[AWS SCS] S3 - VPC 엔드포인트 전략

Amazon S3를 위한 VPC 엔드포인트 전략

Amazon S3는 AWS의 대표적인 객체 스토리지 서비스로, 다양한 방법으로 액세스할 수 있습니다. 이 글에서는 VPC 엔드포인트를 사용하여 Amazon S3에 접근하는 두 가지 주요 방법—VPC 게이트웨이 엔드포인트와 VPC 인터페이스 엔드포인트—에 대해 설명합니다. 또한, 각 방법의 특징과 사용 사례, 보안 설정 방법에 대해 알아보겠습니다.

1. VPC 게이트웨이 엔드포인트 (Gateway Endpoint)

개요

VPC 게이트웨이 엔드포인트는 Amazon S3와 같은 AWS 서비스에 프라이빗 네트워크를 통해 직접 접근할 수 있는 방법입니다. 이 방법은 비용이 발생하지 않으며, 해당 VPC 내의 리소스만 접근할 수 있습니다.

특징

• 비용: 무료
• 접근 범위: VPC 내 리소스만 가능 (Direct Connect, 사이트 간 VPN, VPC 피어링 불가)
• 구성 요소:
  • DNS 지원 활성화
  • 라우팅 테이블 업데이트
  • EC2 인스턴스의 아웃바운드 규칙 설정

사용 사례

• VPC 내에서 S3 접근이 필요한 경우: EC2 인스턴스가 Amazon S3에 액세스해야 할 때, 추가 비용 없이 VPC 내에서만 트래픽을 처리할 수 있습니다.

---

2. VPC 인터페이스 엔드포인트 (Interface Endpoint)

개요

VPC 인터페이스 엔드포인트는 **Elastic Network Interface(ENI)**를 통해 Amazon S3에 프라이빗하게 접근할 수 있는 방법입니다. 이 방식은 온프레미스 네트워크와 연결이 필요한 경우 유용하며, Direct Connect나 사이트 간 VPN을 통해 연결할 수 있습니다.

특징

• 비용: 시간당 AZ당 약 1센트 (무료 아님)
• 접근 범위: VPC 내 리소스뿐만 아니라 온프레미스와의 연결도 지원
• 구성 요소:
  • Elastic Network Interface(ENI) 배포
  • 보안 그룹을 통해 네트워크 보안 설정
  • 퍼블릭 DNS 이름을 사용하여 트래픽 해결 (프라이빗 DNS 이름 없음)

사용 사례

• 온프레미스 네트워크에서 Amazon S3에 접근할 때: Direct Connect 또는 사이트 간 VPN을 통해 VPC 인터페이스 엔드포인트를 사용하여 Amazon S3에 프라이빗하게 접근할 수 있습니다.
• 다중 VPC 아키텍처에서 중앙화된 트래픽 관리가 필요할 때: 트랜짓 게이트웨이를 통해 여러 VPC 간에 인터페이스 엔드포인트를 사용하여 트래픽을 중앙화할 수 있습니다.

---

3. VPC 엔드포인트의 DNS 지원

VPC 엔드포인트는 DNS를 사용하여 트래픽을 라우팅합니다. 하지만 VPC 인터페이스 엔드포인트의 경우 프라이빗 DNS 이름이 존재하지 않으며, 퍼블릭 DNS 이름을 사용해도 트래픽은 VPC 내의 인터페이스 엔드포인트로 해결됩니다. 이 점을 이해하고 설정해야 합니다.

---

4. VPC 엔드포인트의 보안 설정

SourceVPC와 SourceVPCE

• SourceVPC: 특정 VPC에서만 접근할 수 있도록 제한할 수 있습니다. 예를 들어, 지정된 VPC에서만 S3 버킷에 접근하도록 할 수 있습니다.
• SourceVPCE: 특정 VPC 엔드포인트를 통해서만 접근을 허용할 수 있습니다. 이 조건은 VPC 엔드포인트가 있을 때만 적용됩니다.

SourceIP

• AWS SourceIP: 퍼블릭 IP 주소에 대한 제한을 설정합니다.
• VPC SourceIP: 프라이빗 IP 주소에 대한 제한을 설정하며, VPC 엔드포인트 사용 시에만 유효합니다.

이러한 보안 설정을 통해 더 세밀하게 트래픽을 제어할 수 있습니다.

---

5. Amazon S3에 대한 VPC 엔드포인트 선택 기준

시험이나 실무에서 VPC 엔드포인트를 선택할 때 고려해야 할 사항은 다음과 같습니다:

• Gateway Endpoint:
  • 비용이 발생하지 않으며, VPC 내에서만 사용할 수 있습니다.
  • S3와 같은 AWS 서비스에 저렴하게 접근할 수 있는 방법입니다.
• Interface Endpoint:
  • 비용이 발생하지만, 온프레미스 네트워크와 연결하고자 할 때 유용합니다.
  • VPC 내외부에서 프라이빗하게 접근이 가능합니다.

---

결론

Amazon S3에 접근하기 위한 VPC 엔드포인트 전략은 사용자의 요구사항에 따라 달라집니다. 비용, 보안, 그리고 온프레미스 네트워크와의 연결 여부를 고려하여 VPC 게이트웨이 엔드포인트 또는 VPC 인터페이스 엔드포인트를 선택하는 것이 중요합니다. 이 글을 통해 VPC 엔드포인트의 특징과 활용 방법을 명확히 이해하고, 적합한 아키텍처를 선택할 수 있기를 바랍니다.