AWS Client VPN을 사용한 네트워크 액세스 제한 - AWS 클라이언트 VPN
보안 그룹을 사용하여 액세스 제한사용자 그룹을 기준으로 액세스 제한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Client VPN을 사용한 네트워크 액세스 제한

VPC의 특정 리소스에 대한 액세스를 제한하도록 Client VPN 엔드포인트를 구성할 수 있습니다. 사용자 기반 인증의 경우 Client VPN 엔드포인트에 액세스하는 사용자 그룹을 기반으로 네트워크 일부에 대한 액세스를 제한할 수도 있습니다.

보안 그룹을 사용하여 액세스 제한

대상 네트워크 연결(Client VPN 보안 그룹)에 적용된 보안 그룹을 참조하는 보안 그룹 규칙을 추가하거나 제거하여 VPC의 특정 리소스에 대한 액세스를 부여하거나 거부할 수 있습니다. 이 구성은 AWS Client VPN을 사용하여 VPC 액세스에서 설명하는 시나리오를 확장합니다. 이 구성은 그 시나리오에서 구성한 권한 부여 규칙에 추가로 적용됩니다.

특정 리소스에 대한 액세스 권한을 부여하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 식별합니다. 그런 다음 Client VPN 보안 그룹의 트래픽을 허용하는 규칙을 생성합니다.

다음 다이어그램에서 보안 그룹 A는 Client VPN 보안 그룹이고, 보안 그룹 B는 EC2 인스턴스와 연결되며, 보안 그룹 C는 EC2 인스턴스와 연결됩니다. 보안 그룹 A로부터의 액세스를 허용하는 규칙을 보안 그룹 B에 추가하면 클라이언트가 보안 그룹 B와 연결된 인스턴스에 액세스할 수 있습니다. 보안 그룹 C에 보안 그룹 A로부터의 액세스를 허용하는 규칙이 없는 경우 클라이언트는 보안 그룹 C와 연결된 인스턴스에 액세스할 수 없습니다.

VPC의 리소스에 대한 액세스 제한

시작하기 전에 Client VPN 보안 그룹이 VPC의 다른 리소스와 연결되어 있는지 확인하세요. Client VPN 보안 그룹을 참조하는 규칙을 추가하거나 제거하는 경우 연결된 다른 리소스에 대한 액세스 권한도 부여하거나 거부할 수 있습니다. 이 문제를 방지하려면 Client VPN 엔드포인트에 사용하기 위해 특별히 생성된 보안 그룹을 사용합니다.

보안 그룹 규칙을 생성하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

  3. 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 선택합니다.

  4. 작업, 인바운드 규칙 편집을 선택합니다.

  5. Add rule(규칙 추가)를 선택하고 다음을 수행합니다.

    • 유형에서 모든 트래픽 또는 허용할 특정 트래픽 유형을 선택합니다.

    • 소스에서 사용자 지정을 선택한 다음 Client VPN 보안 그룹의 ID를 입력하거나 선택합니다.

  6. 규칙 저장 선택

특정 리소스에 대한 액세스 권한을 제거하려면 리소스가 실행 중인 인스턴스와 연결된 보안 그룹을 확인합니다. Client VPN 보안 그룹의 트래픽을 허용하는 규칙이 있으면 해당 규칙을 삭제합니다.

보안 그룹 규칙을 확인하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 보안 그룹(Security Groups)을 선택합니다.

  3. 인바운드 규칙을 선택합니다.

  4. 규칙 목록을 검토합니다. 소스가 Client VPN 보안 그룹인 규칙이 있는 경우 규칙 편집을 선택하고 규칙에 대해 삭제(x 아이콘)를 선택합니다. 규칙 저장을 선택합니다.

사용자 그룹을 기준으로 액세스 제한

Client VPN 엔드포인트가 사용자 기반 인증에 맞게 구성된 경우, 네트워크의 특정 부분에 대한 액세스 권한을 특정 사용자 그룹에 부여할 수 있습니다. 이렇게 하려면 다음 단계를 완료하세요.

  1. AWS Directory Service 또는 IdP에서 사용자 및 그룹을 구성합니다. 자세한 정보는 다음 주제를 참조하세요.

  2. 지정된 그룹이 네트워크 전체 또는 일부에 액세스할 수 있도록 허용하는 Client VPN 엔드포인트에 대한 권한 부여 규칙을 생성합니다. 자세한 내용은 권한 부여 규칙 단원을 참조하세요.

Client VPN 엔드포인트가 상호 인증에 맞게 구성된 경우 사용자 그룹을 구성할 수 없습니다. 권한 부여 규칙을 생성할 때 모든 사용자에게 액세스 권한을 부여해야 합니다. 특정 사용자 그룹이 네트워크의 특정 부분에 액세스할 수 있도록 하려면 여러 Client VPN 엔드포인트를 생성할 수 있습니다. 예를 들어, 네트워크에 액세스하는 각 사용자 그룹에 대해 다음을 수행합니다.

  1. 해당 사용자 그룹에 대한 서버 및 클라이언트 인증서 및 키 집합을 생성합니다. 자세한 내용은 상호 인증 단원을 참조하세요.

  2. Client VPN 엔드포인트를 생성합니다. 자세한 내용은 Client VPN 엔드포인트를 생성합니다. 단원을 참조하세요.

  3. 네트워크의 전체 또는 일부에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성합니다. 예를 들어, 관리자가 사용하는 Client VPN 엔드포인트의 경우 전체 네트워크에 대한 액세스 권한을 부여하는 권한 부여 규칙을 생성할 수 있습니다. 자세한 내용은 Client VPN 엔드포인트에 권한 부여 규칙 추가 단원을 참조하세요.