인터페이스 VPC 엔드포인트(AWS PrivateLink)를 사용하여 Amazon QLDB에 액세스 - Amazon Quantum Ledger Database(QLDB)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인터페이스 VPC 엔드포인트(AWS PrivateLink)를 사용하여 Amazon QLDB에 액세스

를 AWS PrivateLink 사용하여 VPC와 Amazon QLDB 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결을 사용하지 않고도 VPC에 있는 것처럼 QLDB에 액세스할 수 있습니다. AWS Direct Connect VPC의 인스턴스에서 QLDB에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 QLDB로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

자세한 내용은AWS PrivateLink 가이드의 AWS PrivateLink를 통해 AWS 서비스 에 액세스를 참조하세요.

QLDB에 대한 고려 사항

Amazon EKS에 대한 인터페이스 엔드포인트를 설정하려면 먼저 AWS PrivateLink 가이드고려 사항을 검토합니다.

참고

QLDB는 인터페이스 엔드포인트를 통한 QLDB 세션 트랜잭션 데이터 API 호출만 지원합니다. 이 API에는 작업만 포함됩니다. SendCommand 원장의 STANDARD 권한 모드에서는 이 API의 특정 PartiQL 작업에 대한 권한을 제어할 수 있습니다.

QLDB에 대한 인터페이스 엔드포인트 생성

Amazon VPC 콘솔 또는 () 를 사용하여 QLDB용 인터페이스 엔드포인트를 생성할 수 있습니다. AWS Command Line Interface AWS CLI자세한 내용은AWS PrivateLink 가이드의 인터페이스 엔드포인트 생성을 참조하세요.

다음과 같은 서비스 이름을 사용하여 QLDB의 인터페이스 엔드포인트를 생성합니다.

com.amazonaws.region.qldb.session

인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 기본 리전 DNS 이름을 사용하여 QLDB에 API 요청을 할 수 있습니다. 예를 들어 session.qldb.us-east-1.amazonaws.com입니다.

인터페이스 엔드포인트의 엔드포인트 정책 생성

엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 QLDB에 대한 전체 액세스를 허용합니다. VPC에서 QLDB에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.

엔드포인트 정책은 다음 정보를 지정합니다.

  • 작업을 수행할 수 있는 보안 주체(AWS 계정, 사용자, 역할).

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

자세한 내용은AWS PrivateLink 가이드의 엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어를 참조하세요.

또한 사용자, 그룹 또는 역할에 연결된 정책의 Condition 필드를 사용하여 지정된 인터페이스 엔드포인트에서만 액세스를 허용할 수 있습니다. 엔드포인트 정책과 IAM 정책을 함께 사용하면 지정된 원장의 특정 QLDB 작업에 대한 액세스를 지정된 인터페이스 엔드포인트로 제한할 수 있습니다.

엔드포인트 정책 예: 특정 QLDB 원장에 대한 액세스 제한

다음은 QLDB에 대한 사용자 지정 엔드포인트 정책의 예제입니다. 이 정책을 인터페이스 엔드포인트에 연결하면 지정된 원장 리소스의 모든 보안 주체에 대한 SendCommand 작업 및 PartiQL 읽기 전용 작업에 대한 액세스 권한이 부여됩니다. 이 예시에서는 원장이 STANDARD 권한 모드에 있어야 합니다.

이 정책을 사용하려면 예제의 us-east-1, 123456789012를 사용자 고유의 정보로 바꾸십시오. myExampleLedger

{ "Statement": [ { "Sid": "QLDBSendCommandPermission", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger" }, { "Sid": "QLDBPartiQLReadOnlyPermissions", "Principal": "*", "Effect": "Allow", "Action": [ "qldb:PartiQLSelect", "qldb:PartiQLHistoryFunction" ], "Resource": [ "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*", "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables" ] } ] }
IAM 정책 예제: 특정 인터페이스 엔드포인트에서만 QLDB 원장에 대한 액세스만 제한

다음은 QLDB에 대한 IAM 자격 증명 기반 정책 예제입니다. 이 정책을 사용자, 역할 또는 그룹에 연결하면 지정된 인터페이스 엔드포인트에서만 원장 리소스에 대한 SendCommand 액세스 권한이 허용됩니다.

이 정책을 사용하려면 예제의 us-east-1, 123456789012 및 vpce-1a2b3c4d를 사용자 고유 정보로 바꾸십시오. myExampleLedger

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }

QLDB에 대한 인터페이스 엔드포인트 가용성

Amazon QLDB는 QLDB를 사용할 수 있는 모든 AWS 리전 에서 정책으로 인터페이스 엔드포인트를 지원합니다. 사용 가능한 리전의 전체 목록은 AWS 일반 참조에서 Amazon QLDB 엔드포인트 및 할당량을 참조하십시오.