

# 공유 AWS Cloud Map 네임스페이스를 사용하는 Amazon ECS Service Connect
<a name="service-connect-shared-namespaces"></a>

Amazon ECS Service Connect는 동일한 AWS 리전 내 여러 AWS 계정에서 공유 AWS Cloud Map 네임스페이스 사용을 지원합니다. 이 기능을 사용하면 다른 AWS 계정에서 실행되는 서비스가 Service Connect를 통해 서로 검색하고 통신할 수 있는 분산 애플리케이션을 생성할 수 있습니다. 공유 네임스페이스는 안전한 교차 계정 리소스 공유를 허용하는 AWS Resource Access Manager(AWS RAM)를 사용하여 관리됩니다. 공유 네임스페이스에 대한 자세한 내용은 *AWS Cloud Map 개발자 안내서*의 [Cross-account AWS Cloud Map namespace sharing](https://docs.aws.amazon.com/cloud-map/latest/dg/sharing-namespaces.html)을 참조하세요.

**중요**  
`AWSRAMPermissionCloudMapECSFullPermission` 관리형 권한을 사용하여 Service Connect가 네임스페이스와 제대로 작동하도록 네임스페이스를 공유해야 합니다.

Service Connect에서 공유 AWS Cloud Map 네임스페이스를 사용하면 여러 AWS 계정의 서비스가 동일한 서비스 네임스페이스에 참여할 수 있습니다. 이는 보안 및 격리를 유지하면서 계정 경계를 넘어 서비스 간 통신을 유지 관리해야 하는 여러 AWS 계정이 있는 조직에 특히 유용합니다.

**참고**  
여러 VPC에 있는 서비스와 통신하려면 VPC 간 연결성을 구성해야 합니다. VPC 피어링 연결을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 *Amazon Virtual Private Cloud VPC 피어링 가이드*의 [VPC 피어링 연결 생성](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html)을 참조하세요.

## 고려 사항
<a name="service-connect-shared-namespaces-considerations"></a>

Service Connect에서 AWS Cloud Map 네임스페이스를 사용하는 경우 다음을 고려합니다.
+ AWS RAM는 공유 네임스페이스를 사용하려는 AWS 리전에서 사용할 수 있어야 합니다.
+ 네임스페이스는 Amazon ECS 서비스 및 클러스터와 같은 AWS 리전에 있어야 합니다.
+ 공유 네임스페이스로 Service Connect를 구성할 경우 ID가 아닌 네임스페이스 ARN을 사용해야 합니다.
+ HTTP, 프라이빗 DNS, 퍼블릭 DNS 네임스페이스와 같은 모든 네임스페이스 유형이 지원됩니다.
+ 공유 네임스페이스에 대한 액세스가 취소되면 네임스페이스(예: `CreateService`, `UpdateService`, `ListServicesByNamespace`)와의 상호 작용이 필요한 Amazon ECS 작업이 실패합니다. 공유 네임스페이스의 권한 문제 해결에 대한 자세한 내용은 [공유 AWS Cloud Map 네임스페이스를 사용한 Amazon ECS Service Connect 문제 해결](service-connect-shared-namespaces-troubleshooting.md) 섹션을 참조하세요.
+ 공유 프라이빗 DNS 네임스페이스에서 DNS 쿼리를 사용하는 서비스 검색의 경우:
  + 네임스페이스 소유자는 네임스페이스와 연결된 프라이빗 호스팅 영역의 ID와 소비자의 VPC를 사용하여 `create-vpc-association-authorization`을 직접 호출해야 합니다.

    ```
    aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678
    ```
  + 네임스페이스 소비자는 프라이빗 호스팅 영역의 ID를 사용하여 `associate-vpc-with-hosted-zone`을 직접 호출해야 합니다.

    ```
    aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678
    ```
+ 네임스페이스 소유자만 리소스 공유를 관리할 수 있습니다.
+ 네임스페이스 소비자는 공유 네임스페이스 내에서 서비스를 생성하고 관리할 수 있지만 네임스페이스 자체는 수정할 수 없습니다.
+ 검색 이름은 서비스를 생성하는 계정에 관계없이 공유 네임스페이스 내에서 고유해야 합니다.
+ 공유 네임스페이스의 서비스는 네임스페이스에 액세스하는 다른 AWS 계정에서 서비스를 검색하고 연결할 수 있습니다.
+ Service Connect에 대한 TLS를 활성화하고 공유 네임스페이스를 사용하는 경우 AWS Private CA 인증 기관(CA)의 범위가 네임스페이스로 지정됩니다. 공유 네임스페이스에 대한 액세스가 취소되면 CA에 대한 액세스가 중지됩니다.
+ 공유 네임스페이스로 작업할 때 네임스페이스 소유자와 소비자는 기본적으로 교차 계정 Amazon CloudWatch 지표에 액세스할 수 없습니다. 대상 지표는 클라이언트 서비스를 소유한 계정에만 게시됩니다. 클라이언트 서비스를 소유한 계정은 클라이언트-서버 서비스를 소유한 계정에서 수신한 지표에 액세스할 수 없으며 반대도 마찬가지입니다. 지표에 대한 교차 계정 액세스를 허용하려면 CloudWatch 교차 계정 관찰성을 설정합니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [CloudWatch 크로스 계정 관찰성](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)을 참조하세요. Service Connect용 CloudWatch 지표에 대한 자세한 내용은 [Amazon ECS CloudWatch 지표](available-metrics.md) 섹션을 참조하세요.