VPC 종단점으로 서비스에 대한 액세스 제어 - Amazon Virtual Private Cloud
VPC 종단점 정책 사용보안 그룹

VPC 종단점으로 서비스에 대한 액세스 제어

인터페이스 또는 게이트웨이 엔드포인트를 생성할 경우, 연결하려는 서비스에 대한 액세스를 제어하는 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 엔드포인트 정책은 JSON 형식으로 작성해야 합니다. 모든 서비스가 엔드포인트 정책을 지원하는 것은 아닙니다.

Amazon S3에 대한 엔드포인트를 사용할 경우, Amazon S3 버킷 정책을 사용하여 특정 엔드포인트 또는 특정 VPC의 버킷에 대한 액세스를 제어할 수도 있습니다. 자세한 내용은 Amazon S3 버킷 정책 단원을 참조하세요.

VPC 종단점 정책 사용

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 만들 때 정책을 추가하지 않으면 서비스에 대한 모든 액세스를 허용하는 기본 정책이 추가됩니다. 서비스가 엔드포인트 정책을 지원하지 않는 경우, 엔드포인트는 그 서비스에 대한 모든 액세스를 허용합니다. 엔드포인트 정책은 IAM 사용자 정책 또는 서비스별 정책(예: S3 버킷 정책)을 무시하거나 교체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다.

하나의 엔드포인트에 둘 이상의 정책을 연결할 수 없습니다. 그러나 언제든 정책을 수정할 수 있습니다. 정책을 수정할 경우, 변경 사항이 적용되기까지 몇 분 정도 걸릴 수 있습니다. 정책 작성에 대한 자세한 내용은 IAM 사용 설명서IAM 정책 개요를 참조하세요.

엔드포인트 정책은 IAM 정책과 비슷하지만 다음에 유의해야 합니다.

엔드포인트 정책을 지원하는 서비스에 대한 자세한 내용은 AWS PrivateLink와 통합되는 AWS 서비스 섹션을 참조하세요.

게이트웨이 엔드포인트에 대한 엔드포인트 정책

게이트웨이 엔드포인트에 적용된 엔드포인트 정책의 경우 Principal 또는 "AWS":"account-ID" 형식으로 "AWS":"arn:aws:iam::account-ID:root"을 지정하면 계정 루트 사용자에게만 액세스 권한이 부여되며 계정의 모든 IAM 사용자 및 역할에게 액세스 권한이 부여되는 것은 아닙니다.

Principal 요소에 Amazon 리소스 이름(ARN)을 지정하면 정책을 저장할 때 해당 ARN이 고유 보안 주체 ID로 변환됩니다.

Amazon S3 및 DynamoDB용 엔드포인트 정책 예는 다음 주제를 참조하세요.

보안 그룹

인터페이스 엔드포인트를 생성할 때 서비스와의 통신에 사용할 수 있는 엔드포인트별 VPC 호스트 이름이 생성됩니다. 보안 그룹을 지정하지 않을 경우 VPC에 대한 기본 보안 그룹이 엔드포인트 네트워크 인터페이스에 자동적으로 연결됩니다. 보안 그룹에 대한 규칙이 엔드포인트 네트워크 인터페이스 및 서비스와 통신하는 VPC의 리소스 사이의 통신을 허용하도록 해야 합니다.

게이트웨이 엔드포인트에서 보안 그룹의 아웃바운드 규칙이 제한된 경우, VPC에서 엔드포인트에 지정된 서비스로의 아웃바운드 트래픽을 허용하는 규칙을 추가해야 합니다. 이렇게 하려면 아웃바운드 규칙에서 서비스의 AWS 접두사 목록 ID를 대상으로 사용합니다. 자세한 내용은 보안 그룹 수정 단원을 참조하세요.

보안 그룹은 Gateway Load Balancer 엔드포인트에는 적용되지 않습니다.