[AWS SCS] VPC Endpoint Policies

지금부터 VPC 엔드포인트 정책에 대해 자세히 설명드리겠습니다. 이 정책은 VPC 엔드포인트에 연결된 서비스에 대한 접근을 제어하는 중요한 요소입니다.

 

VPC 엔드포인트 정책이란?
VPC 엔드포인트 정책은 특정 API 호출과 리소스에 대한 액세스를 제어하는 정책입니다. 예를 들어, 'list bucket', 'get bucket', 'put objects'와 같은 API 호출을 특정 역할이나 사용자가 수행할 수 있도록 허용할 수 있습니다. 이 정책을 통해 사용자는 VPC 엔드포인트를 통해 AWS 서비스를 사용할 때 액세스 권한을 관리할 수 있습니다.

 

적용 대상
VPC 엔드포인트 정책은 인터페이스 엔드포인트와 게이트웨이 엔드포인트 모두에 적용될 수 있습니다. 이 정책은 특정 리소스에 대해 특정 API 호출을 허용하거나 제한할 수 있으며, 다른 IAM 정책이나 리소스 기반 정책을 대신하지 않습니다. 즉, VPC 엔드포인트 정책은 IAM 역할이나 리소스 정책과 함께 연계되어 사용됩니다.

 

예시와 활용 사례
예를 들어, SQS 큐와 관련된 VPC 엔드포인트 정책을 설정할 수 있습니다. SQS 큐의 리소스 정책을 통해, 특정 VPC 엔드포인트를 통해 접근할 때만 해당 리소스에 대한 요청이 허용되도록 설정할 수 있습니다. 이 경우, 외부에서 접근하려는 시도가 있을 경우 요청이 거부됩니다. 또한, VPC 엔드포인트 정책을 통해 VPC 엔드포인트를 사용하는 모든 계정이 SQS 큐에 메시지를 보내고 받을 수 있도록 보장할 수 있습니다.

 

정책 평가
VPC 엔드포인트 정책은 IAM 사용자와 함께 평가됩니다. IAM 사용자가 VPC 엔드포인트를 통해 리소스에 접근하려면 VPC 엔드포인트 정책이 먼저 허용해야 합니다. 또한, 리소스 정책과 IAM 정책이 일치해야만 접근이 가능하며, 거부되지 않도록 설정해야 합니다.

 

결론
VPC 엔드포인트 정책을 통해 더욱 정교한 액세스 제어가 가능해지며, AWS 환경 내에서의 보안과 관리의 효율성을 높일 수 있습니다. 이 정책은 사용자가 VPC 엔드포인트를 통해 리소스에 안전하게 접근할 수 있도록 도와줍니다. VPC 엔드포인트 정책을 잘 활용하면 AWS 리소스에 대한 액세스를 제어하는 데 중요한 역할을 할 수 있습니다.

 

 

VPC 엔드포인트를 통해 AWS 서비스를 안전하고 효율적으로 접근하는 방법에 대해 정리해보겠습니다.

1. CodeDeploy

CodeDeploy는 EC2 인스턴스에 애플리케이션 버전을 배포하는 서비스입니다. 사설 서브넷에 배치된 EC2 인스턴스가 CodeDeploy 에이전트를 통해 CodeDeploy 서비스에 API 호출을 해야 합니다. 이를 위해 두 가지 VPC 인터페이스 엔드포인트가 필요합니다. 첫 번째는 CodeDeploy 서비스에 직접 연결되는 엔드포인트이고, 두 번째는 ‘codedeploy-commands-secure’ 엔드포인트로, 이는 코드배포 에이전트의 작동을 허용합니다. EC2 인스턴스 배포 시 이 두 엔드포인트가 모두 필요합니다.

2. Secrets Manager

Lambda 함수가 Secrets Manager의 비밀 데이터를 접근하려는 경우, Lambda 함수가 배치된 사설 서브넷에 Secrets Manager VPC 인터페이스 엔드포인트를 배치해야 합니다. 이렇게 하면 Lambda 함수가 Secrets Manager를 통해 비밀 데이터를 안전하게 가져오고, 이를 통해 RDS 데이터베이스와 연결할 수 있습니다. 이 설정을 통해 모든 통신이 사설 네트워크에서 이루어지게 되어 더 높은 보안성을 제공합니다.

3. SSM Session Manager

SSM 서비스를 통해 EC2 인스턴스와의 연결이 필요할 때도 여러 VPC 인터페이스 엔드포인트가 필요합니다. SSM 서비스 자체와 SSM 메시징 엔드포인트를 통해 EC2 메시지를 전송할 수 있어야 하고, EC2 인스턴스가 이를 통해 서로 통신할 수 있도록 보안 그룹을 통해 443 포트가 열려 있어야 합니다.

4. Patch Manager

Patch Manager 역시 SSM 서비스를 통해 EC2 인스턴스에 패치를 배포하는 서비스로, VPC 인터페이스 엔드포인트가 필요합니다. S3에서 패치를 가져오고 이를 처리하기 위해 Amazon S3 VPC 게이트웨이 엔드포인트가 필요하며, 패치 로그를 클라우드워치로 전송하기 위한 추가 엔드포인트도 필요합니다.

5. API Gateway

API Gateway에서 사설 REST API를 정의할 경우, VPC 인터페이스 엔드포인트를 사용해야 합니다. 이 경우 API 게이트웨이 리소스 정책과 함께 VPC 엔드포인트 정책을 설정하여, 특정 VPC에서만 접근이 가능하도록 제어할 수 있습니다.

이와 같이 VPC 엔드포인트를 활용하면 AWS 서비스를 안전하게 접근하고, 네트워크 관리의 복잡성을 줄이며, 비용 효율성을 높일 수 있습니다. VPC 엔드포인트를 통해 AWS 서비스에 접근하는 방법을 이해하고, 필요한 엔드포인트를 잘 설정하면 AWS 환경에서 보다 높은 보안성과 성능을 달성할 수 있습니다.