For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
엔드포인트 서비스용 Amazon VPC 인터페이스 엔드포인트를 만들 때 보안 그룹과 네트워크 ACL을 구성하려면 어떻게 해야 합니까?
엔드포인트 서비스를 연결하기 위해 Amazon Virtual Private Cloud(Amazon VPC) 인터페이스 엔드포인트를 만들 때 보안 그룹과 네트워크 액세스 제어 목록(네트워크 ACL)을 구성하려고 합니다.
해결 방법
엔드포인트 서비스로 Amazon VPC 인터페이스 엔드포인트를 만들면 Amazon VPC는 지정한 서브넷에 탄력적 네트워크 인터페이스를 만듭니다. 인터페이스 엔드포인트는 연결된 서브넷의 네트워크 ACL을 수신합니다. 또한 인바운드 트래픽을 제어하려면 보안 그룹을 인터페이스 엔드포인트와 연결해야 합니다.
Network Load Balancer를 엔드포인트 서비스와 연결하면 Network Load Balancer가 등록된 대상에 요청을 전달합니다. Network Load Balancer는 IP 주소가 대상에 등록된 것처럼 요청을 전달합니다. 이 경우 소스 IP 주소는 로드 밸런서 노드의 프라이빗 IP 주소입니다.
Amazon VPC 엔드포인트 서비스에 액세스할 수 있는 경우 다음 구성을 확인하십시오.
- Network Load Balancer 대상의 인바운드 보안 그룹 규칙은 Network Load Balancer 노드의 프라이빗 IP 주소에서 트래픽을 허용합니다. 자세한 내용은 고려 사항을 참조하십시오.
- Network Load Balancer 대상의 네트워크 ACL 규칙은 Network Load Balancer 노드의 프라이빗 IP 주소에서 트래픽을 허용합니다.
인터페이스 엔드포인트와 연결된 네트워크 ACL 찾기
다음 단계를 완료하십시오.
- Amazon VPC 콘솔을 엽니다.
- 엔드포인트를 선택한 다음, 엔드포인트의 ID를 선택합니다.
- 서브넷 보기를 선택합니다.
- 연결된 서브넷을 선택합니다.
- 서브넷 섹션에서 서브넷과 연결된 네트워크 ACL을 확인합니다.
인터페이스 엔드포인트와 연결된 보안 그룹 찾기
다음 단계를 완료하십시오.
- Amazon VPC 콘솔을 엽니다.
- 엔드포인트를 선택한 다음, 엔드포인트의 ID를 선택합니다.
- 보안 그룹 보기를 선택합니다.
- 연결된 보안 그룹의 ID를 기록해 둡니다.
Network Load Balancer와 연결된 보안 그룹 업데이트
AWS PrivateLink 트래픽에 인바운드 규칙이 적용되는지 여부를 제어할 수 있습니다. PrivateLink 트래픽에서 인바운드 규칙을 활성화하면 트래픽 소스는 엔드포인트 인터페이스가 아니라 클라이언트의 프라이빗 IP 주소입니다.
PrivateLink가 로드 밸런서로 전송하는 트래픽에 인바운드 규칙을 사용하지 않으려면 로드 밸런서를 구성하십시오. 자세한 내용은 Network Load Balancer의 보안 그룹 업데이트를 참조하십시오.
인터페이스 엔드포인트와 연결된 보안 그룹 구성
참고: 보안 그룹은 스테이트풀입니다. 한 방향으로 규칙을 정의하면 다른 방향의 트래픽이 자동으로 허용됩니다.
인바운드 규칙을 구성할 때 포트 범위에 엔드포인트 서비스와 동일한 포트를 입력합니다. 소스에 시작 클라이언트의 IP 주소 또는 네트워크를 입력합니다.
참고: 인터페이스 엔드포인트와 연결된 보안 그룹에서는 아웃바운드 규칙을 만들 필요가 없습니다.
인터페이스 엔드포인트와 연결된 각 보안 그룹에 대해 이 단계를 반복합니다.
인터페이스 엔드포인트와 연결된 네트워크 ACL 구성
참고: 네트워크 ACL은 스테이트리스입니다. 아웃바운드 트래픽과 인바운드 트래픽에 대한 규칙을 정의해야 합니다.
다음 단계를 완료하십시오.
- 네트워크 ACL에 규칙을 추가합니다.
- 인바운드 규칙의 경우 다음 구성을 사용하여 클라이언트의 트래픽을 허용합니다.
포트 범위에 엔드포인트 서비스와 동일한 포트를 입력합니다.
소스에 클라이언트의 IP 주소 또는 네트워크를 입력합니다. - 아웃바운드 규칙의 경우 다음 구성을 사용하여 인터페이스 엔드포인트의 반환 트래픽을 허용합니다.
포트 범위에 1024-65535를 입력합니다.
대상에 클라이언트의 IP 주소 또는 네트워크를 입력합니다.
서브넷마다 다른 네트워크 ACL을 지정한 경우 인터페이스 엔드포인트와 연결된 각 네트워크 ACL에 대해 단계를 반복합니다.
참고: 소스 클라이언트의 보안 그룹을 구성할 때 아웃바운드 규칙이 인터페이스 엔드포인트의 프라이빗 IP 주소에 대한 연결을 허용하는지 확인하십시오. 클라이언트 보안 그룹의 인바운드 규칙을 확인할 필요가 없습니다. 소스 클라이언트의 네트워크 ACL에는 다음 구성을 사용하십시오.
- 인바운드 규칙의 경우 포트 범위에 임시 포트 범위 1024-65535를 입력합니다. 소스에 인터페이스 엔드포인트의 프라이빗 IP 주소를 입력합니다.
- 아웃바운드 규칙의 경우 포트 범위에 엔드포인트 서비스와 동일한 포트를 입력합니다. 대상에 인터페이스 엔드포인트의 프라이빗 IP 주소를 입력합니다.
관련 정보
인터페이스 Amazon VPC 엔드포인트와 고객 관리형 엔드포인트 서비스 간의 연결 문제를 해결하려면 어떻게 해야 합니까?
- 언어
- 한국어
관련 콘텐츠
- 질문됨 2년 전
- 질문됨 2년 전
