Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
게이트웨이 Amazon VPC 엔드포인트의 연결 문제를 해결하려면 어떻게 해야 합니까?
게이트웨이 Amazon Virtual Private Cloud(VPC) 엔드포인트의 연결 문제를 해결하고 싶습니다.
해결 방법
게이트웨이 VPC 엔드포인트 연결 문제는 연결을 허용하는 네트워크 액세스나 보안 규칙 때문일 수 있습니다.
참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
Reachability Analyzer 사용
Reachability Analyzer를 사용해 소스 엔드포인트와 게이트웨이 엔드포인트 간의 연결 문제를 해결합니다. 자세한 내용은 Amazon VPC Reachability Analyzer를 사용하여 Amazon VPC 리소스와의 연결 문제를 해결하려면 어떻게 해야 합니까?를 참조하십시오.
리전 구성 확인
게이트웨이 엔드포인트는 생성된 리전에서만 사용할 수 있습니다. Amazon Simple Storage Service(Amazon S3) 버킷 또는 Amazon DynamoDB 테이블과 동일한 리전에 게이트웨이 엔드포인트를 생성해야 합니다. 버킷 리전을 보려면 AWS CLI 명령 get-bucket-location을 실행하십시오.
또한 SDK를 사용하여 게이트웨이 엔드포인트에서 서비스에 액세스할 때는 서비스 리소스와 동일한 위치에 지역을 구성해야 합니다. Boto3에는 Config 개체를 사용하고 AWS CLI에는 AWS Config를 사용할 수 있습니다.
참고: 잘못된 리전으로 요청을 보내면 제한 시간이 초과되거나 인터넷을 통한 서비스 액세스가 허용될 수 있습니다. 이는 원본 서브넷에 구성된 라우팅 테이블에 따라 달라집니다.
DNS 확인 점검
VPC의 DNS 속성을 업데이트하여 DNS 확인을 활성화합니다. 자체 DNS 서버를 사용하는 경우 AWS 서비스 DNS 요청이 AWS에서 유지 관리하는 IP 주소로 확인되는지 확인합니다.
서브넷 라우팅 테이블 설정 확인
라우팅 테이블 설정을 확인하여 게이트웨이 VPC 엔드포인트를 사용하는 Amazon S3 및 DynamoDB에 대한 경로가 있는지 확인합니다.
보안 그룹 확인
Amazon S3와 DynamoDB와 연결하는 원본과 연결된 보안 그룹을 확인합니다. 사용 가능한 아웃바운드 규칙이 Amazon S3나 DynamoDB로 트래픽을 허용하는지 확인합니다. 보안 그룹에 기본 아웃바운드 규칙보다 더 제한적인 규칙이 있는 경우 다음 경우 중 하나인지 확인합니다.
- 게이트웨이 VPC 엔드포인트와 연결된 접두사 목록의 ID로 트래픽을 허용하는 아웃바운드 규칙이 있습니다.
- 대상에 서비스별 CIDR 블록(IP 주소 범위)이 있습니다. 서비스별 CIDR 블록이 없는 경우 추가할 수 없습니다. AWS에서 접두사 목록 IP 주소 범위를 관리하기 때문에 서비스에서 제공하는 접두사 목록 ID를 사용하는 것이 모범 사례입니다.
특정 리전의 Amazon S3와 DynamoDB용 공용 IP CIDR을 보려면 AWS CLI 명령 describe-prefix-list를 실행하십시오.
aws ec2 describe-prefix-lists --region example-Region
참고: example-Region을 리전으로 바꾸십시오.
네트워크 ACL 규칙 확인
서브넷 네트워크 액세스 제어 목록(네트워크 ACL)은 리전 내 Amazon S3 또는 DynamoDB 서비스 CIDR에 대한 인바운드 및 아웃바운드 TCP 연결을 허용해야 합니다.
다음을 수행하는 네트워크 ACL 규칙을 추가합니다.
- 임시 TCP 포트 1024-65535에서 액세스하려는 서비스의 인바운드 리턴 트래픽을 허용합니다.
- HTTPS에서 서비스 CIDR 블록(IP 주소 범위)으로의 트래픽을 허용합니다.
참고: 네트워크 ACL은 기본적으로 인바운드 및 아웃바운드 IPv4 및 IPv6 트래픽을 모두 허용합니다. 네트워크 ACL 규칙에 따라 트래픽이 제한되는 경우 게이트웨이 엔드포인트가 생성된 서비스의 CIDR 블록을 지정하십시오. 서비스 IP 주소가 변경될 때 알림을 설정하고 스크립트를 사용해 네트워크 ACL 규칙을 자동으로 업데이트하는 것이 모범 사례입니다. 자세한 내용은 Amazon S3의 IP 주소 변경 시 알림을 받으려면 어떻게 해야 합니까?를 참조하십시오.
VPC 엔드포인트 정책 확인
VPC 엔드포인트 정책을 검토하여 사용자 지정 정책인지 기본 정책인지 확인합니다. 사용자 지정 엔드포인트 정책은 서비스에 대한 작업을 수행할 수 있는 액세스를 허용해야 합니다. 기본 엔드포인트 정책은 서비스에 대한 완전한 액세스를 허용합니다. 자세한 내용은 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하십시오.
Amazon S3 버킷 정책 확인
Amazon S3 버킷 정책을 검토하여 해당 정책이 게이트웨이 VPC 엔드포인트 및 VPC에서의 액세스를 허용하는지 확인하십시오. 자세한 내용은 버킷 정책을 사용한 VPC 엔드포인트의 액세스 제어를 참조하십시오.
참고: 버킷 정책은 VPC 인스턴스와 연결된 특정 공용 IP 주소나 탄력적 IP 주소에서 액세스할 때만 제한할 수 있습니다. 정책은 인스턴스와 연결된 프라이빗 IP 주소를 기반으로 액세스를 제한할 수 있습니다. 자세한 내용은 Amazon S3 버킷 정책의 예를 참조하십시오.
프록시 서버를 사용하는 경우 서버를 통한 VPC 연결이 허용되는지 확인합니다. Amazon S3용 프록시 서버를 사용하지 않는 경우, 버킷에 액세스할 때 다음 명령을 실행해 프록시 서버를 우회합니다.
export no_proxy = s3.example-Region.amazonaws.com
참고: example-Region을 리전으로 바꾸십시오.
IAM 정책 확인
AWS Identity and Access Management(IAM) 정책을 확인하여 IAM 사용자 또는 역할의 관련 사용자에게 Amazon S3에 액세스하는 데 필요한 권한이 있는지 확인하십시오. 자세한 내용은 Amazon S3 버킷 액세스를 특정 IAM 역할로 제한하는 방법과 사용자 정책을 사용해 버킷 액세스 제어를 참조하십시오.
게이트웨이 엔드포인트를 통한 트래픽 흐름 확인
트래픽이 게이트웨이 엔드포인트나 인터페이스 엔드포인트를 통과하는지 확인하려면 Amazon S3 트래픽이 게이트웨이 Amazon VPC 엔드포인트나 인터페이스 Amazon VPC 엔드포인트를 통과하는지 확인하려면 어떻게 해야 합니까?를 참조하십시오.
관련 정보
- 언어
- 한국어
