 플레인이나 AWS IoT Core 자격 증명 공급자 모두 프라이빗 DNS 이름을 아직 지원하지 않습니다.

    • 보안 그룹에서 엔드포인트 네트워크 인터페이스와 연결하려는 보안 그룹을 선택합니다.

    • 선택적으로 태그를 추가하거나 제거할 수 있습니다. 태그는 엔드포인트와 연결하는 데 사용하는 이름-값 페어입니다.

  3. VPC 엔드포인트를 생성하려면 엔드포인트 생성 을 선택합니다.

AWS PrivateLink 엔드포인트를 생성한 후 엔드포인트의 세부 정보 탭에 DNS 이름 목록이 표시됩니다. 이 섹션에서 생성한 DNS 이름 중 하나를 사용하여 프라이빗 호스팅 영역 를 구성할 수 있습니다.

프라이빗 호스팅 영역 구성

이전 섹션에서 생성한 DNS 이름 중 하나를 사용하여 프라이빗 호스팅 영역을 구성할 수 있습니다.

AWS IoT Core 데이터 영역용

DNS 이름은 도메인 구성 이름 또는 IoT:Data-ATS 엔드포인트여야 합니다. 예제 DNS 이름은 다음과 같을 수 있습니다xxx-ats.data.iot.region.amazonaws.com.

AWS IoT Core 자격 증명 공급자의 경우

DNS 이름은 iot:CredentialProvider 엔드포인트여야 합니다. 예제 DNS 이름은 다음과 같을 수 있습니다xxxx.credentials.iot.region.amazonaws.com.

참고

AWS IoT Core 데이터 영역 및 AWS IoT Core 보안 인증 공급자에 대해 프라이빗 호스팅 영역을 구성하는 프로세스는 비슷하지만 연결을 작동하려면 엔드포인트별 변경을 수행해야 합니다.

프라이빗 호스팅 영역 생성

Route 53 콘솔로 프라이빗 호스팅 영역 생성

  1. Route 53 호스팅 영역 콘솔로 이동하여 호스팅 영역 생성을 선택합니다.

  2. 호스팅 영역 생성 페이지에서 다음 정보를 지정합니다.

    • 도메인 이름에는 사용자 iot:Data-ATS 또는 iot:CredentialProvider 엔드포인트의 엔드포인트 주소를 입력합니다. 다음 AWS CLI 명령은 퍼블릭 네트워크를 통해 엔드포인트를 가져오는 방법을 보여줍니다. aws iot describe-endpoint --endpoint-type iot:Data-ATS또는 aws iot describe-endpoint --endpoint-type iot:CredentialProvider.

      참고

      사용자 지정 도메인을 사용하는 경우 VPC 엔드포인트에서 사용자 지정 도메인 사용을 참조하세요. 사용자 지정 도메인은 AWS IoT Core 자격 증명 공급자에 대해 지원되지 않습니다.

    • 유형 목록에서 프라이빗 호스팅 영역을 선택합니다.

    • 필요에 따라 호스팅 영역과 연결할 태그를 추가하거나 제거할 수 있습니다.

  3. 프라이빗 호스팅 영역을 생성하려면 호스팅 영역 생성을 선택합니다.

자세한 내용은 프라이빗 호스팅 영역 생성을 참조하세요.

레코드 생성

프라이빗 호스팅 영역을 생성한 후 트래픽을 해당 도메인으로 라우팅하는 DNS 방법을 알려주는 레코드를 생성할 수 있습니다.

레코드 생성

  1. 표시된 호스팅 영역 목록에서 이전에 생성한 프라이빗 호스팅 영역을 선택하고 레코드 생성을 선택합니다.

  2. 마법사 메서드를 사용하여 레코드를 만듭니다. 콘솔이 빠른 생성 메서드를 제공하는 경우 마법사로 전환을 선택합니다.

  3. 라우팅 정책에서 단순 라우팅을 선택한 후 다음을 선택합니다.

  4. 레코드 구성 페이지에서 단순 레코드 정의를 선택합니다.

  5. 단순 레코드 정의 페이지에서:

    • 레코드 이름iot:Data-ATS 또는 iot:CredentialProvider 엔드포인트를 입력합니다. 프라이빗 호스팅 영역 이름과 같아야 합니다.

    • 레코드 유형에서 값을 A - Routes traffic to an IPv4 address and some AWS resources로 유지합니다.

    • 에 대한 값/라우팅 트래픽에서 VPC 엔드포인트에 대한 별칭 을 선택합니다. 그리고 나서 리전을 선택한 다음 Amazon VPC 인터페이스 엔드포인트 생성에 설명된 대로 표시된 엔드포인트 목록에서 이전에 생성한 엔드포인트를 선택합니다.

  6. 단순 레코드 정의를 선택하여 레코드를 만듭니다.

VPC 엔드포인트를 AWS IoT Core 통한 액세스 제어

VPC 조건 컨텍스트 키 를 사용하여 VPC 엔드포인트를 통해서만 디바이스 액세스를 허용 AWS IoT Core 하도록 제한할 수 있습니다. 는 다음과 같은 VPC 관련 컨텍스트 키를 AWS IoT Core 지원합니다. https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

참고

AWS IoT Core 는 엔드포인트 에 대한 VPC 엔드포인트 정책을 지원하지 않습니다.

예를 들어 다음 정책은 사물 이름과 일치하는 클라이언트 ID를 AWS IoT Core 사용하여 에 연결하고 사물 이름 접두사가 붙은 주제에 게시할 수 있는 권한을 부여합니다. 단, 디바이스가 특정 VPC 엔드포인트 ID를 사용하여 VPC 엔드포인트에 연결하는 것을 조건으로 합니다. 이 정책은 퍼블릭 IoT 데이터 엔드포인트에 대한 연결 시도를 거부합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}" ], "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } }, { "Effect": "Allow", "Action": [ "iot:Publish" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*" ] } ] }

제한 사항

VPC 엔드포인트는 현재 AWS IoT Core 데이터 엔드포인트AWS IoT Core 자격 증명 공급자 엔드포인트에서만 지원됩니다. VPC 엔드포인트는 연방 정보 처리 표준(FIPS) 엔드포인트 에서는 지원되지 않습니다.

IoT 데이터 VPC 엔드포인트의 제한 사항

이 섹션에서는 IoT 데이터 VPC 엔드포인트의 제한 사항을 다룹니다.

  • MQTT 연결 유지 기간은 230초로 제한됩니다. 해당 연결 유지 시간 초과 시 자동으로 230초로 줄어듭니다.

  • 각 VPC 엔드포인트는 총 100,000개의 동시 연결 디바이스를 지원합니다. 더 많은 연결이 필요한 경우 를 사용하여 VPC 엔드포인트 크기 조정 AWS IoT Core 단원을 참조하세요.

  • VPC 엔드포인트는 IPv4 트래픽만 지원합니다.

  • VPC 엔드포인트는 사용자 지정 도메인을 제외하고 ATS 인증서만 제공합니다.

  • VPC 엔드포인트 정책은 지원되지 않습니다.

  • AWS IoT Core 데이터 영역 AWS IoT Core 용으로 생성된 VPC 엔드포인트의 경우 는 영역 또는 리전 퍼블릭 DNS 레코드 사용을 지원하지 않습니다.

자격 증명 공급자 엔드포인트 제한 사항

이 섹션에서는 자격 증명 공급자 VPC 엔드포인트의 제한 사항을 다룹니다.

  • VPC 엔드포인트는 IPv4 트래픽만 지원합니다.

  • VPC 엔드포인트는 ATS 인증서만 제공합니다.

  • VPC 엔드포인트 정책은 지원되지 않습니다.

  • 사용자 지정 도메인은 자격 증명 공급자에 지원되지 않습니다.

  • AWS IoT Core 자격 증명 공급자를 위해 생성된 VPC 엔드포인트의 경우 는 영역 또는 리전 퍼블릭 DNS 레코드 사용을 지원하지 AWS IoT Core 않습니다.

를 사용하여 VPC 엔드포인트 크기 조정 AWS IoT Core

AWS IoT Core 인터페이스 VPC 엔드포인트는 단일 인터페이스 엔드포인트를 통해 100,000개의 연결된 디바이스로 제한됩니다. 사용 사례에서 브로커에 대한 더 많은 동시 연결을 요구하는 경우 여러 VPC 엔드포인트를 사용하고 인터페이스 엔드포인트를 통해 디바이스를 수동으로 라우팅하는 것이 좋습니다. 프라이빗 DNS 레코드를 생성하여 트래픽을 VPC 엔드포인트로 라우팅할 때는 여러 VPC 엔드포인트에 트래픽을 분산할 엔드포인트가 있는 만큼 가중 레코드를 생성해야 합니다.

VPC 엔드포인트에서 사용자 지정 도메인 사용

VPC 엔드포인트에서 사용자 지정 도메인을 사용하려면 프라이빗 호스팅 영역에서 사용자 지정 도메인 이름 레코드를 생성하고 Route53에서 라우팅 레코드를 생성해야 합니다. 자세한 내용은 프라이빗 호스팅 영역 생성을 참조하세요.

참고

사용자 지정 도메인은 AWS IoT Core 데이터 엔드포인트에서만 지원됩니다.

에 대한 VPC 엔드포인트의 가용성 AWS IoT Core

AWS IoT Core 인터페이스 VPC 엔드포인트는 AWS IoT Core 지원되는 모든 리전에서 사용할 수 있습니다. 자격 증명 공급자의 AWS IoT Core AWS IoT Core 인터페이스 VPC 엔드포인트는 중국 리전 및 에서 지원되지 않습니다 AWS GovCloud (US) Regions.