VPC 피어링을 사용하여 Amazon Lightsail과 다른 AWS 서비스 간의 통신을 설정하는 데 필요한 최소 IAM 권한은 무엇입니까?

2분 분량
0

VPC 피어링을 사용하여 Amazon Lightsail과 다른 AWS 서비스 간에 통신을 설정하려고 합니다. 이를 위해 필요한 최소 Identity and Access Management(IAM) 권한은 무엇입니까?

해결 방법

Amazon Lightsail에서는 Amazon Relational Database Service(Amazon RDS) 데이터베이스와 같은 다른 AWS 리소스에 연결하려면 VPC와의 피어링 연결이 필요합니다. IAM 엔터티는 Lightsail과의 VPC 피어링 연결을 설정하고 생성하려면 Lightsail 권한과 함께 특정 Amazon Elastic Compute Cloud(Amazon EC2) 권한이 필요합니다.

사전 요구 사항: Lightsail에서 VPC 피어링을 설정하려면 기본 Amazon VPC가 있어야 합니다. 기본 Amazon VPC가 없는 경우 새로 만들 수 있습니다. 자세한 내용은 기본 VPC 만들기를 참조하세요. AWS 리전은 서로 격리되어 있기 때문에 VPC는 VPC를 생성한 리전에서도 격리됩니다. Lightsail 리소스가 있는 각 리전에서 VPC 피어링을 설정해야 합니다.

IAM 사용자에게 연결을 생성하는 데 필요한 최소 권한을 부여하는 것이 가장 좋습니다. 정책 내에서 필요한 Amazon EC2 작업만 지정할 수 있습니다. 다음 예제 정책에는 EC2 엔드포인트에 액세스하고, 피어링 연결을 수락하며, 이 연결을 수용하도록 기존 라우팅 테이블을 편집하는 작업이 포함되어 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

앞의 정책은 Amazon Lightsail(‘lightsail:*’)에 대한 전체 액세스 권한을 부여합니다. IAM 엔터티가 Amazon Lightsail(‘lightsail:*’ 아님)에 대한 제한적 정책을 사용하는 경우 ‘lightsail:PeerVpc’ 및 ‘lightsail:UnpeerVpc’를 포함해야 합니다. 이 경우 Amazon Lightsail 콘솔을 사용하여 피어링 작업을 수행하지 못할 수 있습니다. 대신 PeerVpcUnpeerVpc와 같은 AWS API 호출을 사용하여 피어링 연결을 설정할 수 있습니다.

다음은 피어링 연결을 설정하기 위한 AWS Command Line Interface(AWS CLI) 호출 샘플입니다.

참고: AWS CLI 명령을 실행할 때 오류가 발생하는 경우 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

VPC 피어링 연결 생성

aws lightsail peer-vpc --region regionName

VPC 피어링 연결 확인

aws lightsail is-vpc-peered --region regionName

VPC 피어링 연결 삭제

aws lightsail unpeer-vpc --region regionName

RegionName을 VPC 피어링을 추가하려는 올바른 리전으로 바꿉니다.

참고: 다른 작업에는 이 정책에 포함되지 않은 추가 권한이 필요합니다. 예를 들어, Lightsail 스냅샷을 Amazon EC2로 내보내거나 이 Lightsail VPC 피어링 연결을 사용하여 다른 AWS 서비스에 액세스하려면 추가 권한이 필요합니다.


AWS 공식
AWS 공식업데이트됨 3년 전
댓글 없음